入侵檢測(cè)技術(shù)-課后答案

入侵檢測(cè)技術(shù)-課后答案入侵檢測(cè)技術(shù)-課后答案入侵檢測(cè)技術(shù)-課后答案xxx公司入侵檢測(cè)技術(shù)-課后答案文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度入侵檢測(cè)技術(shù)-課后答案第1章入侵檢測(cè)概述思考題：分布式入侵檢測(cè)系統(tǒng)（DIDS）是如何把基于主機(jī)的入侵檢測(cè)方法和基于網(wǎng)絡(luò)的入侵檢測(cè)方法集成在一起的？答：分布式入侵檢測(cè)系統(tǒng)是將主機(jī)入侵檢測(cè)和網(wǎng)絡(luò)入侵檢測(cè)的能力集成的第一次嘗試，以便于一個(gè)集中式的安全管理小組能夠跟蹤安全侵犯和網(wǎng)絡(luò)間的入侵。DIDS的最初概念是采用集中式控制技術(shù)，向DIDS中心控制器發(fā)報(bào)告。DIDS解決了這樣幾個(gè)問題。在大型網(wǎng)絡(luò)互聯(lián)中的一個(gè)棘手問題是在網(wǎng)絡(luò)環(huán)境下跟蹤網(wǎng)絡(luò)用戶和文件。DIDS允許用戶在該環(huán)境中通過自動(dòng)跨越被監(jiān)視的網(wǎng)絡(luò)跟蹤和得到用戶身份的相關(guān)信息來(lái)處理這個(gè)問題。DIDS是第一個(gè)具有這個(gè)能力的入侵檢測(cè)系統(tǒng)。DIDS解決的另一個(gè)問題是如何從發(fā)生在系統(tǒng)不同的抽象層次的事件中發(fā)現(xiàn)相關(guān)數(shù)據(jù)或事件。這類信息要求要理解它們對(duì)整個(gè)網(wǎng)絡(luò)的影響，DIDS用一個(gè)6層入侵檢測(cè)模型提取數(shù)據(jù)相關(guān)性，每層代表了對(duì)數(shù)據(jù)的一次變換結(jié)果。入侵檢測(cè)作用體現(xiàn)在哪些方面？答：一般來(lái)說，入侵檢測(cè)系統(tǒng)的作用體現(xiàn)在以下幾個(gè)方面：監(jiān)控、分析用戶和系統(tǒng)的活動(dòng)；審計(jì)系統(tǒng)的配置和弱點(diǎn)；評(píng)估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性；識(shí)別攻擊的活動(dòng)模式；對(duì)異?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析；對(duì)操作系統(tǒng)進(jìn)行審計(jì)跟蹤管理，識(shí)別違反政策的用戶活動(dòng)。為什么說研究入侵檢測(cè)非常必要？答：計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)提供保密性、完整性以及抵抗拒絕服務(wù)的能力，但是由于連網(wǎng)用戶的增加，網(wǎng)上電子商務(wù)開辟的廣闊前景，越來(lái)越多的系統(tǒng)受到入侵者的攻擊。為了對(duì)付這些攻擊企圖，可以要求所有的用戶確認(rèn)并驗(yàn)證自己的身份，并使用嚴(yán)格的訪問控制機(jī)制，還可以用各種密碼學(xué)方法對(duì)數(shù)據(jù)提供保護(hù)，但是這并不完全可行。另一種對(duì)付破壞系統(tǒng)企圖的理想方法是建立一個(gè)完全安全的系統(tǒng)。但這樣的話，就要求所有的用戶能識(shí)別和認(rèn)證自己，還要采用各種各樣的加密技術(shù)和強(qiáng)訪問控制策略來(lái)保護(hù)數(shù)據(jù)。而從實(shí)際上看，這根本是不可能的。因此，一個(gè)實(shí)用的方法是建立比較容易實(shí)現(xiàn)的安全系統(tǒng)，同時(shí)按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)。入侵檢測(cè)系統(tǒng)就是這樣一類系統(tǒng)，現(xiàn)在安全軟件的開發(fā)方式基本上就是按照這個(gè)思路進(jìn)行的。就目前系統(tǒng)安全狀況而言，系統(tǒng)存在被攻擊的可能性。