入侵检测技术 课后答案
入侵检测技术 课后答案
精品文档. 第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
入侵检测选择题
老师上课所讲的选择题1、对企图入侵、正在进行入侵者-----,识别到的过程答案:入侵检测2、属于PPDR 模式特点答案:动态性、实时性、基于时间3、BSM 审计记录以()形式进行存储答案:二进制4、WIN2000 以()形式提供数据答案:事件日志机制5、哪个系统管理员可以,普通的不行答案:安全日志6、按照检测方法的分类入侵分为答案:滥用入侵和异常入侵7、主机入侵检测结果信息来源审计数据8、ANDASON 三种用户答案:伪装者违法者秘密活动者9、计算机安全有三的基本目标,不包括()答案:有效性10、ARPOOL 组件中用采集中审计数据池11、TCP/IP协议模型的体系结构包括网络层、应用层、传输层和()答案:网络互联层13、提供应用进程之间传输数据包的基本机制协议是()答案:UDP 协议14、IP无连接数据包网际路由答案:(自己找)15、TCP 协议中的基本传输单元是(答案:段17、基于网络入侵检测工作的基础是()答案:网络数据包的截获19、规则源地址、目标地址p9121、SNORT 系统构架有协议解析器日志…………….答案:规则检测引擎22、检测引擎两大类可编程嵌入式23.分布式入侵检测架构4大部分地分答案:事件生成和存储器状态空间及规则知识推理架构24、以下哪个不是分布入侵检测架构需要解决的问题()答案:内存结构26、GRIDS 系统中所构造的图表,由代表主机的节点和代表主机间链接信息的边构成其中节点和边是以()答案:时间30、下列属于IDES 设计模型的是()答案:以上的都是:1、日志系统领域32、GRIDS 系统对应的设计型的是()答案:树型34、模块控制器必须通过()答案:(自己找)35.软件控制器答案:(自己找)36、基于的代理的分布式入侵检测的精髓在于()答案:代理系统37.轮询38、基于代理系统的分布式入侵检测架构中()的作用在于对数据进行架构中的操作。
答案:过滤器39、AAFID实现三部分答案:(自己找)40、实体的运行模式有:答案:以上都是:1、独立运行2、本地调用3、远程调用41.AAFID 包括42、以下属于AAFIDI 功能模块的是:答案:以上都是:2、收发器功能模块44、负责上式其他实体发送消息对消息解析处理的是:答案:消息处理方法46.过滤器功能核心答案:(自己找)47、CIDF 体系结构不包括:答案:专家系统48、CIDF三大层答案:(自己找)49、CIDF 机制构造的三个模型不包括:答案:通话层50.IDXP 三个部分建立连接、数据传输断开51、对消息进行管理,包括消息类型的定义转换、判断是AAFID :答案:消息管理模块53、判断四处威胁后设计入侵检测技术是:答案:检测功能需求54、网络带宽答案:(自己找)55、入侵检测系统的设计考虑的问题有哪几点:答案:以上都是:1、用户需求分析2、系统安全设计原则3、系统设计的每周调节期56.可靠原则58、保护机制确立不应该在攻击者对机制—无所知的假设答案:(开放式);59、系统设计的生命周期是:答案:(螺旋式上升过程)60、有利于执行资源的需求操作是答案:(预订操作);61、入侵检测在后台的功能运行、不需要人工干预的操作是:答案:后台操作62、可以减少对外部资源的需求操作是答案:(按需操作);63、要求系统管理员立即64、采取相应的措施答案:(及时行动)65、对整个社会的安全状态…………影响策略的是:答案:全局长期行动67、下列不属于计算机犯罪的是:答案:接收病毒邮件68、计算机犯罪答案:(D)69、被动影响不包括以下哪个类型:答案:改变网络环境配置70、属于主机响应答案:(采取响应手段阻击攻击)71、入侵检测系统的用户不包括以下哪类:答案:网络管理员72、网络安全专家答案:(安全管理员)73、负责对发生的安全事件进行深入调查工作的入侵检测系统用户的是:答案:安全调查员74、对于当前的主机入侵检测技术存在问题不包括答案:(加密)75、对当前的网络入侵检测技术存在的问题不包括:答案:对系统性能影响问题76、对于当前的入侵检测技术的通用问题不包括答案:(加密)77、未来入侵检测的架构设计问题将更加注意:答案:分布式入侵检测架构78、按照数据源分类可分为答案:(分布式入侵和混合入侵)79、进行网络入侵检测的信息来源:答案:网络数据包的获取80、物理地址到IP地址映象服务协议答案:(地址解析);81、提供结报服务的协议是:答案:ICMP 协议83、logtcp an gang→192.168.1.0/500:600其含义是:答案:大于500 