计算机信息安全技术课后习题包括答案

第一章计算机信息安全技术概述
1、计算机信息系统安全的威胁要素主要有哪些
(1)人为没心失误
(2)人为恶意攻击
(3)计算机软件的漏洞和后门
2、从技术角度解析引起计算机信息系统安全问题的根本源
因。

(1)计算机外面安全
(2)信息在计算机系统储藏介质上的安全
(3)信息在传输过程中的安全
3、信息安全的CIA 指的是什么
Confidenciality隐私性,也可称为机密性,是指只有授权的用
户才能获守信息 Integrity 完满性 ,是指信息在传输过程中 ,不被非法授权和破坏 ,保证数据的一致性
Availability可用性,是指信息的可靠度
4、简述 PPDR安全模型的组成要素及运作方式
PPDR由安全策略 ,防范 ,检测和响应组成
运作方式 :PPDR模型在整体的安全策略的控制和指导下,综合运用防范工具的同时,利用检测工具认识和评估系统的安全
状态 ,经过合适的安全响应将系统调整在一个相对安全的状
态。

防范 ,检测和响应组成一个完满的、动向的安全循环。

5、计算机信息安全研究的主要内容有哪些
(1)计算机外面安全
(2)信息在计算机系统储藏介质上的安全
(3)信息在传输过程中的安全
6、计算机信息安全的定义是什么
计算机信息安所有是研究在特定的应用环境下,依照特定的安
全策略 ,对信息及信息系统推行防范,检测和恢复的科学
7、信息安全系统中,人、制度和技术之间的关系如何
在信息安全系统中,人是中心。

任何安全系统的中心都是人。

而技术是信息安全系统发展的动力,技术的发展推动着信息
安全系统的不断完满。

信息安全系统不但要靠人和技术,还应该建立相应的制度以起到规范的作用。

只有三者的圆满结合,才有安全的信息安全系统
第二章密码技术
一、选择题
1．以下（ RSA算法）算法属于公开密钥算法。

2.以下（天书密码）算法属于置换密码。

加密过程中，需要进行（16 ）轮交换。

二、填空题
2.在数据标准加密DES中，需要进行16轮相同的交换才能获得 64 位密文输出。

算法的安全性完满取决于P、 Q 的保密性以及分解大数的难度。

三、简答题
1.说明研究密码学的意义以及密码学研究内容是什么。

密码学是研究编制密码和破译密码的技术科学。

研究密码
变化的客观规律，应用于编制密码以保守通信奥秘的，称为
编码学；应用于破译密码以获得通信情报的，称为破译学，
总称密码学。

密码是通信双方按约定的法规进行信息特别变换的一种重
要保密手段。

依照这些法规，变明文为密文，称为加密变换；变密文为明文，称为脱密变换。

密码在早期仅对文字或数码
进行加、脱密变换，随着通信技术的发展，对语音、图像、
数据等都可推行加、脱密变换。

密码学是在编码与破译的斗争实践中渐渐发展起来的，并随着
先进科学技术的应用，已成为一门综合性的尖端技术科学。

它
与语言学、数学、电子学、声学、信息论、计算机科学等有着
宽泛而亲近的联系。

它的现实研究成就，特别是各国政府现用
的密码编制及破译手段都拥有高度的机密性。

依照我国相关规定，密码学隶属于军事学门类。

2.请比较取代密码中移位密码、单表取代密码和多表取代密
码哪一种方法安全性好 ,为什么
多表取代好。

多表代换密码需要猜想更多的字母表，而且频
率分布特点也变得平坦，所以使得密码破译更加困难
3.已知仿射密码的加密函数能够表示为：f(a)=(aK1+K0) mod 26，明文字母e、h 对应的密文字母是f、w ，请计算密钥K1和 K0 来破译此密码。

K1=11，K0=13
gcb（）=1； 1,3,5,7,9,11,15,17,19 ， 21,23，25
F(a)=（ a*K1+K0） mod26
得：（ 4K1+K0） mod 26=5
（7K1+K0）mod 26=22
4.用 vigenere 密加密明文“please keep this message in secret”其中使用的密“computer ”求其密文RZQPMXOVGFWCLQVUGMVYBRJGQDTN
5.英文字母 a，b， c，⋯， z，分号 0， 1，2，⋯，
25，仿射密加密 c=(3m+5) mod 26 ，其中 m 表示明文号， c 表示密文号。