如果系統(tǒng)遭到攻擊，只要盡可能地檢測(cè)到，甚至是實(shí)時(shí)地檢測(cè)到，然后采取適當(dāng)?shù)奶幚泶胧?。入侵檢測(cè)系統(tǒng)一般不是采取預(yù)防的措施以防止入侵事件的發(fā)生，入侵檢測(cè)作為安全技術(shù)其主要目的有：（1）識(shí)別入侵者；（2）識(shí)別入侵行為：（3）檢測(cè)和監(jiān)視已成功的安全突破；（4）為對(duì)抗入侵及時(shí)提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。從這個(gè)角度看待安全問題，入侵檢測(cè)非常必要，它可以有效彌補(bǔ)傳統(tǒng)安全保護(hù)措施的不足。第2章入侵方法與手段選擇題：B.B思考題：一般來(lái)說，黑客攻擊的原理是什么？答：黑客之所以能夠滲透主機(jī)系統(tǒng)和對(duì)網(wǎng)絡(luò)實(shí)施攻擊，從內(nèi)因來(lái)講，主要因?yàn)橹鳈C(jī)系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在著漏洞，而從外因來(lái)講原因有很多，例如人類與生俱來(lái)的好奇心等等，而最主要的是個(gè)人、企業(yè)甚至國(guó)家的利益在網(wǎng)絡(luò)和互聯(lián)網(wǎng)中的體現(xiàn)。利益的驅(qū)動(dòng)使得互聯(lián)網(wǎng)中的黑客數(shù)量激增。拒絕服務(wù)攻擊是如何實(shí)施的？答：最基本的DoS攻擊是利用合理的服務(wù)請(qǐng)求來(lái)占用過多的服務(wù)資源，致使服務(wù)超載，無(wú)法響應(yīng)其他的請(qǐng)求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進(jìn)程或者向內(nèi)的連接。這種攻擊會(huì)導(dǎo)致資源的匱乏，無(wú)論計(jì)算機(jī)的處理速度多么快，內(nèi)存容量多么大，互連網(wǎng)的速度多么快都無(wú)法避免這種攻擊帶來(lái)的后果。因?yàn)槿魏问露加幸粋€(gè)極限，所以，總能找到一個(gè)方法使請(qǐng)求的值大于該極限值，因此就會(huì)使所提供的服務(wù)資源匱乏，象是無(wú)法滿足需求。秘密掃描的原理是什么？答：秘密掃描不包含標(biāo)準(zhǔn)的TCP三次握手協(xié)議的任何部分，所以無(wú)法被記錄下來(lái)，從而比SYN掃描隱蔽得多。秘密掃描技術(shù)使用FIN數(shù)據(jù)包來(lái)探聽端口。當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，數(shù)據(jù)包會(huì)被丟掉，并且回返回一個(gè)RST數(shù)據(jù)包。否則，當(dāng)一個(gè)FIN數(shù)據(jù)包到達(dá)一個(gè)打開的端口，數(shù)據(jù)包只是簡(jiǎn)單的丟掉（不返回RST）。分布式拒絕服務(wù)攻擊的原理是什么？答：DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。理解了DoS攻擊的話，DDoS的原理就很簡(jiǎn)單。如果說計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺(tái)攻擊機(jī)來(lái)攻擊不再能起作用的話，攻擊者使用10臺(tái)攻擊機(jī)同時(shí)攻擊呢用100臺(tái)呢DDoS就是利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，以比從前更大的規(guī)模來(lái)進(jìn)攻受害者。緩沖區(qū)溢出攻擊的原理是什么？答：緩沖區(qū)是計(jì)算機(jī)內(nèi)存中的臨時(shí)存儲(chǔ)數(shù)據(jù)的區(qū)域，通常由需要使用緩沖區(qū)的程序按照指定的大小來(lái)創(chuàng)建的。一個(gè)強(qiáng)健的程序應(yīng)該可以創(chuàng)建足夠大的緩沖區(qū)以保存它接收的數(shù)據(jù)，或者可以監(jiān)測(cè)緩沖區(qū)的使用情況并拒絕接收超過緩沖區(qū)中可以保存的數(shù)據(jù)。