小于60084、构建状态转移图的过程答案:(ABCD)85、运用入侵检测系统模型哪些部分答案:(ABCD)86、系统日志以()形式存储:答案:简单文本文体87、IDES在UNIX目标系统所收到的数据类型答案:(ABCD)88、在确定审计数据类型和来源后,主体入侵检测所需要进行的主要工作就是审计数据的处理工作包括:答案:映射、过滤、格式转换89、完整规则声明,起始符号答案:[ ];90、规则表明用来做某种类型的存在性量词的符号是:答案:+91、文件完整性检查的基本思想答案:(ABCD)92、Snort系统中,预处理模块功能答案:(ABCD)93、网络入侵检测存在两种基本的技术型为:答案:特殊分析、协议分析94、构图引擎的具体目标:答案:A、B、C、D95、过滤器中基本实现的功能:答案:A、B、C、D注:1、有些题目老师讲的太快记不完整2、没答案的自己去书上找。
intrusion detection method -回复
intrusion detection method -回复主题:入侵检测方法引言:随着网络的迅速发展和普及,网络安全问题变得越发突出。
入侵检测方法是保护计算机系统和网络免受未经授权访问的重要手段。
本文将详细介绍入侵检测的概念、分类和常用的入侵检测方法,并逐步回答相关问题。
第一部分:入侵检测概述1. 什么是入侵检测?入侵检测是一种用于发现和响应网络和计算机系统中潜在入侵行为的技术。
2. 入侵检测的重要性是什么?入侵检测是预防和提前发现黑客攻击、病毒传播和系统漏洞等安全问题的关键工具,有助于保护数据的机密性、完整性和可用性。
3. 入侵检测与防火墙的区别是什么?入侵检测侧重于检测和报告潜在入侵行为,而防火墙则通过过滤和阻断网络流量来预防入侵。
第二部分:入侵检测分类1. 入侵检测分为哪两类?入侵检测分为基于签名和基于行为的检测方法。
2. 什么是基于签名的入侵检测?基于签名的入侵检测使用已知攻击行为的特征(签名)来检测和识别入侵,常用于检测已知攻击和病毒。
3. 什么是基于行为的入侵检测?基于行为的入侵检测通过分析系统和网络的实际行为,检测和识别潜在的入侵,常用于检测未知攻击和零日漏洞。
第三部分:常用的入侵检测方法1. 基于签名的入侵检测方法有哪些?常见的基于签名的入侵检测方法包括:Snort、Suricata和OpenVAS 等。
2. 基于行为的入侵检测方法有哪些?常见的基于行为的入侵检测方法包括:异常检测和统计分析、机器学习和人工神经网络等。
3. 什么是异常检测和统计分析?异常检测和统计分析是通过分析系统和网络的正常行为,检测和识别与之不符的异常行为的方法,常用于检测未知攻击和新型威胁。
4. 什么是机器学习?机器学习是一种通过构建算法模型,使计算机能够从数据中学习和识别模式、进行预测和决策的方法,在入侵检测中可以用于建立模型并判断网络行为是否属于入侵。
5. 什么是人工神经网络?人工神经网络是一种模拟人脑神经元结构和功能的计算模型,可以用于学习和分类网络行为,常用于检测恶意代码和网络攻击。
入侵检测习题二
入侵检测习题二一、选择题(共20分,每题2分)1、按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDSB.基于主机的IDS和基于域控制器的IDSC.基于服务器的IDS和基于域控制器的IDSD.基于浏览器的IDS和基于网络的IDS2、一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
A.控制单元B.检测单元C.解释单元D.响应单元3、按照技术分类可将入侵检测分为__________。
A.基于标识和基于异常情况B.基于主机和基于域控制器C.服务器和基于域控制器D.基于浏览器和基于网络4、在网络安全中,截取是指未授权的实体得到了资源的访问权。
这是对________。
A.可用性的攻击B.完整性的攻击C.保密性的攻击D.真实性的攻击5、入侵检测的基础是(1),入侵检测的核心是(2)。
(1)(2)A. 信息收集B. 信号分析C. 入侵防护D. 检测方法6、信号分析有模式匹配、统计分析和完整性分析等3种技术手段,其中_______用于事后分析。
A.信息收集B.统计分析C.模式匹配D.完整性分析7、网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的服务,记录目标给予的回答。
A.源主机B.服务器C.目标主机D.以上都不对8、________系统是一种自动检测远程或本地主机安全性弱点的程序。
A.入侵检测B.防火墙C.漏洞扫描D.入侵防护9、下列选项中_________不属于CGI漏洞的危害。
A.缓冲区溢出攻击B.数据验证型溢出攻击C.脚本语言错误D.信息泄漏10、基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的,这种攻击方式称为__________。
