入侵检测技术-课后答案
入侵检测技术 课后答案
精品文档. 第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
国防《计算机信息安全技术》课后习题答案第9章
第9章入侵检测技术习题参考答案1.什么是入侵检测?什么是入侵检测系统?入侵检测系统的功能有哪些?答:入侵检测(Intrusion Detection,ID)就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。
入侵检测系统(Intrusion Detection Systems,IDS)是按照一定的安全策略,为系统建立的安全辅助系统;是完成入侵检测功能的软件、硬件的集合。
总体来说其主要功能有:(1)用户和系统行为的检测和分析。
(2)重要的系统和数据文件的完整性评估。
(3)系统配置和漏洞的审计检查。
(4)异常行为模式的统计分析。
(5)已知的攻击行为模式的识别。
(6)操作系统的审计跟踪管理及违反安全策略的用户行为的识别。
2.根据CIDF模型,入侵检测系统一般由哪几部分组成?各部分的作用是什么?答:CIDF模型的4个组件和各自的作用如下:(1) 事件产生器(Event Generators),即信息获取子系统,用于收集来自主机和网络的事件信息,为检测信息提供原始数据,并将这些事件转换成CIDF的GIDO(统一入侵检测对象)格式传送给其他组件。
(2) 事件分析器(Event Analyzers),即分析子系统,是入侵检测系统的核心部分。
事件分析器分析从其他组件收到GIDO(统一入侵检测对象),并将产生的新GIDO(统一入侵检测对象)再传送给其他组件,用于对获取的事件信息进行分析,从而判断是否有入侵行为发生并检测出具体的攻击手段。
(3) 响应单元(Response Units),即响应控制子系统。
响应单元处理收到GIDO(统一入侵检测对象),用以向系统管理员报告分析结果并采取适当的相应策略以响应入侵行为。
(4) 事件数据库(Event Databases),即数据库子系统,用来存储系统运行的中间数据并进行规则匹配的安全知识库。
入侵检测技术-课后答案
入侵检测技术-课后答案第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在–– 1系–– 2–– 1–– 1到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段选择题:(1) B.(2) B思考题:(1)一般来说,黑客攻击的原理是什–– 1么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
入侵检测复习题及答案
入侵检测复习题及答案一、填空【试题16】从网络高层协议角度看,网络攻击可以分为__________。
A.主动攻击与被动攻击B.服务攻击与非服务攻击C.病毒攻击与主机攻击D.侵入攻击与植入攻击【试题17】在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用的。
这是对_________。
A.可用性的攻击B.保密性的攻击C.完整性的攻击D.真实性的攻击【试题18】对网络的威胁包括:Ⅰ. 假冒Ⅱ. 特洛伊木马Ⅲ. 旁路控制Ⅳ. 陷井Ⅴ. 授权侵犯在这些威胁中,属于渗入威胁的为__________。
A.Ⅰ、Ⅲ和ⅤB. Ⅲ和ⅣC.Ⅱ和ⅣD. Ⅰ、Ⅱ、Ⅲ和Ⅳ【试题19】如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法的用户的请求,这种手段属于_________攻击。
A.拒绝服务B.口令入侵C.网络监听D.IP哄骗【试题20】有一种攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统显影减慢甚至瘫痪。
它影响正常用户的使用,甚至使合法用户被排斥而不能得到服务。
这种攻击叫做__________攻击。
A.可用性攻击B.拒绝性攻击C.保密性攻击D.真实性攻击二、名词解释1、IP:网际协议ICMP:因特网控制报文协议ARP:地址解析协议RARP:反向地址解析协议TCP:传输控制协议UDP:用户数据报协议三、简答1、什么是P2DR模型?答:P2DR模型是可适应网络安全理论或称为动态信息安全理论的主要模型。
P2DR模型是TCSEC模型的发展,也是目前被普遍采用的安全模型。
P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response (响应)。
防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。
网络安全防范体系应该是动态变化的。
安全防护是一个动态的过程,P2DR是安氏推崇的基于时间的动态安全体系。
网络安全 第五到十一章课后答案
7、什么是强制访问控制方式?如何防止木马的非法访问?
