入侵檢測(cè)習(xí)題答案

1、第一章習(xí)題答案.1 從物理安全和邏輯安全兩個(gè)方面描述計(jì)算機(jī)安全的內(nèi)容.答：計(jì)算機(jī)安全的內(nèi)容包括物理安全和邏輯安全兩方面。物理安全指系統(tǒng)設(shè)備及相關(guān)設(shè)施受到物理保護(hù)，免于破壞、丟失等。邏輯安全指計(jì)算機(jī)中信息和數(shù)據(jù)的安全，它存在于信息系統(tǒng)中從信息的產(chǎn)生、信息的傳輸、信息的存貯直至信息的應(yīng)用這一全部過程，主要包括軟件的安全、數(shù)據(jù)的安全和運(yùn)行的安全。軟件的安全是保護(hù)各種軟件及其文檔不被任意篡改、失效和非法復(fù)制，數(shù)據(jù)安全是保護(hù)所存貯的數(shù)據(jù)資源不被非法使用和修改，運(yùn)行安全是保護(hù)信息系統(tǒng)能連續(xù)正確地運(yùn)行。1.2安全的計(jì)算機(jī)系統(tǒng)的特征有幾個(gè)，它們分別是什么？答：安全的計(jì)算機(jī)信息系統(tǒng)是指可以信賴的按照期望的方式運(yùn)

2、行的系統(tǒng)，它必須能夠保護(hù)整個(gè)系統(tǒng)使其免受任何形式的入侵。它一般應(yīng)該具有以下幾個(gè)特征：機(jī)密性（confidentiality）：機(jī)密性是指數(shù)據(jù)不會(huì)泄漏給非授權(quán)的用戶、實(shí)體，也不會(huì)被非授權(quán)用戶使用，只有合法的授權(quán)用戶才能對(duì)機(jī)密的或受限的數(shù)據(jù)進(jìn)行存取。完整性（Integrity）：完整性是指數(shù)據(jù)未經(jīng)授權(quán)不能被改變。也就是說，完整性要求保持系統(tǒng)中數(shù)據(jù)的正確性和一致性。不管在什么情況下，都要保護(hù)數(shù)據(jù)不受破壞或者被篡改?？捎眯裕ˋvailability）：計(jì)算機(jī)資源和系統(tǒng)中的數(shù)據(jù)信息在系統(tǒng)合法用戶需要使用時(shí)，必須是可用的。即對(duì)授權(quán)用戶，系統(tǒng)應(yīng)盡量避免系統(tǒng)資源被耗盡或服務(wù)被拒絕的情況出現(xiàn)?？煽匦裕–ontr

3、oliability）：可控性是指可以控制授權(quán)范圍內(nèi)的信息流向及行為方式，對(duì)信息的訪問、傳播以及具體內(nèi)容具有控制能力。同時(shí)它還要求系統(tǒng)審計(jì)針對(duì)信息的訪問，當(dāng)計(jì)算機(jī)中的泄密現(xiàn)象被檢測(cè)出后，計(jì)算機(jī)的安全系統(tǒng)必須能夠保存足夠的信息以追蹤和識(shí)別入侵攻擊者，入侵者對(duì)此不能夠抵賴。正確性（Correctness）：系統(tǒng)要盡量減少由于對(duì)事件的不正確判斷所引起的虛警（False Alarms）現(xiàn)象，要有較高的可靠性。如果虛警率太高，那么用戶的合法行為就會(huì)經(jīng)常性地被打斷或者被禁止。這樣，不僅使得系統(tǒng)的可用性降低，而且也會(huì)使合法用戶對(duì)系統(tǒng)失去信心。1.3描述并解釋Anderson在年提出的計(jì)算機(jī)安全模型答：And

4、erson在1972年提出了計(jì)算機(jī)安全模型，如圖1.1所示。 圖1.1 計(jì)算機(jī)安全模型其各個(gè)模塊的功能如下:安全參考監(jiān)視器控制主體能否訪問對(duì)象。授權(quán)數(shù)據(jù)庫(kù)并不是安全參考監(jiān)視器的一部分，但是安全參考監(jiān)視器要完成控制功能需要授權(quán)數(shù)據(jù)庫(kù)的幫助。識(shí)別與認(rèn)證系統(tǒng)識(shí)別主體和對(duì)象。審計(jì)系統(tǒng)用來記錄系統(tǒng)的活動(dòng)信息。該模型的實(shí)現(xiàn)采用訪問控制機(jī)制來保證系統(tǒng)安全。訪問控制機(jī)制識(shí)別與認(rèn)證主體身份，根據(jù)授權(quán)數(shù)據(jù)庫(kù)的記錄決定是否可以允許主體訪問對(duì)象。1.4描述并解釋P2DR模型.P2DR模型 (Policy策略，Protection防護(hù)，Detection檢測(cè)，Response響應(yīng))是一種動(dòng)態(tài)的、安全性高的網(wǎng)絡(luò)安全模型，

5、如圖1.3所示。 圖1.3 P2DR模型它的基本思想是：以安全策略為核心，通過一致的檢查、流量統(tǒng)計(jì)、異常分析、模式匹配以及應(yīng)用、目標(biāo)、主機(jī)、網(wǎng)絡(luò)入侵檢查等方法進(jìn)行安全漏洞檢測(cè)，檢測(cè)使系統(tǒng)從靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)防護(hù)，為系統(tǒng)快速響應(yīng)提供了依據(jù)，當(dāng)發(fā)現(xiàn)系統(tǒng)有異常時(shí)，根據(jù)系統(tǒng)安全策略快速作出響應(yīng)，從而達(dá)到了保護(hù)系統(tǒng)安全的目的。防護(hù)、檢測(cè)和響應(yīng)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)。在安全策略的指導(dǎo)下保證信息系統(tǒng)的安全。15 傳統(tǒng)的安全技術(shù)有幾類，他們分別是什么？傳統(tǒng)的安全技術(shù)分為兩類：靜態(tài)安全技術(shù)和動(dòng)態(tài)安全技術(shù)。所謂靜態(tài)安全技術(shù)，是指通過人工的方法，采用一些外圍設(shè)備，主要是用于保護(hù)系統(tǒng)抵御外部的攻擊，其代表產(chǎn)