A.服务攻击B.拒绝服务攻击C.被动攻击D.非服务攻击习题解析【试题1】按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDSB.基于主机的IDS和基于域控制器的IDSC.基于服务器的IDS和基于域控制器的IDSD.基于浏览器的IDS和基于网络的IDS【试题2】一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
国防《计算机信息安全技术》课后习题答案第9章
第9章入侵检测技术习题参考答案1.什么是入侵检测?什么是入侵检测系统?入侵检测系统的功能有哪些?答:入侵检测(Intrusion Detection,ID)就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。
入侵检测系统(Intrusion Detection Systems,IDS)是按照一定的安全策略,为系统建立的安全辅助系统;是完成入侵检测功能的软件、硬件的集合。
总体来说其主要功能有:(1)用户和系统行为的检测和分析。
(2)重要的系统和数据文件的完整性评估。
(3)系统配置和漏洞的审计检查。
(4)异常行为模式的统计分析。
(5)已知的攻击行为模式的识别。
(6)操作系统的审计跟踪管理及违反安全策略的用户行为的识别。
2.根据CIDF模型,入侵检测系统一般由哪几部分组成?各部分的作用是什么?答:CIDF模型的4个组件和各自的作用如下:(1) 事件产生器(Event Generators),即信息获取子系统,用于收集来自主机和网络的事件信息,为检测信息提供原始数据,并将这些事件转换成CIDF的GIDO(统一入侵检测对象)格式传送给其他组件。
(2) 事件分析器(Event Analyzers),即分析子系统,是入侵检测系统的核心部分。
事件分析器分析从其他组件收到GIDO(统一入侵检测对象),并将产生的新GIDO(统一入侵检测对象)再传送给其他组件,用于对获取的事件信息进行分析,从而判断是否有入侵行为发生并检测出具体的攻击手段。
(3) 响应单元(Response Units),即响应控制子系统。
响应单元处理收到GIDO(统一入侵检测对象),用以向系统管理员报告分析结果并采取适当的相应策略以响应入侵行为。
(4) 事件数据库(Event Databases),即数据库子系统,用来存储系统运行的中间数据并进行规则匹配的安全知识库。
入侵检测技术-课后答案
入侵检测技术-课后答案第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在–– 1系–– 2–– 1–– 1到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段选择题:(1) B.(2) B思考题:(1)一般来说,黑客攻击的原理是什–– 1么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
入侵、渗透与加固学习通课后章节答案期末考试题库2023年
入侵、渗透与加固学习通课后章节答案期末考试题库2023年1.指纹识别技术是什么?参考答案:组件是网络空间最小单元,WEB应用程序、数据库、中间件等都属于组件。
指纹是组件上能标识对象类型的一段特征信息,用来在渗透测试信息收集环节中快速识别目标服务。
大部分应用组件有包含足以说明当前服务名称和版本的特征,漏洞处理者可以识别这些特征获取当前服务信息,从而进行一系列渗透测试工作。
2.简述IPsec vpn建立过程参考答案:安全协商,第一阶段协商身份认证算法,验证算法,加密算法,并协商隧道模式(主动模式或者野蛮模式)第二阶段协商通信保护协议(ESP或者AH),建立隧道连接。
网络联通,通过静态路由方式学习路由,不同数据网段可通信。
3.端口扫描扫描网络和扫描主机的区别参考答案:网络扫描主要是针对网段,连续或部分网络地址,主要扫描端口及IP、MAC地址信息,扫描主机是明确对方IP地址来精准扫描,主要是扫描漏洞、操作系统版本等。
4.防火墙管理员角色有那些分类参考答案:超级管理员(admin账户),具备所有权限。
系统操作员,具备除对管理员账户控制之外的所有权限,可以进行策略编辑,配置变更等权限。
系统日志管理权限,可以查看防火墙系统日志。
系统查看权限,可查看防火墙系统配置,不能更改配置。
5.会话是防火墙基本数据结构,用于防火墙能够快速地转发报文。
会话六元组是参考答案:1.源IP地址2.目的IP地址3.源端口4.目的端口5.协议6.安全区域6.简单谈谈入侵检测设备和入侵防御设备的区别参考答案:入侵检测重点在检测,不主动防御,一般适合安全级别要求不高的区域,入侵防御会主动阻断高危攻击,一般适合安全级别要求高的区域。
