入侵检测

第一章入侵检测概述

1、网络安全的实质？

2、为了提高网络安全性，需要从哪些层次和环境入手？

3、为什么说无法确保系统的安全性达到某一确定的级别？

4、为什么说入侵检测是一种动态的监控、预防或抵制系统入侵行为的安全机制？

5、入侵检测主要通过监控哪些方面来检测内部或外部的入侵企图？

6、与传统的预防型安全机制相比，入侵检测具有哪些优点？

7、为什么说入侵检测是对传统计算机安全机制的一种补充？

8、入侵检测机制能弥补防火墙的哪些不足？

9、入侵检测机制能弥补访问控制的哪些不足？

10、入侵检测机制能弥补漏洞扫描工具的哪些不足？

11、P2TR安全模型体现了什么样的思想？

12、在P2TR模型中检测所起的作用是什么？

13、攻击时间Pt 的含义？

14、检测时间Dt的含义？

15、响应时间Rt的含义？

16、系统暴露时间Et的含义？

17、用基于时间的特性描述什么情况下系统是安全的？

18、依据P2DR模型，安全目标是什么？

19、目前，实施检测功能最有效的技术是哪种技术？

20、入侵检测的早期研究主要包括哪些方面的内容？

21、1986年的哪篇文章被认为是入侵检测的开山之作？

22、1990年出现的网络安全监视器（NSM）的重要贡献是什么？

23、入侵检测的商业产品最早出现在哪一年？

24、DIDS最早期的目标是什么？

25、DIDS能够有效解决什么问题？

26、入侵的含义是什么？

27、入侵检测的含义是什么？

28、入侵检测系统的含义是什么？

29、IDS的作用和功能主要有哪些？

30、IDS的主要缺点是什么？

31、IDS作为一项安全技术，其主要目的有哪几个？

第二章入侵方法与手段

1、网络入侵的一般流程是什么？

2、常见的信息收集方式有哪些？

3、通过whois服务器可以查到哪些信息？

4、用nslookup可以获得攻击目标的哪些信息？

5、目前最常见的网络攻击有哪几类？

6、网络入侵发生的内因是什么？

7、网络入侵发生的主要外因是什么？

8、常见的安全威胁包括哪些类型？

9、扫描器在网络攻击中发挥什么样的作用？

10、常见的端口扫描器有哪些？

11、常见的漏洞扫描器有哪几种？

12、端口扫描器与漏洞扫描器的主要区别是什么？

13、典型的拒绝服务攻击手段有哪些？

14、恶意用户通常如何利用缓冲区溢出漏洞？

15、从服务器端如何防范跨站脚本攻击？

16、从用户端如何防范跨站脚本攻击？

17、是什么原因使得SQL Injection 攻击的得以产生？

第三章入侵检测系统

1、入侵检测系统大致经历了哪三个阶段？

2、代表这三个阶段的三个模型分别是哪个？

3、通用入侵检测模型基于什么假设？

4、通用入侵检测模型主要由哪6个部分构成？

5、层次化入侵检测模型将入侵检测系统分为哪6个层次？

6、管理式入侵检测模型采用哪五个元素描述攻击事件？

7、一个典型的入侵检测系统从功能上可以分为哪三个组成部分？

8、通常从哪几个方面对入侵检测系统进行分类？

9、根据目标系统的分类？

10、根据入侵检测分析方法的分类？

11、入侵检测的部署主要依据是什么？

第四章入侵检测流程

1、入侵检测的过程可以分为哪3个阶段？

2、常见的告警与响应方式有哪些？

3、哪些响应方式有可能被入侵者所利用，进行DOS攻击？

4、哪些响应方式有可能对正常应用产生不良影响？

5、入侵检测系统的数据源主要有哪些？

6、基于主机的数据源包括哪些？

7、基于主机的入侵检测系统必须满足什么样的实时性条件？

8、基于主机的入侵检测系统通常采用哪种数据源作为主要的审计信息源？

9、基于网络的数据源包括哪些？

10、采用应用日志文件作为入侵检测系统的数据源有哪些优势？

11、请列举一个典型的利用应用程序日志文件的入侵检测工具？

12、请从入侵检测的角度说出入侵分析的概念？

13、除了检测入侵行为以外，人们通常还希望通过入侵分析达到哪些目标？

14、入侵检测系统支持哪二种基本需求？

15、入侵分析处理过程包含哪3个阶段？

16、构造分析引擎包括哪几个步骤？

17、构造分析器的第一步做什么？

18、在构造分析器时，对于误用检测，需要收集哪些事件信息？

19、在构造分析器时，对于异常检测，需要收集哪些事件信息？

20、在收集信息完成后，通常需要对相关数据进行何种处理？

21、建立行为分析引擎的作用是什么？

22、一个误用检测区分器的结构通常是什么？

23、一个异常检测区分器的结构通常是什么？

24、分析数据通常包括哪几个步骤？

25、对于误用检测系统，反馈和更新的含义是什么？

26、对于异常检测系统，反馈和更新是含义是什么？

27、误用入侵检测的含义是什么？

28、异常入侵检测的含义是什么？

30、误用入侵检测的主要前提条件是什么？

31、误用检测的主要局限是什么？

32、误用检测通常采用哪些数学分析方法？

33、异常入侵检测的一个重要前提是什么？

34、入侵活动和异常活动之间的关系存在哪4种情况？

35、异常检测常采用什么数据方法？

36、Denning模型包括了哪4种统计模型？

37、举出几种用于异常检测的量化分析的方法？

38、非参统计异常检测的前提是什么？

39、使用神经网络进行入侵检测的主要不足是什么？

40、还有哪些方法可用于误用和异常2类检测？

41、入检测检测的响应可分为哪二种类型？