6、品就是我們常見的防火墻。動(dòng)態(tài)安全技術(shù)的最大優(yōu)點(diǎn)在于“主動(dòng)性”，通過把實(shí)時(shí)的數(shù)據(jù)捕獲、實(shí)時(shí)的數(shù)據(jù)分析和網(wǎng)絡(luò)監(jiān)視系統(tǒng)相結(jié)合，根據(jù)特定安全數(shù)據(jù)庫(kù)中的數(shù)據(jù)，經(jīng)過分析，迅速發(fā)現(xiàn)危險(xiǎn)攻擊的特征，進(jìn)而發(fā)出警報(bào)，同時(shí)也提供一定的保護(hù)措施。1.6 請(qǐng)描述傳統(tǒng)的安全機(jī)制傳統(tǒng)的一些安全機(jī)制分不六類，如下：(1). 數(shù)據(jù)加密技術(shù). 加密是指將一個(gè)信息經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換，變成無意義的密文，接收方則將此密文經(jīng)過解密函數(shù)、解密鑰匙還原成明文。(2). 訪問控制技術(shù). 訪問控制技術(shù)按照事先確定的規(guī)則決定主體對(duì)客體的訪問是否合法。它要確定合法用戶對(duì)哪些系統(tǒng)資源享有何種權(quán)限、可進(jìn)行什么類型的訪問操作，防止非法用戶進(jìn)入計(jì)算

7、機(jī)系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。(3). 認(rèn)證技術(shù). 認(rèn)證就是將特定實(shí)體從任意實(shí)體的集合中識(shí)別出來的行為。它以交換信息的方式來確認(rèn)實(shí)體的身份。(4). 數(shù)據(jù)完整性控制技術(shù). 數(shù)據(jù)完整性控制技術(shù)是指能識(shí)別有效數(shù)據(jù)的一部分或全部信息被篡改的技術(shù)。數(shù)據(jù)完整性控制包括文件系統(tǒng)完整性控制及網(wǎng)絡(luò)傳輸信息的完整性。(5). 安全漏洞掃描技術(shù). 漏洞是指任意的允許非法用戶未經(jīng)授權(quán)獲得訪問或提高其訪問層次的硬件或軟件特征。漏洞就是某種形式的脆弱性。漏洞掃描是自動(dòng)檢測(cè)遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù)，它通過對(duì)系統(tǒng)當(dāng)前的狀況進(jìn)行掃描、分析，找出系統(tǒng)中存在的各種脆弱性，在此基礎(chǔ)上進(jìn)一步考慮脆弱性的修補(bǔ)與消除。(6

8、). 防火墻技術(shù). 防火墻是指安裝在內(nèi)部網(wǎng)絡(luò)與Internet之間或者網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的可以限制相互訪問的一種的安全保護(hù)措施。防火墻是在被保護(hù)網(wǎng)絡(luò)周邊建立的、分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)，它在內(nèi)部網(wǎng)與外部網(wǎng)之間形成了一道安全保護(hù)屏障。17 防火墻技術(shù)在網(wǎng)絡(luò)安全中占有重要的地位，它可分為幾種類型？防火墻的優(yōu)點(diǎn)與不足各是什么？防火墻可通過軟件和硬件相結(jié)合的方式來實(shí)現(xiàn)，當(dāng)前比較成熟的防火墻實(shí)現(xiàn)技術(shù)從層次上主要有以下兩種：包過濾和應(yīng)用層網(wǎng)關(guān)。包過濾技術(shù)主要在IP層實(shí)現(xiàn)。它根據(jù)包頭中所含的信息如源地址、目的地址等來判斷其能否通過。與包過濾相比，應(yīng)用層網(wǎng)關(guān)在通信協(xié)議棧的更高層操作，提供更為安全的選項(xiàng)。它通

9、常由兩部分組成：代理服務(wù)器和篩選路由器。這種防火墻技術(shù)是目前最通用的一種，它把過濾路由器技術(shù)和軟件代理技術(shù)結(jié)合在一起，由過濾路由器負(fù)責(zé)網(wǎng)絡(luò)的互聯(lián)，進(jìn)行嚴(yán)格的數(shù)據(jù)選擇，應(yīng)用代理則提供應(yīng)用層服務(wù)的控制，中間轉(zhuǎn)接外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)的服務(wù)。防火墻具有以下優(yōu)點(diǎn)：防火墻通過過濾不安全的服務(wù)，可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)；它可以提供對(duì)系統(tǒng)的訪問控制，如允許從外部訪問某些主機(jī)，同時(shí)禁止訪問另外的主機(jī)；阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如 Finger和 DNS；防火墻可以記錄和統(tǒng)計(jì)通過它的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計(jì)數(shù)據(jù)，根據(jù)統(tǒng)計(jì)數(shù)據(jù)來判斷可能的攻擊和探測(cè)；防火墻提供制定和執(zhí)行網(wǎng)絡(luò)

10、安全策略的手段，它可對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)集中的安全管理，它定義的安全規(guī)則可運(yùn)用于整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺(tái)機(jī)器上分別設(shè)立安全策略。防火墻的不足:（1）入侵者可以尋找防火墻背后可能敞開的后門而繞過防火墻.（2）防火墻完全不能阻止內(nèi)部攻擊, 對(duì)于企業(yè)內(nèi)部心懷不滿的員工來說防火墻形同虛設(shè).（3）由于性能的限制, 防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力.（4）防火墻對(duì)于病毒也束手無策的.（5）防火墻無法有效地解決自身的安全問題. （6）防火墻無法做到安全與速度的同步提高, 一旦考慮到安全因素而對(duì)網(wǎng)絡(luò)流量進(jìn)行深入的決策和分析, 那么網(wǎng)絡(luò)的運(yùn)行速度勢(shì)必會(huì)受到影響. （7）防火墻是一種靜態(tài)的安全技術(shù),

11、需要人工來實(shí)施和維護(hù), 不能主動(dòng)跟蹤入侵者. 因此，認(rèn)為在 Internet的入口處布置防火墻，系統(tǒng)就足夠安全的想法是不切實(shí)際的。 第二章 入侵檢測(cè)系統(tǒng)答案21入侵檢測(cè)系統(tǒng)彌補(bǔ)了防火墻的哪些不足？防火墻是要保護(hù)的網(wǎng)絡(luò)或系統(tǒng)與外界之間的一道安全屏障。它通過加強(qiáng)網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取的目的。它規(guī)定了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。但防火墻只是一種被動(dòng)的防御技術(shù)，它無法識(shí)別和防御來自內(nèi)部網(wǎng)絡(luò)的濫用和攻擊，比如內(nèi)部員工惡意破壞、刪除數(shù)據(jù)，越權(quán)使用