A.明文 security 行加密。

(18x3+5)mod 26=7⋯⋯⋯h
(3x3+5)mod 26=14⋯⋯⋯..n
(2x3+5)mod 26=11⋯⋯⋯⋯⋯⋯l
(20x3+5)mod 26=13⋯⋯⋯⋯m
(17x3+5)mod 26=4⋯⋯⋯e
(8x3+5)mod 26=3⋯⋯⋯..d
(19x3+5)mod 26=10⋯⋯⋯.k
(24x3+5)mod 26=25⋯⋯z
B.写出仿射密的解密函数。

M=1/3(c-5) mod 26
6.述序列密算法与分密算法的不相同。

广度优先遍历从某个极点 v 出发，第一接见这个结点，并将其
标志为已接见过；
尔后序次接见结点v 的所有未被接见的毗邻点{vi,..,vj} ，并将其标志为已接见过；
v 的接见尔后将 {vi,...,vj} 中的每一个节点重复节
点方法，直到所有结点都被接见完为止。

详尽代码实现时：
我们能够使用一个辅助队列 q，第一将极点 v 入队，将
其标志为已接见，尔后循环检测队列可否为空；
若是队列不为空，则取出队列第一个元素，并将与
该元素相关系的所有未被接见的节点入队，将这些节点标志
为已接见；
若是队列为空，则说明已经依照广度优先遍历了所
有的节点。

7.简述 DES算法中 S-盒的特点
S-盒是 DES算法的中心，其功能是把6bit 数据变为 4bit 数据8.简述 AES和 DES之间的相同之处
拥有优异的非线性,AES的非线性运算是字节代换对应于DES 中唯一非线性运算S-盒。

9.画出 RSA算法的流程图
10.使用 RSA算法时，选择相关参数应该注意哪些问题？
11.在一个使用 RSA的公开密钥系统中，若是攻击者截获公开
密钥 pk=5，公开模数 n=35，对密文 c=10，解出其明文。

由于公钥 n 为 35，所以你能够很简单的知道两个素数为
5 和 7.
所以按公式能够很简单获得私钥d=19，所以 M=C^d(mod n)
M=10^19(mod 35) 就可以获得明文。

12.简述 RAS算法的优弊端
1）产生密钥很麻烦，碰到素数产生技术的限制，所以难以
做到一次一密。

2）安全性， RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译 RSA的难度与大数分解难度等价，而且密
码学界多数人士倾向于因子分解不是NP 问题。

现在，人们已能分解 140 多个十进制位的大素数，这就要求使用更长的
密钥，速度更慢；别的，人们正在积极搜寻攻击RSA的方法，如选择密文攻击，一般攻击者是将某一信息作一下假装
（Blind ），让拥有私钥的实体签署。

尔后，经过计算即可得
到它所想要的信息。

实质上，攻击利用的都是同一个弊端，
即存在这样一个事实：乘幂保留了输入的乘法结构：
（X M)d = Xd *Md mod n
前面已经提到，这个固有的问题来自于公钥密码系统的最适
用的特点--每个人都能使用公钥。

但从算法上无法解决这一
问题，主要措施有两条：一条是采用好的公钥协议，保证工
作过程中实体不对其他实体任意产生的信息解密，不对自己
一无所知的信息签字；另一条是决不对陌生人送来的随机文
档签字，签字时第一使用 One-Way Hash Function 对文档作HASH办理，或同时使用不相同的签字算法。

除了利用公共模数，人们还试一试一些利用解密指数或φ（n）等等攻击 .
3）速度太慢，由于RSA 的分组长度太大，为保证安全性，n 最少也要600 bits 以上，使运算代价很高，特别是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，
这个长度还在增加，不利于数据格式的标准化。

SET(Secure Electronic Transaction ）协议中要求CA 采用 2048 比专长的密钥，其他实体使用1024 比特的密钥。

为了速度问题，人们
宽泛使用单，公钥密码结合使用的方法，优弊端互补：单钥
密码加密速度快，人们用它来加密较长的文件，尔后用RSA 来给文件密钥加密，极好的解决了单钥密码的密钥散发问题。

