入侵检测习题答案

《入侵检测习题答案》由会员分享，可在线阅读，更多相关《入侵检测习题答案（14页珍藏版）》请在装配图网上搜索。

1、入侵检测习题答案 - 第一章习题答案 .1 从物理平安和逻辑平安两个方面描绘计算机平安的内容. 答： 计算机平安的内容包括物理平安和逻辑平安两方面。物理平安指系统设备及相关设施受到物理保护，免于破坏、丧失等。逻辑平安指计算机中信息和数据的平安，它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程，主要包括软件的平安、数据的平安和运行的平安。软件的平安是保护各种软件及其文档不被任意篡改、失效和非法复制，数据平安是保护所存贮的数据资不被非法使用和修改，运行平安是保护信息系统能连续正确地运行。 1.2 平安的计算机系统的特征有几个，它们分别是什么？ 答：平安的计算机信息系

2、统是指可以信赖的按照期望的方式运行的系统，它必须可以保护整个系统使其免受任何形式的入侵。它一般应该具有以下几个特征： 机密性confidentiality：机密性是指数据不会泄漏给非受权的用户、实体，也不会被非受权用户使用，只有合法的受权用户才能对机密的或受限的数据进展存取。 完好性Integrity：完好性是指数据未经受权不能被改变。也就是说，完好性要求保持系统中数据的正确性和一致性。不管在什么情况下，都要保护数据不受破坏或者被篡改。 可用性Availability：计算机资和系统中的数据信息在系统合法用户需要使用时，必须是可用的。即对受权用户，系统应尽量防止系统资被耗尽或效劳被回绝的情况出

3、现。 可控性Controliability：可控性是指可以控制受权范围内的信息流向及行为方式，对信息的访问、传播以及详细内容具有控制才能。同时它还要求系统审计针对信息的访问，当计算机中的泄密现象被检测出后，计算机的平安系统必须可以保存足够的信息以追踪和识别入侵攻击者，入侵者对此不可以抵赖。 正确性Correctness：系统要尽量减少由于对事件的不正确判断所引起的虚警False Alarms现象，要有较高的可靠性。假如虚警率太高，那么用户的合法行为就会经常性地被打断或者被制止。这样，不仅使得系统的可用性降低，而且也会使合法用户对系统失去信心。 1.3 描绘并解释Anderson在年提出的计算机

4、平安模型 答： Anderson在1972年提出了计算机平安模型，如图1.1所示。 图1.1 计算机平安模型 其各个模块的功能如下:平安参考监视器控制主体能否访问对象。受权数据库并不是平安参考监视器的一局部，但是平安参考监视器要完成控制功能需要受权数据库的帮助。识别与认证系统识别主体和对象。审计系统用来记录系统的活动信息。该模型的实现采用访问控制机制来保证系统平安。访问控制机制识别与认证主体身份，根据受权数据库的记录决定是否可以允许主体访问对象。 1.4 描绘并解释P2DR模型. P2DR模型 (Policy策略，Protection防护，Detection检测，Response响应)是一种动

5、态的、平安性高的网络平安模型，如图1.3所示。 图1.3 P2DR模型 它的根本思想是：以平安策略为核心，通过一致的检查、流量统计、异常分析p 、形式匹配以及应用、目的、主机、网络入侵检查等方法进展平安破绽检测，检测使系统从静态防护转化为动态防护，为系统快速响应提供了根据，当发现系统有异常时，根据系统平安策略快速作出响应，从而到达了保护系统平安的目的。防护、检测和响应组成了一个完好的、动态的平安循环。在平安策略的指导下保证信息系统的平安。 15 传统的平安技术有几类，他们分别是什么？ 传统的平安技术分为两类：静态平安技术和动态平安技术。 所谓静态平安技术，是指通过人工的方法，采用一些外围设备，