如果程序沒有對(duì)緩沖區(qū)邊界進(jìn)行檢查，即可以允許沒有干擾地輸入數(shù)據(jù)，而不考慮大小問題。這樣多出的數(shù)據(jù)就會(huì)被寫到緩沖區(qū)之外，這時(shí)就可能寫入到其它的內(nèi)存區(qū)域中。如果在這部分內(nèi)存中已經(jīng)存放了一些重要的內(nèi)容（例如計(jì)算機(jī)操作系統(tǒng)的某一部分，或者更有可能是其它數(shù)據(jù)或應(yīng)用程序自己的代碼），那么它的內(nèi)容就被覆蓋了（發(fā)生數(shù)據(jù)丟失）。格式化字符串攻擊的原理是什么？答：所謂格式化串，就是在*printf()系列函數(shù)中按照一定的格式對(duì)數(shù)據(jù)進(jìn)行輸出，可以輸出到標(biāo)準(zhǔn)輸出，即printf()，也可以輸出到文件句柄，字符串等，對(duì)應(yīng)的函數(shù)有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在這一系列的*printf()函數(shù)中，*printf()系列函數(shù)有三條特殊的性質(zhì)，這些特殊性質(zhì)如果被黑客結(jié)合起來(lái)利用，就會(huì)形成漏洞。格式化串漏洞和普通的緩沖溢出有相似之處，但又有所不同，它們都是利用了程序員的疏忽大意來(lái)改變程序運(yùn)行的正常流程。第3章入侵檢測(cè)系統(tǒng)選擇題：DD思考題：入侵檢測(cè)系統(tǒng)有哪些基本模型？答：在入侵檢測(cè)系統(tǒng)的發(fā)展歷程中，大致經(jīng)歷了三個(gè)階段：集中式階段、層次式階段和集成式階段。代表這三個(gè)階段的入侵檢測(cè)系統(tǒng)的基本模型分別是通用入侵檢測(cè)模型（Denning模型）、層次化入侵檢測(cè)模型（IDM）和管理式入侵檢測(cè)模型（SNMP-IDSM）。簡(jiǎn)述IDM模型的工作原理？答：IDM模型給出了在推斷網(wǎng)絡(luò)中的計(jì)算機(jī)受攻擊時(shí)數(shù)據(jù)的抽象過程。也就是給出了將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次的有關(guān)入侵和被監(jiān)測(cè)環(huán)境的全部安全假設(shè)過程。通過把收集到的分散數(shù)據(jù)進(jìn)行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作，IDM構(gòu)造了一臺(tái)虛擬的機(jī)器環(huán)境，這臺(tái)機(jī)器由所有相連的主機(jī)和網(wǎng)絡(luò)組成。將分布式系統(tǒng)看作是一臺(tái)虛擬的計(jì)算機(jī)的觀點(diǎn)簡(jiǎn)化了對(duì)跨越單機(jī)的入侵行為的識(shí)別。入侵檢測(cè)系統(tǒng)的工作模式可以分為幾個(gè)步驟，分別是什么？答：入侵檢測(cè)系統(tǒng)的工作模式可以分為4個(gè)步驟，分別為：從系統(tǒng)的不同環(huán)節(jié)收集信息；分析該信息，試圖尋找入侵活動(dòng)的特征；自動(dòng)對(duì)檢測(cè)到的行為作出響應(yīng)；記錄并報(bào)告檢測(cè)過程和結(jié)果?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的區(qū)別是什么？答：基于主機(jī)的入侵檢測(cè)系統(tǒng)可監(jiān)測(cè)系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時(shí)，入侵檢測(cè)系統(tǒng)將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會(huì)向管理員報(bào)警，以采取措施。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常利用一個(gè)運(yùn)行在混雜模式下的網(wǎng)絡(luò)適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。