第三章信息认证技术
一、选择题
1.身份认证是安全服务中的重要一环，以下关于身份认证的
表达不正确的选项是（身份认证一般不用供应双向的认证）。

2.数据完满性能够防范以下（数据中途被攻击者篡改或破坏）攻击。

3.数字签字要起初使用单向Hash 函数进行办理的原因是( 缩小签字密文的长度，加快数字签字和考据签字的运算速度）
4.以下运算中， MD5 没有使用到的是（幂运算）。

二、填空题
1.MD5 和 SHA-1产生的散列值分别是128位和160位。

2.基于哈希链的口令认证.用户登陆后将口令表中的
(ID,k-1,Hk-1(PW)取代为 (ID.K Hk(PW))。

3.Denning-Sacco 协议中使用时间戳T 的目的是防范重放攻击对密钥安全性的威胁。

4.Woo-Lam 协议中第 6.7 步使用的随机数N2 的作用是使B 确认 A 已经获得正确的会话密钥。

三、简答题
1.弱抗碰撞性和强抗碰撞性有什么差异？
给定的信息M ，要找到另一信息M＇,满足 H（ M ）=H（ M ＇），在计算上是不能行的，这条性质称为弱抗碰撞性。

该性质是
保证无法找到一个取代报文，否则即可能破坏使用哈希函数
进行封装也许签字的各种协议的安全性。

哈希函数的重要之
处就是赐予M 唯一的“指纹”。

关于任意两个不相同的信息M ≠ M ，它们的散列值不能能相同，这条性质被称为强抗碰
撞性。

强抗碰撞性关于信息的哈希函数安全性要求更高，这
条性质保证了对寿辰攻击的防守能力
2.什么是信息认证码？
是指派合法的接收方能够检验信息可否真实的过程。

信息认
证实际上是抵信息产生的一个指纹信息—— MAC（信息认
证），信息认证码是利用密钥对待认证信息产生的新数据块，
并对该数据块加密获得的。

它对待保护的信息来说是唯一的，
所以能够有效地保证信息的完满性，以及实现发送信息方的不
能狡辩和不能够捏造型
3.比较 MD5 和 SHA-1的抗穷举攻击能力和运算速度。

由于 MD5 与 SHA-1 均是从 MD4 发展而来，它们的结构
和强度等特点有很多相似之处，表（1）是对 MD5 与 SHA-1的结构比较。

SHA-1 与 MD5 的最大差异在于其大纲比MD5大纲长32 比特。

关于强行攻击，产生任何一个报文使之摘
要等于给定报文大纲的难度：MD5 是 2128 数量级的操作，
SHA-1 是 2160 数量级的操作。

产生拥有相同大纲的两个报
文的难度： MD5 是 264 是数量级的操作， SHA-1 是 280 数量级的操作。

所以 ,SHA-1 对强行攻击的强度更大。

但由于 SHA-1 的循环步骤比 MD5 多（80:64）且要办理的缓存大（ 160 比
特 :128 比特）， SHA-1 的运行速度比 MD5 慢。

4.列出 MD5 和 SHA-1的基本逻辑函数。

MD5 基本逻辑函数：F(X,Y,Z)=(Z∧ Y) ∨ ((乛 X) ∧ Z)
G(X,Y,Z)=(X∧ Z) ∨ (Y∧ (乛 Z))
H(X,Y,Z)=X⊙Y⊙ Z
G(X,Y,Z)=Y⊙( ∨ (X∧ (乛 Z))
SHA-1基本逻辑函数：
f（ X,Y,Z）
5.Woo-Lam 协议一共7 步，能够简化为以下五步：
S1： A->B:Ekpb(N1||IDa)
S2： B->KDC:IDb||IDa||Ekpk(N1)
S3： KDC->B:Eksk(IDa||Kpa)||Ekpb(Eksk(N1||Ks||Idb))
S4： B->A： Ekpa(Eksk(N1||Ks||IDb)||N2)
S5： A->B:Eks(N2)
小写和数字均为角标在书写时应将其改为大写的角标
第四章计算机病毒
一、选择题
1.关于计算机病毒，下面说法正确的选项是（计算机病毒能够通过读写磁盘和网络等方式流传）
2.与文件型病毒比较，蠕虫病毒不拥有的特点是（寄生性）
二、填空题
1.与一般病毒不相同，宏病毒不感染 EXE文件和 COM 文件，也不需要经过引导区流传，它只感染文档文件.
2.计算机病毒一般由三个基本模块组成，即引导模块、传染
模块和破坏 / 表现模块
三、简答题
1.简述计算机病毒的定义和基本特点
计算机病毒是一种靠更正其他程序来插入或进行自己拷贝，
从而感染其他程序的一段程序。