6、主要是用于保护系统抵御外部的攻击，其代表产品就是我们常见的防火墙。动态平安技术的最大优点在于“主动性”，通过把实时的数据捕获、实时的数据分析p 和网络监视系统相结合，根据特定平安数据库中的数据，经过分析p ，迅速发现危险攻击的特征，进而发出警报，同时也提供一定的保护措施。 1.6 请描绘传统的平安机制 传统的一些平安机制分不六类，如下： (1). 数据加密技术. 加密是指将一个信息经过加密钥匙及加密函数转换，变成无意义的密文，接收方那么将此密文经过解密函数、解密钥匙复原成明文。 (2). 访问控制技术. 访问控制技术按照事先确定的规那么决定主体对客体的访问是否合法。它要确定合法用户对哪些系统资

7、享有何种权限、可进展什么类型的访问操作，防止非法用户进入计算机系统和合法用户对系统资的非法使用。 (3). 认证技术. 认证就是将特定实体从任意实体的集合中识别出来的行为。它以交换信息的方式来确认实体的身份。 (4). 数据完好性控制技术. 数据完好性控制技术是指能识别有效数据的一局部或全部信息被篡改的技术。数据完好性控制包括文件系统完好性控制及网络传输信息的完好性。 (5). 平安破绽扫描技术. 破绽是指任意的允许非法用户未经受权获得访问或进步其访问层次的硬件或软件特征。破绽就是某种形式的脆弱性。破绽扫描是自动检测远端或本地主机平安脆弱点的技术，它通过对系统当前的状况进展扫描、分析p ，找出

8、系统中存在的各种脆弱性，在此根底上进一步考虑脆弱性的修补与消除。 (6). 防火墙技术. 防火墙是指安装在内部网络与Inter之间或者网络与网络之间的可以限制互相访问的一种的平安保护措施。防火墙是在被保护网络周边建立的、分隔被保护网络与外部网络的系统，它在内部网与外部网之间形成了一道平安保护屏障。 17 防火墙技术在网络平安中占有重要的地位，它可分为几种类型？防火墙的优点与缺乏各是什么？ 防火墙可通过软件和硬件相结合的方式来实现，当前比拟成熟的防火墙实现技术从层次上主要有以下两种：包过滤和应用层网关。包过滤技术主要在IP层实现。它根据包头中所含的信息如地址、目的地址等来判断其能否通过。与包过滤

9、相比，应用层网关在通信协议栈的更高层操作，提供更为平安的选项。它通常由两局部组成：代理效劳器和挑选路由器。这种防火墙技术是目前最通用的一种，它把过滤路由器技术和软件代理技术结合在一起，由过滤路由器负责网络的互联，进展严格的数据选择，应用代理那么提供给用层效劳的控制，中间转接外部网络向内部网络申请的效劳。 防火墙具有以下优点：防火墙通过过滤不平安的效劳，可以极大地进步网络平安和减少子网中主机的风险；它可以提供对系统的访问控制，如允许从外部访问某些主机，同时制止访问另外的主机；阻止攻击者获取攻击网络系统的有用信息，如 Finger和 DNS；防火墙可以记录和统计通过它的网络通讯，提供关于网络使用的

10、统计数据，根据统计数据来判断可能的攻击和探测；防火墙提供制定和执行网络平安策略的手段，它可对企业内部网实现集中的平安管理，它定义的平安规那么可运用于整个内部网络系统，而无须在内部网每台机器上分别设立平安策略。 防火墙的缺乏: 1入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙. 2防火墙完全不能阻止内部攻击, 对于企业内部心怀不满的员工来说防火墙形同虚设. 3由于性能的限制, 防火墙通常不能提供实时的入侵检测才能. 4防火墙对于病毒也束手无策的. 5防火墙无法有效地解决自身的平安问题. 6防火墙无法做到平安与速度的同步进步, 一旦考虑到平安因素而对网络流量进展深化的决策和分析p , 那么网络