異常入侵檢測(cè)系統(tǒng)的設(shè)計(jì)原理是什么？答：異常入侵檢測(cè)系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測(cè)系統(tǒng)中入侵行為和異?；顒?dòng)的依據(jù)。在異常入侵檢測(cè)中，假定所有入侵行為都是與正常行為不同的，這樣，如果建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對(duì)于異常閾值與特征的選擇是異常入侵檢測(cè)的關(guān)鍵。比如，通過流量統(tǒng)計(jì)分析將異常時(shí)間的異常網(wǎng)絡(luò)流量視為可疑。異常入侵檢測(cè)的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計(jì)算和更新。誤用入侵檢測(cè)系統(tǒng)的優(yōu)缺點(diǎn)分別是什么？答：誤用入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)是誤報(bào)少；缺點(diǎn)是它只能發(fā)現(xiàn)已知的攻擊，對(duì)未知的攻擊無(wú)能為力。簡(jiǎn)述防火墻對(duì)部署入侵檢測(cè)系統(tǒng)的影響。答：防火墻系統(tǒng)起防御來(lái)自外部網(wǎng)絡(luò)的攻擊的作用，在這時(shí)和入侵檢測(cè)系統(tǒng)互相配合可以做更有效的安全管理。通常將入侵檢測(cè)系統(tǒng)部署在防火墻之后，進(jìn)行繼防火墻一次過濾后的二次防御。但是在有些情況下，還需要考慮來(lái)自外部的針對(duì)防火墻本身的攻擊行為。如果黑客覺察到防火墻的存在并攻破防火墻的話，對(duì)內(nèi)部網(wǎng)絡(luò)來(lái)說是非常危險(xiǎn)的。因此在高安全性要求的環(huán)境下在防火墻外部部署入侵檢測(cè)產(chǎn)品，進(jìn)行先于防火墻的一次檢測(cè)、防御。這樣用戶可以預(yù)知那些惡意攻擊防火墻的行為并及時(shí)采取相應(yīng)的安全措施，以保證整個(gè)網(wǎng)絡(luò)的安全性。第4章入侵檢測(cè)流程選擇題：CA思考題：入侵分析的目的是什么？答：入侵分析的主要目的是提高信息系統(tǒng)的安全性。除了檢測(cè)入侵行為之外，人們通常還希望達(dá)到以下目標(biāo)：重要的威懾力；安全規(guī)劃和管理；獲取入侵證據(jù)。入侵分析需要考慮哪些因素？答：入侵分析需要考慮的因素主要有以下四個(gè)方面：需求；子目標(biāo)；目標(biāo)劃分；平衡。告警與響應(yīng)的作用是什么？答：在完成系統(tǒng)安全狀況分析并確定系統(tǒng)所存在的問題之后，就要讓人們知道這些問題的存在，在某些情況下，還要另外采取行動(dòng)。這就是告警與響應(yīng)要完成的任務(wù)。聯(lián)動(dòng)響應(yīng)機(jī)制的含義是什么？答：入侵檢測(cè)的主要作用是通過檢查主機(jī)日志或網(wǎng)絡(luò)傳輸內(nèi)容，發(fā)現(xiàn)潛在的網(wǎng)絡(luò)攻擊，但一般的入侵檢測(cè)系統(tǒng)只能做簡(jiǎn)單的響應(yīng)，如通過發(fā)RST包終止可疑的TCP連接。而對(duì)于大量的非法訪問，如DoS類攻擊，僅僅采用入侵檢測(cè)系統(tǒng)本身去響應(yīng)是遠(yuǎn)遠(yuǎn)不夠的。因此，在響應(yīng)機(jī)制中，需要發(fā)揮各種不同網(wǎng)絡(luò)安全技術(shù)的特點(diǎn)，從而取得更好的網(wǎng)絡(luò)安全防范效果。這就需要采用入侵檢測(cè)系統(tǒng)的聯(lián)動(dòng)響應(yīng)機(jī)制。目前，可以與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)進(jìn)行響應(yīng)的安全技術(shù)包括防火墻、安全掃描器、防病毒系統(tǒng)、安全加密系統(tǒng)等。但其中最主要的是防火墻聯(lián)動(dòng)，即當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到潛在的網(wǎng)絡(luò)攻擊后，將相關(guān)信息傳輸給防火墻，由防火墻采取響應(yīng)措施，從而更有效的保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全。第5章基于主機(jī)的入侵檢測(cè)技術(shù)一、ABCD二、思考題1．基于主機(jī)的數(shù)據(jù)源主要有哪些？