强制访问控制是通过无法回避的访问限制来防止某些对系统的非法入侵。
强制访问控制一般与自主访问控制结合使用,并实施一些附加的、更强的访问限制。一个主体只有通过了自主与强制访问控制检查后,才能访问某个客体。用户利用自主访问控制来防范其他用户对客体的攻击。强制访问控制则提供一个不可逾越的、更强的防护,以防止其他用户偶然或故意滥用自主访问控制。强制访问控制不可避免的对用户的客体十佳一些严格的限制,使得用户无意泄漏机密信息的可能性大大减少
8、为什么后来的木马制作者制作出反弹式木马?反弹式木马工作原理?画出其工作流程图
11嵌入式木马不同于主动性木马和反弹式木马的主要特点是什么?为什么这种木马更有破坏性,更难清除?
12、木马技术包含哪些?这些技术的特点?
(1)自动启动技术:
(2)隐藏技术:
(3)远程监控技术;
第九章
1、访问控制包含ቤተ መጻሕፍቲ ባይዱ内容?
8、简述bell-la padual 模型的安全策略,举例
BLP中,密级分为绝密、机密、秘密、公开。BLP模型给每个用户分配一个安全属性,它反映了对用户不将敏感信息泄漏给不持有相应安全属性用户的置信度。用户激活的进程也将授予此安全属性。BLP对系统中的每个客体也分配一个安全属性,它反映了客体信息的敏感度,也反映了未经授权向不允许访问该信息的用户泄漏这些信息所造成的签字威胁。
第五章:
1、什么是缓冲区?
缓冲区是计算机内存中的一个连续块,保存了给定类型的数据。
3、简述缓冲区溢出攻击的基本原理:
计算机网络安全第二版课后答案
计算机网络安全第二版课后答案【篇一:计算机网络安全教程第2版__亲自整理最全课后答案】txt>一、选择题1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。
2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。
3. 信息安全的目标cia指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(protect),检测(detect),反应(react),恢复(restore)。
2. tcg目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台trusted computing platform,以提高整体的安全性。
3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(vulnerability)层出不穷,这些安全威胁事件给internet带来巨大的经济损失。
4. b2级,又叫结构保护(structured protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。
三、简答题1. 网络攻击和防御分别包括哪些内容?答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分为4个层次上的安全:(1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
计算机网络安全技术习题答案
计算机网络安全技术习题答案1. 第一题答案:计算机网络安全技术主要包括加密技术、防火墙技术、入侵检测技术、访问控制技术等。
2. 第二题答案:加密技术是一种通过使用密码算法将信息转换成不可读的形式,以防止未经授权的访问者获取、修改或破坏信息的技术。
常见的加密算法有DES、AES和RSA等。
3. 第三题答案:防火墙技术是一种用于保护计算机网络免受未经授权的访问和恶意攻击的技术。
它通过监控和控制网络流量,筛选和阻止可能具有威胁的数据包和连接,确保网络安全。
4. 第四题答案:入侵检测技术是一种用于监测和识别网络中的恶意活动和攻击的技术。
它通过分析网络流量和系统日志,基于事先设定的规则或特征,发现并报告潜在的入侵事件。
5. 第五题答案:访问控制技术是一种用于限制和控制用户对计算机网络资源的访问权限的技术。
它通过认证、授权和审计等机制,确保只有经过授权的用户可以访问和使用网络资源。
6. 第六题答案:DMZ(Demilitarized Zone)是指位于两个网络之间的一个隔离区域,常用于保护内部网络资源免受外部网络和互联网的攻击。
在DMZ中部署防火墙和其他安全设备可以增加网络的安全性。
7. 第七题答案:VPN(Virtual Private Network)是一种通过公共网络(如互联网)建立私密连接的网络技术。
它使用加密和隧道技术,可以在不安全的公共网络上传输私密和敏感的数据。
8. 第八题答案:密码学是研究设计密码算法和保护信息安全的学科。
它包括对称加密、非对称加密、消息认证码、数字签名等基本密码技术,以及密码分析和密码攻击等相关技术。
9. 第九题答案:DDoS(Distributed Denial of Service)攻击是一种通过大量恶意流量淹没目标网络资源,使其无法正常运行的攻击方式。