基本特点：传染性、破坏性、隐蔽性、寄生性、可触发性
2.计算机病毒分为哪几各种类？
按病毒寄生方式分为：网络病毒、文件病毒、引导型病毒、
混杂型病毒。

按流传媒介分类：单机病毒、网络病毒
按病毒破坏性分类：良性病毒、恶性病毒
按计算机连接方式分类：源码型病毒、嵌入型病毒、外壳型
病毒、译码型病毒、操作系统型病毒
按病毒攻击的操作系统分类：DOS病毒、 WINDIWS 病毒、其他系统病毒
3.简述计算机病毒的一般组成。

计算机病毒一般由三个基本模块组成，即安装模块，传染模
块、破坏模块。

4.计算机病毒的制作技术有哪些？
采用自加密技术、特别隐形技术、抗衡计算机病毒防范系统、反追踪技术
5.目前使用的查杀病毒的技术有哪些
特点代码法、校验和法、行为监测法、软件模拟法
6.什么是特洛伊木马？特洛伊木马一般由那几部分组成？
木马的全称是特洛伊木马，实际上是一种典型的黑客程序，
他是一种基于远程控制的黑客工具。

木马系统程序一般由两个部分组成：一个是服务器端程序，
另一个是客户机程序。

第五章网络攻击与防范技术
一、选择题
1.（拒绝服务攻击）是使计算机疲于响应这些经过假装的
不能到达客户的央求，从而使计算机不能够响应正常的客户请
求等，达到切断正常连接的目的。

2.（IP 地址和端口扫描）就是要确定你的IP 地址可否能够
到达，运行哪些操作系统，运行哪些服务器程序，可否有后
门存在。

3.分布式拒绝服务（ DDoS）攻击分为三层：（攻击者）、主控端、代理端，三者在攻击中扮演着不相同的角色。

4.有一种称为嗅探器（Sniffer）的软件，它是经过捕捉
网络上传达的数据包来收集敏感数据，这些数据可能是用户
的账号和密码，也许是一些机密数据。

5.攻击者在攻击从前的首要任务就是要明确攻击目标，这个
过程平时称为（目标探测）。

6.从技术上说，网络简单碰到攻击的原因主若是由于网络软
件不完满和（网络协议）自己存在安全弊端造成的。

7.每当新的操作系统、服务器程序等软件宣布后，黑客就会
利用（各种软件漏洞攻击程序）搜寻软件漏洞，从而达到
以致计算机泄密、被非法使用，甚至崩溃等目的。

8.（分布式拒绝服务）攻击是指借助于客户机/ 服务器技术，将多个计算机结合起来作为攻击平台，对一个或多个
目标发动DoS 攻击，从而成倍地提高拒绝服务工具的威力。

9.（包攻击）是一种破坏网络服务的技术，其根本目的
是使受害者主机或网络失去即是接受办理外界央求，或实时
回应外界央求的能力。

二、简答题
1.什么是目标探测？目标探测的方法有哪些？
目标探测是经过自动或人工盘问的方法获得与目标网络相
关的物理和逻辑参数.方法 :确定目标范围 ;解析目标网络路由2.从整个信息安全角度来看，目前扫描器主要有哪几种类
型？
主机扫描、端口扫描、漏洞扫描
3.如何有效防范端口扫描？
关闭闲置和有潜藏危险的端口、利用网络防火墙软件
4.网络监听主要原理是什么？
将要发送的数据包发往连接在一起的所有主机，包中
包括着应该接收数据包主机的正确地址，只有与数据包中目
标地址一致的那台主机才能接收。

但是，当主机工作监听模
式下，无论数据包中的目标地址是什么，主机都将接收
5.如何检测网络监听？如何防范网络监听？
对可能存在的网络监听的检测
（1）关于思疑运行监听程序的计算机，用正确的 IP 地址和错误的物理地址 Ping，运行监听程序的计算机都会有响应。

