入侵检测技术课后答案

《入侵检测技术课后答案》由会员分享，可在线阅读，更多相关《入侵检测技术课后答案（12页珍藏版）》请在装配图网上搜索。

1、第1章 入侵检测概述思考题：（1）分布式入侵检测系统（DIDS）是如何把基于主机的入侵检测方法和基于网络的 入侵检测方法集成在一起的？答：分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝 试，以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最 初概念是采用集中式控制技术，向DIDS中心控制器发报告。DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟 踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到 用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。DIDS解决的另一个问

2、题是如何从发生在系统不同的抽象层次的事件中发现相关数 据或事件。这类信息要求要理解它们对整个网络的影响，DIDS用一个6层入侵检测模 型提取数据相关性，每层代表了对数据的一次变换结果。（2）入侵检测作用体现在哪些方面？答：一般来说，入侵检测系统的作用体现在以下几个方面：监控、分析用户和系统的活动；审计系统的配置和弱点；评估关键系统和数据文件的完整性；识别攻击的活动模式；对异常活动进行统计分析；对操作系统进行审计跟踪管理，识别违反政策的用户活动。（3）为什么说研究入侵检测非常必要？答：计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力，但是由于连 网用户的增加，网上电子商务开辟的广阔前景，

3、越来越多的系统受到入侵者的攻击。为 了对付这些攻击企图，可以要求所有的用户确认并验证自己的身份，并使用严格的访问 控制机制，还可以用各种密码学方法对数据提供保护，但是这并不完全可行。另一种对 付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话，就要求所有的用 户能识别和认证自己，还要采用各种各样的加密技术和强访问控制策略来保护数据。而 从实际上看，这根本是不可能的。因此，一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略 建立相应的安全辅助系统。入侵检测系统就是这样一类系统，现在安全软件的开发方式 基本上就是按照这个思路进行的。就目前系统安全状况而言，系统存在被攻击的

4、可能性。如果系统遭到攻击，只要尽可能地检测到，甚至是实时地检测到，然后采取适当的处理 措施。入侵检测系统一般不是采取预防的措施以防止入侵事件的发生，入侵检测作为安 全技术其主要目的有：（1）识别入侵者；（2）识别入侵行为：（3）检测和监视已成功的 安全突破；（4）为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。从这个 角度看待安全问题，入侵检测非常必要，它可以有效弥补传统安全保护措施的不足。第2章入侵方法与手段选择题：（1）B.（2）B思考题：（1）一般来说，黑客攻击的原理是什么？答：黑客之所以能够渗透主机系统和对网络实施攻击，从内因来讲，主要因为主机 系统和网络协议存在着漏洞，而从外

5、因来讲原因有很多，例如人类与生俱来的好奇心等 等，而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。利益的驱动使 得互联网中的黑客数量激增。（2）拒绝服务攻击是如何实施的？答：最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源，致使服务超 载，无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容量，开放的进 程或者向内的连接。这种攻击会导致资源的匮乏，无论计算机的处理速度多么快，内存 容量多么大，互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一 个极限，所以，总能找到一个方法使请求的值大于该极限值，因此就会使所提供的服务 资源匮乏，象是无法满足需求。（

6、3）秘密扫描的原理是什么？答：秘密扫描不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来， 从而比SYN扫描隐蔽得多。秘密扫描技术使用FIN数据包来探听端口。当一个FIN数 据包到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST数据包。否则，当一 个FIN数据包到达一个打开的端口，数据包只是简单的丢掉（不返回RST）。（4）分布式拒绝服务攻击的原理是什么？答：DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。理解了DoS攻击的话，DDoS的原理就很简单。如果说计算机与网络的处理能力加大了10倍， 用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢

7、？用100 台呢？ DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。（5）缓冲区溢出攻击的原理是什么？答：缓冲区是计算机内存中的临时存储数据的区域，通常由需要使用缓冲区的程序 按照指定的大小来创建的。一个强健的程序应该可以创建足够大的缓冲区以保存它接收 的数据，或者可以监测缓冲区的使用情况并拒绝接收超过缓冲区中可以保存的数据。如 果程序没有对缓冲区边界进行检查，即可以允许没有干扰地输入数据，而不考虑大小问 题。这样多出的数据就会被写到缓冲区之外，这时就可能写入到其它的内存区域中。如 果在这部分内存中已经存放了一些重要的内容（例如计算机操作系统的某一部分，或者 更有可能是