常见的DDoS攻击包括UDP洪水攻击、SYN洪水攻击和HTTP攻击等。
10. 第十题答案:数字证书是用于认证和加密通信的一种数字凭证。
网络信息安全课后习题答案
网络信息安全课后习题答案网络信息安全课后习题答案1:网络信息安全基础知识1.1 网络概述答案:网络是指多个计算机通过通信链路互相连接,共享数据和资源的集合体。
它可以分为局域网(LAN)、广域网(WAN)和互联网等不同规模和范围的网络。
1.2 网络攻击与防御答案:网络攻击指未经授权的对计算机或网络系统进行的恶意行为,包括计算机、、钓鱼等。
网络防御包括加强安全意识、使用防火墙、更新安全补丁等方法。
1.3 加密与解密答案:加密是指将信息转化为密文以保护其机密性,解密则是将密文转化为明文。
常用的加密算法有对称加密算法(如DES、AES)和非对称加密算法(如RSA)。
2:网络信息安全威胁与防护2.1 网络威胁类型答案:网络威胁包括计算机、网络蠕虫、僵尸网络、DoS攻击等。
它们可以造成数据丢失、系统瘫痪和信息泄露等后果。
2.2 防护措施答案:防护措施包括安装杀毒软件、及时打补丁、禁用不必要的服务和端口、设置合理的密码和访问控制、定期备份数据等。
3:网络安全管理与风险评估3.1 安全策略与规划答案:安全策略是指针对网络信息安全问题所制定的一系列准则和目标,包括技术措施、组织措施和管理措施等。
3.2 风险评估答案:风险评估是指针对网络系统进行的潜在威胁和可能损失的评估,通过分析风险的概率和后果,采取相应的措施进行安全管理。
3.3 安全事件管理答案:安全事件管理是指对网络安全事件的预防、检测、响应和恢复等过程的管理,包括日志审计、事件响应和应急演练等。
4:网络安全技术与应用4.1 防火墙技术答案:防火墙是指一种位于内网和外网之间的安全设备,通过过滤数据包和控制网络流量来防止未经授权的访问和攻击。
4.2 入侵检测与防御答案:入侵检测是指对网络系统进行实时监测和检测,以便及时发现并阻止未经授权的访问和攻击。
防御措施包括修补漏洞、监控网络流量等。
4.3 VPN技术答案:VPN(Virtual Private Network)是指一种虚拟的、私密的网络通信方式,通过对数据进行加密和隧道技术,使得用户可以安全地进行远程访问。
“信息安全技术”第四章 入侵检测与审计 的课后作业
“信息安全技术”第四章入侵检测与审计的课后作业1、网络入侵有哪些特点?特点:不受时间和空间的限制;具有较强的隐蔽性;具有复杂性和欺骗性;具有更大的危害性。
2、什么是入侵检测?入侵检测:入侵检测(ID:Intrusion Detection)是指对试图破坏计算机和网络资源完整性、机密性和可用性的入侵行为进行识别和响应过程。
3、什么是入侵检测系统?入侵检测系统(IDS,Intrusion Detection System)是对防火墙的必要补充。
作为重要的网络安全工具,它可以对系统或网络资源进行实时检测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。
4、入侵检测的实现是建立在哪两个假设的基础上?一个计算机系统中用户和程序的所有行为都是可以被检测到的;入侵系统所产生的结果与合法操作所产生的有明显的区别。
5、试列举三种异常检测方法并简述其原理。
1.基于统计的入侵检测技术:根据用户的行为或对计算机使用情况来建立行为特征轮廓(由一组统计参数组成,比如CPU和I/O利用率、文件访问、出错率和网络连接等),由审记系统实时地检测用户对系统地使用情况,根据系统内部保存用户行为概率统计模型进行检测分析。
2.基于用户行为的神经网络异常检测技术:用用户的正常行为样本训练神经网络,提取用户的行为特征并创建用户的行为特征轮廓。
如果检测到的用户行为与之有较大偏离,将被视为异常行为。
3.基于程序行为的神经网络异常检测技术:每一个进程都可以由它的执行轨迹(即从开始到结束期间的系统调用顺序列表)来描述,一个程序的正常行为可以由其执行轨迹的局部模式(短序列)来表征,而偏离这些模式则意味着入侵。
所以可以通过监视进程使用的系统调用来实现入侵检测。
4.基于免疫的异常检测技术:由Forrest等人提出,将入侵检测看作是区分“自我”和“非自我”的过程。
该技术建立网络服务正常操作的行为模型,它首先收集一些参考审计记录构成一个参考表,表明正确的行为模式,并实时检测进程系统的调用序列是否符合正常模式。
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
计算机网络安全课后题答案
第一章绪论1. 计算机网络面临的安全要挟有哪些?答:1.主要要挟:计算机网络实体面临要挟(实体为网络中的关键设备);计算机网络系统面临要挟(典型安全要挟);歹意程序的要挟(如计算机病毒、网络蠕虫、间谍软件、木马程序);计算机网络要挟有潜在对手和动机(歹意解决/非歹意) 2. 典型的网络安全要挟:窃听、重传、伪造、篡造、非授权访问、拒绝服务解决、行为否认、旁路控制、电磁/射频截获、人员疏忽。