这是由于正常的计算机不接收错误的物理地址，办理监
听状态的计算机能接收，但若是对方的 Ipstack 不再次反向检查的话，就会响应。

（ 2）向网上发大量不存在的物理地址的包，由于监听程序要解析和办理大量的数据包会占用很多
的CPU 资源，这将以致性能下降。

经过比较前后该计算机性
能加以判断，这种方法难度比较大。

（ 3）使用反监听工具如Antisniffer 等进行检测。

对网络监听的防范措施
（ 1）从逻辑或物理上对网络分段
（2）以交换式集线器取代共享式集线器
（3）使用加密技术
（4）划分 VLAN
6.举例说明缓冲区溢出攻击的原理。

经过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢
出，从而破坏程序的货仓，使程序转而执行其他指令，以达
到攻击的目的。

造成缓冲区溢出的原因是程序中没有仔细检
查用户输入的参数。

比以下面程序：void function(char *str) {char buffer[16]; strcpy(buffer,str);}上面的 strcpy （）将直接把str 中的内容 copy 到 buffer 中。

这
样只要 str 的长度大于16，就会造成buffer 的溢出，使程序运行出错。

存在像strcpy 这样的问题的标准函数还有strcat （）、sprintf（）、vsprintf（）、gets（）、scanf（）等。

当然，任意往缓冲区中填东西造成它溢出一般只会出现分段错
误（ Segmentation fault ），而不能够达到攻击的目的。

最常有的手段是经过制造缓冲区溢出使程序运行一个用户shell，再经过 shell 执行其他命令。

若是该程序属于root 且有 suid 权限的话，攻击者就获得了一个有root 权限的 shell，能够对系统进行任意操作了。

缓冲区溢出攻击之所以成为一种
常有安全攻击手段其原因在于缓冲区溢出漏洞太宽泛了，而
且易于实现。

而且，缓冲区溢出成为远程攻击的主要手段其
原因在于冲区溢出漏洞予了攻者他所想要的所有：植入而且行攻代。

被植入的攻代以必然的限运行有冲区溢出漏洞的程序，从而获得被攻主机的控制。

7.如何防范冲区溢出攻？
写正确的代，及安装漏洞丁，借助于防火阻拦
冲区溢出
8.指出以下程序段存在的，并更正它。

char str[10];
char bigstr[20];
⋯
while(scanf(“ %20s” ,bigstr)!=null)
{
bigstr[20]= 0’;
strcpy(str,bigstr,sizeof(str));
⋯
}
存在数据溢出，因 bigstr 数的度 20，而 str 数度 10，当把bigstr 数复制到 str 数，数据溢出。

10.什么是拒绝服务（DOS）攻击？什么是分布式拒绝服务（D DOS）攻击
DOS攻击是一种既简单又有效的攻击方式，他是针对系统的
可用性倡导的攻击，经过某些手段使得目标系统也许网络不
能供应正常的服务。

DDOS不不过是一台机器，而是多台机器合作，同时向一个
目标倡导攻击
11.如何有效防范DDoS 攻击？
提前发现系统存在的漏洞，提高网络系统的安全性；
经常检查系统的物理环境，禁止不用要的网络服务；
充分利用防火墙等网络安全设备，加固网络的安全性，配置
好它们的安全规则，过滤掉所有可能捏造的数据包
12.什么是欺骗攻击？简述欺骗攻击的原理。

欺骗攻击是利用TCP/IP协议等自己的漏洞而进行的攻击行为。

欺骗实质上就是一种冒充他人身份经过计算机认证欺骗计算
机相信的攻击方式。

攻击者对认证体系的弊端，将自己假装
成可相信方，从而与受害者进行交流，最后窃守信息或张开
进一步的攻击。

第六章防火墙技术
一、选择题
1.关于防火墙，以下（防火墙能阻拦来自内部的威胁）说法是错误的。

2.防火墙是保证网络安全的重要之一,以下各项中能够由防
火墙解决的一项网络安全问题是（从外面网假装为内部网)
3.包过滤防火墙工作在OSI 的（网络层）。

4.防火墙对数据包进行状态检测时，不进行检测过滤的是
（数据包中的内容）。

二、填空题
1.常有防火墙按采用的技术分类主要有静态包过滤防火墙、
动向包过滤防火墙和应用代理型防火墙。

2.双宿主主机是防火墙系统的基本形态
3.应用层网关型防火墙的中心技术是代理服务器技术。

三、简答题
1.什么是防火墙？古代防火墙与网络安全中的防火墙有何联
系和差异？
防火墙是一种隔断设备，是一种高级接见控制设备，是置于
不相同网络安全域之间的一系列部件的组合，他是不相同网络安
全域之间通信流的唯一通道，能依照用户设置的安全策略控制进出网络的接见行为。