答：基于主機(jī)的數(shù)據(jù)源主要有系統(tǒng)日志、應(yīng)用程序日志等。2．獲取審計(jì)數(shù)據(jù)后，為什么首先要對(duì)這些數(shù)據(jù)進(jìn)行預(yù)處理？答：當(dāng)今現(xiàn)實(shí)世界中的數(shù)據(jù)庫(kù)的共同特點(diǎn)是存在不完整的、含噪聲的和不一致的數(shù)據(jù)，用戶感興趣的屬性，并非總是可用的。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分析數(shù)據(jù)的來(lái)源與數(shù)據(jù)結(jié)構(gòu)的異構(gòu)性，實(shí)際系統(tǒng)所提供數(shù)據(jù)的不完全相關(guān)性、冗余性、概念上的模糊性以及海量審計(jì)數(shù)據(jù)中可能存在大量的無(wú)意義信息等問題，使得系統(tǒng)提供的原始信息很難直接被檢測(cè)系統(tǒng)使用，而且還可能造成檢測(cè)結(jié)果的偏差，降低系統(tǒng)的檢測(cè)性能。這就要求獲取的審計(jì)數(shù)據(jù)在被檢測(cè)模塊使用之前，對(duì)不理想的原始數(shù)據(jù)進(jìn)行有效的歸納、進(jìn)行格式統(tǒng)一、轉(zhuǎn)換和處理。3．?dāng)?shù)據(jù)預(yù)處理的方法很多，常用的有哪幾種？答：數(shù)據(jù)預(yù)處理的方法很多，常用的有：基于粗糙集理論的約簡(jiǎn)法、基于粗糙集理論的屬性離散化、屬性的約簡(jiǎn)等。（需要對(duì)上述方法的基本原理進(jìn)行掌握）4．簡(jiǎn)述基于專家系統(tǒng)的入侵檢測(cè)技術(shù)的局限性。答：專家系統(tǒng)可有針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng)，檢測(cè)準(zhǔn)確度高。但在具體實(shí)現(xiàn)中，專家系統(tǒng)主要面臨如下問題：①專家知識(shí)獲取問題。即由于專家系統(tǒng)的檢測(cè)規(guī)則由安全專家用專家知識(shí)構(gòu)造，因此難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識(shí)。②規(guī)則動(dòng)態(tài)更新問題。用戶行為模式的動(dòng)態(tài)性要求入侵檢測(cè)系統(tǒng)具有自學(xué)習(xí)、自適應(yīng)的功能。5．配置分析技術(shù)的基本原理是基于哪兩個(gè)觀點(diǎn)？配置分析技術(shù)的基本原理是基于如下兩個(gè)觀點(diǎn)：①一次成功的入侵活動(dòng)可能會(huì)在系統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當(dāng)前的狀態(tài)來(lái)發(fā)現(xiàn)。②系統(tǒng)管理員和用戶經(jīng)常會(huì)錯(cuò)誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機(jī)。第6章基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)思考題：簡(jiǎn)述交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲方法。答：在使用交換機(jī)連接的交換式網(wǎng)絡(luò)環(huán)境中，處于監(jiān)聽狀態(tài)下的網(wǎng)絡(luò)設(shè)備，只能捕獲到它所連接的交換機(jī)端口上的數(shù)據(jù)，而無(wú)法監(jiān)聽其他交換機(jī)端口和其他網(wǎng)段的數(shù)據(jù)。因此，實(shí)現(xiàn)交換網(wǎng)絡(luò)的數(shù)據(jù)捕獲要采用一些特殊的方法。