12、設(shè)備，也不能有效防止繞過防火墻的攻擊，比如公司的員工將機(jī)密數(shù)據(jù)用便攜式存儲(chǔ)設(shè)備隨身帶出去造成泄密，員工自己撥號(hào)上網(wǎng)造成攻擊進(jìn)入等。入侵檢測(cè)技術(shù)作為一種主動(dòng)防護(hù)技術(shù)，可以在攻擊發(fā)生時(shí)記錄攻擊者的行為，發(fā)出報(bào)警，必要時(shí)還可以追蹤攻擊者。它既可以獨(dú)立運(yùn)行，也可以與防火墻等安全技術(shù)協(xié)同工作，更好地保護(hù)網(wǎng)絡(luò)。2.2 簡(jiǎn)述入侵檢測(cè)系統(tǒng)的發(fā)展歷史(1). 入侵檢測(cè)的研究最早可追溯到James P. Anderson在1980年的工作。在這一年的4月，他為美國(guó)空軍做了一份題為計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視（Computer Security Threat Monitoring and Surveillance）的技

13、術(shù)報(bào)告，這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開山之作。在報(bào)告中，他首次提出了入侵檢測(cè)的概念，給出了入侵嘗試 (Intrusion attempt)或威脅(Threat)的定義。(2). 1987年，喬治敦大學(xué)的Dorothy E. Denning提出了一個(gè)實(shí)時(shí)的入侵檢測(cè)系統(tǒng)抽象模型IDES（Intrusion Detection Expert System,入侵檢測(cè)專家系統(tǒng)），首次將入侵檢測(cè)的概念作為一種計(jì)算機(jī)系統(tǒng)安全防御問題的措施提出。(3). 1990年是入侵檢測(cè)系統(tǒng)發(fā)展史上的一個(gè)分水嶺。這一年，加州大學(xué)戴維斯分校的L. T. Heberlein等人提出了一個(gè)新的概念：基于網(wǎng)絡(luò)的入侵檢測(cè)NSM(N

14、etwork Security Monitor).(4). 1991年，NADIR(Network Anomaly Detection and Intrusion Reporter)與DIDS(Distribute Intrusion Detection System)提出了收集和合并處理來自多個(gè)主機(jī)的審計(jì)信息以檢測(cè)一系列主機(jī)的協(xié)同攻擊。(5). 1994年，Mark Crosbie和Gene Spafford建議使用自治代理(autonomous agents)以便提高IDS的可伸縮性、可維護(hù)性、效率和容錯(cuò)性，該理念非常符合正在進(jìn)行的計(jì)算機(jī)科學(xué)其他領(lǐng)域 (如軟件代理，software age

15、nt)的研究。(6). 1995年開發(fā)了IDES完善后的版本NIDES(Next-Generation Intrusion Detection System) 可以檢測(cè)多個(gè)主機(jī)上的入侵。23 敘述基于主機(jī)的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn).基于主機(jī)的入侵檢查系統(tǒng)優(yōu)點(diǎn)包括：（1）能確定攻擊是否成功。主機(jī)是攻擊的目的所在，所以基于主機(jī)的IDS使用含有已發(fā)生的事件信息，可以比基于網(wǎng)絡(luò)的IDS更加準(zhǔn)確地判斷攻擊是否成功。就這一方面而言，基于主機(jī)的IDS與基于網(wǎng)絡(luò)的IDS互相補(bǔ)充，網(wǎng)絡(luò)部分盡早提供針對(duì)攻擊的警告，而主機(jī)部分則可確定攻擊是否成功。（2）監(jiān)控粒度更細(xì)?；谥鳈C(jī)的IDS，監(jiān)控的目標(biāo)明確，視野集中，它可以檢測(cè)

16、一些基于網(wǎng)絡(luò)的IDS不能檢測(cè)的攻擊。它可以很容易地監(jiān)控系統(tǒng)的一些活動(dòng)，如對(duì)敏感文件、目錄、程序或端口的存取。例如，基于主機(jī)的IDS可以監(jiān)督所有用戶登錄及退出登錄的情況，以及每位用戶在聯(lián)接.到網(wǎng)絡(luò)以后的行為。它還可監(jiān)視通常只有管理員才能實(shí)施的非正常行為。針對(duì)系統(tǒng)的一些活動(dòng)，有時(shí)并不通過網(wǎng)絡(luò)傳輸數(shù)據(jù)，有時(shí)雖然通過網(wǎng)絡(luò)傳輸數(shù)據(jù)但所傳輸?shù)臄?shù)據(jù)并不能提供足夠多的信息，從而使得基于網(wǎng)絡(luò)的系統(tǒng)檢測(cè)不到這些行為，或者檢測(cè)到這個(gè)程度非常困難。（3）配置靈活。每一個(gè)主機(jī)有其自己的基于主機(jī)的IDS，用戶可根據(jù)自己的實(shí)際情況對(duì)其進(jìn)行配置。（4）可用于加密的以及交換的環(huán)境。加密和交換設(shè)備加大了基于網(wǎng)絡(luò)IDS收集信息的難

17、度，但由于基于主機(jī)的IDS安裝在要監(jiān)控的主機(jī)上，根本不會(huì)受這些因素的影響。（5）對(duì)網(wǎng)絡(luò)流量不敏感?；谥鳈C(jī)的IDS一般不會(huì)因?yàn)榫W(wǎng)絡(luò)流量的增加而丟掉對(duì)網(wǎng)絡(luò)行為的監(jiān)視。（6）不需要額外的硬件。2.4 敘述基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)與缺點(diǎn).基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)有以下優(yōu)點(diǎn)：（1）監(jiān)測(cè)速度快?；诰W(wǎng)絡(luò)的監(jiān)測(cè)器通常能在微秒或秒級(jí)發(fā)現(xiàn)問題。而大多數(shù)基于主機(jī)的產(chǎn)品則要依靠對(duì)最近幾分鐘內(nèi)審計(jì)記錄的分析。（2）隱蔽性好。一個(gè)網(wǎng)絡(luò)上的監(jiān)測(cè)器不像一個(gè)主機(jī)那樣顯眼和易被存取，因而也不那么容易遭受攻擊?；诰W(wǎng)絡(luò)的監(jiān)視器不運(yùn)行其他的應(yīng)用程序，不提供網(wǎng)絡(luò)服務(wù)，可以不響應(yīng)其他計(jì)算機(jī)，因此可以做得比較安全。（3）視野更寬?？?/p>