8、其它数据或应用程序自己的代码），那么它的内容就被覆盖了（发生数据丢 失）。（6）格式化字符串攻击的原理是什么？答：所谓格式化串，就是在*printf（）系列函数中按照一定的格式对数据进行输出，可 以输出到标准输出，即printf（），也可以输出到文件句柄，字符串等，对应的函数有 fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf 等。能被黑客利用的地方 也就出在这一系列的*printf（）函数中，*printf（）系列函数有三条特殊的性质，这些特殊性 质如果被黑客结合起来利用，就会形成漏洞。格式化串漏洞和普通的缓冲溢出有相似

9、之 处，但又有所不同，它们都是利用了程序员的疏忽大意来改变程序运行的正常流程。第3章入侵检测系统选择题：（1）D（2）D思考题：（1）入侵检测系统有哪些基本模型？答：在入侵检测系统的发展历程中，大致经历了三个阶段：集中式阶段、层次式阶 段和集成式阶段。代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型 （Denning模型）、层次化入侵检测模型（IDM）和管理式入侵检测模型（SNMP-IDSM）。（2）简述IDM模型的工作原理？答：IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。也就是给出 了将分散的原始数据转换为高层次的有关入侵和被监测环境的全部安全假设过程。通过 把收

10、集到的分散数据进行加工抽象和数据关联操作，IDM构造了一台虚拟的机器环境， 这台机器由所有相连的主机和网络组成。将分布式系统看作是一台虚拟的计算机的观点 简化了对跨越单机的入侵行为的识别。（3）入侵检测系统的工作模式可以分为几个步骤，分别是什么？答：入侵检测系统的工作模式可以分为4个步骤，分别为：从系统的不同环节收集 信息；分析该信息，试图寻找入侵活动的特征；自动对检测到的行为作出响应；记录并 报告检测过程和结果。（4）基于主机的入侵检测系统和基于网络的入侵检测系统的区别是什么？答：基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统 记录。当有文件发生变化时，入侵检测系统将新

11、的记录条目与攻击标记相比较，看它们 是否匹配。如果匹配，系统就会向管理员报警，以采取措施。基于网络的入侵检测系统 使用原始网络数据包作为数据源。基于网络的入侵检测系统通常利用一个运行在混杂模 式下的网络适配器来实时监视并分析通过网络的所有通信业务。（5）异常入侵检测系统的设计原理是什么？答：异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和 异常活动的依据。在异常入侵检测中，假定所有入侵行为都是与正常行为不同的，这样， 如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为 可疑企图。对于异常阈值与特征的选择是异常入侵检测的关键。比如，通过流量统计分 析

12、将异常时间的异常网络流量视为可疑。异常入侵检测的局限是并非所有的入侵都表现 为异常，而且系统的轨迹难于计算和更新。（6）误用入侵检测系统的优缺点分别是什么？答：误用入侵检测系统的优点是误报少；缺点是它只能发现已知的攻击，对未知的 攻击无能为力。（7）简述防火墙对部署入侵检测系统的影响。答：防火墙系统起防御来自外部网络的攻击的作用，在这时和入侵检测系统互相配 合可以做更有效的安全管理。通常将入侵检测系统部署在防火墙之后，进行继防火墙一 次过滤后的二次防御。但是在有些情况下，还需要考虑来自外部的针对防火墙本身的攻 击行为。如果黑客觉察到防火墙的存在并攻破防火墙的话，对内部网络来说是非常危险 的。因

13、此在高安全性要求的环境下在防火墙外部部署入侵检测产品，进行先于防火墙的 一次检测、防御。这样用户可以预知那些恶意攻击防火墙的行为并及时采取相应的安全 措施，以保证整个网络的安全性。第4章入侵检测流程选择题：(1) C(2) A思考题：(1) 入侵分析的目的是什么？答：入侵分析的主要目的是提高信息系统的安全性。除了检测入侵行为之外，人们 通常还希望达到以下目标：重要的威慑力；安全规划和管理；获取入侵证据。(2) 入侵分析需要考虑哪些因素？答：入侵分析需要考虑的因素主要有以下四个方面：需求；子目标；目标划分；平 衡。(3) 告警与响应的作用是什么？答：在完成系统安全状况分析并确定系统所存在的问题之