通?？梢圆捎萌缦路椒ǎ海?）將數(shù)據(jù)包捕獲程序放在網(wǎng)關(guān)或代理服務(wù)器上，這樣就可以捕獲到整個(gè)局域網(wǎng)的數(shù)據(jù)包；（2）對(duì)交換機(jī)實(shí)行端口映射，將所有端口的數(shù)據(jù)包全部映射到某個(gè)連接監(jiān)控機(jī)器的端口上；（3）在交換機(jī)和路由器之間連接一個(gè)HUB，這樣數(shù)據(jù)將以廣播的方式發(fā)送；（4）實(shí)行ARP欺騙，即在負(fù)責(zé)數(shù)據(jù)包捕獲的機(jī)器上實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)包的轉(zhuǎn)發(fā)，不過會(huì)降低整個(gè)局域網(wǎng)的效率。簡(jiǎn)述包捕獲機(jī)制BPF的原理。答：BPF主要由兩大部分組成：網(wǎng)絡(luò)分接頭（NetworkTap）和數(shù)據(jù)包過濾器（PacketFilter）。

網(wǎng)絡(luò)分接頭從網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序處收集數(shù)據(jù)包復(fù)制，并傳遞給正在捕獲數(shù)據(jù)包的應(yīng)用程序。過濾器決定某一數(shù)據(jù)包是被接受或者拒絕以及如果被接受，數(shù)據(jù)包的那些部分會(huì)被復(fù)制給應(yīng)用程序。簡(jiǎn)述協(xié)議分析的原理。答：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來(lái)檢測(cè)數(shù)據(jù)包?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹，一個(gè)特定的協(xié)議是該樹結(jié)構(gòu)中的一個(gè)結(jié)點(diǎn)，可以用一棵二叉樹來(lái)表示。一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個(gè)葉子的路徑。在程序中動(dòng)態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。舉例說明如何檢測(cè)端口掃描。答：本例中檢測(cè)引擎檢測(cè)到主機(jī)192.168.0.5與主機(jī)192.168.0.4在短期內(nèi)建立了大量的連接，符合閾值要求，所以已被認(rèn)定為端口掃描，如下圖所示。圖端口掃描的檢測(cè)舉例說明如何檢測(cè)拒絕服務(wù)攻擊。答：本例中檢測(cè)引擎檢測(cè)出了IGMP的DoS攻擊，檢測(cè)結(jié)果下圖所示。圖拒絕服務(wù)攻擊的檢測(cè)結(jié)果第7章入侵檢測(cè)系統(tǒng)的標(biāo)準(zhǔn)與評(píng)估選擇題：ABCCBDBACABC（7）B（8）A思考題：CIDF標(biāo)準(zhǔn)化工作的主要思想是什么？答：CIDF標(biāo)準(zhǔn)化工作基于這樣的思想：入侵行為是如此廣泛和復(fù)雜，以至于依靠某個(gè)單一的IDS不可能檢測(cè)出所有的入侵行為，因此就需要一個(gè)IDS系統(tǒng)的合作來(lái)檢測(cè)跨越網(wǎng)絡(luò)或跨越較長(zhǎng)時(shí)間段的不同攻擊。為了盡可能地減少標(biāo)準(zhǔn)化工作，CIDF把IDS系統(tǒng)合作的重點(diǎn)放在了不同組件間的合作上。CIDF是怎樣解決組件之間的通訊問題的？答：CIDF組件間的通信是通過一個(gè)層次化的結(jié)構(gòu)來(lái)完成的。這個(gè)結(jié)構(gòu)包括三層：Gidos層、信體層、協(xié)商傳輸層。針對(duì)CIDF的一個(gè)組件怎樣才能安全地連接到其它組件的問題，CIDF提出了一個(gè)可擴(kuò)展性非常好的比較完備的解決方法，即采用中介服務(wù)（Matchmaker）。針對(duì)連接建立后CIDF如何保證組件之間安全有效地進(jìn)行通信的問題，CIDF是通過信體層和傳輸層來(lái)解決的。