2.分析计算机网络的脆弱性和安全缺点答:偶发因素:如电源故障、设备的功能失常及软件开发进程留下的漏洞或逻辑错误;自然灾害:各类自然灾害对计算机系统组成严重的要挟;人为因素:人为因素对计算机网络的破坏和要挟(包括被动解决、主动解决、临近解决、内部人员解决和分发解决)。
3.分析计算机网络的安全需求答:互联网具有不安全性;操作系统存在的安全问题;数据的安全问题;传输线路的安全问题;网络安全管理问题。
4.分析计算机网络安全的内涵和外延是什么?答:计算机网络安尽是指利用管理控制和技术办法,保证在一个网络环境里,信息数据的机密性,完整性及可利用受到保护。
网络的安全问题包括两方面的内容,一是网络的系统安全;二是网络的信息安全。
从广义上说,网络上信息的保密性、完整性、可用性、不可否性和可控性是相关技术和理论都是网络安全的研究领域。
5.论述OSI安全部系结构答:OSI安全系统结构概念了辨别服务、访问控制服务、数据机密性服务、数据完整性服务和抵抗赖性服务等五类网络安全服务;也概念了加密机制、数据签名机制、访问控制机制、数据完整性机制、辨别互换机制、通信业务流填充机制、路由控制和公证机制等八种大体的安全机制。
安全模型地结构答:PPDR模型是一种常常利用的网络安全模型,主包括四个主要部份:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
7.简述计算机网络安全技术答:网络安全技术:物理安全办法、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术和终端安全技术。
13章课后习题
1.入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。
2.入侵检测系统的基本结构(1)事件产生器(2)事件分析器(3)响应单元(4)事件数据库3.基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源。
一旦检测到攻击,入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。
4.优势:检测准确度高可检测到没有明显行为特征的入侵能对不同的操作系统进行有针对性的检测成本低不因网络流量影响性能适于加密和交换环境不足:实时性较差无法检测数据包的全部检测效果取决于日志系统占用主机资源隐蔽性较差系统本身的文件也是系统安全的薄弱点,不易达到预期的作用5.基于主机的网络连接检测:安装在被保护主机上,占用主机资源.基于网络的入侵检测系统:通常是作为一个独立的个体放置于被保护的网络上6.异常检测技术的基本原理:⏹首先假设网络攻击行为是不常见的或是异常的,区别于所有的正常行为。
为用户和系统的所有正常行为总结活动规律并建立行为模型,入侵检测系统将当前捕获到的网络行为与行为模型相对比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。
7.异常检测技术有以下优点:⏹能够检测出新的网络入侵方法的攻击;⏹较少依赖于特定的主机操作系统;⏹对于内部合法用户的越权违法行为的检测能力较强。
⏹异常检测技术有以下不足:⏹误报率高;⏹行为模型建立困难;⏹难以对入侵行为进行分类和命名。
误用检测技术有以下优点:⏹检测准确度高;⏹技术相对成熟;⏹便于进行系统防护。
⏹误用检测技术有以下缺点:⏹不能检测出新的入侵行为;⏹完全依赖于入侵特征的有效性;⏹维护特征库的工作量巨大;⏹难以检测来自内部用户的攻击。
8.误用检测就是将搜集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
入侵检测习题二
一、选择题(共 20 分,每题 2 分)1、按照检测数据的来源可将入侵检测系统( IDS)分为__________。
A.基于主机的 IDS 和基于网络的 IDSB .基于主机的 IDS 和基于域控制器的 IDSC .基于服务器的 IDS 和基于域控制器的 IDSD .基于浏览器的 IDS 和基于网络的 IDS2、一般来说入侵检测系统由 3 部分组成,分别是事件产生器、事件分析器和________。
A .控制单元B .检测单元 C.解释单元 D .响应单元3、按照技术分类可将入侵检测分为 __________。
A .基于标识和基于异常情况B .基于主机和基于域控制器C .服务器和基于域控制器D .基于浏览器和基于网络4、在网络安全中,截取是指未授权的实体得到了资源的访问权。
这是对 ________。
A .可用性的攻击B .完整性的攻击C .保密性的攻击D .真实性的攻击5、入侵检测的基础是 ( 1 ),入侵检测的核心是 ( 2 )。
( 1 )( 2 )A. 信息收集B. 信号分析C. 入侵防护D. 检测方法6、信号分析有模式匹配、统计分析和完整性分析等 3 种技术手段,其中_______用于事后分析。
A .信息收集B .统计分析 C.模式匹配 D .完整性分析7、网络漏洞扫描系统通过远程检测 __________TCP/IP 不同端口的服务,记录目标给予的回答。