14、后，就要让人们知道这些 问题的存在，在某些情况下，还要另外采取行动。这就是告警与响应要完成的任务。(4) 联动响应机制的含义是什么？答：入侵检测的主要作用是通过检查主机日志或网络传输内容，发现潜在的网络攻 击，但一般的入侵检测系统只能做简单的响应，如通过发RST包终止可疑的TCP连接。 而对于大量的非法访问，如DoS类攻击，仅仅采用入侵检测系统本身去响应是远远不够 的。因此，在响应机制中，需要发挥各种不同网络安全技术的特点，从而取得更好的网 络安全防范效果。这就需要采用入侵检测系统的联动响应机制。目前，可以与入侵检测 系统联动进行响应的安全技术包括防火墙、安全扫描器、防病毒系统、安全加密系统等

15、。 但其中最主要的是防火墙联动，即当入侵检测系统检测到潜在的网络攻击后，将相关信 息传输给防火墙，由防火墙采取响应措施，从而更有效的保护网络信息系统的安全。第5章 基于主机的入侵检测技术一、ABCD二、思考题1. 基于主机的数据源主要有哪些？答：基于主机的数据源主要有系统日志、应用程序日志等。2. 获取审计数据后，为什么首先要对这些数据进行预处理？答：当今现实世界中的数据库的共同特点是存在不完整的、含噪声的和不一致的数 据，用户感兴趣的属性，并非总是可用的。网络入侵检测系统分析数据的来源与数据结 构的异构性，实际系统所提供数据的不完全相关性、冗余性、概念上的模糊性以及海量 审计数据中可能存在大

16、量的无意义信息等问题，使得系统提供的原始信息很难直接被检 测系统使用，而且还可能造成检测结果的偏差，降低系统的检测性能。这就要求获取的 审计数据在被检测模块使用之前，对不理想的原始数据进行有效的归纳、进行格式统一、 转换和处理。3. 数据预处理的方法很多，常用的有哪几种？答：数据预处理的方法很多，常用的有：基于粗糙集理论的约简法、基于粗糙集理 论的属性离散化、属性的约简等。(需要对上述方法的基本原理进行掌握)4. 简述基于专家系统的入侵检测技术的局限性。答：专家系统可有针对性地建立高效的入侵检测系统，检测准确度高。但在具体实 现中，专家系统主要面临如下问题：专家知识获取问题。即由于专家系统的检

17、测规则 由安全专家用专家知识构造，因此难以科学地从各种入侵手段中抽象出全面的规则化知 识。规则动态更新问题。用户行为模式的动态性要求入侵检测系统具有自学习、自适 应的功能。5. 配置分析技术的基本原理是基于哪两个观点？配置分析技术的基本原理是基于如下两个观点：一次成功的入侵活动可能会在系 统中留下痕迹，这可以通过检查系统当前的状态来发现。系统管理员和用户经常会错 误地配置系统，从而给攻击者以入侵的可乘之机。第6章 基于网络的入侵检测技术思考题：(1)简述交换网络环境下的数据捕获方法。答：在使用交换机连接的交换式网络环境中，处于监听状态下的网络设备，只能捕 获到它所连接的交换机端口上的数据，而无

18、法监听其他交换机端口和其他网段的数据。 因此，实现交换网络的数据捕获要采用一些特殊的方法。通常可以采用如下方法：(1) 将数据包捕获程序放在网关或代理服务器上，这样就可以捕获到整个局域网的数据包；(2)对交换机实行端口映射，将所有端口的数据包全部映射到某个连接监控机器的端口 上；(3)在交换机和路由器之间连接一个HUB，这样数据将以广播的方式发送；(4)实 行ARP欺骗，即在负责数据包捕获的机器上实现整个网络的数据包的转发，不过会降低 整个局域网的效率。(2) 简述包捕获机制BPF的原理。答:BPF主要由两大部分组成：网络分接头(Network Tap)和数据包过滤器(Packet Filte

19、r)o网络分接头从网络设备驱动程序处收集数据包复制，并传递给正在捕获数据包 的应用程序。过滤器决定某一数据包是被接受或者拒绝以及如果被接受，数据包的那些 部分会被复制给应用程序。(3) 简述协议分析的原理。答：协议分析的功能是辨别数据包的协议类型，以便使用相应的数据分析程序来检 测数据包。可以把所有的协议构成一棵协议树，一个特定的协议是该树结构中的一个结 点，可以用一棵二叉树来表示。一个网络数据包的分析就是一条从根到某个叶子的路径。 在程序中动态地维护和配置此树结构即可实现非常灵活的协议分析功能。(4) 举例说明如何检测端口扫描。答：本例中检测引擎检测到主机192.168.0.5与主机192.