11、的运行速度势必会受到影响. 7防火墙是一种静态的平安技术, 需要人工来施行和维护, 不能主动跟踪入侵者. 因此，认为在 Inter的入口处布置防火墙，系统就足够平安的想法是不实在际的。 第二章 入侵检测系统答案 21入侵检测系统弥补了防火墙的哪些缺乏？ 防火墙是要保护的网络或系统与外界之间的一道平安屏障。它通过加强网络间的访问控制，防止外部用户非法使用内部网的资，从而到达保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取的目的。它规定了哪些内部效劳可以被外界访问；外界的哪些人可以访问内部的效劳，以及哪些外部效劳可以被内部人员访问。 但防火墙只是一种被动的防御技术，它无法识别和防御来自内部

12、网络的滥用和攻击，比方内部员工恶意破坏、删除数据，越权使用设备，也不能有效防止绕过防火墙的攻击，比方公司的员工将机密数据用便携式存储设备随身带出去造成泄密，员工自己拨号上网造成攻击进入等。 入侵检测技术作为一种主动防护技术，可以在攻击发生时记录攻击者的行为，发出报警，必要时还可以追踪攻击者。它既可以独立运行，也可以与防火墙等平安技术协同工作，更好地保护网络。 2.2 简述入侵检测系统的开展历史 (1). 入侵检测的研究最早可追溯到James P. Anderson在1980年的工作。在这一年的4月，他为美国空军做了一份题为计算机平安威胁监控与监视Computer Security Threat

13、 Monitoring and Surveillance的技术报告，这份报告被公认为是入侵检测的开山之作。在报告中，他首次提出了入侵检测的概念，给出了入侵尝试 (Intrusion attempt)或威胁(Threat)的定义。 (2). 1987年，乔治敦大学的Dorothy E. Denning提出了一个实时的入侵检测系统抽象模型IDESIntrusion Detection Expert System,入侵检测专家系统，首次将入侵检测的概念作为一种计算机系统平安防御问题的措施提出。 (3). 1990年是入侵检测系统开展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T. Heber

14、lein等人提出了一个新的概念：基于网络的入侵检测NSM(work Security Monitor). (4). 1991年，NADIR(work Anomaly Detection and Intrusion Reporter)与DIDS(Distribute Intrusion Detection System)提出了搜集和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。 (5). 1994年，Mark Crosbie和Gene Spafford建议使用自治代理(autonomous agents)以便进步IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合正在进展的计算机

15、科学其他领域 (如软件代理，software agent)的研究。 (6). 1995年开发了IDES完善后的版本NIDES(Next-Generation Intrusion Detection System) 可以检测多个主机上的入侵。 23 表达基于主机的入侵检测系统的优点. 基于主机的入侵检查系统优点包括： 1能确定攻击是否成功。主机是攻击的目的所在，所以基于主机的IDS使用含有已发生的事件信息，可以比基于网络的IDS更加准确地判断攻击是否成功。就这一方面而言，基于主机的IDS与基于网络的IDS互相补充，网络局部尽早提供针对攻击的警告，而主机局部那么可确定攻击是否成功。 2监控粒度更细

16、。基于主机的IDS，监控的目的明确，视野集中，它可以检测一些基于网络的IDS不能检测的攻击。它可以很容易地监控系统的一些活动，如对敏感文件、目录、程序或端口的存取。例如，基于主机的IDS可以监视所有用户登录及退出登录的情况，以及每位用户在联接.到网络以后的行为。它还可监视通常只有管理员才能施行的非正常行为。针对系统的一些活动，有时并不通过网络传输数据，有时虽然通过网络传输数据但所传输的数据并不能提供足够多的信息，从而使得基于网络的系统检测不到这些行为，或者检测到这个程度非常困难。 3配置灵敏。每一个主机有其自己的基于主机的IDS，用户可根据自己的实际情况对其进展配置。 4可用于加密的以及交换的

17、环境。加密和交换设备加大了基于网络IDS搜集信息的难度，但由于基于主机的IDS安装在要监控的主机上，根本不会受这些因素的影响。 5对网络流量不敏感。基于主机的IDS一般不会因为网络流量的增加而丢掉对网络行为的监视。 6不需要额外的硬件。 2.4 表达基于网络的入侵检测系统的优点与缺点. 基于网络的入侵检测系统有以下优点： 1监测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品那么要依靠对最近几分钟内审计记录的分析p 。 2隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易被存取，因此也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序，不提供网络效劳，可以不响