7.什么是反向代理技术参考答案:正向代理可以通过浏览器代理或者软件代理访问技术来获得WEB或者数据表单结果,而反向代理则将代理结果反馈给服务器,而终端用户通过访问代理服务器来获得访问结果。
8.如何防范MAC地址泛洪攻击参考答案:黑客利用发大量包使交换机找不到ARP表中信息而广播,造成性能损失和危害,可以通过限制交换机接口广播包数量来解决。
入侵检测复习题及答案
入侵检测复习题及答案一、填空【试题16】从网络高层协议角度看,网络攻击可以分为__________。
A.主动攻击与被动攻击B.服务攻击与非服务攻击C.病毒攻击与主机攻击D.侵入攻击与植入攻击【试题17】在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用的。
这是对_________。
A.可用性的攻击B.保密性的攻击C.完整性的攻击D.真实性的攻击【试题18】对网络的威胁包括:Ⅰ. 假冒Ⅱ. 特洛伊木马Ⅲ. 旁路控制Ⅳ. 陷井Ⅴ. 授权侵犯在这些威胁中,属于渗入威胁的为__________。
A.Ⅰ、Ⅲ和ⅤB. Ⅲ和ⅣC.Ⅱ和ⅣD. Ⅰ、Ⅱ、Ⅲ和Ⅳ【试题19】如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法的用户的请求,这种手段属于_________攻击。
A.拒绝服务B.口令入侵C.网络监听D.IP哄骗【试题20】有一种攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统显影减慢甚至瘫痪。
它影响正常用户的使用,甚至使合法用户被排斥而不能得到服务。
这种攻击叫做__________攻击。
A.可用性攻击B.拒绝性攻击C.保密性攻击D.真实性攻击二、名词解释1、IP:网际协议ICMP:因特网控制报文协议ARP:地址解析协议RARP:反向地址解析协议TCP:传输控制协议UDP:用户数据报协议三、简答1、什么是P2DR模型?答:P2DR模型是可适应网络安全理论或称为动态信息安全理论的主要模型。
P2DR模型是TCSEC模型的发展,也是目前被普遍采用的安全模型。
P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response (响应)。
防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。
网络安全防范体系应该是动态变化的。
安全防护是一个动态的过程,P2DR是安氏推崇的基于时间的动态安全体系。
计算机网络安全技术习题答案
计算机网络安全技术习题答案1. 第一题答案:计算机网络安全技术主要包括加密技术、防火墙技术、入侵检测技术、访问控制技术等。
2. 第二题答案:加密技术是一种通过使用密码算法将信息转换成不可读的形式,以防止未经授权的访问者获取、修改或破坏信息的技术。
常见的加密算法有DES、AES和RSA等。
3. 第三题答案:防火墙技术是一种用于保护计算机网络免受未经授权的访问和恶意攻击的技术。
它通过监控和控制网络流量,筛选和阻止可能具有威胁的数据包和连接,确保网络安全。
4. 第四题答案:入侵检测技术是一种用于监测和识别网络中的恶意活动和攻击的技术。
它通过分析网络流量和系统日志,基于事先设定的规则或特征,发现并报告潜在的入侵事件。
5. 第五题答案:访问控制技术是一种用于限制和控制用户对计算机网络资源的访问权限的技术。
它通过认证、授权和审计等机制,确保只有经过授权的用户可以访问和使用网络资源。
6. 第六题答案:DMZ(Demilitarized Zone)是指位于两个网络之间的一个隔离区域,常用于保护内部网络资源免受外部网络和互联网的攻击。
在DMZ中部署防火墙和其他安全设备可以增加网络的安全性。
7. 第七题答案:VPN(Virtual Private Network)是一种通过公共网络(如互联网)建立私密连接的网络技术。
它使用加密和隧道技术,可以在不安全的公共网络上传输私密和敏感的数据。
8. 第八题答案:密码学是研究设计密码算法和保护信息安全的学科。
它包括对称加密、非对称加密、消息认证码、数字签名等基本密码技术,以及密码分析和密码攻击等相关技术。
9. 第九题答案:DDoS(Distributed Denial of Service)攻击是一种通过大量恶意流量淹没目标网络资源,使其无法正常运行的攻击方式。
常见的DDoS攻击包括UDP洪水攻击、SYN洪水攻击和HTTP攻击等。
10. 第十题答案:数字证书是用于认证和加密通信的一种数字凭证。
网络安全课后习题答案