A.源主机 B.服务器 C .目标主机 D .以上都不对8、________系统是一种自动检测远程或本地主机安全性弱点的程序。
A .入侵检测B .防火墙C .漏洞扫描D .入侵防护9、下列选项中 _________不属于 CGI 漏洞的危害。
A.缓冲区溢出攻击 B .数据验证型溢出攻击C .脚本语言错误D .信息泄漏10、基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的,这种攻击方式称为__________。
A .服务攻击B .拒绝服务攻击C .被动攻击D .非服务攻击【试题 1】按照检测数据的来源可将入侵检测系统( IDS ) 分为__________。
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
入侵检测习题标准答案
入侵检测习题答案————————————————————————————————作者:————————————————————————————————日期:2第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。
软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。
1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。
它一般应该具有以下几个特征:●机密性(confidentiality):机密性是指数据不会泄漏给非授权的用户、实体,也不会被非授权用户使用,只有合法的授权用户才能对机密的或受限的数据进行存取。
●完整性(Integrity):完整性是指数据未经授权不能被改变。
也就是说,完整性要求保持系统中数据的正确性和一致性。
不管在什么情况下,都要保护数据不受破坏或者被篡改。
●可用性(Availability):计算机资源和系统中的数据信息在系统合法用户需要使用时,必须是可用的。
即对授权用户,系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。
●可控性(Controliability):可控性是指可以控制授权范围内的信息流向及行为方式,对信息的访问、传播以及具体内容具有控制能力。
同时它还要求系统审计针对信息的访问,当计算机中的泄密现象被检测出后,计算机的安全系统必须能够保存足够的信息以追踪和识别入侵攻击者,入侵者对此不能够抵赖。
入侵检测习题答案
入侵检测习题答案第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。
软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。
1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。
它一般应该具有以下几个特征:●机密性(confidentiality):机密性是指数据不会泄漏给非授权的用户、实体,也不会被非授权用户使用,只有合法的授权用户才能对机密的或受限的数据进行存取。
●完整性(Integrity):完整性是指数据未经授权不能被改变。
也就是说,完整性要求保持系统中数据的正确性和一致性。
不管在什么情况下,都要保护数据不受破坏或者被篡改。
●可用性(Availability):计算机资源和系统中的数据信息在系统合法用户需要使用时,必须是可用的。
即对授权用户,系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。
●可控性(Controliability):可控性是指可以控制授权范围内的信息流向及行为方式,对信息的访问、传播以及具体内容具有控制能力。
同时它还要求系统审计针对信息的访问,当计算机中的泄密现象被检测出后,计算机的安全系统必须能够保存足够的信息以追踪和识别入侵攻击者,入侵者对此不能够抵赖。
●正确性(Correctness):系统要尽量减少由于对事件的不正确判断所引起的虚警(False Alarms)现象,要有较高的可靠性。
入侵检测技术课后答案
第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS )是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:监控、分析用户和系统的活动;审计系统的配置和弱点;评估关键系统和数据文件的完整性;识别攻击的活动模式;对异常活动进行统计分析;对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
数据通信与计算机网络课后答案(浙江大学出版社)