20、168.0.4在短期内建立 了大量的连接，符合阈值要求，所以已被认定为端口扫描，如下图所示。心1:382:4 ICMP PIKG Windows + + ClassifiGa.tion; Mlsg activity Priority; 308/19-16:49:27. 620681 192. 16S. 0. 5 - 192. 168. 0.4ICMP TTL: 128 TOS:OkO IDJ4858 IpLe=n:20 DgnLen!60Type:8ID:512ECHOXref = arachnids 1G9* 100:1:1 spp_pOrtscan: PORTSCAU DETECTED f

21、rom 192. 168.0.E (THRESHOLD 4 connections exceeded in 0 seconds)半不00/19-16:52:24.351000* 100:2:1 spp_prt scan: part scan status from 12. 168. 0.5: S2 csrme ctians across 1 host s: TCP (82)UDF (0) *08/19-16:52:27.355000平平 100;2;1 spp_part scan; port scan status from 192.1GS.0.5; 3 connect ions across

22、 1 host e : TCP (3)IIDF (0)担*08/19-16:52:35. 3S7000图端口扫描的检测(5) 举例说明如何检测拒绝服务攻击。答：本例中检测引擎检测出7IGMP的DoS攻击，检测结果下图所示。科L1: 273:2 DOS IGMP dos att act *Classificatiori： Attenpted Denial of Service Priority: 208/20-13:25:53. 290266 192. 168. 0. 5 - 192. Ifi8. 0.4FKT0002 TIL: 128 TOS:OkO ID:57481 IpLen:20 Dgm

23、Len: 1500 MFFrag Offset: 0x073A Frag Size: Ox05CS* El: 273:2 DOS IGMP dos att acj *Classification: Attempt ed Denial of Service Priority: 2 08/20-13: 2E:53. 290404 192. 168. 0. 5 - 192. IfiS. 0.4PKOIOOa2 TIL:128 TOS:OkO ID:57481 IpLen;20 DgmLen;1500 MFFrag Offset: OK07P3 Frag 5iz已：Ox05CS米w El: 273:2

24、 DOS IGHP dos att aclt *Classification: Attempt ed Denial of Service Priority: 208/20-13:25:53. 290542 192. 15S. 0. 5 - 1?2. lS. 0.4 卜 PKOTOOa2 TIL:128 TOS:OkO ID:57481 IpLen;20 DgmLen;150tf MFFrag Offset: 0x0SAC Frag Size: Ox05C8*妇 Ll: 273:2 DOS IGHP dos att aclc *+：Classification: Attempt ed Denxa

25、l of Service Priority: 2 08/20-13;2E:53.29078 192.168.0.5 - 132.lS.0.4PKOTOOa2 TIL:128 TOS:OkO ID:57481 IpLen:20 DgmLen:1500 MFFrag Offset: 0x0965 Frag Size: Ox05CS图拒绝服务攻击的检测结果第7章 入侵检测系统的标准与评估选择题：（1）ABC（2）C（3）BD（4）B（5）AC（6）ABC（7）B思考题：（1）CIDF标准化工作的主要思想是什么？答：CIDF标准化工作基于这样的思想：入侵行为是如此广泛和复杂，以至于依靠某 个单一的ID

26、S不可能检测出所有的入侵行为，因此就需要一个IDS系统的合作来检测跨 越网络或跨越较长时间段的不同攻击。为了尽可能地减少标准化工作，CIDF把【。，系 统合作的重点放在了不同组件间的合作上。（2）CIDF是怎样解决组件之间的通讯问题的？答：CIDF组件间的通信是通过一个层次化的结构来完成的。这个结构包括三层： Gidos层、信体层、协商传输层。针对CIDF的一个组件怎样才能安全地连接到其它组 件的问题，CIDF提出了一个可扩展性非常好的比较完备的解决方法，即采用中介服务 （Matchmaker）。针对连接建立后CIDF如何保证组件之间安全有效地进行通信的问 题，CIDF是通过信体层和传输层来解