古代防火墙是人们在寓所之间砌起的一道砖墙，一旦火灾发生，能防范火灾延长到其他寓所。

而网络安全中的防火墙是在网络和 Internet 之间插入一其中介系统，竖起一道安全屏障。

这道屏障的作用是阻断来自外面网络对当地网络的威胁和入侵，供应坚守本网络的安全和审计的唯一关卡，他的作用和古时候的防火砖墙有近似之处，所以把这个屏障叫做“防火墙”。

2.解析防火墙的限制性。

人们认为防火墙能够保护处于它身后的网络不受外界的侵袭和搅乱。

有以下不足：
传统的防火墙在工作时，入侵者能够捏造数据绕过防火墙也许找到防火墙中可能开启的后门
防火墙不能够防范来自网络内部的侵袭
由于防火墙性能上的限制，平时它不具备实时监控入侵行为的能力
防火墙不能够防守所有新的威胁
3.简述包过滤型防火墙的工作体系和包过滤种类
包过滤型防火墙的工作在 OSI 网络参照模型的网络层和传输层。

原理在于依照数据包头源地址。

目标地址、端口号、和协议种类确定可否赞同经过，只要满足过滤条件的数据包才被转发到
响应的目的地，其他的数据包则被从数据流扔掉。

第一代静态包过滤型防火墙以及第二代动向包过滤型防火
墙。

4.简述包过滤型防火墙的工作过程及特点
包过滤型防火墙工作在 OSI 网络参照模型中的网络层和传输
层。

它依照数据包头源地址、目的地址、端口号和协议种类等
标志确定可否赞同经过。

包过滤方式的优点是不用改动客户机和主机上的应用程序；
弊端是很简单碰到“地址欺骗型攻击”
5.简述代理防火墙的工作原理及特点。

代理防火墙也叫应用层网关（ Application Gateway ）防火墙。

这种防火墙经过一种代理（Proxy）技术参加到一个TCP 连接的全过程。

从内部发出的数据包经过这样的防火墙办理
后，就忧如是源于防火墙外面网卡相同，从而能够达到隐蔽
内部网结构的作用
应用代理型防火墙是工作在OSI 的最高层，即应用层。

其
特点是完满 " 间隔 " 了网络通信流，经过对每种应用服务编
制特地的代理程序，实现监察和控制应用层通信流的作用。

特点：拥有较强的安全性。

9.状态检测防火墙的技术特点是什么？
状态检测是比包过滤更加有效的安全控制方法。

对新建的应
用连接，状态检测检查起初设置的安全规则，赞同吻合规则
的连接经过，并在内存中记录下该连接的相关信息，生成状
态表。

对该连接的后续数据包，只要吻合状态表，就可以经
过。

这种方式的好处在于：由于不需要对每个数据包进行规
则检查，而是一个连接的后续数据包（平时是大量的数据包）
经过散列算法，直接进行状态检查，从而使得性能获得了较
大提高；而且，由于状态表是动向的，所以能够有选择地、
动向地开通1024 号以上的端口，使得安全性获得进一步地
提高
第七章入侵检测技术
一、选择题
1.以下（检测和监察已成功的安全打破）功能是入侵检测实
现的。

2.有一种攻击是不断对网络服务系统进行干预，改变其正常
的作业流程，执行没关程序使系统响应减慢甚至瘫痪。

这种
工具叫做（拒绝服务攻击）。

3.入侵检测系统的第一步是（信息收集）。

4.以下（捕捉可疑的网络活动）不属于入侵检测系统的功能。

二、填空题
1.依照信息的本源将入侵检测系统分为基于主机
的 IDS，基于网络的 IDS
模型包括策略、响应、防范和检测。

3.入侵检测技术分为异常检测和误用探测两大类。

三、简答题
1.什么是入侵检测系统？
是一种对网络传输进行即时监察，在发现可疑传输时发出
警报也许采用主动反应措施的网络安全设备。

4.简述基于主机入侵检测系统的工作原理。

基于主机的 IDS 的输入数据本源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主
机上发生的入侵。

它在重要的系统服务器工作站或用户机器。