信體層是為了解決諸如同步（例如阻塞和非阻塞等）、屏蔽不同操作系統(tǒng)的不同數(shù)據(jù)表示、不同編程語(yǔ)言不同的數(shù)據(jù)結(jié)構(gòu)等問題而提出的。它規(guī)定了Message的格式，并提出了雙方通信的流程。此外，為了保證通信的安全性，信體層包含了鑒別、加密和簽名等機(jī)制。IDWG的主要工作是什么？答：IDWG的主要工作圍繞著下面三點(diǎn)：（1）制定入侵檢測(cè)消息交換需求文檔。該文檔內(nèi)容有入侵檢測(cè)系統(tǒng)之間通信的要求說明，同時(shí)還有入侵檢測(cè)系統(tǒng)和管理系統(tǒng)之間通信的要求說明。（2）制定公共入侵語(yǔ)言規(guī)范。（3）制定一種入侵檢測(cè)消息交換的體系結(jié)構(gòu)，使得最適合于用目前已存在協(xié)議實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)之間的通信。檢測(cè)系統(tǒng)的報(bào)警信息可信度與虛警率、檢測(cè)率之間的關(guān)系是什么？答：給定檢測(cè)率的條件下，報(bào)警信息的可信度將隨著檢測(cè)系統(tǒng)虛警率的增大而減小。而在給定虛警率的條件下，報(bào)警信息的可信度將隨著檢測(cè)率的增大而增大。評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的三個(gè)因素是什么，分別表示什么含義？答：評(píng)價(jià)入侵檢測(cè)系統(tǒng)性能的三個(gè)因素是：準(zhǔn)確性；處理性能；完備性。準(zhǔn)確性指入侵檢測(cè)系統(tǒng)能正確地檢測(cè)出系統(tǒng)入侵活動(dòng)。當(dāng)一個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)不準(zhǔn)確時(shí)，它就可能把系統(tǒng)中的合法活動(dòng)當(dāng)作入侵行為并標(biāo)識(shí)為異常。處理性能指一個(gè)入侵檢測(cè)系統(tǒng)處理系統(tǒng)審計(jì)數(shù)據(jù)的速度。顯然，當(dāng)入侵檢測(cè)系統(tǒng)的處理性能較差時(shí)，它就不可能實(shí)現(xiàn)實(shí)時(shí)的入侵檢測(cè)。完備性指入侵檢測(cè)系統(tǒng)能夠檢測(cè)出所有攻擊行為的能力。如果存在一個(gè)攻擊行為，無(wú)法被入侵檢測(cè)系統(tǒng)檢測(cè)出來(lái)，那么該入侵檢測(cè)系統(tǒng)就不具有檢測(cè)完備性。由于在一般情況下，很難得到關(guān)于攻擊行為以及對(duì)系統(tǒng)特權(quán)濫用行為的所有知識(shí)，所以關(guān)于入侵檢測(cè)系統(tǒng)的檢測(cè)完備性的評(píng)估要相對(duì)困難得多。IDS測(cè)試方法的局限性是什么？答：IDS測(cè)試方法的局限性在于只能測(cè)試己知攻擊。性能測(cè)試的主要指標(biāo)是什么？答：性能測(cè)試的主要的指標(biāo)有：IDS引擎的吞吐量；包的重裝；過濾的效率。離線評(píng)估方案和實(shí)時(shí)評(píng)估方案各有什么優(yōu)缺點(diǎn)？答：離線評(píng)估方案的優(yōu)點(diǎn)是設(shè)計(jì)簡(jiǎn)單，集中于核心技術(shù)，消除安全與隱私問題并提供大多數(shù)入侵檢測(cè)系統(tǒng)所使用的數(shù)據(jù)類型。缺點(diǎn)是無(wú)法反映網(wǎng)絡(luò)入侵行為的實(shí)時(shí)性。實(shí)時(shí)評(píng)估方案的優(yōu)點(diǎn)是可以測(cè)量每個(gè)IDS系統(tǒng)在現(xiàn)有的正常機(jī)器和網(wǎng)絡(luò)活動(dòng)中檢測(cè)入侵行為的效力，可以測(cè)量每個(gè)IDS系統(tǒng)的反應(yīng)機(jī)制的效力以及對(duì)正常用戶的影響。缺點(diǎn)是構(gòu)建評(píng)估環(huán)境比較復(fù)雜。第8章Snort分析一、選擇題1．B2．C二、思考題1．Snort的3種工作模式是什么？