《入侵检测习题答案new》由会员分享,可在线阅读,更多相关《入侵检测习题答案new(12页珍藏版)》请在金锄头文库上搜索。
1、第一章习题答案.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。1.2安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运
2、行的系统,它必须能够保护整个系统使其免受任何形式的入侵。它一般应该具有以下几个特征:机密性(confidentiality):机密性是指数据不会泄漏给非授权的用户、实体,也不会被非授权用户使用,只有合法的授权用户才能对机密的或受限的数据进行存取。完整性(Integrity):完整性是指数据未经授权不能被改变。也就是说,完整性要求保持系统中数据的正确性和一致性。不管在什么情况下,都要保护数据不受破坏或者被篡改。可用性(Availability):计算机资源和系统中的数据信息在系统合法用户需要使用时,必须是可用的。即对授权用户,系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。可控性(Contr
3、oliability):可控性是指可以控制授权范围内的信息流向及行为方式,对信息的访问、传播以及具体内容具有控制能力。同时它还要求系统审计针对信息的访问,当计算机中的泄密现象被检测出后,计算机的安全系统必须能够保存足够的信息以追踪和识别入侵攻击者,入侵者对此不能够抵赖。正确性(Correctness):系统要尽量减少由于对事件的不正确判断所引起的虚警(False Alarms)现象,要有较高的可靠性。如果虚警率太高,那么用户的合法行为就会经常性地被打断或者被禁止。这样,不仅使得系统的可用性降低,而且也会使合法用户对系统失去信心。1.3描述并解释Anderson在年提出的计算机安全模型答:And
4、erson在1972年提出了计算机安全模型,如图1.1所示。 图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。授权数据库并不是安全参考监视器的一部分,但是安全参考监视器要完成控制功能需要授权数据库的帮助。识别与认证系统识别主体和对象。审计系统用来记录系统的活动信息。该模型的实现采用访问控制机制来保证系统安全。访问控制机制识别与认证主体身份,根据授权数据库的记录决定是否可以允许主体访问对象。1.4描述并解释P2DR模型.P2DR模型 (Policy策略,Protection防护,Detection检测,Response响应)是一种动态的、安全性高的网络安全模型,
5、如图1.3所示。 图1.3 P2DR模型它的基本思想是:以安全策略为核心,通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测,检测使系统从静态防护转化为动态防护,为系统快速响应提供了依据,当发现系统有异常时,根据系统安全策略快速作出响应,从而达到了保护系统安全的目的。防护、检测和响应组成了一个完整的、动态的安全循环。在安全策略的指导下保证信息系统的安全。15 传统的安全技术有几类,他们分别是什么?传统的安全技术分为两类:静态安全技术和动态安全技术。所谓静态安全技术,是指通过人工的方法,采用一些外围设备,主要是用于保护系统抵御外部的攻击,其代表产
6、品就是我们常见的防火墙。动态安全技术的最大优点在于“主动性”,通过把实时的数据捕获、实时的数据分析和网络监视系统相结合,根据特定安全数据库中的数据,经过分析,迅速发现危险攻击的特征,进而发出警报,同时也提供一定的保护措施。1.6 请描述传统的安全机制传统的一些安全机制分不六类,如下:(1). 数据加密技术. 加密是指将一个信息经过加密钥匙及加密函数转换,变成无意义的密文,接收方则将此密文经过解密函数、解密钥匙还原成明文。(2). 访问控制技术. 访问控制技术按照事先确定的规则决定主体对客体的访问是否合法。它要确定合法用户对哪些系统资源享有何种权限、可进行什么类型的访问操作,防止非法用户进入计算
7、机系统和合法用户对系统资源的非法使用。(3). 认证技术. 认证就是将特定实体从任意实体的集合中识别出来的行为。它以交换信息的方式来确认实体的身份。(4). 数据完整性控制技术. 数据完整性控制技术是指能识别有效数据的一部分或全部信息被篡改的技术。数据完整性控制包括文件系统完整性控制及网络传输信息的完整性。(5). 安全漏洞扫描技术. 漏洞是指任意的允许非法用户未经授权获得访问或提高其访问层次的硬件或软件特征。漏洞就是某种形式的脆弱性。漏洞扫描是自动检测远端或本地主机安全脆弱点的技术,它通过对系统当前的状况进行扫描、分析,找出系统中存在的各种脆弱性,在此基础上进一步考虑脆弱性的修补与消除。(6
8、). 防火墙技术. 防火墙是指安装在内部网络与Internet之间或者网络与网络之间的可以限制相互访问的一种的安全保护措施。防火墙是在被保护网络周边建立的、分隔被保护网络与外部网络的系统,它在内部网与外部网之间形成了一道安全保护屏障。17 防火墙技术在网络安全中占有重要的地位,它可分为几种类型?防火墙的优点与不足各是什么?防火墙可通过软件和硬件相结合的方式来实现,当前比较成熟的防火墙实现技术从层次上主要有以下两种:包过滤和应用层网关。包过滤技术主要在IP层实现。它根据包头中所含的信息如源地址、目的地址等来判断其能否通过。与包过滤相比,应用层网关在通信协议栈的更高层操作,提供更为安全的选项。它通