18、以檢測(cè)一些主機(jī)檢測(cè)不到的攻擊，如淚滴攻擊（Teardrop），基于網(wǎng)絡(luò)的SYN攻擊等。還可以檢測(cè)不成功的攻擊和惡意企圖。（4）較少的監(jiān)測(cè)器。由于使用一個(gè)監(jiān)測(cè)器就可以保護(hù)一個(gè)共享的網(wǎng)段，所以你不需要很多的監(jiān)測(cè)器。相反地，如果基于主機(jī)，則在每個(gè)主機(jī)上都需要一個(gè)代理，這樣的話，花費(fèi)昂貴，而且難于管理。但是，如果在一個(gè)交換環(huán)境下，就需要特殊的配置。（5）攻擊者不易轉(zhuǎn)移證據(jù)?；诰W(wǎng)絡(luò)的IDS使用正在發(fā)生的網(wǎng)絡(luò)通訊進(jìn)行實(shí)時(shí)攻擊的檢測(cè)。所以攻擊者無法轉(zhuǎn)移證據(jù)。被捕獲的數(shù)據(jù)不僅包括攻擊的方法，而且還包括可識(shí)別黑客身份和對(duì)其進(jìn)行起訴的信息。許多黑客都熟知審計(jì)記錄，他們知道如何操縱這些文件掩蓋他們的作案痕跡，如何

19、阻止需要這些信息的基于主機(jī)的系統(tǒng)去檢測(cè)入侵。（6）操作系統(tǒng)無關(guān)性?；诰W(wǎng)絡(luò)的IDS作為安全監(jiān)測(cè)資源，與主機(jī)的操作系統(tǒng)無關(guān)。與之相比，基于主機(jī)的系統(tǒng)必須在特定的、沒有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。（7）可以配置在專門的機(jī)器上，不會(huì)占用被保護(hù)的設(shè)備上的任何資源?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的主要缺點(diǎn)是：只能監(jiān)視本網(wǎng)段的活動(dòng)，精確度不高；在交換環(huán)境下難以配置；防入侵欺騙的能力較差；難以定位入侵者。25 根據(jù)檢測(cè)原理，入侵檢測(cè)系統(tǒng)可以分為幾類？其原理分別是什么？根據(jù)檢測(cè)原理，將入侵檢測(cè)分為兩類：異常檢測(cè)和誤用檢測(cè)。1異常檢測(cè)在異常檢測(cè)中，觀察到的不是已知的入侵行為，而是所研究的通信過程中

20、的異常現(xiàn)象，它通過檢測(cè)系統(tǒng)的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統(tǒng)計(jì)概率模型，明確所觀察對(duì)象的正常情況，然后決定在何種程度上將一個(gè)行為標(biāo)為“異?！保⑷绾巫龀鼍唧w決策。 2誤用檢測(cè)在誤用檢測(cè)中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。所以，可事先定義某些特征的行為是非法的，然后將觀察對(duì)象與之進(jìn)行比較以做出判別。誤用檢測(cè)基于已知的系統(tǒng)缺陷和入侵模式，故又稱特征檢測(cè)。它能夠準(zhǔn)確地檢測(cè)到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測(cè)系統(tǒng)未知的攻擊行為，從而產(chǎn)生漏報(bào)。第三章入侵的方法與手段答案3.1敘述計(jì)算機(jī)網(wǎng)絡(luò)的主要漏洞計(jì)算機(jī)網(wǎng)絡(luò)的主要漏洞有：(1

21、)緩沖區(qū)溢出緩沖區(qū)溢出漏洞是很典型的一類漏洞，現(xiàn)有的漏洞很多都可以歸為此類。比如最近發(fā)現(xiàn)，OpenLDAP存在多個(gè)遠(yuǎn)程緩沖區(qū)溢出漏洞。OpenLDAP是一款開放源代碼的輕量級(jí)目錄訪問協(xié)議（LDAP）實(shí)現(xiàn)，用于在網(wǎng)絡(luò)環(huán)境中發(fā)布信息，比如X.509證書或登錄信息。其源代碼被發(fā)現(xiàn)存在多個(gè)緩沖區(qū)邊界沒有正確檢查的問題，遠(yuǎn)程攻擊者可以利用這些漏洞進(jìn)行緩沖區(qū)溢出攻擊，并以O(shè)penLDAP進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意命令。(2)拒絕服務(wù)攻擊漏洞拒絕服務(wù)攻擊漏洞也是一類典型的漏洞。比如，Microsoft公司開發(fā)的HTTP服務(wù)器程序IIS。它的“Shtml.dll”組件對(duì)包含畸形HOST頭字段的HTTP請(qǐng)求處理存

22、在問題，遠(yuǎn)程攻擊者可以發(fā)送包含多個(gè)“/”字符的HOST頭信息給IIS服務(wù)器，這樣可以導(dǎo)致WEB服務(wù)崩潰，停止對(duì)合法請(qǐng)求的響應(yīng)。(3)權(quán)限提升漏洞比如Windows WM_TIMER消息處理權(quán)限提升漏洞。WM_TIMER消息一般在某一計(jì)時(shí)器超時(shí)時(shí)發(fā)送，可以用來使進(jìn)程執(zhí)行計(jì)時(shí)回調(diào)函數(shù)。WM_TIMER消息存在安全問題，本地或者利用終端服務(wù)訪問的攻擊者可以利用這個(gè)漏洞使用WM_TIMER消息利用其他高權(quán)限進(jìn)程執(zhí)行回調(diào)函數(shù)，造成權(quán)限提升，使本地用戶可以提升權(quán)限至管理用戶。(4)遠(yuǎn)程命令執(zhí)行漏洞比如，Cobalt RaQ4管理接口遠(yuǎn)程命令執(zhí)行漏洞。這個(gè)漏洞只存在安裝了RaQ4加固安全包之后的RaQ4服務(wù)

