入侵检测技术复习重点

选择题在书上，自己看

第一章

1P²DR模型指的就是：安全策略（Policy）、防护（Protection）、检测(Detection)、响应(Reaction)的缩写。

2 入侵检测作用体现在哪些方面？

答：一般来说，入侵检测系统的作用体现在以下几个方面：

监控、分析用户和系统的活动；

审计系统的配置和弱点；

评估关键系统和数据文件的完整性；

识别攻击的活动模式；

对异常活动进行统计分析；

对操作系统进行审计跟踪管理，识别违反政策的用户活动。

第二章

（1）一般来说，网络入侵的原理是什么？

答：黑客之所以能够渗透主机系统和对网络实施攻击，从内因来讲，主要因为主机系统和网络协议存在着漏洞，而从外因来讲原因有很多，例如人类与生俱来的好奇心等等，而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。利益的驱动使得互联网中的黑客数量激增。

（2）拒绝服务攻击是如何实施的？

答：最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者向内的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存容量多么大，互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限，所以，总能找到一个方法使请求的值大于该极限值，因此就会使所提供的服务资源匮乏，象是无法满足需求。

第三章

（1）入侵检测系统有哪些基本模型？

答：在入侵检测系统的发展历程中，大致经历了三个阶段：集中式阶段、层次式阶段和集成式阶段。代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型（Denning模型）、层次化入侵检测模型（IDM）和管理式入侵检测模型（SNMP-IDSM）

（3）入侵检测系统的工作模式可以分为几个步骤，分别是什么？

答：入侵检测系统的工作模式可以分为4个步骤，分别为：从系统的不同环节收集信息；分析该信息，试图寻找入侵活动的特征；自动对检测到的行为作出响应；记录并报告检测过程和结果。

（5）异常入侵检测系统的设计原理是什么？

答：异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。在异常入侵检测中，假定所有入侵行为都是与正常行为不同的，这样，如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阈值与特征的选择是异常入侵检测的关键。比如，通过流量统计分析将异常时间的异常网络流量视为可疑。异常入侵检测的局限是并非所有的入侵都表现为异常，而且系统的轨迹难于计算和更新。

第四章

（1）入侵分析的目的是什么？

答：入侵分析的主要目的是提高信息系统的安全性。除了检测入侵行为之外，人们通常还希望达到以下目标：重要的威慑力；安全规划和管理；获取入侵证据。

（4）联动响应机制的含义是什么？

答：入侵检测的主要作用是通过检查主机日志或网络传输内容，发现潜在的网络攻击，但一般的入侵检测系统只能做简单的响应，如通过发RST包终止可疑的TCP连接。而对于大量的非法访问，如DoS类攻击，仅仅采用入侵检测系统本身去响应是远远不够的。因此，在响应机制中，需要发挥各种不同网络安全技术的特点，从而取得更好的网络安全防范效果。这就需要采用入侵检测系统的联动响应机制。目前，可以与入侵检测系统联动进行响应的安全技术包括防火墙、安全扫描器、防病毒系统、安全加密系统等。但其中最主要的是防火墙联动，即当入侵检测系统检测到潜在的网络攻击后，将相关信息传输给防火墙，由防火墙采取响应措施，从而更有效的保护网络信息系统的安全。

第五章

1．基于主机的数据源主要有哪些？

答：基于主机的数据源主要有系统日志、应用程序日志等。

2．获取审计数据后，为什么首先要对这些数据进行预处理？

答：当今现实世界中的数据库的共同特点是存在不完整的、含噪声的和不一致的数据，用户感兴趣的属性，并非总是可用的。网络入侵检测系统分析数据的来源与数据结构的异构性，实际系统所提供数据的不完全相关性、冗余性、概念上的模糊性以及海量审计数据中可能存在大量的无意义信息等问题，使得系统提供的原始信息很难直接被检测系统使用，而且还可能造成检测结果的偏差，降低系统的检测性能。这就要求获取的审计数据在被检测模块使用之前，对不理想的原始数据进行有效的归纳、进行格式统一、转换和处理。

3．数据预处理的方法很多，常用的有哪几种？

答：数据预处理的方法很多，常用的有：基于粗糙集理论的约简法、基于粗糙集理论的属性离散化、属性的约简等。（需要对上述方法的基本原理进行掌握）

第六章

（1）简述交换网络环境下的数据捕获方法。

答：在使用交换机连接的交换式网络环境中，处于监听状态下的网络设备，只能捕获到它所连接的交换机端口上的数据，而无法监听其他交换机端口和其他网段的数据。因此，实现交换网络的数据捕获要采用一些特殊的方法。通常可以采用如下方法：（1）将数据包捕获程序放在网关或代理服务器上，这样就可以捕获到整个局域网的数据包；（2）对交换机实行端口映射，将所有端口的数据包全部映射到某个连接监控机器的端口上；（3）在交换机和路由器之间连接一个HUB，这样数据将以广播的方式发送；（4）实行ARP欺骗，即在负责数据包捕获的机器上实现整个网络的数据包的转发，不过会降低整个局域网的效率。

（2）简述包捕获机制BPF的原理。

答：BPF主要由两大部分组成：网络分接头（Network Tap）和数据包过滤器（Packet Filter）。网络分接头从网络设备驱动程序处收集数据包复制，并传递给正在捕获数据包的应用程序。过滤器决定某一数据包是被接受或者拒绝以及如果被接受，数据包的那些部分会被复制给应用程序。

第七章

（2） CIDF是怎样解决组件之间的通讯问题的？

答：CIDF组件间的通信是通过一个层次化的结构来完成的。这个结构包括三层：Gidos层、信体层、协商传输层。针对CIDF的一个组件怎样才能安全地连接到其它组件的问题，CIDF 提出了一个可扩展性非常好的比较完备的解决方法，即采用中介服务（Matchmaker）。针对连接建立后CIDF如何保证组件之间安全有效地进行通信的问题，CIDF是通过信体层和传输层来解决的。信体层是为了解决诸如同步（例如阻塞和非阻塞等）、屏蔽不同操作系统的不同数据表示、不同编程语言不同的数据结构等问题而提出的。它规定了Message的格式，并提出了双方通信的流程。此外，为了保证通信的安全性，信体层包含了鉴别、加密和签名等机制。

（5）评价入侵检测系统性能的三个因素是什么，分别表示什么含义？

答：评价入侵检测系统性能的三个因素是：准确性；处理性能；完备性。

准确性指入侵检测系统能正确地检测出系统入侵活动。当一个入侵检测系统的检测不准确时，它就可能把系统中的合法活动当作入侵行为并标识为异常。

处理性能指一个入侵检测系统处理系统审计数据的速度。显然，当入侵检测系统的处理性能较差时，它就不可能实现实时的入侵检测。

完备性指入侵检测系统能够检测出所有攻击行为的能力。如果存在一个攻击行为，无法被入侵检测系统检测出来，那么该入侵检测系统就不具有检测完备性。由于在一般情况下，很难得到关于攻击行为以及对系统特权滥用行为的所有知识，所以关于入侵检测系统的检测完备性的评估要相对困难得多。

第八章

1．Snort的3种工作模式是什么？