18、应其他计算机，因此可以做得比拟平安。 3视野更宽。可以检测一些主机检测不到的攻击，如泪滴攻击Teardrop，基于网络的SYN攻击等。还可以检测不成功的攻击和恶意企图。 4较少的监测器。由于使用一个监测器就可以保护一个共享的网段，所以你不需要很多的监测器。相反地，假如基于主机，那么在每个主机上都需要一个代理，这样的话，花费昂贵，而且难于管理。但是，假如在一个交换环境下，就需要特殊的配置。 5攻击者不易转移证据。基于网络的IDS使用正在发生的网络通讯进展实时攻击的检测。所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法，而且还包括可识别黑客身份和对其进展起诉的信息。许多黑客都熟知审计记录，他

19、们知道如何操纵这些文件掩盖他们的作案痕迹，如何阻止需要这些信息的基于主机的系统去检测入侵。 6操作系统无关性。基于网络的IDS作为平安监测资，与主机的操作系统无关。与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。 7可以配置在专门的机器上，不会占用被保护的设备上的任何资。 基于网络的入侵检测系统的主要缺点是：只能监视本网段的活动，准确度不高；在交换环境下难以配置；防入侵欺骗的才能较差；难以定位入侵者。 25 根据检测原理，入侵检测系统可以分为几类？其原理分别是什么？ 根据检测原理，将入侵检测分为两类：异常检测和误用检测。 1异常检测 在异常检测中，观

20、察到的不是的入侵行为，而是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常”，并如何做出详细决策。 2误用检测 在误用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决策的根底。所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进展比拟以做出判别。误用检测基于的系统缺陷和入侵形式，故又称特征检测。它可以准确地检测到某些特征的攻击，但却过度依赖事先定义好的平安策略，所以无法检测系统未知的攻击行为，从而产生漏报。 第三章 入侵的方法与手段答案 3.1表达

21、计算机网络的主要破绽 计算机网络的主要破绽有： (1)缓冲区溢出 缓冲区溢出破绽是很典型的一类破绽，现有的破绽很多都可以归为此类。比方最近发现，OpenLDAP存在多个远程缓冲区溢出破绽。OpenLDAP是一款开放代码的轻量级目录访问协议LDAP实现，用于在网络环境中发布信息，比方X.509证书或登录信息。其代码被发现存在多个缓冲区边界没有正确检查的问题，远程攻击者可以利用这些破绽进展缓冲区溢出攻击，并以OpenLDAP进程权限在系统上执行任意命令。 (2)回绝效劳攻击破绽 回绝效劳攻击破绽也是一类典型的破绽。比方，Microsoft公司开发的效劳器程序IIS。它的“S.dll”组件对包含畸形

22、HOST头字段的恳求处理存在问题，远程攻击者可以发送包含多个“/”字符的HOST头信息给IIS效劳器，这样可以导致WEB效劳崩溃，停顿对合法恳求的响应。 (3)权限提升破绽 比方Windows WM_TIMER消息处理权限提升破绽。WM_TIMER消息一般在某一计时器超时时发送，可以用来使进程执行计时回调函数。WM_TIMER消息存在平安问题，本地或者利用终端效劳访问的攻击者可以利用这个破绽使用WM_TIMER消息利用其他高权限进程执行回调函数，造成权限提升，使本地用户可以提升权限至管理用户。 (4)远程命令执行破绽 比方，Cobalt RaQ4管理接口远程命令执行破绽。这个破绽只存在安装了RaQ4加固平安包之后的RaQ4效劳程序中。Cobalt RaQ是一个基于Inter的效劳应用程序，由Sun微系统公司发布和维护。Cobalt RaQ WEB管理接口在处理用户提供的Email参数时缺少正确过滤，第 14 页 共 14 页