1审计数据预处理的作用是什么
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1审计数据预处理的作用是什么?
将从主机获得的审计数据进行过滤,映射和格式转换,为主机处理模块提供单一的数据流。2防火墙性能参数——并发连接数和最大并发连接数的含义?
3.以太网环境下数据包截获的步骤?
将网卡的工作模式置于混杂(Promisc)模式;直接访问数据链路层,截获相关数据;由应用程序而非上层协议如IP和TCP协议对数据进行过滤处理;这样就可以截获到流经网卡的所有数据
4.文件完整性检查的目的?
5.流过滤技术与数据包过滤技术的比较?
流过滤技术对出入防火墙的数据包进行完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,因此,能够对应用层进行完整的保护。而数据包过滤技术一般仅能对当前正在通过的单一数据包进行分析和判断,不能提供真正意义上的应用层保护。两者在保护能力上存在本质的不同。
6.基于网络入侵检测技术和基于主机入侵检测技术的比较?
基于主机的入侵检测的优缺点
优点:
能够较为准确地监测到发生在主机系统高层的复杂攻击行为;
缺点:
无法移植;影响性能;无法对网络环境下发生的大量攻击行为做出及时的反映
基于网络的入侵检测的优缺点;;;
优点:
能够实时监控网络中的数据流量,并发现潜在的攻击行为和做出迅速的响应
可移植性好;不影响宿主机性能;;;;;
缺点:
准确率低;发生在应用进程级别的攻击行为无法依靠基于网络的入侵检测来完成
7.现有入侵检测技术的局限性
8.配置扩展访问控制列表的过程
(1)、创建访问控制列表
(2)将访问控制列表绑定到某个网络接口
实现只有主机172.16.1.1能够通过TELNET访问网络192.168.1.0
9.通用入侵检测模型
数据收集器(探测器):主要负责收集数据
检测器(分析器/检测引擎):负责分析和检测入侵的任务,并发出报警信号知识库:提供必要的数据信息支持
控制器:根据报警信号,人工或自动做出反应动作