答：Snort有以下3種工作模式：①嗅探器——嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。②數(shù)據(jù)包記錄器——數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。③網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)——Snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，這種工作模式是最復(fù)雜的，而且是可配置的。用戶可以讓Snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。2．Snort所需的底層庫(kù)有哪些？答：Snort所需的底層庫(kù)有：①Libpcap：Libpcap提供的接口函數(shù)主要實(shí)現(xiàn)和封裝了與數(shù)據(jù)包截獲有關(guān)的過程②Libnet：Libnet提供的接口函數(shù)主要實(shí)現(xiàn)和封裝了數(shù)據(jù)包的構(gòu)造和發(fā)送過程。③NDISpacketcaptureDriver：NDISpacketcaptureDriver是為了方便用戶在Win32/9x/NT/2000環(huán)境下抓取和處理網(wǎng)絡(luò)數(shù)據(jù)包而提供的驅(qū)動(dòng)程序。PacketDriver分為Windows9x、WindowsNT和Windows20003種不同類型。3．簡(jiǎn)述Snort的特點(diǎn)答：Snort是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，它具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配；它能夠檢測(cè)各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警；此外，Snort具有很好的擴(kuò)展性和可移植性。還有，這個(gè)軟件遵循通用公共許可證GPL，所以只要遵守GPL任何組織和個(gè)人都可以自由使用。①Snort是一個(gè)輕量級(jí)的入侵檢測(cè)系統(tǒng)。Snort雖然功能強(qiáng)大，但是其代碼極為簡(jiǎn)潔、短小，其源代碼壓縮包只有大約110KB。②Snort的跨平臺(tái)性能極佳。與大多數(shù)商用入侵檢測(cè)軟件只能支持其中的1～2種操作系統(tǒng)，甚至需要特定的操作系統(tǒng)不同的是，Snort具有跨平臺(tái)的特點(diǎn)，它支持的操作系統(tǒng)廣泛。③Snort的功能非常強(qiáng)大。Snort具有實(shí)時(shí)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力、能夠快速地檢測(cè)網(wǎng)絡(luò)攻擊，及時(shí)地發(fā)出報(bào)警；Snort能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索/匹配；Snort的日志格式既可以是Tcpdump式的二進(jìn)制格式，也可以解碼成ASCII字符形式，更加便于用戶尤其是新手檢查；使用數(shù)據(jù)庫(kù)輸出插件，Snort可以把日志記入數(shù)據(jù)庫(kù)；使用TCP流插件（Tcpstream），Snort可以對(duì)TCP包進(jìn)行重組、可以對(duì)TCP包進(jìn)行緩沖，；使用SPADE（StatisticalPacketAnomalyDetectionEngine）插件，Snort能夠報(bào)告非正常的可疑包，從而對(duì)端口掃描進(jìn)行有效的檢測(cè)；Snort還有很強(qiáng)的系統(tǒng)防護(hù)能力，使用FlexResp功能，Snort能夠主動(dòng)斷開惡意連接。④擴(kuò)展性能較好，對(duì)于新的攻擊威脅反應(yīng)迅速。⑤遵循公共通用許可證GPL，任何企業(yè)、個(gè)人、組織都可以免費(fèi)使用它作為自己的NIDS。4．簡(jiǎn)述Snort的入侵檢測(cè)流程。答：基于規(guī)則的模式匹配是Snort的核心檢測(cè)機(jī)制。S