23、程序中。Cobalt RaQ是一個(gè)基于Internet的服務(wù)應(yīng)用程序，由Sun微系統(tǒng)公司發(fā)布和維護(hù)。Cobalt RaQ WEB管理接口在處理用戶提供的Email參數(shù)時(shí)缺少正確過濾，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞以WEB進(jìn)程權(quán)限在系統(tǒng)上執(zhí)行任意命令。(5)文件泄漏、信息泄漏漏洞“./”的惡意請(qǐng)求可以對(duì)服務(wù)器進(jìn)行目錄遍歷。遠(yuǎn)程攻擊者可以利用這個(gè)漏洞訪問系統(tǒng)FTP目錄以外任意的文件。(7)其他類型的漏洞除了以上舉例說明的幾種漏洞外，按照漏洞造成的直接危害，還存在列舉出其他一些漏洞，比如腳本執(zhí)行漏洞、可繞過認(rèn)證漏洞、遠(yuǎn)程訪問漏洞等，這里就不一一舉例。以上舉出的漏洞多數(shù)已經(jīng)有補(bǔ)丁發(fā)布。3.2根據(jù)攻擊發(fā)生的

24、方式，Anderson將攻擊如何分類？Anderson將攻擊分為三類:1.外部滲透：就是非授權(quán)用戶對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行的攻擊。2.內(nèi)部滲透：系統(tǒng)的合法用戶對(duì)其訪問權(quán)限以外的資源造成危害的攻擊。3.不當(dāng)行為：合法用戶對(duì)其訪問權(quán)限之內(nèi)的數(shù)據(jù)或者其他資源的誤用行為。3.3敘述木馬發(fā)展的兩個(gè)階段。木馬的發(fā)展大致分為兩個(gè)階段。最初網(wǎng)絡(luò)以UNIX平臺(tái)為主的時(shí)候，木馬就產(chǎn)生了，當(dāng)時(shí)的木馬程序的功能相對(duì)簡(jiǎn)單，往往是將一段程序嵌入到系統(tǒng)文件中，用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能，這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。WINDOWS平臺(tái)普及之后，一些基于圖形操作的木馬程序出現(xiàn)了。由于

25、用戶界面的改善，使用者可以不必掌握太多的專業(yè)知識(shí)就能夠熟練的操作木馬，相對(duì)的木馬入侵事件發(fā)生率更高了，而且由于這個(gè)時(shí)期木馬的功能已日趨完善，因此對(duì)服務(wù)端的破壞也更大了。3.4敘述木馬的工作原理木馬一般又兩部分組成：服務(wù)器端，客戶端。在Windows系統(tǒng)中，木馬一般是一個(gè)網(wǎng)絡(luò)服務(wù)程序，服務(wù)器端運(yùn)行于感染的機(jī)器上監(jiān)聽它的一些特定端口，這個(gè)端口號(hào)多數(shù)比較大（5000以上，但也有部分是5000以下的）；當(dāng)該木馬相應(yīng)的客戶端程序在此端口上請(qǐng)求連接時(shí)，木馬的客戶端和服務(wù)器端就建立一個(gè)TCP連接，這樣客戶端就可以控制感染木馬的機(jī)器，以達(dá)到攻擊的目的。3.5木馬的隱蔽方式有哪些?木馬的隱藏方式: (1).修改

26、圖標(biāo) 服務(wù)器的圖標(biāo)必須能夠迷惑目標(biāo)電腦的主人，如果木馬的圖標(biāo)看上去象是系統(tǒng)文件，電腦的主人就不會(huì)輕易地刪除他。另外在Email的附件中，木馬設(shè)計(jì)者們將木馬服務(wù)端程序的圖標(biāo)改成HTML、TXT、 ZIP等各種文件的圖標(biāo),這樣就有相當(dāng)大的迷惑性,現(xiàn)在這種木馬很常見。例如BO，它的圖標(biāo)是透明的，并且沒有文件名，其后綴名是EXE，由于WINDOWS默認(rèn)方式下不顯示后綴名的，所以在資源管理器中就看不到這個(gè)文件。 (2).捆綁文件 為了啟動(dòng)木馬，最容易下手的地方是三個(gè)，注冊(cè)表、win.ini、system.ini，電腦啟動(dòng)的時(shí)候，需要裝載這三個(gè)文件。還有替換windows啟動(dòng)程序裝載的，例如schoolb

27、us 1.60版本。以上木馬的啟動(dòng)方式都屬于非捆綁方式，大部分木馬是使用這幾種方式啟動(dòng)的。但是非捆綁方法會(huì)在注冊(cè)表等位置留下痕跡，很容易發(fā)現(xiàn)。如果把木馬捆綁到一般的程序上，啟動(dòng)是不確定的，但是要靠電腦主人啟動(dòng)被捆綁的程序，木馬才會(huì)運(yùn)行。捆綁方式是一種手動(dòng)的安裝方式，一般捆綁的是非自動(dòng)方式啟動(dòng)的木馬。捆綁方式的木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等，位置的多變使木馬具有很強(qiáng)的隱蔽性。木馬phAse 1.0版本和NetBus 1.53版本就可以以捆綁方式裝到目標(biāo)電腦上，捆綁到啟動(dòng)程序上，也可以捆綁到一般程序的常用程序上。因此當(dāng)安裝程序運(yùn)行時(shí),木馬就會(huì)在用戶毫無察覺的情況下進(jìn)入了系統(tǒng)。

28、有一點(diǎn)要說明的是，被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的文件)。 (3) .出錯(cuò)顯示 有一定木馬知識(shí)的人都知道,如果打開一個(gè)文件,沒有任何反應(yīng),這很可能就是個(gè)木馬程序, 木馬的設(shè)計(jì)者也意識(shí)到了這個(gè)缺陷,所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù)端用戶打開木馬程序時(shí),會(huì)彈出一個(gè)錯(cuò)誤提示框,錯(cuò)誤內(nèi)容可自由定義,大多會(huì)定制成一些諸如“文件已破壞，無法打開！”之類的信息，其實(shí)卻是啟動(dòng)木馬。(4).定制端口 很多老式的木馬端口都是固定的,這使得木馬隱蔽性較差，只要查一下特定的端口就知道感染了什么木馬,這樣就可以很容易的把它刪除。像netspy的端口號(hào)是7306，冰河的端口號(hào)是762

