入侵檢測習(xí)題答案

1、第一章習(xí)題答案.1 從物理安全和邏輯安全兩個方面描述計算機安全的內(nèi)容.答：計算機安全的內(nèi)容包括物理安全和邏輯安全兩方面。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護，免于破壞、丟失等。邏輯安全指計算機中信息和數(shù)據(jù)的安全，它存在于信息系統(tǒng)中從信息的產(chǎn)生、信息的傳輸、信息的存貯直至信息的應(yīng)用這一全部過程，主要包括軟件的安全、數(shù)據(jù)的安全和運行的安全。軟件的安全是保護各種軟件及其文檔不被任意篡改、失效和非法復(fù)制，數(shù)據(jù)安全是保護所存貯的數(shù)據(jù)資源不被非法使用和修改，運行安全是保護信息系統(tǒng)能連續(xù)正確地運行。1.2安全的計算機系統(tǒng)的特征有幾個，它們分別是什么？答：安全的計算機信息系統(tǒng)是指可以信賴的按照期望的方式運

2、行的系統(tǒng)，它必須能夠保護整個系統(tǒng)使其免受任何形式的入侵。它一般應(yīng)該具有以下幾個特征：機密性（confidentiality）：機密性是指數(shù)據(jù)不會泄漏給非授權(quán)的用戶、實體，也不會被非授權(quán)用戶使用，只有合法的授權(quán)用戶才能對機密的或受限的數(shù)據(jù)進行存取。完整性（Integrity）：完整性是指數(shù)據(jù)未經(jīng)授權(quán)不能被改變。也就是說，完整性要求保持系統(tǒng)中數(shù)據(jù)的正確性和一致性。不管在什么情況下，都要保護數(shù)據(jù)不受破壞或者被篡改。可用性（Availability）：計算機資源和系統(tǒng)中的數(shù)據(jù)信息在系統(tǒng)合法用戶需要使用時，必須是可用的。即對授權(quán)用戶，系統(tǒng)應(yīng)盡量避免系統(tǒng)資源被耗盡或服務(wù)被拒絕的情況出現(xiàn)。可控性（Contr

3、oliability）：可控性是指可以控制授權(quán)范圍內(nèi)的信息流向及行為方式，對信息的訪問、傳播以及具體內(nèi)容具有控制能力。同時它還要求系統(tǒng)審計針對信息的訪問，當(dāng)計算機中的泄密現(xiàn)象被檢測出后，計算機的安全系統(tǒng)必須能夠保存足夠的信息以追蹤和識別入侵攻擊者，入侵者對此不能夠抵賴。正確性（Correctness）：系統(tǒng)要盡量減少由于對事件的不正確判斷所引起的虛警（False Alarms）現(xiàn)象，要有較高的可靠性。如果虛警率太高，那么用戶的合法行為就會經(jīng)常性地被打斷或者被禁止。這樣，不僅使得系統(tǒng)的可用性降低，而且也會使合法用戶對系統(tǒng)失去信心。1.3描述并解釋Anderson在年提出的計算機安全模型答：And

4、erson在1972年提出了計算機安全模型，如圖1.1所示。 圖1.1 計算機安全模型其各個模塊的功能如下:安全參考監(jiān)視器控制主體能否訪問對象。授權(quán)數(shù)據(jù)庫并不是安全參考監(jiān)視器的一部分，但是安全參考監(jiān)視器要完成控制功能需要授權(quán)數(shù)據(jù)庫的幫助。識別與認(rèn)證系統(tǒng)識別主體和對象。審計系統(tǒng)用來記錄系統(tǒng)的活動信息。該模型的實現(xiàn)采用訪問控制機制來保證系統(tǒng)安全。訪問控制機制識別與認(rèn)證主體身份，根據(jù)授權(quán)數(shù)據(jù)庫的記錄決定是否可以允許主體訪問對象。1.4描述并解釋P2DR模型.P2DR模型 (Policy策略，Protection防護，Detection檢測，Response響應(yīng))是一種動態(tài)的、安全性高的網(wǎng)絡(luò)安全模型，

5、如圖1.3所示。 圖1.3 P2DR模型它的基本思想是：以安全策略為核心，通過一致的檢查、流量統(tǒng)計、異常分析、模式匹配以及應(yīng)用、目標(biāo)、主機、網(wǎng)絡(luò)入侵檢查等方法進行安全漏洞檢測，檢測使系統(tǒng)從靜態(tài)防護轉(zhuǎn)化為動態(tài)防護，為系統(tǒng)快速響應(yīng)提供了依據(jù)，當(dāng)發(fā)現(xiàn)系統(tǒng)有異常時，根據(jù)系統(tǒng)安全策略快速作出響應(yīng)，從而達到了保護系統(tǒng)安全的目的。防護、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)。在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。15 傳統(tǒng)的安全技術(shù)有幾類，他們分別是什么？傳統(tǒng)的安全技術(shù)分為兩類：靜態(tài)安全技術(shù)和動態(tài)安全技術(shù)。所謂靜態(tài)安全技術(shù)，是指通過人工的方法，采用一些外圍設(shè)備，主要是用于保護系統(tǒng)抵御外部的攻擊，其代表產(chǎn)