27、决的。信体层是为了解决诸如同步（例如阻塞和非 阻塞等）、屏蔽不同操作系统的不同数据表示、不同编程语言不同的数据结构等问题而提 出的。它规定7Message的格式，并提出了双方通信的流程。此外，为了保证通信的安 全性，信体层包含了鉴别、加密和签名等机制。（3）IDWG的主要工作是什么？答：IDWG的主要工作围绕着下面三点：（1）制定入侵检测消息交换需求文档。该 文档内容有入侵检测系统之间通信的要求说明，同时还有入侵检测系统和管理系统之间 通信的要求说明。（2）制定公共入侵语言规范。（3）制定一种入侵检测消息交换的体系 结构，使得最适合于用目前已存在协议实现入侵检测系统之间的通信。（4）检测系统的

28、报警信息可信度与虚警率、检测率之间的关系是什么？答：给定检测率的条件下，报警信息的可信度将随着检测系统虚警率的增大而减小。 而在给定虚警率的条件下，报警信息的可信度将随着检测率的增大而增大。（5）评价入侵检测系统性能的三个因素是什么，分别表示什么含义？答：评价入侵检测系统性能的三个因素是：准确性；处理性能；完备性。准确性指入侵检测系统能正确地检测出系统入侵活动。当一个入侵检测系统的检测 不准确时，它就可能把系统中的合法活动当作入侵行为并标识为异常。处理性能指一个入侵检测系统处理系统审计数据的速度。显然，当入侵检测系统的 处理性能较差时，它就不可能实现实时的入侵检测。完备性指入侵检测系统能够检测

29、出所有攻击行为的能力。如果存在一个攻击行为， 无法被入侵检测系统检测出来，那么该入侵检测系统就不具有检测完备性。由于在一般 情况下，很难得到关于攻击行为以及对系统特权滥用行为的所有知识，所以关于入侵检 测系统的检测完备性的评估要相对困难得多。(6) IDS测试方法的局限性是什么？答：IDS测试方法的局限性在于只能测试己知攻击。(7) 性能测试的主要指标是什么？答：性能测试的主要的指标有：IDS引擎的吞吐量；包的重装；过滤的效率。(8) 离线评估方案和实时评估方案各有什么优缺点？答：离线评估方案的优点是设计简单，集中于核心技术，消除安全与隐私问题并提 供大多数入侵检测系统所使用的数据类型。缺点是

30、无法反映网络入侵行为的实时性。实时评估方案的优点是可以测量每个IDS系统在现有的正常机器和网络活动中检测 入侵行为的效力，可以测量每个IDS系统的反应机制的效力以及对正常用户的影响。缺 点是构建评估环境比较复杂。第8章Snort分析一、选择题1. B2. C二、思考题1. Snort的3种工作模式是什么？答：Snort有以下3种工作模式：嗅探器嗅探器模式仅仅是从网络上读取数 据包并作为连续不断的流显示在终端上。数据包记录器一一数据包记录器模式把数据 包记录到硬盘上。网络入侵检测系统一一Snort最重要的用途还是作为网络入侵检测 系统，这种工作模式是最复杂的，而且是可配置的。用户可以让Snort

31、分析网络数据流 以匹配用户定义的一些规则，并根据检测结果采取一定的动作。2. Snort所需的底层库有哪些？答：Snort所需的底层库有：Libpcap： Libpcap提供的接口函数主要实现和封 装了与数据包截获有关的过程Libnet： Libnet提供的接口函数主要实现和封装了数据 包的构造和发送过程。NDIS packet capture Driver： NDIS packet capture Driver是为了方便用户在Win32/9x/NT/2000环境下抓取和处理网络数据包而提供的驱动程 序。Packet Driver 分为 Windows 9x、Windows NT 和 Wind