9、常由两部分组成:代理服务器和筛选路由器。这种防火墙技术是目前最通用的一种,它把过滤路由器技术和软件代理技术结合在一起,由过滤路由器负责网络的互联,进行严格的数据选择,应用代理则提供应用层服务的控制,中间转接外部网络向内部网络申请的服务。防火墙具有以下优点:防火墙通过过滤不安全的服务,可以极大地提高网络安全和减少子网中主机的风险;它可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机;阻止攻击者获取攻击网络系统的有用信息,如 Finger和 DNS;防火墙可以记录和统计通过它的网络通讯,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;防火墙提供制定和执行网络
10、安全策略的手段,它可对企业内部网实现集中的安全管理,它定义的安全规则可运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。防火墙的不足:(1)入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙.(2)防火墙完全不能阻止内部攻击, 对于企业内部心怀不满的员工来说防火墙形同虚设.(3)由于性能的限制, 防火墙通常不能提供实时的入侵检测能力.(4)防火墙对于病毒也束手无策的.(5)防火墙无法有效地解决自身的安全问题. (6)防火墙无法做到安全与速度的同步提高, 一旦考虑到安全因素而对网络流量进行深入的决策和分析, 那么网络的运行速度势必会受到影响. (7)防火墙是一种静态的安全技术,
11、需要人工来实施和维护, 不能主动跟踪入侵者. 因此,认为在 Internet的入口处布置防火墙,系统就足够安全的想法是不切实际的。 第二章 入侵检测系统答案21入侵检测系统弥补了防火墙的哪些不足?防火墙是要保护的网络或系统与外界之间的一道安全屏障。它通过加强网络间的访问控制,防止外部用户非法使用内部网的资源,从而达到保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取的目的。它规定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务,以及哪些外部服务可以被内部人员访问。但防火墙只是一种被动的防御技术,它无法识别和防御来自内部网络的滥用和攻击,比如内部员工恶意破坏、删除数据,越权使用
12、设备,也不能有效防止绕过防火墙的攻击,比如公司的员工将机密数据用便携式存储设备随身带出去造成泄密,员工自己拨号上网造成攻击进入等。入侵检测技术作为一种主动防护技术,可以在攻击发生时记录攻击者的行为,发出报警,必要时还可以追踪攻击者。它既可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络。2.2 简述入侵检测系统的发展历史(1). 入侵检测的研究最早可追溯到James P. Anderson在1980年的工作。在这一年的4月,他为美国空军做了一份题为计算机安全威胁监控与监视(Computer Security Threat Monitoring and Surveillance)的技
13、术报告,这份报告被公认为是入侵检测的开山之作。在报告中,他首次提出了入侵检测的概念,给出了入侵尝试 (Intrusion attempt)或威胁(Threat)的定义。(2). 1987年,乔治敦大学的Dorothy E. Denning提出了一个实时的入侵检测系统抽象模型IDES(Intrusion Detection Expert System,入侵检测专家系统),首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。(3). 1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L. T. Heberlein等人提出了一个新的概念:基于网络的入侵检测NSM(N
14、etwork Security Monitor).(4). 1991年,NADIR(Network Anomaly Detection and Intrusion Reporter)与DIDS(Distribute Intrusion Detection System)提出了收集和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。(5). 1994年,Mark Crosbie和Gene Spafford建议使用自治代理(autonomous agents)以便提高IDS的可伸缩性、可维护性、效率和容错性,该理念非常符合正在进行的计算机科学其他领域 (如软件代理,software age
15、nt)的研究。(6). 1995年开发了IDES完善后的版本NIDES(Next-Generation Intrusion Detection System) 可以检测多个主机上的入侵。23 叙述基于主机的入侵检测系统的优点.基于主机的入侵检查系统优点包括:(1)能确定攻击是否成功。主机是攻击的目的所在,所以基于主机的IDS使用含有已发生的事件信息,可以比基于网络的IDS更加准确地判断攻击是否成功。就这一方面而言,基于主机的IDS与基于网络的IDS互相补充,网络部分尽早提供针对攻击的警告,而主机部分则可确定攻击是否成功。(2)监控粒度更细。基于主机的IDS,监控的目标明确,视野集中,它可以检测一些基于网络的IDS不能检测的攻击。它可以很容易地监控系统的一些活动,如对敏感文件、目录、程序或端口的存取。例如,基于主机的IDS可以监督所有用户登录及退出登录的情况,以及每位用户在联接.到网络以后的行为。它还可监视通常只有管理员才能实施的非正常行为。针对系统的一些活动,有时并不通过网络传输数据,有时虽然通过网络传输数据但所传输的数据并不能提供足够多的信息,从而使得基于网络的系统检测不到这些行为,或者检测到这个程度非常困难。(3)配置灵活。每一个主机有其自己的基于主机的IDS,用户可根据自己的实际情况对其进行配置。(4)可用于加密的以及交换的环境。加密和交换