6、品就是我們常見的防火墻。動態(tài)安全技術(shù)的最大優(yōu)點在于“主動性”，通過把實時的數(shù)據(jù)捕獲、實時的數(shù)據(jù)分析和網(wǎng)絡(luò)監(jiān)視系統(tǒng)相結(jié)合，根據(jù)特定安全數(shù)據(jù)庫中的數(shù)據(jù)，經(jīng)過分析，迅速發(fā)現(xiàn)危險攻擊的特征，進而發(fā)出警報，同時也提供一定的保護措施。1.6 請描述傳統(tǒng)的安全機制傳統(tǒng)的一些安全機制分不六類，如下：(1). 數(shù)據(jù)加密技術(shù). 加密是指將一個信息經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無意義的密文，接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙還原成明文。(2). 訪問控制技術(shù). 訪問控制技術(shù)按照事先確定的規(guī)則決定主體對客體的訪問是否合法。它要確定合法用戶對哪些系統(tǒng)資源享有何種權(quán)限、可進行什么類型的訪問操作，防止非法用戶進入計算

7、機系統(tǒng)和合法用戶對系統(tǒng)資源的非法使用。(3). 認(rèn)證技術(shù). 認(rèn)證就是將特定實體從任意實體的集合中識別出來的行為。它以交換信息的方式來確認(rèn)實體的身份。(4). 數(shù)據(jù)完整性控制技術(shù). 數(shù)據(jù)完整性控制技術(shù)是指能識別有效數(shù)據(jù)的一部分或全部信息被篡改的技術(shù)。數(shù)據(jù)完整性控制包括文件系統(tǒng)完整性控制及網(wǎng)絡(luò)傳輸信息的完整性。(5). 安全漏洞掃描技術(shù). 漏洞是指任意的允許非法用戶未經(jīng)授權(quán)獲得訪問或提高其訪問層次的硬件或軟件特征。漏洞就是某種形式的脆弱性。漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術(shù)，它通過對系統(tǒng)當(dāng)前的狀況進行掃描、分析，找出系統(tǒng)中存在的各種脆弱性，在此基礎(chǔ)上進一步考慮脆弱性的修補與消除。(6

8、). 防火墻技術(shù). 防火墻是指安裝在內(nèi)部網(wǎng)絡(luò)與Internet之間或者網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的可以限制相互訪問的一種的安全保護措施。防火墻是在被保護網(wǎng)絡(luò)周邊建立的、分隔被保護網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)，它在內(nèi)部網(wǎng)與外部網(wǎng)之間形成了一道安全保護屏障。17 防火墻技術(shù)在網(wǎng)絡(luò)安全中占有重要的地位，它可分為幾種類型？防火墻的優(yōu)點與不足各是什么？防火墻可通過軟件和硬件相結(jié)合的方式來實現(xiàn)，當(dāng)前比較成熟的防火墻實現(xiàn)技術(shù)從層次上主要有以下兩種：包過濾和應(yīng)用層網(wǎng)關(guān)。包過濾技術(shù)主要在IP層實現(xiàn)。它根據(jù)包頭中所含的信息如源地址、目的地址等來判斷其能否通過。與包過濾相比，應(yīng)用層網(wǎng)關(guān)在通信協(xié)議棧的更高層操作，提供更為安全的選項。它通

9、常由兩部分組成：代理服務(wù)器和篩選路由器。這種防火墻技術(shù)是目前最通用的一種，它把過濾路由器技術(shù)和軟件代理技術(shù)結(jié)合在一起，由過濾路由器負(fù)責(zé)網(wǎng)絡(luò)的互聯(lián)，進行嚴(yán)格的數(shù)據(jù)選擇，應(yīng)用代理則提供應(yīng)用層服務(wù)的控制，中間轉(zhuǎn)接外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請的服務(wù)。防火墻具有以下優(yōu)點：防火墻通過過濾不安全的服務(wù)，可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風(fēng)險；它可以提供對系統(tǒng)的訪問控制，如允許從外部訪問某些主機，同時禁止訪問另外的主機；阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如 Finger和 DNS；防火墻可以記錄和統(tǒng)計通過它的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)，根據(jù)統(tǒng)計數(shù)據(jù)來判斷可能的攻擊和探測；防火墻提供制定和執(zhí)行網(wǎng)絡(luò)

10、安全策略的手段，它可對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，它定義的安全規(guī)則可運用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略。防火墻的不足:（1）入侵者可以尋找防火墻背后可能敞開的后門而繞過防火墻.（2）防火墻完全不能阻止內(nèi)部攻擊, 對于企業(yè)內(nèi)部心懷不滿的員工來說防火墻形同虛設(shè).（3）由于性能的限制, 防火墻通常不能提供實時的入侵檢測能力.（4）防火墻對于病毒也束手無策的.（5）防火墻無法有效地解決自身的安全問題. （6）防火墻無法做到安全與速度的同步提高, 一旦考慮到安全因素而對網(wǎng)絡(luò)流量進行深入的決策和分析, 那么網(wǎng)絡(luò)的運行速度勢必會受到影響. （7）防火墻是一種靜態(tài)的安全技術(shù),

11、需要人工來實施和維護, 不能主動跟蹤入侵者. 因此，認(rèn)為在 Internet的入口處布置防火墻，系統(tǒng)就足夠安全的想法是不切實際的。 第二章 入侵檢測系統(tǒng)答案21入侵檢測系統(tǒng)彌補了防火墻的哪些不足？防火墻是要保護的網(wǎng)絡(luò)或系統(tǒng)與外界之間的一道安全屏障。它通過加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，從而達到保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取的目的。它規(guī)定了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。但防火墻只是一種被動的防御技術(shù)，它無法識別和防御來自內(nèi)部網(wǎng)絡(luò)的濫用和攻擊，比如內(nèi)部員工惡意破壞、刪除數(shù)據(jù)，越權(quán)使用