29、6?，F(xiàn)在很多新式木馬已經(jīng)可以定制端口,控制端用戶可以在1024-65535之間任選一個(gè)端口作為木馬端口(一般不選1024以下的端口)，這樣要判斷所感染木馬的類型就不太容易了。像SUB7默認(rèn)的端口是1243，如果沒有改變，利用SUB7的刪除方法很容易就刪除了，但是如果把端口改成7626，計(jì)算機(jī)使用者就會(huì)感到混淆。(5).自我銷毀這項(xiàng)功能是為了彌補(bǔ)木馬的一個(gè)缺陷。我們知道當(dāng)服務(wù)端用戶打開含有木馬的文件后，木馬會(huì)將自己拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下)，一般來說原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了

30、木馬的人只要在近來收到的信件和下載的軟件中找到原木馬文件,然后根據(jù)原木馬的大小在系統(tǒng)目錄的文件夾查找相同大小的文件, 然后判斷哪一個(gè)是木馬。而木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬的來源，給查找、刪除木馬帶來困難。 (6) 木馬文件的文件名、存放位置在windows系統(tǒng)中木馬存放的位置一般是c:windows和c:windowssystem中，主要是因?yàn)檫@兩個(gè)目錄下面的文件大都是系統(tǒng)文件，并且文件最多。木馬的文件名一般是與一些系統(tǒng)的文件名比較接近，以達(dá)到迷惑受害人的目的。比如木馬SubSeven1.7版本的服務(wù)器文件名是c:windowsKERN

31、EL16.DL，它與windows中的一個(gè)系統(tǒng)文件c:windowsKERNEL32.DLL很相近。再例如phAse1.0版本生成的木馬文件名是C:windowsMsgsrv32.exe,與windows系統(tǒng)文件C:windowssystemMsgsrv32.exe文件名一樣。(7).隱蔽運(yùn)行既然是木馬，當(dāng)然不會(huì)那么容易讓你看出破綻，對(duì)于程序設(shè)計(jì)人員來說，要隱藏自己所設(shè)計(jì)的窗口程序，主要途徑有：在任務(wù)欄中將窗口隱藏，這個(gè)只要把Form的Visible屬性調(diào)整為False，ShowInTaskBar也設(shè)為False。那么程序運(yùn)行時(shí)就不會(huì)出現(xiàn)在任務(wù)欄中了。如果要在任務(wù)管理器中隱身，只要將程序調(diào)整為

32、系統(tǒng)服務(wù)程序就可以了。另外還有一些木馬運(yùn)行的時(shí)候其進(jìn)程也是隱藏起來的。3.6木馬的觸發(fā)條件主要有幾種？木馬的觸發(fā)條件主要有以下幾種： 1).注冊(cè)表:打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五個(gè)以Run 和RunServices主鍵,有些木馬安裝在機(jī)器上以后，在其中可以尋找到啟動(dòng)木馬的鍵值。 2).WIN.INI:C:WINDOWS目錄下有一個(gè)配置文件win.ini，用文本方式打開，在windows字段中有啟動(dòng)命令 load=和run=,在一般情況下是空白的,如果有啟動(dòng)程序,可能是木馬。 3).SYSTEM.INI:

33、C:WINDOWS目錄下有個(gè)配置文件system.ini，用文本方式打開，在386Enh,mic， drivers32中有命令行,在其中尋找木馬的啟動(dòng)命令。 5). *.INI:即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬 啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，6).注冊(cè)表:打開HKEY_CLASSES_ROOT文件類型shellopencommand主鍵,查看其鍵值。舉個(gè)例子,國(guó)產(chǎn) 木馬“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的鍵值,將“C :WINDOWS NOTEPAD.EXE %1”改

34、為“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”。如果雙擊一個(gè)TXT文件后，原本是應(yīng)用NOTEPAD打開文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。另外通過修改HTML，EXE，ZIP等文件的啟動(dòng)命令的鍵值都可以啟動(dòng)木馬 ，不同之處只在于“文件類型”這個(gè)主鍵的差別. 7).捆綁文件:實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪 除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被安裝上去了。 8).啟動(dòng)菜單. 3.7木馬的破解方法有哪些？1.端口掃描 端口掃描是檢查遠(yuǎn)程機(jī)器有無

35、木馬的最好辦法, 端口掃描的原理非常簡(jiǎn)單, 掃描程序嘗試連接某個(gè)端口,因?yàn)锽機(jī)裝有木馬程序，所以它的木馬端口7626是處于開放狀態(tài)的，如果成功, 則說明端口開放, 如果失敗或超過某個(gè)特定的時(shí)間(超時(shí)), 則說明端口關(guān)閉。2.檢查注冊(cè)表 3.查找文件4.殺病毒軟件 第四章入侵檢測(cè)的信息源答案4.1 基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS各有哪些優(yōu)缺點(diǎn)？基于主機(jī)的IDS優(yōu)點(diǎn): 基于主機(jī)的IDS分析來自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)跡和系統(tǒng)日志來檢測(cè)攻擊，它主要是用來保護(hù)網(wǎng)絡(luò)中比較重要的主機(jī); 基于主機(jī)的IDS分析的信息來自于單個(gè)的計(jì)算機(jī)系統(tǒng)，因此視野比較集中，這個(gè)優(yōu)點(diǎn)使得它能夠相對(duì)精確、相對(duì)可靠地分析入侵

36、活動(dòng)，確定是否存在針對(duì)某臺(tái)主機(jī)的攻擊，是誰進(jìn)行的攻擊。4.2 信息源如何分類？每一類信息源又包括哪些？信息源可以分為基于主機(jī)的信息源和基于網(wǎng)絡(luò)的信息源?；谥鳈C(jī)的信息源主要包括操作系統(tǒng)審計(jì)跡（operating system audit trail）、系統(tǒng)日志文件和其他應(yīng)用程序的日志文件，基于網(wǎng)絡(luò)的數(shù)據(jù)源主要是指網(wǎng)絡(luò)數(shù)據(jù)包。4.3 操作系統(tǒng)審計(jì)跡與系統(tǒng)日志有哪些不同之處？操作系統(tǒng)審計(jì)跡一般是由操作系統(tǒng)的內(nèi)核產(chǎn)生，它比系統(tǒng)日志保護(hù)得更好，更加詳細(xì)。系統(tǒng)日志則比較簡(jiǎn)單明了，比較容易理解。許多基于主機(jī)的IDS被設(shè)計(jì)成一種支持集中式IDS的管理和報(bào)告基礎(chǔ)結(jié)構(gòu)，這種基礎(chǔ)結(jié)構(gòu)允許一個(gè)管理控制臺(tái)跟蹤多個(gè)主機(jī)

