網(wǎng)絡(luò)安全技術(shù)習(xí)題第章入侵檢測系統(tǒng)2

1、第9章入侵檢測系統(tǒng)單項選擇題BDDCAD2、簡答題（1）什么叫入侵檢測，入侵檢測系統(tǒng)有哪些功能？入侵檢測系統(tǒng)（簡稱“IDS”）就是依照必定的，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)轉(zhuǎn)狀況進(jìn)行監(jiān)督，盡可能發(fā)現(xiàn)各種攻擊妄圖、攻擊行為或許攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完好性和可用性。入侵檢測系統(tǒng)功能主要有：辨別黑客常用入侵與攻擊手段監(jiān)控網(wǎng)絡(luò)異樣通訊鑒識對系統(tǒng)破綻及后門的利用完美網(wǎng)絡(luò)安全管理2）依據(jù)檢測對象的不一樣，入侵檢測系統(tǒng)可分哪幾種？依據(jù)檢測對象的不一樣，入侵檢測系統(tǒng)可分為鑒于主機(jī)的入侵檢測鑒于網(wǎng)絡(luò)的入侵檢測、混淆型三種。主機(jī)型入侵檢測系統(tǒng)就是以系統(tǒng)日記、應(yīng)用程序日記等作為數(shù)據(jù)源。主機(jī)型入侵檢測系統(tǒng)保護(hù)的一般

2、是所在的系統(tǒng)。網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段的任務(wù)?；煜褪氰b于主機(jī)和鑒于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的聯(lián)合，它為前兩種方案供給了互補(bǔ)，還供給了入侵檢測的集中管理，采納這種技術(shù)能實(shí)現(xiàn)對入侵行為的全方向檢測。（3）常用的入侵檢測系統(tǒng)的技術(shù)有哪幾種？其原理分別是什么？常用的入侵檢測系統(tǒng)的技術(shù)有兩種，一種鑒于誤用檢測（AnomalDetection），另一種鑒于異樣檢測（MisuseDetection）。關(guān)于鑒于誤用的檢測技術(shù)來說，第一要定義違反安全策略事件的特色，檢測主要鑒識這種特色能否在所采集到的數(shù)據(jù)中出現(xiàn)，假如檢測到該行為在入侵特色庫中，說明是入侵行

3、為，此方法特別近似殺毒軟件。鑒于誤用的檢測技術(shù)關(guān)于已知的攻擊，它能夠詳盡、正確的報告出攻擊種類，可是對未知攻擊卻成效有限，并且知識庫一定不停更新。鑒于異樣的檢測技術(shù)則是先定義一組系統(tǒng)正常狀況的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗(yàn)和等（這種數(shù)據(jù)能夠人為定義，也能夠經(jīng)過察看系統(tǒng)、并用統(tǒng)計的方法得出），而后將系統(tǒng)運(yùn)轉(zhuǎn)時的數(shù)值與所定義的“正?！睜顩r比較，得出能否有被攻擊的跡象。這種檢測方式的核心在于怎樣定義所謂的正常狀況。異樣檢測只好辨別出那些與正常過程有較大誤差的行為，沒法正確鑒識出攻擊的手法，但它能夠（起碼在理論上能夠）鑒識更廣范、甚至未覺察的攻擊。4）入侵檢測系統(tǒng)填補(bǔ)了防火墻的哪些不足？網(wǎng)

4、絡(luò)防火墻是指的是隔絕在當(dāng)?shù)鼐W(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防守系統(tǒng)。防火墻也存在以下不足之處：防火墻能夠阻斷攻擊，但不可以消滅攻擊源。入侵者能夠找尋防火墻背后可能敞開的后門而繞過防火墻；防火墻不可以抵擋最新的未設(shè)置策略的攻擊破綻。防火墻的并發(fā)連結(jié)數(shù)限制簡單致使擁堵或許溢出。而當(dāng)防火墻溢出的時候，整個防線就好像虛設(shè)，本來被嚴(yán)禁的連結(jié)也能冷靜經(jīng)過了；防火墻對待內(nèi)部主動倡始連結(jié)的攻擊一般沒法阻擋；防火墻自己也會出現(xiàn)問題和遇到攻擊；防火墻不辦理病毒。一般防火墻固然掃描經(jīng)過他的信息，但一般只掃描源地點(diǎn)、目的地點(diǎn)端口號，不掃描數(shù)據(jù)確實(shí)切內(nèi)容，關(guān)于病毒來說，防火墻不可以防備。防火墻是一種靜態(tài)的安全技術(shù),需要人工來實(shí)

