網(wǎng)絡(luò)安全技術(shù)習(xí)題及答案第章入侵檢測系統(tǒng)

1、第9章入侵檢測系統(tǒng)1、 單項選擇題1) B2) D3) D4) C5) A6) D2、 簡答題( 1)什么叫入侵檢測，入侵檢測系統(tǒng)有哪些功能？入侵檢測系統(tǒng)(簡稱“IDS”)就是依照一定的，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。入侵檢測系統(tǒng)功能主要有：識別黑客常用入侵與攻擊手段監(jiān)控網(wǎng)絡(luò)異常通信鑒別對系統(tǒng)漏洞及后門的利用完善網(wǎng)絡(luò)安全管理( 2)根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分哪幾種？根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為基于主機(jī)的入侵檢測基于網(wǎng)絡(luò)的入侵檢測、混合型三種。主機(jī)型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序

2、日志等作為數(shù)據(jù)源。主機(jī)型入侵檢測系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段的任務(wù)。混合型是基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的結(jié)合，它為前兩種方案提供了互補(bǔ)，還提供了入侵檢測的集中管理，采用這種技術(shù)能實現(xiàn)對入侵行為的全方位檢測。( 3)常用的入侵檢測系統(tǒng)的技術(shù)有哪幾種？其原理分別是什么？常用的入侵檢測系統(tǒng)的技術(shù)有兩種，一種基于誤用檢測(Anomal Detection ) ，另一種基于異常檢測( Misuse Detection ) 。對于基于誤用的檢測技術(shù)來說，首先要定義違背安全策略事件的特征，檢測主要判別這類特征是否在所收

3、集到的數(shù)據(jù)中出現(xiàn)，如果檢測到該行為在入侵特征庫中，說明是入侵行為，此方法非常類似殺毒軟件?；谡`用的檢測技術(shù)對于已知的攻擊，它可以詳細(xì)、準(zhǔn)確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新?；诋惓５臋z測技術(shù)則是先定義一組系統(tǒng)正常情況的數(shù)值，如CPURJ用率、內(nèi)存利用率、文件校驗和等(這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出)，然后將系統(tǒng)運(yùn)行時的數(shù)值與所定義的“正?！鼻闆r比較， 得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的正常情況。異常檢測只能識別出那些與正常過程有較大偏差的行為，無法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更

4、廣范、甚至未發(fā)覺的攻擊。（ 4）入侵檢測系統(tǒng)彌補(bǔ)了防火墻的哪些不足？網(wǎng)絡(luò)防火墻是指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火墻也存在以下不足之處：防火墻可以阻斷攻擊，但不能消滅攻擊源。入侵者可以尋找防火墻背后可能敞開的后門而繞過防火墻；防火墻不能抵抗最新的未設(shè)置策略的攻擊漏洞。防火墻的并發(fā)連接數(shù)限制容易導(dǎo)致?lián)砣蛘咭绯?。而?dāng)防火墻溢出的時候，整個防線就如同虛設(shè)，原本被禁止的連接也能從容通過了；防火墻對待內(nèi)部主動發(fā)起連接的攻擊一般無法阻止；防火墻本身也會出現(xiàn)問題和受到攻擊；防火墻不處理病毒。普通防火墻雖然掃描通過他的信息，但一般只掃描源地址、目的地址端口號，不掃描數(shù)據(jù)的確切內(nèi)容，對于病

5、毒來說，防火墻不能防范。防火墻是一種靜態(tài)的安全技術(shù), 需要人工來實施和維護(hù), 不能主動跟蹤入侵者。綜合以上可以看出，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)，但不代表設(shè)置了防火墻就能一定保證網(wǎng)絡(luò)的安全。入侵攻擊已經(jīng)見怪不怪，對付這些入侵者的攻擊，可以通過身份鑒別技術(shù)，使用嚴(yán)格的訪問控制技術(shù)，還可以對數(shù)據(jù)進(jìn)行加密保護(hù)等，但這并不完全可行。所以靜態(tài)安全措施并不足以保護(hù)安全對象。因此，一種動態(tài)的方法是必要的。比如行為跟蹤、入侵檢測技術(shù)。但是，完全防止入侵目前看是不現(xiàn)實的。人們可以盡力檢測出這些入侵，以便采取措施或者以后修補(bǔ)。（ 5）簡述基于主機(jī)的入侵檢測系統(tǒng)的優(yōu)點?；谥鳈C(jī)的入侵檢測系統(tǒng)優(yōu)點：能夠監(jiān)視特定的系統(tǒng)活