12、設(shè)備，也不能有效防止繞過防火墻的攻擊，比如公司的員工將機密數(shù)據(jù)用便攜式存儲設(shè)備隨身帶出去造成泄密，員工自己撥號上網(wǎng)造成攻擊進入等。入侵檢測技術(shù)作為一種主動防護技術(shù)，可以在攻擊發(fā)生時記錄攻擊者的行為，發(fā)出報警，必要時還可以追蹤攻擊者。它既可以獨立運行，也可以與防火墻等安全技術(shù)協(xié)同工作，更好地保護網(wǎng)絡(luò)。2.2 簡述入侵檢測系統(tǒng)的發(fā)展歷史(1). 入侵檢測的研究最早可追溯到James P. Anderson在1980年的工作。在這一年的4月，他為美國空軍做了一份題為計算機安全威脅監(jiān)控與監(jiān)視（Computer Security Threat Monitoring and Surveillance）的技

13、術(shù)報告，這份報告被公認(rèn)為是入侵檢測的開山之作。在報告中，他首次提出了入侵檢測的概念，給出了入侵嘗試 (Intrusion attempt)或威脅(Threat)的定義。(2). 1987年，喬治敦大學(xué)的Dorothy E. Denning提出了一個實時的入侵檢測系統(tǒng)抽象模型IDES（Intrusion Detection Expert System,入侵檢測專家系統(tǒng)），首次將入侵檢測的概念作為一種計算機系統(tǒng)安全防御問題的措施提出。(3). 1990年是入侵檢測系統(tǒng)發(fā)展史上的一個分水嶺。這一年，加州大學(xué)戴維斯分校的L. T. Heberlein等人提出了一個新的概念：基于網(wǎng)絡(luò)的入侵檢測NSM(N

14、etwork Security Monitor).(4). 1991年，NADIR(Network Anomaly Detection and Intrusion Reporter)與DIDS(Distribute Intrusion Detection System)提出了收集和合并處理來自多個主機的審計信息以檢測一系列主機的協(xié)同攻擊。(5). 1994年，Mark Crosbie和Gene Spafford建議使用自治代理(autonomous agents)以便提高IDS的可伸縮性、可維護性、效率和容錯性，該理念非常符合正在進行的計算機科學(xué)其他領(lǐng)域 (如軟件代理，software age

15、nt)的研究。(6). 1995年開發(fā)了IDES完善后的版本NIDES(Next-Generation Intrusion Detection System) 可以檢測多個主機上的入侵。23 敘述基于主機的入侵檢測系統(tǒng)的優(yōu)點.基于主機的入侵檢查系統(tǒng)優(yōu)點包括：（1）能確定攻擊是否成功。主機是攻擊的目的所在，所以基于主機的IDS使用含有已發(fā)生的事件信息，可以比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。就這一方面而言，基于主機的IDS與基于網(wǎng)絡(luò)的IDS互相補充，網(wǎng)絡(luò)部分盡早提供針對攻擊的警告，而主機部分則可確定攻擊是否成功。（2）監(jiān)控粒度更細?；谥鳈C的IDS，監(jiān)控的目標(biāo)明確，視野集中，它可以檢測

16、一些基于網(wǎng)絡(luò)的IDS不能檢測的攻擊。它可以很容易地監(jiān)控系統(tǒng)的一些活動，如對敏感文件、目錄、程序或端口的存取。例如，基于主機的IDS可以監(jiān)督所有用戶登錄及退出登錄的情況，以及每位用戶在聯(lián)接.到網(wǎng)絡(luò)以后的行為。它還可監(jiān)視通常只有管理員才能實施的非正常行為。針對系統(tǒng)的一些活動，有時并不通過網(wǎng)絡(luò)傳輸數(shù)據(jù)，有時雖然通過網(wǎng)絡(luò)傳輸數(shù)據(jù)但所傳輸?shù)臄?shù)據(jù)并不能提供足夠多的信息，從而使得基于網(wǎng)絡(luò)的系統(tǒng)檢測不到這些行為，或者檢測到這個程度非常困難。（3）配置靈活。每一個主機有其自己的基于主機的IDS，用戶可根據(jù)自己的實際情況對其進行配置。（4）可用于加密的以及交換的環(huán)境。加密和交換設(shè)備加大了基于網(wǎng)絡(luò)IDS收集信息的難

17、度，但由于基于主機的IDS安裝在要監(jiān)控的主機上，根本不會受這些因素的影響。（5）對網(wǎng)絡(luò)流量不敏感。基于主機的IDS一般不會因為網(wǎng)絡(luò)流量的增加而丟掉對網(wǎng)絡(luò)行為的監(jiān)視。（6）不需要額外的硬件。2.4 敘述基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)點與缺點.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)有以下優(yōu)點：（1）監(jiān)測速度快?；诰W(wǎng)絡(luò)的監(jiān)測器通常能在微秒或秒級發(fā)現(xiàn)問題。而大多數(shù)基于主機的產(chǎn)品則要依靠對最近幾分鐘內(nèi)審計記錄的分析。（2）隱蔽性好。一個網(wǎng)絡(luò)上的監(jiān)測器不像一個主機那樣顯眼和易被存取，因而也不那么容易遭受攻擊。基于網(wǎng)絡(luò)的監(jiān)視器不運行其他的應(yīng)用程序，不提供網(wǎng)絡(luò)服務(wù)，可以不響應(yīng)其他計算機，因此可以做得比較安全。（3）視野更寬?？?/p>