《数据通信与计算机网络》部分课后习题答案第五章1、谈谈无线局域网采用的传输技术有哪些?答:无线局域网主要采用三种传输技术:1)跳频扩频FHSS2)直接序列扩频DSSS3)红外线技术2、简述WLAN的隐蔽站和暴露站问题,这两个问题说明了无线局域网的什么特点,可采用什么方法解决?答:隐蔽站问题:指无线节点没能检测出信道上已经存在的信号而导致冲突发生。
暴露站问题:在WLAN中,在不发生干扰的前提下允许多个节点进行通信,因检测出信道上已经存在的信号而放弃无冲突的通信。
说明了无线局域网的冲突检测确认难度很大,需采用冲突避免来解决这个问题,具体的就是采用信道预约CSMA/CA技术。
第六章1、谈谈电路交换和分组交换的区别及其优缺点。
答:(1)电路交换:在通信之前要在通信双方之间建立一条被双方独占的物理通路。
优点:传输数据的时延非常小。
实时性强。
不存在失序问题。
控制较简单。
缺点:电路交换的平均连接建立时间长。
信道利用低。
(2)分组交换:分组交换采用存储转发传输方式,但将一个长报文先分割为若干个较短的分组,然后把这些分组(携带源、目的地址和编号信息)逐个地发送出去.优点:加速了数据在网络中的传输。
简化了存储管理。
减少了出错机率和重发数据量。
缺点:仍存在存储转发时延。
增加了处理的时间,使控制复杂,时延增加。
2、什么是复用?复用技术有哪几种?答:复用技术:在一个物理链路上建立多个信道,每个信道具有固定的带宽,相互之间互不干涉。
复用技术主要包括:频分复用,时分复用,波分复用,码分多址等。
第八章1、(a)A,(b)C,(c)A2、(a)是,(b)否,(c)是3、进行子网划分后,网络号包含了子网号,因此本题的网络号为:192.168.5.1204、I和II可成为该主机的默认路由5、主机号为46、域名解析的功能:将域名翻译为对应IP 地址。
域名解析的方式有两种:递归解析和迭代解析。
8、ARP的作用是:在本地网内根据IP地址获取对应的MAC地址的一种映射关系。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
. ..页脚第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言,系统存在被攻击的可能性。
如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段选择题:(1) B.(2) B思考题:(1)一般来说,黑客攻击的原理是什么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。
(3)秘密扫描的原理是什么?答:秘密扫描不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多。
秘密扫描技术使用FIN数据包来探听端口。
当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。
否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
(4)分布式拒绝服务攻击的原理是什么?答:DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
理解了DoS 攻击的话,DDoS的原理就很简单。
如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?–– 2. .DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
(5)缓冲区溢出攻击的原理是什么?答:缓冲区是计算机存中的临时存储数据的区域,通常由需要使用缓冲区的程序按照指定的大小来创建的。
一个强健的程序应该可以创建足够大的缓冲区以保存它接收的数据,或者可以监测缓冲区的使用情况并拒绝接收超过缓冲区中可以保存的数据。
如果程序没有对缓冲区边界进行检查,即可以允许没有干扰地输入数据,而不考虑大小问题。
这样多出的数据就会被写到缓冲区之外,这时就可能写入到其它的存区域中。
如果在这部分存中已经存放了一些重要的容(例如计算机操作系统的某一部分,或者更有可能是其它数据或应用程序自己的代码),那么它的容就被覆盖了(发生数据丢失)。
(6)格式化字符串攻击的原理是什么?答:所谓格式化串,就是在*printf()系列函数中按照一定的格式对数据进行输出,可以输出到标准输出,即printf(),也可以输出到文件句柄,字符串等,对应的函数有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。
能被黑客利用的地方也就出在这一系列的*printf()函数中,*printf()系列函数有三条特殊的性质,这些特殊性质如果被黑客结合起来利用,就会形成漏洞。
格式化串漏洞和普通的缓冲溢出有相似之处,但又有所不同,它们都是利用了程序员的疏忽大意来改变程序运行的正常流程。
第3章入侵检测系统选择题:(1) D(2) D思考题:(1)入侵检测系统有哪些基本模型?答:在入侵检测系统的发展历程中,大致经历了三个阶段:集中式阶段、层次式阶段和集成式阶段。