32、ows 2000 3 丰中不同类 型。3 .简述Snort的特点答：Snort是一个强大的轻量级的网络入侵检测系统，它具有实时数据流量分析和 日志IP网络数据包的能力，能够进行协议分析，对内容进行搜索/匹配；它能够检测各 种不同的攻击方式，对攻击进行实时报警；此外，Snort具有很好的扩展性和可移植性。 还有，这个软件遵循通用公共许可证GPL，所以只要遵守GPL任何组织和个人都可以自 由使用。Snort是一个轻量级的入侵检测系统。Snort虽然功能强大，但是其代码极为简 洁、短小，其源代码压缩包只有大约110KB。Snort的跨平台性能极佳。与大多数商 用入侵检测软件只能支持其中的12种操作系

33、统，甚至需要特定的操作系统不同的是， Snort具有跨平台的特点，它支持的操作系统广泛。Snort的功能非常强大。Snort 具有实时流量分析和日志IP网络数据包的能力、能够快速地检测网络攻击，及时地发出 报警；Snort能够进行协议分析，内容的搜索/匹配；Snort的日志格式既可以是 Tcpdump式的二进制格式，也可以解码成ASCII字符形式，更加便于用户尤其是新手 检查；使用数据库输出插件，Snort可以把日志记入数据库；使用 TCP流插件(Tcpstream)，Snort可以对TCP包进行重组、可以对TCP包进行缓冲，；使用SPADE (Statistical Packet Anoma

34、ly Detection Engine 插件，Snort 能够报告非正常的可 疑包，从而对端口扫描进行有效的检测；Snort还有很强的系统防护能力，使用FlexResp 功能，Snort能够主动断开恶意连接。扩展性能较好，对于新的攻击威胁反应迅速。 遵循公共通用许可证GPL，任何企业、个人、组织都可以免费使用它作为自己的NIDS。4 .简述Snort的入侵检测流程。答：基于规则的模式匹配是Snort的核心检测机制。Snort的入侵检测流程分成两 大步：第一步是规则的解析流程，包括从规则文件中读取规则和在内存中组织规则；第 二步是使用这些规则进行匹配的入侵流程。(要求对具体的流程树进行掌握)第9

35、章 入侵检测的发展趋势一、选择题1. ABCD2. ABCD二、思考题1. 入侵检测基于两个基本的前提是什么？答：一是系统活动是可以观察到的；二是合法行为和入侵行为是可以区分的，也就 是说可以通过提取用户行为的特征来分析、判断该行为的合法性。2. 代表性的入侵检测的先进技术有哪些？答：入侵检测的先进技术主要有：神经网络与入侵检测技术的结合、数据挖掘与入 侵检测技术的结合、数据融合技术与入侵检测技术的结合、计算机免疫学与入侵检测技 术的结合、进化计算与入侵检测技术的结合以及分布式的入侵检测框架等等。3. 简述入侵检测的前景。答：一方面可以从入侵检测系统的分析能力上另一方面可以从入侵检测系统本身的

36、 管理和协调操作上考虑入侵检测系统的前景：未来的入侵检测系统应该能够进行基于事 件语义的检测，而不是基于事件语法的检测，用以弥补当前在安全政策和检测政策之间 的差距；入侵检测功能与通用网络管理结合起来，使入侵检测系统能够进行良好的趋势 分析，可能也会及时预测有威胁的攻击，从而阻塞或防止这些攻击；必须能够收集可靠 的信息，以便能够支持入侵调查，做为法律证据；更好的易用性和易管理性，特别是在 设备的规模比较大的情况下；入侵检测高度分布式监控结构的使用；广泛的信息源；硬 件版本的入侵检测系统和安全网络工具箱集成在一起，集成的安全和网络工具箱可能会 包括网络接口硬件（保护集线器和路由器）、防火墙、连接加密器、Web服务器和其他 用来加强更快更安全连接的功能；最重要的是提供高效的安全服务。4 .简述IPv6对入侵检测的影响。答：与IPv4相比，IPv6提供了许多全新的特性，如地址空间扩展、安全性设置以 及自动配置等，IPv6的发展也得到了众多设备制造商的支持。在新一代因特网中，依然 存在各种各样的入侵。由于当前IPv6尚未普及，利用IPv6展开的入侵也并未在因特网 上传开，因此基于IPv6入侵检测系统的后续工作应该主要围绕提高系统稳定性和处理性 能展开，并跟踪国内外IPv6入侵检测领域的最新动态，及时更新特征规则库和各种处理 插件。