18、以檢測一些主機檢測不到的攻擊，如淚滴攻擊（Teardrop），基于網(wǎng)絡(luò)的SYN攻擊等。還可以檢測不成功的攻擊和惡意企圖。（4）較少的監(jiān)測器。由于使用一個監(jiān)測器就可以保護一個共享的網(wǎng)段，所以你不需要很多的監(jiān)測器。相反地，如果基于主機，則在每個主機上都需要一個代理，這樣的話，花費昂貴，而且難于管理。但是，如果在一個交換環(huán)境下，就需要特殊的配置。（5）攻擊者不易轉(zhuǎn)移證據(jù)?；诰W(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通訊進行實時攻擊的檢測。所以攻擊者無法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識別黑客身份和對其進行起訴的信息。許多黑客都熟知審計記錄，他們知道如何操縱這些文件掩蓋他們的作案痕跡，如何

19、阻止需要這些信息的基于主機的系統(tǒng)去檢測入侵。（6）操作系統(tǒng)無關(guān)性?；诰W(wǎng)絡(luò)的IDS作為安全監(jiān)測資源，與主機的操作系統(tǒng)無關(guān)。與之相比，基于主機的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。（7）可以配置在專門的機器上，不會占用被保護的設(shè)備上的任何資源?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要缺點是：只能監(jiān)視本網(wǎng)段的活動，精確度不高；在交換環(huán)境下難以配置；防入侵欺騙的能力較差；難以定位入侵者。25 根據(jù)檢測原理，入侵檢測系統(tǒng)可以分為幾類？其原理分別是什么？根據(jù)檢測原理，將入侵檢測分為兩類：異常檢測和誤用檢測。1異常檢測在異常檢測中，觀察到的不是已知的入侵行為，而是所研究的通信過程中

20、的異?，F(xiàn)象，它通過檢測系統(tǒng)的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統(tǒng)計概率模型，明確所觀察對象的正常情況，然后決定在何種程度上將一個行為標(biāo)為“異?！?，并如何做出具體決策。 2誤用檢測在誤用檢測中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。所以，可事先定義某些特征的行為是非法的，然后將觀察對象與之進行比較以做出判別。誤用檢測基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測。它能夠準(zhǔn)確地檢測到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏報。第三章入侵的方法與手段答案3.1敘述計算機網(wǎng)絡(luò)的主要漏洞計算機網(wǎng)絡(luò)的主要漏洞有：(1

21、)緩沖區(qū)溢出緩沖區(qū)溢出漏洞是很典型的一類漏洞，現(xiàn)有的漏洞很多都可以歸為此類。比如最近發(fā)現(xiàn)，OpenLDAP存在多個遠程緩沖區(qū)溢出漏洞。OpenLDAP是一款開放源代碼的輕量級目錄訪問協(xié)議（LDAP）實現(xiàn)，用于在網(wǎng)絡(luò)環(huán)境中發(fā)布信息，比如X.509證書或登錄信息。其源代碼被發(fā)現(xiàn)存在多個緩沖區(qū)邊界沒有正確檢查的問題，遠程攻擊者可以利用這些漏洞進行緩沖區(qū)溢出攻擊，并以O(shè)penLDAP進程權(quán)限在系統(tǒng)上執(zhí)行任意命令。(2)拒絕服務(wù)攻擊漏洞拒絕服務(wù)攻擊漏洞也是一類典型的漏洞。比如，Microsoft公司開發(fā)的HTTP服務(wù)器程序IIS。它的“Shtml.dll”組件對包含畸形HOST頭字段的HTTP請求處理存

22、在問題，遠程攻擊者可以發(fā)送包含多個“/”字符的HOST頭信息給IIS服務(wù)器，這樣可以導(dǎo)致WEB服務(wù)崩潰，停止對合法請求的響應(yīng)。(3)權(quán)限提升漏洞比如Windows WM_TIMER消息處理權(quán)限提升漏洞。WM_TIMER消息一般在某一計時器超時時發(fā)送，可以用來使進程執(zhí)行計時回調(diào)函數(shù)。WM_TIMER消息存在安全問題，本地或者利用終端服務(wù)訪問的攻擊者可以利用這個漏洞使用WM_TIMER消息利用其他高權(quán)限進程執(zhí)行回調(diào)函數(shù)，造成權(quán)限提升，使本地用戶可以提升權(quán)限至管理用戶。(4)遠程命令執(zhí)行漏洞比如，Cobalt RaQ4管理接口遠程命令執(zhí)行漏洞。這個漏洞只存在安裝了RaQ4加固安全包之后的RaQ4服務(wù)