5、行和保護(hù),不可以主動追蹤入侵者。綜合以上能夠看出，防火墻是網(wǎng)絡(luò)安全的重要一環(huán)，但不代表設(shè)置了防火墻就能必定保證網(wǎng)絡(luò)的安全。入侵攻擊已經(jīng)見怪不怪，應(yīng)付這些入侵者的攻擊，能夠經(jīng)過身份鑒識技術(shù)，使用嚴(yán)格的接見控制技術(shù)，還能夠?qū)?shù)據(jù)進(jìn)行加密保護(hù)等，但這其實(shí)不完好可行。所以靜態(tài)安全舉措其實(shí)不足以保護(hù)安全對象。所以，一種動向的方法是必需的。比方行為追蹤、入侵檢測技術(shù)?？墒牵旰梅纻淙肭之?dāng)前看是不現(xiàn)實(shí)的。人們能夠全力檢測出這些入侵，以便采納舉措或許此后修理。（5）簡述鑒于主機(jī)的入侵檢測系統(tǒng)的長處。鑒于主機(jī)的入侵檢測系統(tǒng)長處：能夠監(jiān)督特定的系統(tǒng)活動，能夠精準(zhǔn)的依據(jù)自己的需要定制規(guī)則。不需要額外的硬件，HIDS

6、駐留在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)備上，其包含文件服務(wù)器、Web服務(wù)器和其余的共享資源等。減少了此后保護(hù)和管理硬件設(shè)備的負(fù)擔(dān)。合用于被加密的和互換的環(huán)境。能夠戰(zhàn)勝NIDS在互換和加密環(huán)境中所面對的一些困難。弊端：依靠于特定的操作系統(tǒng)平臺，對不一樣的平臺系統(tǒng)而言，它是沒法移植的，所以一定針對各不一樣主機(jī)安裝各種HIDS。在所保護(hù)主機(jī)上運(yùn)轉(zhuǎn)，將影響到宿主機(jī)的運(yùn)轉(zhuǎn)性能，特別是當(dāng)宿主機(jī)為服務(wù)器的狀況；往常沒法對網(wǎng)絡(luò)環(huán)境下發(fā)生的大批攻擊行為，做出及時的反響。6）簡述鑒于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的長處與弊端。鑒于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的長處：成本較低，NIDS系統(tǒng)其實(shí)不需要在各種各種的主機(jī)長進(jìn)行安裝，大大減少了安全和管理的復(fù)雜

7、性。及時檢測和響應(yīng)，一旦發(fā)生歹意接見或攻擊，NIDS檢測能夠隨時發(fā)現(xiàn)它們，所以能夠很快地作出反響?？杀O(jiān)測到未成功或歹意的入侵攻擊：一個放在防火墻外面的NIDS能夠檢測到旨在利用防火墻后邊的資源的攻擊。與操作系統(tǒng)沒關(guān)：其實(shí)不依靠主機(jī)的操作系統(tǒng)作為檢測資源，而HIDS需要特定的操作系統(tǒng)才能發(fā)揮作用。弊端：要采集大型網(wǎng)絡(luò)上的流量并加以剖析，常常需要更有效率的CPU辦理速度，以及更大的內(nèi)存空間。只檢查它直接相連的網(wǎng)段的通訊，不可以檢測其余網(wǎng)段的包。辦理加密的會話較困難。當(dāng)前經(jīng)過加密通道的攻擊尚不多，但跟著IPV6的普及，這個問題會愈來愈突出。7）評論一個入侵檢測系統(tǒng)的好壞，技術(shù)角度看主要從哪幾方面來考

8、慮。從技術(shù)的角度看，一個好的入侵檢測系統(tǒng)，應(yīng)當(dāng)擁有以下特色：檢測效率高。一個好的入侵檢測系統(tǒng)，應(yīng)當(dāng)有比較高的效率，也就是它能夠迅速辦理數(shù)據(jù)包，不會出現(xiàn)漏包、丟包或網(wǎng)絡(luò)擁堵現(xiàn)象。資源占用率小。一個好的入侵檢測系統(tǒng)應(yīng)當(dāng)盡量少地占用系統(tǒng)的資源，比方內(nèi)存、關(guān)于CPU的使用等。開放性一個好的入侵檢測系統(tǒng)應(yīng)當(dāng)是開放式構(gòu)造，同意第三方和用戶對系統(tǒng)進(jìn)行擴(kuò)展和保護(hù).齊備性。一個好的入侵檢測系統(tǒng)，應(yīng)當(dāng)具備自學(xué)習(xí)、過后推理、策略反應(yīng)等能力，以使得入侵檢測系統(tǒng)擁有必定的智能，進(jìn)而能較好地辨別未知攻擊。安全性。一個好的入侵檢測系統(tǒng)，應(yīng)當(dāng)保證自己的安全，使自己不會輕易被攻破。（8）簡述IDS的發(fā)展趨向散布式入侵檢測智能化入侵檢測鑒于內(nèi)核