6、動，可以精確的根據(jù)自己的需要定制規(guī)則。不需要額外的硬件，HIDS駐留在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上，其包括文件服務(wù)器、Web服務(wù)器和其它的共享資源等。減少了以后維護(hù)和管理硬件設(shè)備的負(fù)擔(dān)。適用于被加密的和交換的環(huán)境。可以克服NIDS 在交換和加密環(huán)境中所面臨的一些困難。缺點：依賴于特定的操作系統(tǒng)平臺，對不同的平臺系統(tǒng)而言，它是無法移植的，因此必須針對各不同主機(jī)安裝各種HIDS。在所保護(hù)主機(jī)上運(yùn)行，將影響到宿主機(jī)的運(yùn)行性能，特別是當(dāng)宿主機(jī)為服務(wù)器的情況；通常無法對網(wǎng)絡(luò)環(huán)境下發(fā)生的大量攻擊行為，做出及時的反應(yīng)。（ 6）簡述基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)點與缺點。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)點：成本較低，NIDS系

7、統(tǒng)并不需要在各種各樣的主機(jī)上進(jìn)行安裝，大大減少了安全和管理的復(fù)雜性。實時檢測和響應(yīng)，一旦發(fā)生惡意訪問或攻擊，NIDS檢測可以隨時發(fā)現(xiàn)它們，因此能夠很快地作出反應(yīng)?？杀O(jiān)測到未成功或惡意的入侵攻擊：一個放在防火墻外面的NIDS 可以檢測到旨在利用防火墻后面的資源的攻擊。與操作系統(tǒng)無關(guān)：并不依賴主機(jī)的操作系統(tǒng)作為檢測資源，而HIDS需要特定的操作系統(tǒng)才能發(fā)揮作用。缺點：要采集大型網(wǎng)絡(luò)上的流量并加以分析，往往需要更有效率的 CPU處理速度，以及更大的內(nèi)存空間。只檢查它直接相連的網(wǎng)段的通信，不能檢測其他網(wǎng)段的包。處理加密的會話較困難。目前通過加密通道的攻擊尚不多，但隨著IPV6的普及，這個問題會越來越突

8、出。（ 7）評價一個入侵檢測系統(tǒng)的優(yōu)劣，技術(shù)角度看主要從哪幾方面來考慮。從技術(shù)的角度看，一個好的入侵檢測系統(tǒng)，應(yīng)該具有以下特點：檢測效率高。一個好的入侵檢測系統(tǒng)，應(yīng)該有比較高的效率，也就是它可以快速處理數(shù)據(jù)包，不會出現(xiàn)漏包、丟包或網(wǎng)絡(luò)擁塞現(xiàn)象。資源占用率小。一個好的入侵檢測系統(tǒng)應(yīng)該盡量少地占用系統(tǒng)的資源，比如內(nèi)存、對于CPU的使用等。開放性一個好的入侵檢測系統(tǒng)應(yīng)該是開放式結(jié)構(gòu)，允許第三方和用戶對系統(tǒng)進(jìn)行擴(kuò)展和維護(hù).完備性。一個好的入侵檢測系統(tǒng)，應(yīng)該具備自學(xué)習(xí)、事后推理、策略反饋等能力，以使得入侵檢測系統(tǒng)具有一定的智能，從而能較好地識別未知攻擊。安全性。一個好的入侵檢測系統(tǒng)，應(yīng)該保證自身的安全，使自己不會輕易被攻破。（ 8）簡述IDS 的發(fā)展趨勢分布式入侵檢測智能化入侵檢測基于內(nèi)