23、程序中。Cobalt RaQ是一個基于Internet的服務(wù)應(yīng)用程序，由Sun微系統(tǒng)公司發(fā)布和維護。Cobalt RaQ WEB管理接口在處理用戶提供的Email參數(shù)時缺少正確過濾，遠程攻擊者可以利用這個漏洞以WEB進程權(quán)限在系統(tǒng)上執(zhí)行任意命令。(5)文件泄漏、信息泄漏漏洞“./”的惡意請求可以對服務(wù)器進行目錄遍歷。遠程攻擊者可以利用這個漏洞訪問系統(tǒng)FTP目錄以外任意的文件。(7)其他類型的漏洞除了以上舉例說明的幾種漏洞外，按照漏洞造成的直接危害，還存在列舉出其他一些漏洞，比如腳本執(zhí)行漏洞、可繞過認(rèn)證漏洞、遠程訪問漏洞等，這里就不一一舉例。以上舉出的漏洞多數(shù)已經(jīng)有補丁發(fā)布。3.2根據(jù)攻擊發(fā)生的

24、方式，Anderson將攻擊如何分類？Anderson將攻擊分為三類:1.外部滲透：就是非授權(quán)用戶對計算機系統(tǒng)進行的攻擊。2.內(nèi)部滲透：系統(tǒng)的合法用戶對其訪問權(quán)限以外的資源造成危害的攻擊。3.不當(dāng)行為：合法用戶對其訪問權(quán)限之內(nèi)的數(shù)據(jù)或者其他資源的誤用行為。3.3敘述木馬發(fā)展的兩個階段。木馬的發(fā)展大致分為兩個階段。最初網(wǎng)絡(luò)以UNIX平臺為主的時候，木馬就產(chǎn)生了，當(dāng)時的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統(tǒng)文件中，用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能，這個時期木馬的設(shè)計者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識。WINDOWS平臺普及之后，一些基于圖形操作的木馬程序出現(xiàn)了。由于

25、用戶界面的改善，使用者可以不必掌握太多的專業(yè)知識就能夠熟練的操作木馬，相對的木馬入侵事件發(fā)生率更高了，而且由于這個時期木馬的功能已日趨完善，因此對服務(wù)端的破壞也更大了。3.4敘述木馬的工作原理木馬一般又兩部分組成：服務(wù)器端，客戶端。在Windows系統(tǒng)中，木馬一般是一個網(wǎng)絡(luò)服務(wù)程序，服務(wù)器端運行于感染的機器上監(jiān)聽它的一些特定端口，這個端口號多數(shù)比較大（5000以上，但也有部分是5000以下的）；當(dāng)該木馬相應(yīng)的客戶端程序在此端口上請求連接時，木馬的客戶端和服務(wù)器端就建立一個TCP連接，這樣客戶端就可以控制感染木馬的機器，以達到攻擊的目的。3.5木馬的隱蔽方式有哪些?木馬的隱藏方式: (1).修改

26、圖標(biāo) 服務(wù)器的圖標(biāo)必須能夠迷惑目標(biāo)電腦的主人，如果木馬的圖標(biāo)看上去象是系統(tǒng)文件，電腦的主人就不會輕易地刪除他。另外在Email的附件中，木馬設(shè)計者們將木馬服務(wù)端程序的圖標(biāo)改成HTML、TXT、 ZIP等各種文件的圖標(biāo),這樣就有相當(dāng)大的迷惑性,現(xiàn)在這種木馬很常見。例如BO，它的圖標(biāo)是透明的，并且沒有文件名，其后綴名是EXE，由于WINDOWS默認(rèn)方式下不顯示后綴名的，所以在資源管理器中就看不到這個文件。 (2).捆綁文件 為了啟動木馬，最容易下手的地方是三個，注冊表、win.ini、system.ini，電腦啟動的時候，需要裝載這三個文件。還有替換windows啟動程序裝載的，例如schoolb

27、us 1.60版本。以上木馬的啟動方式都屬于非捆綁方式，大部分木馬是使用這幾種方式啟動的。但是非捆綁方法會在注冊表等位置留下痕跡，很容易發(fā)現(xiàn)。如果把木馬捆綁到一般的程序上，啟動是不確定的，但是要靠電腦主人啟動被捆綁的程序，木馬才會運行。捆綁方式是一種手動的安裝方式，一般捆綁的是非自動方式啟動的木馬。捆綁方式的木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等，位置的多變使木馬具有很強的隱蔽性。木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標(biāo)電腦上，捆綁到啟動程序上，也可以捆綁到一般程序的常用程序上。因此當(dāng)安裝程序運行時,木馬就會在用戶毫無察覺的情況下進入了系統(tǒng)。

28、有一點要說明的是，被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。 (3) .出錯顯示 有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應(yīng),這很可能就是個木馬程序, 木馬的設(shè)計者也意識到了這個缺陷,所以已經(jīng)有木馬提供了一個叫做出錯顯示的功能。當(dāng)服務(wù)端用戶打開木馬程序時,會彈出一個錯誤提示框,錯誤內(nèi)容可自由定義,大多會定制成一些諸如“文件已破壞，無法打開！”之類的信息，其實卻是啟動木馬。(4).定制端口 很多老式的木馬端口都是固定的,這使得木馬隱蔽性較差，只要查一下特定的端口就知道感染了什么木馬,這樣就可以很容易的把它刪除。像netspy的端口號是7306，冰河的端口號是762

29、6?，F(xiàn)在很多新式木馬已經(jīng)可以定制端口,控制端用戶可以在1024-65535之間任選一個端口作為木馬端口(一般不選1024以下的端口)，這樣要判斷所感染木馬的類型就不太容易了。像SUB7默認(rèn)的端口是1243，如果沒有改變，利用SUB7的刪除方法很容易就刪除了，但是如果把端口改成7626，計算機使用者就會感到混淆。(5).自我銷毀這項功能是為了彌補木馬的一個缺陷。我們知道當(dāng)服務(wù)端用戶打開含有木馬的文件后，木馬會將自己拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下)，一般來說原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了