第一章绪论1.1.1、计算机网络面临的主要威胁:①计算机网络实体面临威胁(实体为网络中的关键设备)②计算机网络系统面临威胁(典型安全威胁)③恶意程序的威胁(如计算机病毒、网络蠕虫、间谍软件、木马程序)④计算机网络威胁的潜在对手和动机(恶意攻击/非恶意)2、典型的网络安全威胁:①窃听②重传③伪造④篡改⑤非授权访问⑥拒绝服务攻击⑦行为否认⑧旁路控制⑨电磁/射频截获⑩人员疏忽1.2.1计算机网络的不安全主要因素:(1)偶发因素:如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。
(2)自然灾害:各种自然灾害对计算机系统构成严重的威胁。
(3)人为因素:人为因素对计算机网络的破坏也称为人对计算机网络的攻击。
可分为几个方面:①被动攻击②主动攻击③邻近攻击④内部人员攻击⑤分发攻击1.2.2不安全的主要原因:①互联网具有不安全性②操作系统存在的安全问题③数据的安全问题④传输线路安全问题⑤网络安全管理的问题1.3计算机网络安全的基本概念:计算机网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多学科的综合性学科。
1.3.1计算机网络安全的定义:计算机网络安全是指利用管理控制和技术措施,保证在一个网络环境里,信息数据的机密性、完整性及可使用性受到保护。
网络的安全问题包括两方面内容:一是网络的系统安全;二是网络的信息安全(最终目的)。
1.3.2计算机网络安全的目标:①保密性②完整性③可用性④不可否认性⑤可控性1.3.3计算机网络安全的层次:①物理安全②逻辑安全③操作系统安全④联网安全1.3.4网络安全包括三个重要部分:①先进的技术②严格的管理③威严的法律1.4计算机网络安全体系结构1.4.1网络安全基本模型:(P27图)1.4.2OSI安全体系结构:①术语②安全服务③安全机制五大类安全服务,也称安全防护措施(P29):①鉴别服务②数据机密性服务③访问控制服务④数据完整性服务⑤抗抵赖性服务1.4.3PPDR模型(P30)包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
“信息安全技术”第四章 入侵检测与审计 的课后作业
“信息安全技术”第四章入侵检测与审计的课后作业1、网络入侵有哪些特点?特点:不受时间和空间的限制;具有较强的隐蔽性;具有复杂性和欺骗性;具有更大的危害性。
2、什么是入侵检测?入侵检测:入侵检测(ID:Intrusion Detection)是指对试图破坏计算机和网络资源完整性、机密性和可用性的入侵行为进行识别和响应过程。
3、什么是入侵检测系统?入侵检测系统(IDS,Intrusion Detection System)是对防火墙的必要补充。
作为重要的网络安全工具,它可以对系统或网络资源进行实时检测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。
4、入侵检测的实现是建立在哪两个假设的基础上?一个计算机系统中用户和程序的所有行为都是可以被检测到的;入侵系统所产生的结果与合法操作所产生的有明显的区别。
5、试列举三种异常检测方法并简述其原理。
1.基于统计的入侵检测技术:根据用户的行为或对计算机使用情况来建立行为特征轮廓(由一组统计参数组成,比如CPU和I/O利用率、文件访问、出错率和网络连接等),由审记系统实时地检测用户对系统地使用情况,根据系统内部保存用户行为概率统计模型进行检测分析。
2.基于用户行为的神经网络异常检测技术:用用户的正常行为样本训练神经网络,提取用户的行为特征并创建用户的行为特征轮廓。
如果检测到的用户行为与之有较大偏离,将被视为异常行为。
3.基于程序行为的神经网络异常检测技术:每一个进程都可以由它的执行轨迹(即从开始到结束期间的系统调用顺序列表)来描述,一个程序的正常行为可以由其执行轨迹的局部模式(短序列)来表征,而偏离这些模式则意味着入侵。
所以可以通过监视进程使用的系统调用来实现入侵检测。
4.基于免疫的异常检测技术:由Forrest等人提出,将入侵检测看作是区分“自我”和“非自我”的过程。
该技术建立网络服务正常操作的行为模型,它首先收集一些参考审计记录构成一个参考表,表明正确的行为模式,并实时检测进程系统的调用序列是否符合正常模式。
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
入侵检测习题二
入侵检测习题二一、选择题(共20分,每题2分)1、按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDSB.基于主机的IDS和基于域控制器的IDSC.基于服务器的IDS和基于域控制器的IDSD.基于浏览器的IDS和基于网络的IDS2、一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
