《入侵检测技术》由会员分享,可在线阅读,更多相关《入侵检测技术(12页珍藏版)》请在金锄头文库上搜索。
1、第 1 章 入侵检测概述思考题:(1) 分布式入侵检测系统DIDS是如何把基于主机的入侵检测方法和基于网络的入 侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝 试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵oDIDS的最初 概念是采用集中式控制技术,向DIDS中心控制器发报告。DIDS 解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪 网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户 身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。DIDS 解决的另
2、一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数 据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型 提取数据相关性,每层代表了对数据的一次变换结果。(2) 入侵检测作用表达在哪些方面? 答:一般来说,入侵检测系统的作用表达在以下几个方面:监控、分析用户和系统的活动;审计系统的配置和弱点; 评估关键系统和数据文件的完整性; 识别攻击的活动模式; 对异常活动进行统计分析; 对操作系统进行审计跟踪管理,识别违反政策的用户活动。( 3) 为什么说研究入侵检测非常必要? 答:电脑网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网 用户的增加,网上电
3、子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了 对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控 制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付 破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户 能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从 实际上看,这根本是不可能的。因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略 建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式 基本上就是按照这个思路进行的。就目前系统安全状况
4、而言,系统存在被攻击的可能性 如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理 措施。入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安 全技术其主要目的有:1识别入侵者;2识别入侵行为:3检测和监视已成功的 安全突破;4为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。从这个 角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。第 2 章 入侵方法与手段选择题:(1) B.(2)B思考题:(1)一般来说,黑客攻击的原理是什么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机 系统和网络协议存在
5、着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等 等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的表达。利益的驱动使 得互联网中的黑客数量激增。(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超 载,无法响应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进 程或者向内的连接。这种攻击会导致资源的匮乏,无论电脑的处理速度多么快,内存容 量多么大,互连网的速度多么快都无法防止这种攻击带来的后果。因为任何事都有一个 极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资 源匮乏,象是无法
6、满足需求。(3)秘密扫描的原理是什么?答:秘密扫描不包含标准的 TCP 三次握手协议的任何部分,所以无法被记录下来, 从而比SYN扫描隐蔽得多。秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据 包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。否则,当一个 FIN数据包到达一个打开的端口,数据包只是简单的丢掉不返回RST。(4)分布式拒绝服务攻击的原理是什么?答:DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。理解了 DoS 攻击的话,DDoS的原理就很简单。如果说电脑与网络的处理能力加大了 10倍,用一台 攻击机来攻击不再能起作用的话,攻击者使用 10
7、 台攻击机同时攻击呢?用 100 台呢?DDoS 就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。(5)缓冲区溢出攻击的原理是什么?答:缓冲区是电脑内存中的临时存储数据的区域,通常由需要使用缓冲区的程序按 照指定的大小来创建的。一个强健的程序应该可以创建足够大的缓冲区以保存它接收的 数据,或者可以监测缓冲区的使用情况并拒绝接收超过缓冲区中可以保存的数据。如果 程序没有对缓冲区边界进行检查,即可以允许没有干扰地输入数据,而不考虑大小问题 这样多出的数据就会被写到缓冲区之外,这时就可能写入到其它的内存区域中。如果在 这部分内存中已经存放了一些重要的内容例如电脑操作系统的某一部分,或