37、。 第五章 入侵檢測(cè)方法與應(yīng)用答案5.1 請(qǐng)描述數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)方面的應(yīng)用.數(shù)據(jù)挖掘是數(shù)據(jù)庫(kù)中的一項(xiàng)技術(shù)，它的作用就是從大型數(shù)據(jù)集中抽取知識(shí)。對(duì)于入侵檢測(cè)系統(tǒng)來說，也需要從大量的數(shù)據(jù)中提取出入侵的特征。因此就有學(xué)者將數(shù)據(jù)挖掘技術(shù)引入到入侵檢測(cè)系統(tǒng)中，通過數(shù)據(jù)挖掘程序處理搜集到的審計(jì)數(shù)據(jù)，為各種入侵行為和正常操作建立精確的行為模式，這是一個(gè)自動(dòng)的過程。數(shù)據(jù)挖掘方法的關(guān)鍵點(diǎn)在于算法的選取和建立一個(gè)正確的體系結(jié)構(gòu)。5.2 請(qǐng)描述基于數(shù)據(jù)挖掘的用戶鍵盤及鼠標(biāo)異常檢測(cè)模塊的實(shí)現(xiàn)思想.基本思想如下：擊鍵韻律最先是由Rick Joyce和Gopal Gupta作為認(rèn)證手段提出的，并取得了一定的成果。實(shí)

38、驗(yàn)數(shù)據(jù)表明，不同用戶之間擊鍵韻律存在可以進(jìn)行鑒別的差別，同理，不同用戶對(duì)鼠標(biāo)的使用也有各自的特征。本文著眼于用戶鍵盤和鼠標(biāo)的行為特征，將其作為分析對(duì)象，應(yīng)用數(shù)據(jù)挖掘技術(shù)進(jìn)行異常檢測(cè)。從對(duì)用戶正常行為活動(dòng)的描述方面開辟了新的方法，同時(shí)針對(duì)于這種數(shù)據(jù)，對(duì)Apriori關(guān)聯(lián)規(guī)則算法進(jìn)行了改進(jìn)，還將分類算法和漏桶算法相結(jié)合進(jìn)行實(shí)時(shí)檢測(cè)。5.3 請(qǐng)對(duì)基于數(shù)據(jù)融合的入侵檢測(cè)系統(tǒng)做簡(jiǎn)單的描述.當(dāng)前入侵檢測(cè)系統(tǒng)中存在的誤報(bào)率、漏報(bào)率過高的問題，基于數(shù)據(jù)融合技術(shù)的入侵檢測(cè)技術(shù)從總體上考慮入侵檢測(cè)，具有靈活、易實(shí)現(xiàn)、易擴(kuò)展的特點(diǎn)。多傳感器數(shù)據(jù)融合的思想就是通過處理IDS報(bào)警數(shù)據(jù)，從而改進(jìn)報(bào)警的質(zhì)量。在IDS系統(tǒng)中

39、采用數(shù)據(jù)融合技術(shù)，可以聯(lián)合使用多種不同類型的IDS，通過對(duì)不同類型IDS產(chǎn)生的報(bào)警進(jìn)行融合處理，并對(duì)聯(lián)合的數(shù)據(jù)進(jìn)行推理，可以生成報(bào)警的多層位置攻擊描述抽象，這樣在一定程度上解決了誤報(bào)率問題。數(shù)據(jù)融合的步驟主要有以下向步：檢測(cè)，數(shù)據(jù)校準(zhǔn)發(fā)，相關(guān)（關(guān)聯(lián)），狀態(tài)估計(jì)，目標(biāo)識(shí)別，行為估計(jì)等。數(shù)據(jù)融合的關(guān)鍵問題是：數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)相關(guān)、數(shù)據(jù)庫(kù)、融合推理和融合損失等：5.4 對(duì)于一個(gè)面向企業(yè)網(wǎng)的分布式IDS系統(tǒng),請(qǐng)描述其總體設(shè)計(jì)結(jié)構(gòu)(1). 系統(tǒng)總體組成系統(tǒng)的總體組成包括在自頂向下設(shè)計(jì)系統(tǒng)的過程中，處在最上層的那部分組件，我們稱為“一級(jí)組件”，包括：一級(jí)管理中心（Top Manager）、二級(jí)管理中心（lo

40、cal Manager）、網(wǎng)絡(luò)檢測(cè)代理（Network-based Agent）、服務(wù)器代理（Server Agent）、出口檢測(cè)代理（Access Agent）。(2). 總體結(jié)構(gòu)描述本體系采用了多種的代理（agent）分類策略，在兩級(jí)（管理中心）的控制之下聯(lián)合協(xié)作，檢測(cè)發(fā)生在企業(yè)網(wǎng)之內(nèi)的入侵事件，并及時(shí)做出反應(yīng)措施。這個(gè)體系可以抽象成是一種“代理管理中心”結(jié)構(gòu)，一部分是各個(gè)功能不同的代理，另一部分是兩級(jí)管理中心。本結(jié)構(gòu)的一個(gè)重要的特點(diǎn)是采用樹形、分級(jí)的檢測(cè)管理的策略來實(shí)現(xiàn)體系結(jié)構(gòu)。所謂樹形，就是根節(jié)點(diǎn)是“一級(jí)管理中心”，“一級(jí)管理中心”下屬節(jié)點(diǎn)是“二級(jí)管理中心”，葉節(jié)點(diǎn)是受管理的具有各種功

41、能的代理（Agent）?！耙患?jí)管理中心”直接和控制“二級(jí)管理中心”，同時(shí)“二級(jí)管理中心”只控制和自己直接相連的下一級(jí)節(jié)點(diǎn)。5.5 請(qǐng)描述可入侵容忍的分布式協(xié)同入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu).分布式入侵檢測(cè)體系結(jié)構(gòu)具有一定的入侵容忍能力，可進(jìn)行一些協(xié)同操作。其體系結(jié)構(gòu)如下圖所示： 圖5.1 可入侵容忍的分布式協(xié)同入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)該體系結(jié)構(gòu)包括相互補(bǔ)充的功能模塊來提供更強(qiáng)大、更全面的檢測(cè)能力。在與其它安全系統(tǒng)協(xié)同時(shí)還可集成標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理功能以便于以后的自動(dòng)響應(yīng)。該體系結(jié)構(gòu)包括本地檢測(cè)子系統(tǒng)、協(xié)同分析器、監(jiān)控器以及總控制管理器。每部分都包括一個(gè)收發(fā)器，不過為了便于顯示，只在本地檢測(cè)子系統(tǒng)中給出了收發(fā)器。本