A.控制单元B.检测单元C.解释单元D.响应单元3、按照技术分类可将入侵检测分为__________。
A.基于标识和基于异常情况B.基于主机和基于域控制器C.服务器和基于域控制器D.基于浏览器和基于网络4、在网络安全中,截取是指未授权的实体得到了资源的访问权。
这是对________。
A.可用性的攻击B.完整性的攻击C.性的攻击D.真实性的攻击5、入侵检测的基础是(1),入侵检测的核心是(2)。
(1)(2)A. 信息收集B. 信号分析C. 入侵防护D. 检测方法6、信号分析有模式匹配、统计分析和完整性分析等3种技术手段,其中_______用于事后分析。
A.信息收集B.统计分析C.模式匹配D.完整性分析7、网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的服务,记录目标给予的回答。
A.源主机B.服务器C.目标主机D.以上都不对8、________系统是一种自动检测远程或本地主机安全性弱点的程序。
A.入侵检测B.防火墙C.漏洞扫描D.入侵防护9、下列选项中_________不属于CGI漏洞的危害。
A.缓冲区溢出攻击B.数据验证型溢出攻击C.脚本语言错误D.信息泄漏10、基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的,这种攻击方式称为__________。
A.服务攻击B.拒绝服务攻击C.被动攻击D.非服务攻击习题解析【试题1】按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDSB.基于主机的IDS和基于域控制器的IDSC.基于服务器的IDS和基于域控制器的IDSD.基于浏览器的IDS和基于网络的IDS【试题2】一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
13章课后习题
1.入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。
2.入侵检测系统的基本结构(1)事件产生器(2)事件分析器(3)响应单元(4)事件数据库3.基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源。
一旦检测到攻击,入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。
4.优势:检测准确度高可检测到没有明显行为特征的入侵能对不同的操作系统进行有针对性的检测成本低不因网络流量影响性能适于加密和交换环境不足:实时性较差无法检测数据包的全部检测效果取决于日志系统占用主机资源隐蔽性较差系统本身的文件也是系统安全的薄弱点,不易达到预期的作用5.基于主机的网络连接检测:安装在被保护主机上,占用主机资源.基于网络的入侵检测系统:通常是作为一个独立的个体放置于被保护的网络上6.异常检测技术的基本原理:⏹首先假设网络攻击行为是不常见的或是异常的,区别于所有的正常行为。
为用户和系统的所有正常行为总结活动规律并建立行为模型,入侵检测系统将当前捕获到的网络行为与行为模型相对比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。
7.异常检测技术有以下优点:⏹能够检测出新的网络入侵方法的攻击;⏹较少依赖于特定的主机操作系统;⏹对于内部合法用户的越权违法行为的检测能力较强。
⏹异常检测技术有以下不足:⏹误报率高;⏹行为模型建立困难;⏹难以对入侵行为进行分类和命名。
误用检测技术有以下优点:⏹检测准确度高;⏹技术相对成熟;⏹便于进行系统防护。
⏹误用检测技术有以下缺点:⏹不能检测出新的入侵行为;⏹完全依赖于入侵特征的有效性;⏹维护特征库的工作量巨大;⏹难以检测来自内部用户的攻击。
8.误用检测就是将搜集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
入侵检测习题标准答案
入侵检测习题答案————————————————————————————————作者:————————————————————————————————日期:2第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。
软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。
1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。
它一般应该具有以下几个特征:●机密性(confidentiality):机密性是指数据不会泄漏给非授权的用户、实体,也不会被非授权用户使用,只有合法的授权用户才能对机密的或受限的数据进行存取。