30、木馬的人只要在近來收到的信件和下載的軟件中找到原木馬文件,然后根據(jù)原木馬的大小在系統(tǒng)目錄的文件夾查找相同大小的文件, 然后判斷哪一個是木馬。而木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動銷毀，這樣服務(wù)端用戶就很難找到木馬的來源，給查找、刪除木馬帶來困難。 (6) 木馬文件的文件名、存放位置在windows系統(tǒng)中木馬存放的位置一般是c:windows和c:windowssystem中，主要是因為這兩個目錄下面的文件大都是系統(tǒng)文件，并且文件最多。木馬的文件名一般是與一些系統(tǒng)的文件名比較接近，以達到迷惑受害人的目的。比如木馬SubSeven1.7版本的服務(wù)器文件名是c:windowsKERN

31、EL16.DL，它與windows中的一個系統(tǒng)文件c:windowsKERNEL32.DLL很相近。再例如phAse1.0版本生成的木馬文件名是C:windowsMsgsrv32.exe,與windows系統(tǒng)文件C:windowssystemMsgsrv32.exe文件名一樣。(7).隱蔽運行既然是木馬，當(dāng)然不會那么容易讓你看出破綻，對于程序設(shè)計人員來說，要隱藏自己所設(shè)計的窗口程序，主要途徑有：在任務(wù)欄中將窗口隱藏，這個只要把Form的Visible屬性調(diào)整為False，ShowInTaskBar也設(shè)為False。那么程序運行時就不會出現(xiàn)在任務(wù)欄中了。如果要在任務(wù)管理器中隱身，只要將程序調(diào)整為

32、系統(tǒng)服務(wù)程序就可以了。另外還有一些木馬運行的時候其進程也是隱藏起來的。3.6木馬的觸發(fā)條件主要有幾種？木馬的觸發(fā)條件主要有以下幾種： 1).注冊表:打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五個以Run 和RunServices主鍵,有些木馬安裝在機器上以后，在其中可以尋找到啟動木馬的鍵值。 2).WIN.INI:C:WINDOWS目錄下有一個配置文件win.ini，用文本方式打開，在windows字段中有啟動命令 load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。 3).SYSTEM.INI:

33、C:WINDOWS目錄下有個配置文件system.ini，用文本方式打開，在386Enh,mic， drivers32中有命令行,在其中尋找木馬的啟動命令。 5). *.INI:即應(yīng)用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬 啟動命令的同名文件上傳到服務(wù)端覆蓋這同名文件，6).注冊表:打開HKEY_CLASSES_ROOT文件類型shellopencommand主鍵,查看其鍵值。舉個例子,國產(chǎn) 木馬“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的鍵值,將“C :WINDOWS NOTEPAD.EXE %1”改

34、為“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”。如果雙擊一個TXT文件后，原本是應(yīng)用NOTEPAD打開文件的，現(xiàn)在卻變成啟動木馬程序了。另外通過修改HTML，EXE，ZIP等文件的啟動命令的鍵值都可以啟動木馬 ，不同之處只在于“文件類型”這個主鍵的差別. 7).捆綁文件:實現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪 除了，只要運行捆綁了木馬的應(yīng)用程序，木馬又會被安裝上去了。 8).啟動菜單. 3.7木馬的破解方法有哪些？1.端口掃描 端口掃描是檢查遠程機器有無

35、木馬的最好辦法, 端口掃描的原理非常簡單, 掃描程序嘗試連接某個端口,因為B機裝有木馬程序，所以它的木馬端口7626是處于開放狀態(tài)的，如果成功, 則說明端口開放, 如果失敗或超過某個特定的時間(超時), 則說明端口關(guān)閉。2.檢查注冊表 3.查找文件4.殺病毒軟件 第四章入侵檢測的信息源答案4.1 基于主機的IDS和基于網(wǎng)絡(luò)的IDS各有哪些優(yōu)缺點？基于主機的IDS優(yōu)點: 基于主機的IDS分析來自單個的計算機系統(tǒng)的系統(tǒng)審計跡和系統(tǒng)日志來檢測攻擊，它主要是用來保護網(wǎng)絡(luò)中比較重要的主機; 基于主機的IDS分析的信息來自于單個的計算機系統(tǒng)，因此視野比較集中，這個優(yōu)點使得它能夠相對精確、相對可靠地分析入侵

36、活動，確定是否存在針對某臺主機的攻擊，是誰進行的攻擊。4.2 信息源如何分類？每一類信息源又包括哪些？信息源可以分為基于主機的信息源和基于網(wǎng)絡(luò)的信息源?；谥鳈C的信息源主要包括操作系統(tǒng)審計跡（operating system audit trail）、系統(tǒng)日志文件和其他應(yīng)用程序的日志文件，基于網(wǎng)絡(luò)的數(shù)據(jù)源主要是指網(wǎng)絡(luò)數(shù)據(jù)包。4.3 操作系統(tǒng)審計跡與系統(tǒng)日志有哪些不同之處？操作系統(tǒng)審計跡一般是由操作系統(tǒng)的內(nèi)核產(chǎn)生，它比系統(tǒng)日志保護得更好，更加詳細。系統(tǒng)日志則比較簡單明了，比較容易理解。許多基于主機的IDS被設(shè)計成一種支持集中式IDS的管理和報告基礎(chǔ)結(jié)構(gòu)，這種基礎(chǔ)結(jié)構(gòu)允許一個管理控制臺跟蹤多個主機