代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)。
(2)简述IDM模型的工作原理?答:IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。
也就是给出了将分散的原始数据转换为高层次的有关入侵和被监测环境的全部安全假设过程。
通过把收集到的分散数据进行加工抽象和数据关联操作,IDM构造了一台虚拟的机器环境,这台.页脚机器由所有相连的主机和网络组成。
将分布式系统看作是一台虚拟的计算机的观点简化了对跨越单机的入侵行为的识别。
(3)入侵检测系统的工作模式可以分为几个步骤,分别是什么?答:入侵检测系统的工作模式可以分为4个步骤,分别为:从系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为作出响应;记录并报告检测过程和结果。
(4)基于主机的入侵检测系统和基于网络的入侵检测系统的区别是什么?答:基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。
当有文件发生变化时,入侵检测系统将新的记录条目与攻击标记相比较,看它们是否匹配。
如果匹配,系统就会向管理员报警,以采取措施。
基于网络的入侵检测系统使用原始网络数据包作为数据源。
基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
(5)异常入侵检测系统的设计原理是什么?答:异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。
在异常入侵检测中,假定所有入侵行为都是与正常行为不同的,这样,如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。
对于异常阈值与特征的选择是异常入侵检测的关键。
比如,通过流量统计分析将异常时间的异常网络流量视为可疑。
异常入侵检测的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。
(6)误用入侵检测系统的优缺点分别是什么?答:误用入侵检测系统的优点是误报少;缺点是它只能发现已知的攻击,对未知的攻击无能为力。
(7)简述防火墙对部署入侵检测系统的影响。
答:防火墙系统起防御来自外部网络的攻击的作用,在这时和入侵检测系统互相配合可以做更有效的安全管理。
通常将入侵检测系统部署在防火墙之后,进行继防火墙一次过滤后的二次防御。
但是在有些情况下,还需要考虑来自外部的针对防火墙本身的攻击行为。
如果黑客觉察到防火墙的存在并攻破防火墙的话,对部网络来说是非常危险的。
因此在高安全性要求的环境下在防火墙外部部署入侵检测产品,进行先于防火墙的一次检测、防御。
这样用户可以预知那些恶意攻击防火墙的行为并及时采取相应的安全措施,以保证整个网络的安全性。
–– 4. ..页脚第4章入侵检测流程选择题:(1) C(2) A思考题:(1)入侵分析的目的是什么?答:入侵分析的主要目的是提高信息系统的安全性。
除了检测入侵行为之外,人们通常还希望达到以下目标:重要的威慑力;安全规划和管理;获取入侵证据。
(2)入侵分析需要考虑哪些因素?答:入侵分析需要考虑的因素主要有以下四个方面:需求;子目标;目标划分;平衡。
(3)告警与响应的作用是什么?答:在完成系统安全状况分析并确定系统所存在的问题之后,就要让人们知道这些问题的存在,在某些情况下,还要另外采取行动。
这就是告警与响应要完成的任务。
(4)联动响应机制的含义是什么?答:入侵检测的主要作用是通过检查主机日志或网络传输容,发现潜在的网络攻击,但一般的入侵检测系统只能做简单的响应,如通过发RST包终止可疑的TCP连接。
而对于大量的非法访问,如DoS类攻击,仅仅采用入侵检测系统本身去响应是远远不够的。
因此,在响应机制中,需要发挥各种不同网络安全技术的特点,从而取得更好的网络安全防效果。
这就需要采用入侵检测系统的联动响应机制。
目前,可以与入侵检测系统联动进行响应的安全技术包括防火墙、安全扫描器、防病毒系统、安全加密系统等。
但其中最主要的是防火墙联动,即当入侵检测系统检测到潜在的网络攻击后,将相关信息传输给防火墙,由防火墙采取响应措施,从而更有效的保护网络信息系统的安全。
第5章基于主机的入侵检测技术一、ABCD二、思考题1.基于主机的数据源主要有哪些?答:基于主机的数据源主要有系统日志、应用程序日志等。
2.获取审计数据后,为什么首先要对这些数据进行预处理?答:当今现实世界中的数据库的共同特点是存在不完整的、含噪声的和不一致的数据,用户感兴趣的属性,并非总是可用的。
网络入侵检测系统分析数据的来源与数据结构的异构性,实际系统所提供数据的不完全相关性、冗余性、概念上的模糊性以及海量审计数据中可能存在大量的无意义信息等问题,使得系统提供的原始信息很难直接被检测系统使用,而且还可能造成检测结果的偏差,降低系统的检测性能。