●完整性(Integrity):完整性是指数据未经授权不能被改变。
也就是说,完整性要求保持系统中数据的正确性和一致性。
不管在什么情况下,都要保护数据不受破坏或者被篡改。
●可用性(Availability):计算机资源和系统中的数据信息在系统合法用户需要使用时,必须是可用的。
即对授权用户,系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。
●可控性(Controliability):可控性是指可以控制授权范围内的信息流向及行为方式,对信息的访问、传播以及具体内容具有控制能力。
同时它还要求系统审计针对信息的访问,当计算机中的泄密现象被检测出后,计算机的安全系统必须能够保存足够的信息以追踪和识别入侵攻击者,入侵者对此不能够抵赖。
入侵检测技术课后答案
第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS )是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:监控、分析用户和系统的活动;审计系统的配置和弱点;评估关键系统和数据文件的完整性;识别攻击的活动模式;对异常活动进行统计分析;对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言,系统存在被攻击的可能性。
如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理–– 1措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段选择题:(1) B.(2) B思考题:(1)一般来说,黑客攻击的原理是什么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。
(3)秘密扫描的原理是什么?答:秘密扫描不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多。
秘密扫描技术使用FIN数据包来探听端口。
当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。
否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
(4)分布式拒绝服务攻击的原理是什么?答:DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
理解了DoS 攻击的话,DDoS的原理就很简单。
如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?–– 2DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
(5)缓冲区溢出攻击的原理是什么?答:缓冲区是计算机内存中的临时存储数据的区域,通常由需要使用缓冲区的程序按照指定的大小来创建的。
一个强健的程序应该可以创建足够大的缓冲区以保存它接收的数据,或者可以监测缓冲区的使用情况并拒绝接收超过缓冲区中可以保存的数据。
如果程序没有对缓冲区边界进行检查,即可以允许没有干扰地输入数据,而不考虑大小问题。
这样多出的数据就会被写到缓冲区之外,这时就可能写入到其它的内存区域中。
如果在这部分内存中已经存放了一些重要的内容(例如计算机操作系统的某一部分,或者更有可能是其它数据或应用程序自己的代码),那么它的内容就被覆盖了(发生数据丢失)。
(6)格式化字符串攻击的原理是什么?答:所谓格式化串,就是在*printf()系列函数中按照一定的格式对数据进行输出,可以输出到标准输出,即printf(),也可以输出到文件句柄,字符串等,对应的函数有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。
能被黑客利用的地方也就出在这一系列的*printf()函数中,*printf()系列函数有三条特殊的性质,这些特殊性质如果被黑客结合起来利用,就会形成漏洞。
格式化串漏洞和普通的缓冲溢出有相似之处,但又有所不同,它们都是利用了程序员的疏忽大意来改变程序运行的正常流程。
第3章入侵检测系统选择题:(1) D(2) D思考题:(1)入侵检测系统有哪些基本模型?答:在入侵检测系统的发展历程中,大致经历了三个阶段:集中式阶段、层次式阶段和集成式阶段。
代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)。