37、。 第五章 入侵檢測方法與應(yīng)用答案5.1 請描述數(shù)據(jù)挖掘技術(shù)在入侵檢測方面的應(yīng)用.數(shù)據(jù)挖掘是數(shù)據(jù)庫中的一項技術(shù)，它的作用就是從大型數(shù)據(jù)集中抽取知識。對于入侵檢測系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取出入侵的特征。因此就有學(xué)者將數(shù)據(jù)挖掘技術(shù)引入到入侵檢測系統(tǒng)中，通過數(shù)據(jù)挖掘程序處理搜集到的審計數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式，這是一個自動的過程。數(shù)據(jù)挖掘方法的關(guān)鍵點在于算法的選取和建立一個正確的體系結(jié)構(gòu)。5.2 請描述基于數(shù)據(jù)挖掘的用戶鍵盤及鼠標(biāo)異常檢測模塊的實現(xiàn)思想.基本思想如下：擊鍵韻律最先是由Rick Joyce和Gopal Gupta作為認(rèn)證手段提出的，并取得了一定的成果。實

38、驗數(shù)據(jù)表明，不同用戶之間擊鍵韻律存在可以進行鑒別的差別，同理，不同用戶對鼠標(biāo)的使用也有各自的特征。本文著眼于用戶鍵盤和鼠標(biāo)的行為特征，將其作為分析對象，應(yīng)用數(shù)據(jù)挖掘技術(shù)進行異常檢測。從對用戶正常行為活動的描述方面開辟了新的方法，同時針對于這種數(shù)據(jù)，對Apriori關(guān)聯(lián)規(guī)則算法進行了改進，還將分類算法和漏桶算法相結(jié)合進行實時檢測。5.3 請對基于數(shù)據(jù)融合的入侵檢測系統(tǒng)做簡單的描述.當(dāng)前入侵檢測系統(tǒng)中存在的誤報率、漏報率過高的問題，基于數(shù)據(jù)融合技術(shù)的入侵檢測技術(shù)從總體上考慮入侵檢測，具有靈活、易實現(xiàn)、易擴展的特點。多傳感器數(shù)據(jù)融合的思想就是通過處理IDS報警數(shù)據(jù)，從而改進報警的質(zhì)量。在IDS系統(tǒng)中

39、采用數(shù)據(jù)融合技術(shù)，可以聯(lián)合使用多種不同類型的IDS，通過對不同類型IDS產(chǎn)生的報警進行融合處理，并對聯(lián)合的數(shù)據(jù)進行推理，可以生成報警的多層位置攻擊描述抽象，這樣在一定程度上解決了誤報率問題。數(shù)據(jù)融合的步驟主要有以下向步：檢測，數(shù)據(jù)校準(zhǔn)發(fā)，相關(guān)（關(guān)聯(lián)），狀態(tài)估計，目標(biāo)識別，行為估計等。數(shù)據(jù)融合的關(guān)鍵問題是：數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)相關(guān)、數(shù)據(jù)庫、融合推理和融合損失等：5.4 對于一個面向企業(yè)網(wǎng)的分布式IDS系統(tǒng),請描述其總體設(shè)計結(jié)構(gòu)(1). 系統(tǒng)總體組成系統(tǒng)的總體組成包括在自頂向下設(shè)計系統(tǒng)的過程中，處在最上層的那部分組件，我們稱為“一級組件”，包括：一級管理中心（Top Manager）、二級管理中心（lo

40、cal Manager）、網(wǎng)絡(luò)檢測代理（Network-based Agent）、服務(wù)器代理（Server Agent）、出口檢測代理（Access Agent）。(2). 總體結(jié)構(gòu)描述本體系采用了多種的代理（agent）分類策略，在兩級（管理中心）的控制之下聯(lián)合協(xié)作，檢測發(fā)生在企業(yè)網(wǎng)之內(nèi)的入侵事件，并及時做出反應(yīng)措施。這個體系可以抽象成是一種“代理管理中心”結(jié)構(gòu)，一部分是各個功能不同的代理，另一部分是兩級管理中心。本結(jié)構(gòu)的一個重要的特點是采用樹形、分級的檢測管理的策略來實現(xiàn)體系結(jié)構(gòu)。所謂樹形，就是根節(jié)點是“一級管理中心”，“一級管理中心”下屬節(jié)點是“二級管理中心”，葉節(jié)點是受管理的具有各種功

41、能的代理（Agent）?！耙患壒芾碇行摹敝苯雍涂刂啤岸壒芾碇行摹保瑫r“二級管理中心”只控制和自己直接相連的下一級節(jié)點。5.5 請描述可入侵容忍的分布式協(xié)同入侵檢測系統(tǒng)體系結(jié)構(gòu).分布式入侵檢測體系結(jié)構(gòu)具有一定的入侵容忍能力，可進行一些協(xié)同操作。其體系結(jié)構(gòu)如下圖所示： 圖5.1 可入侵容忍的分布式協(xié)同入侵檢測系統(tǒng)體系結(jié)構(gòu)該體系結(jié)構(gòu)包括相互補充的功能模塊來提供更強大、更全面的檢測能力。在與其它安全系統(tǒng)協(xié)同時還可集成標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理功能以便于以后的自動響應(yīng)。該體系結(jié)構(gòu)包括本地檢測子系統(tǒng)、協(xié)同分析器、監(jiān)控器以及總控制管理器。每部分都包括一個收發(fā)器，不過為了便于顯示，只在本地檢測子系統(tǒng)中給出了收發(fā)器。本