42、地收發(fā)器完成基本的檢測(cè)，并向上發(fā)送經(jīng)過篩選的標(biāo)準(zhǔn)化格式的數(shù)據(jù)，接收控制管理器的管理。協(xié)同分析器關(guān)聯(lián)分析來自多個(gè)本地檢測(cè)子系統(tǒng)的數(shù)據(jù)，完成更復(fù)雜的檢測(cè)功能。在實(shí)現(xiàn)中可能會(huì)包含多級(jí)協(xié)同分析器。運(yùn)行監(jiān)控器監(jiān)控關(guān)鍵組件的運(yùn)行（具體是哪些組件可進(jìn)行配置），一旦出現(xiàn)問題就采取相應(yīng)的安全措施?？刂乒芾砥魇钦麄€(gè)體系結(jié)構(gòu)的核心，完成對(duì)安全策略的實(shí)現(xiàn)以及對(duì)各組件的管理和控制。第六章典型的入侵檢測(cè)系統(tǒng)介紹答案6.1 在入侵檢測(cè)系統(tǒng)中引入代理和移動(dòng)代理技術(shù)的優(yōu)缺點(diǎn)？使用移動(dòng)代理有如下優(yōu)點(diǎn)：(1). 移動(dòng)代理可以自主執(zhí)行，動(dòng)態(tài)適應(yīng)移動(dòng)代理具備一定的自主性和智能性，它提供一種靈活多樣的運(yùn)行機(jī)制，使得自身可以比較“聰明”地

43、適應(yīng)所處的環(huán)境，對(duì)環(huán)境的變化做出反應(yīng)，比如移動(dòng)代理可以移動(dòng)到負(fù)載較重的地方，協(xié)助處理數(shù)據(jù)以實(shí)現(xiàn)負(fù)載的平衡。同時(shí)移動(dòng)代理也可以方便地被系統(tǒng)中負(fù)責(zé)管理移動(dòng)代理的協(xié)調(diào)模塊進(jìn)行克隆、分派、掛起、回收（或殺死）。(2). 使用移動(dòng)代理可以減輕網(wǎng)絡(luò)負(fù)載和減少網(wǎng)絡(luò)延時(shí)，減少系統(tǒng)內(nèi)部通信量由于移動(dòng)代理可以移動(dòng)到事發(fā)地進(jìn)行現(xiàn)場(chǎng)處理，因此使用移動(dòng)代理可以有效減輕和平衡網(wǎng)絡(luò)負(fù)載，有利于提高網(wǎng)絡(luò)的使用效率，減小網(wǎng)絡(luò)延時(shí)。需要在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)少了，系統(tǒng)內(nèi)部的通信量也就減少了。(3). 移動(dòng)代理可以運(yùn)行于多種平臺(tái)之上，或說代理的運(yùn)行是與平臺(tái)無關(guān)的由于移動(dòng)代理可以從一種平臺(tái)移動(dòng)到另一種平臺(tái)，移動(dòng)后仍能正常運(yùn)行，因此移動(dòng)代

44、理的運(yùn)行是與平臺(tái)無關(guān)的。移動(dòng)代理的這種性能對(duì)于系統(tǒng)及時(shí)采取響應(yīng)很有好處，因?yàn)槿肭趾蛯?duì)入侵的響應(yīng)隨處都可能存在和發(fā)生。(4). 使用移動(dòng)代理可以實(shí)時(shí)就地采取響應(yīng)措施這是移動(dòng)代理最大的優(yōu)點(diǎn)和潛力。由于入侵是不可預(yù)知的，而響應(yīng)又需要及時(shí)作出，再加之移動(dòng)代理可以跨平臺(tái)運(yùn)行，因此采用移動(dòng)代理對(duì)于加強(qiáng)和完善大規(guī)模分布式入侵檢測(cè)系統(tǒng)的響應(yīng)機(jī)制很有幫助。使用移動(dòng)代理可以從攻擊的目標(biāo)主機(jī)進(jìn)行響應(yīng)，從發(fā)動(dòng)攻擊的源主機(jī)進(jìn)行響應(yīng)，可以及時(shí)切斷源主機(jī)和目標(biāo)主機(jī)的連接。另外，使用移動(dòng)代理還可以實(shí)現(xiàn)對(duì)入侵者的追蹤。(5). 移動(dòng)代理的使用有利于大規(guī)模分布式入侵檢測(cè)系統(tǒng)的分布式結(jié)構(gòu)和模塊化設(shè)計(jì)的實(shí)現(xiàn)第七章 對(duì)入侵檢測(cè)系統(tǒng)的評(píng)

45、價(jià)及發(fā)展方向答案7.1 評(píng)價(jià)一個(gè)入侵檢測(cè)系統(tǒng)的優(yōu)劣，從技術(shù)角度看主要從哪幾方面來考察？從技術(shù)的角度看，一個(gè)好的入侵檢測(cè)系統(tǒng)，應(yīng)該具有以下特點(diǎn)：(1). 檢測(cè)效率高. 一個(gè)好的入侵檢測(cè)系統(tǒng)，應(yīng)該有比較高的效率，也就是它可以快速處理數(shù)據(jù)包，不會(huì)出現(xiàn)漏包、丟包或網(wǎng)絡(luò)擁塞現(xiàn)象。(2). 資源占用率小. 一個(gè)好的入侵檢測(cè)系統(tǒng)應(yīng)該盡量少地占用系統(tǒng)的資源，比如內(nèi)存、對(duì)于CPU的使用等。(3). 開放性. 一個(gè)好的入侵檢測(cè)系統(tǒng)應(yīng)該是開放式結(jié)構(gòu)，允許第三方和用戶對(duì)系統(tǒng)進(jìn)行擴(kuò)展和維護(hù). (4). 完備性. 一個(gè)好的入侵檢測(cè)系統(tǒng)，應(yīng)該具備自學(xué)習(xí)、事后推理、策略反饋等能力，以使得入侵檢測(cè)系統(tǒng)具有一定的智能，從而能較好地識(shí)別未知攻擊。(5). 安全性. 一個(gè)好的入侵檢測(cè)系統(tǒng)，應(yīng)該保證自身的安全，使自己不會(huì)輕易被攻破。7.2 對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行