8、者更有可 能是其它数据或应用程序自己的代码,那么它的内容就被覆盖了发生数据丧失。(6)格式化字符串攻击的原理是什么?答:所谓格式化串,就是在*printf()系列函数中按照一定的格式对数据进行输出,可 以输出到标准输出,即printf(),也可以输出到文件句柄,字符串等,对应的函数有 fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在这 一系列的*printf()函数中,*printf()系列函数有三条特殊的性质,这些特殊性质如果被黑客 结合起来利用,就会形成漏洞。格式化串漏洞和普通的缓冲溢出有
9、相似之处,但又有所 不同,它们都是利用了程序员的疏忽大意来改变程序运行的正常流程。第 3 章 入侵检测系统选择题:(1)D(2)D思考题:(1)入侵检测系统有哪些基本模型?答:在入侵检测系统的发展历程中,大致经历了三个阶段:集中式阶段、层次式阶 段和集成式阶段。代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型 Denning模型层次化入侵检测模型dDM和管理式入侵检测模型SNMP-IDSM。(2)简述 IDM 模型的工作原理?答: IDM 模型给出了在推断网络中的电脑受攻击时数据的抽象过程。也就是给出了 将分散的原始数据转换为高层次的有关入侵和被监测环境的全部安全假设过程。通过把
10、收集到的分散数据进行加工抽象和数据关联操作, IDM 构造了一台虚拟的机器环境,这 台机器由所有相连的主机和网络组成。将分布式系统看作是一台虚拟的电脑的观点简化 了对跨越单机的入侵行为的识别。(3)入侵检测系统的工作模式可以分为几个步骤,分别是什么? 答:入侵检测系统的工作模式可以分为 4 个步骤,分别为:从系统的不同环节收集 信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为作出响应;记录并 报告检测过程和结果。(4)基于主机的入侵检测系统和基于网络的入侵检测系统的区别是什么? 答:基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统 记录。当有文件发生变化时,入侵
11、检测系统将新的记录条目与攻击标记相比较,看它们 是否匹配。如果匹配,系统就会向管理员报警,以采取措施。基于网络的入侵检测系统 使用原始网络数据包作为数据源。基于网络的入侵检测系统通常利用一个运行在混杂模 式下的网络适配器来实时监视并分析通过网络的所有通信业务。(5)异常入侵检测系统的设计原理是什么? 答:异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和 异常活动的依据。在异常入侵检测中,假定所有入侵行为都是与正常行为不同的,这样 如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为 可疑企图。对于异常阈值与特征的选择是异常入侵检测的关键。比方,通过流
12、量统计分 析将异常时间的异常网络流量视为可疑。异常入侵检测的局限是并非所有的入侵都表现 为异常,而且系统的轨迹难于计算和更新。(6)误用入侵检测系统的优缺点分别是什么? 答:误用入侵检测系统的优点是误报少;缺点是它只能发现已知的攻击,对未知的 攻击无能为力。(7)简述防火墙对部署入侵检测系统的影响。答:防火墙系统起防御来自外部网络的攻击的作用,在这时和入侵检测系统互相配 合可以做更有效的安全管理。通常将入侵检测系统部署在防火墙之后,进行继防火墙一 次过滤后的二次防御。但是在有些情况下,还需要考虑来自外部的针对防火墙本身的攻 击行为。如果黑客觉察到防火墙的存在并攻破防火墙的话,对内部网络来说是非
13、常危险 的。因此在高安全性要求的环境下在防火墙外部部署入侵检测产品,进行先于防火墙的 一次检测、防御。这样用户可以预知那些恶意攻击防火墙的行为并及时采取相应的安全 措施,以保证整个网络的安全性。第 4 章 入侵检测流程选择题:(1)C(2)A思考题:(1) 入侵分析的目的是什么? 答:入侵分析的主要目的是提高信息系统的安全性。除了检测入侵行为之外,人们 通常还希望到达以下目标:重要的威慑力;安全规划和管理;获取入侵证据。(2) 入侵分析需要考虑哪些因素? 答:入侵分析需要考虑的因素主要有以下四个方面:需求;子目标;目标划分;平 衡。(3)告警与响应的作用是什么? 答:在完成系统安全状况分析并确
14、定系统所存在的问题之后,就要让人们知道这些 问题的存在,在某些情况下,还要另外采取行动。这就是告警与响应要完成的任务。(4)联动响应机制的含义是什么? 答:入侵检测的主要作用是通过检查主机日志或网络传输内容,发现潜在的网络攻击,但一般的入侵检测系统只能做简单的响应,如通过发RST包终止可疑的TCP连接。 而对于大量的非法访问,如DoS类攻击,仅仅采用入侵检测系统本身去响应是远远不够 的。因此,在响应机制中,需要发挥各种不同网络安全技术的特点,从而取得更好的网 络安全防范效果。这就需要采用入侵检测系统的联动响应机制。目前,可以与入侵检测 系统联动进行响应的安全技术包括防火墙、安全扫描器、防病毒系
15、统、安全加密系统等 但其中最主要的是防火墙联动,即当入侵检测系统检测到潜在的网络攻击后,将相关信 息传输给防火墙,由防火墙采取响应措施,从而更有效的保护网络信息系统的安全。第 5 章 基于主机的入侵检测技术一、ABCD二、思考题1基于主机的数据源主要有哪些?答:基于主机的数据源主要有系统日志、应用程序日志等。2获取审计数据后,为什么首先要对这些数据进行预处理?答:当今现实世界中的数据库的共同特点是存在不完整的、含噪声的和不一致的数 据,用户感兴趣的属性,并非总是可用的。网络入侵检测系统分析数据的来源与数据结 构的异构性,实际系统所提供数据的不完全相关性、冗余性、概念上的模糊性以及海量 审计数据
16、中可能存在大量的无意义信息等问题,使得系统提供的原始信息很难直接被检 测系统使用,而且还可能造成检测结果的偏差,降低系统的检测性能。这就要求获取的 审计数据在被检测模块使用之前,对不理想的原始数据进行有效的归纳、进行格式统一 转换和处理。3数据预处理的方法很多,常用的有哪几种?答:数据预处理的方法很多,常用的有:基于粗糙集理论的约简法、基于粗糙集理 论的属性离散化、属性的约简等。需要对上述方法的基本原理进行掌握4简述基于专家系统的入侵检测技术的局限性。答:专家系统可有针对性地建立高效的入侵检测系统,检测准确度高。但在具体实 现中,专家系统主要面临如下问题:专家知识获取问题。即由于专家系统的检测规则 由安全专家