42、地收發(fā)器完成基本的檢測，并向上發(fā)送經(jīng)過篩選的標(biāo)準(zhǔn)化格式的數(shù)據(jù)，接收控制管理器的管理。協(xié)同分析器關(guān)聯(lián)分析來自多個本地檢測子系統(tǒng)的數(shù)據(jù)，完成更復(fù)雜的檢測功能。在實現(xiàn)中可能會包含多級協(xié)同分析器。運行監(jiān)控器監(jiān)控關(guān)鍵組件的運行（具體是哪些組件可進行配置），一旦出現(xiàn)問題就采取相應(yīng)的安全措施?？刂乒芾砥魇钦麄€體系結(jié)構(gòu)的核心，完成對安全策略的實現(xiàn)以及對各組件的管理和控制。第六章典型的入侵檢測系統(tǒng)介紹答案6.1 在入侵檢測系統(tǒng)中引入代理和移動代理技術(shù)的優(yōu)缺點？使用移動代理有如下優(yōu)點：(1). 移動代理可以自主執(zhí)行，動態(tài)適應(yīng)移動代理具備一定的自主性和智能性，它提供一種靈活多樣的運行機制，使得自身可以比較“聰明”地

43、適應(yīng)所處的環(huán)境，對環(huán)境的變化做出反應(yīng)，比如移動代理可以移動到負(fù)載較重的地方，協(xié)助處理數(shù)據(jù)以實現(xiàn)負(fù)載的平衡。同時移動代理也可以方便地被系統(tǒng)中負(fù)責(zé)管理移動代理的協(xié)調(diào)模塊進行克隆、分派、掛起、回收（或殺死）。(2). 使用移動代理可以減輕網(wǎng)絡(luò)負(fù)載和減少網(wǎng)絡(luò)延時，減少系統(tǒng)內(nèi)部通信量由于移動代理可以移動到事發(fā)地進行現(xiàn)場處理，因此使用移動代理可以有效減輕和平衡網(wǎng)絡(luò)負(fù)載，有利于提高網(wǎng)絡(luò)的使用效率，減小網(wǎng)絡(luò)延時。需要在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)少了，系統(tǒng)內(nèi)部的通信量也就減少了。(3). 移動代理可以運行于多種平臺之上，或說代理的運行是與平臺無關(guān)的由于移動代理可以從一種平臺移動到另一種平臺，移動后仍能正常運行，因此移動代

44、理的運行是與平臺無關(guān)的。移動代理的這種性能對于系統(tǒng)及時采取響應(yīng)很有好處，因為入侵和對入侵的響應(yīng)隨處都可能存在和發(fā)生。(4). 使用移動代理可以實時就地采取響應(yīng)措施這是移動代理最大的優(yōu)點和潛力。由于入侵是不可預(yù)知的，而響應(yīng)又需要及時作出，再加之移動代理可以跨平臺運行，因此采用移動代理對于加強和完善大規(guī)模分布式入侵檢測系統(tǒng)的響應(yīng)機制很有幫助。使用移動代理可以從攻擊的目標(biāo)主機進行響應(yīng)，從發(fā)動攻擊的源主機進行響應(yīng)，可以及時切斷源主機和目標(biāo)主機的連接。另外，使用移動代理還可以實現(xiàn)對入侵者的追蹤。(5). 移動代理的使用有利于大規(guī)模分布式入侵檢測系統(tǒng)的分布式結(jié)構(gòu)和模塊化設(shè)計的實現(xiàn)第七章 對入侵檢測系統(tǒng)的評

45、價及發(fā)展方向答案7.1 評價一個入侵檢測系統(tǒng)的優(yōu)劣，從技術(shù)角度看主要從哪幾方面來考察？從技術(shù)的角度看，一個好的入侵檢測系統(tǒng)，應(yīng)該具有以下特點：(1). 檢測效率高. 一個好的入侵檢測系統(tǒng)，應(yīng)該有比較高的效率，也就是它可以快速處理數(shù)據(jù)包，不會出現(xiàn)漏包、丟包或網(wǎng)絡(luò)擁塞現(xiàn)象。(2). 資源占用率小. 一個好的入侵檢測系統(tǒng)應(yīng)該盡量少地占用系統(tǒng)的資源，比如內(nèi)存、對于CPU的使用等。(3). 開放性. 一個好的入侵檢測系統(tǒng)應(yīng)該是開放式結(jié)構(gòu)，允許第三方和用戶對系統(tǒng)進行擴展和維護. (4). 完備性. 一個好的入侵檢測系統(tǒng)，應(yīng)該具備自學(xué)習(xí)、事后推理、策略反饋等能力，以使得入侵檢測系統(tǒng)具有一定的智能，從而能較好地識別未知攻擊。(5). 安全性. 一個好的入侵檢測系統(tǒng)，應(yīng)該保證自身的安全，使自己不會輕易被攻破。7.2 對入侵檢測系統(tǒng)進行