(2)简述IDM模型的工作原理?答:IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。
也就是给出了将分散的原始数据转换为高层次的有关入侵和被监测环境的全部安全假设过程。
通过把收集到的分散数据进行加工抽象和数据关联操作,IDM构造了一台虚拟的机器环境,–– 3这台机器由所有相连的主机和网络组成。
将分布式系统看作是一台虚拟的计算机的观点简化了对跨越单机的入侵行为的识别。
(3)入侵检测系统的工作模式可以分为几个步骤,分别是什么?答:入侵检测系统的工作模式可以分为4个步骤,分别为:从系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为作出响应;记录并报告检测过程和结果。
(4)基于主机的入侵检测系统和基于网络的入侵检测系统的区别是什么?答:基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。
当有文件发生变化时,入侵检测系统将新的记录条目与攻击标记相比较,看它们是否匹配。
如果匹配,系统就会向管理员报警,以采取措施。
基于网络的入侵检测系统使用原始网络数据包作为数据源。
基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
(5)异常入侵检测系统的设计原理是什么?答:异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。
在异常入侵检测中,假定所有入侵行为都是与正常行为不同的,这样,如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。
对于异常阈值与特征的选择是异常入侵检测的关键。
比如,通过流量统计分析将异常时间的异常网络流量视为可疑。
异常入侵检测的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。
(6)误用入侵检测系统的优缺点分别是什么?答:误用入侵检测系统的优点是误报少;缺点是它只能发现已知的攻击,对未知的攻击无能为力。
(7)简述防火墙对部署入侵检测系统的影响。
答:防火墙系统起防御来自外部网络的攻击的作用,在这时和入侵检测系统互相配合可以做更有效的安全管理。
通常将入侵检测系统部署在防火墙之后,进行继防火墙一次过滤后的二次防御。
但是在有些情况下,还需要考虑来自外部的针对防火墙本身的攻击行为。
如果黑客觉察到防火墙的存在并攻破防火墙的话,对内部网络来说是非常危险的。
因此在高安全性要求的环境下在防火墙外部部署入侵检测产品,进行先于防火墙的一次检测、防御。
这样用户可以预知那些恶意攻击防火墙的行为并及时采取相应的安全措施,以保证整个网络的安全性。
–– 4第4章入侵检测流程选择题:(1) C(2) A思考题:(1)入侵分析的目的是什么?答:入侵分析的主要目的是提高信息系统的安全性。
除了检测入侵行为之外,人们通常还希望达到以下目标:重要的威慑力;安全规划和管理;获取入侵证据。
(2)入侵分析需要考虑哪些因素?答:入侵分析需要考虑的因素主要有以下四个方面:需求;子目标;目标划分;平衡。
(3)告警与响应的作用是什么?答:在完成系统安全状况分析并确定系统所存在的问题之后,就要让人们知道这些问题的存在,在某些情况下,还要另外采取行动。
这就是告警与响应要完成的任务。
(4)联动响应机制的含义是什么?答:入侵检测的主要作用是通过检查主机日志或网络传输内容,发现潜在的网络攻击,但一般的入侵检测系统只能做简单的响应,如通过发RST包终止可疑的TCP连接。
而对于大量的非法访问,如DoS类攻击,仅仅采用入侵检测系统本身去响应是远远不够的。
因此,在响应机制中,需要发挥各种不同网络安全技术的特点,从而取得更好的网络安全防范效果。
这就需要采用入侵检测系统的联动响应机制。
目前,可以与入侵检测系统联动进行响应的安全技术包括防火墙、安全扫描器、防病毒系统、安全加密系统等。
但其中最主要的是防火墙联动,即当入侵检测系统检测到潜在的网络攻击后,将相关信息传输给防火墙,由防火墙采取响应措施,从而更有效的保护网络信息系统的安全。
第5章基于主机的入侵检测技术一、ABCD二、思考题1.基于主机的数据源主要有哪些?–– 5答:基于主机的数据源主要有系统日志、应用程序日志等。
2.获取审计数据后,为什么首先要对这些数据进行预处理?答:当今现实世界中的数据库的共同特点是存在不完整的、含噪声的和不一致的数据,用户感兴趣的属性,并非总是可用的。
网络入侵检测系统分析数据的来源与数据结构的异构性,实际系统所提供数据的不完全相关性、冗余性、概念上的模糊性以及海量审计数据中可能存在大量的无意义信息等问题,使得系统提供的原始信息很难直接被检测系统使用,而且还可能造成检测结果的偏差,降低系统的检测性能。