1、第一章习题答案.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答: 计算机安全的内容包括物理安全和逻辑安全两方面。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方
2、式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。它一般应该具有以下几个特征: 机密性(confidentiality):机密性是指数据不会泄漏给非授权的用户、实体,也不会被非授权用户使用,只有合法的授权用户才能对机密的或受限的数据进行存取。 完整性(Integrity):完整性是指数据未经授权不能被改变。也就是说,完整性要求保持系统中数据的正确性和一致性。不管在什么情况下,都要保护数据不受破坏或者被篡改。 可用性(Availability):计算机资源和系统中的数据信息在系统合法用户需要使用时,必须是可用的。即对授权用户,系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。 可控性
3、(Controliability):可控性是指可以控制授权范围内的信息流向及行为方式,对信息的访问、传播以及具体内容具有控制能力。同时它还要求系统审计针对信息的访问,当计算机中的泄密现象被检测出后,计算机的安全系统必须能够保存足够的信息以追踪和识别入侵攻击者,入侵者对此不能够抵赖。 正确性(Correctness):系统要尽量减少由于对事件的不正确判断所引起的虚警(False Alarms)现象,要有较高的可靠性。如果虚警率太高,那么用户的合法行为就会经常性地被打断或者被禁止。这样,不仅使得系统的可用性降低,而且也会使合法用户对系统失去信心。1.3 描述并解释 Anderson 在年提出的计算
4、机安全模型答: Anderson 在 1972 年提出了计算机安全模型,如图 1.1 所示。图 1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。授权数据库并不是安全参考监视器的一部分,但是安全参考监视器要完成控制功能需要授权数据库的帮助。识别与认证系统识别主体和对象。审计系统用来记录系统的活动信息。该模型的实现采用访问控制机制来保证系统安全。访问控制机制识别与认证主体身份,根据授权数据库的记录决定是否可以允许主体访问对象。1.4 描述并解释 P2DR 模型. P2DR 模型 (Policy策略,Protection 防护,Detection检测,Response
5、响应) 是一种动态的、安全性高的网络安全模型,如图 1.3 所示。图 1.3 P2DR 模型它的基本思想是:以安全策略为核心,通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测,检测使系统从静态防护转化为动态防护,为系统快速响应提供了依据,当发现系统有异常时,根据系统安全策略快速作出响应,从而达到了保护系统安全的目的。防护、检测和响应组成了一个完整的、动态的安全循环。在安全策略的指导下保证信息系统的安全。15 传统的安全技术有几类,他们分别是什么?传统的安全技术分为两类:静态安全技术和动态安全技术。所谓静态安全技术,是指通过人工的方法,采用一些
6、外围设备,主要是用于保护系统抵御外部的攻击,其代表产品就是我们常见的防火墙。动态安全技术的最大优点在于“主动性” ,通过把实时的数据捕获、实时的数据分析和网络监视系统相结合,根据特定安全数据库中的数据,经过分析,迅速发现危险攻击的特征,进而发出警报,同时也提供一定的保护措施。1.6 请描述传统的安全机制传统的一些安全机制分不六类,如下:(1). 数据加密技术. 加密是指将一个信息经过加密钥匙及加密函数转换,变成无意义的密文,接收方则将此密文经过解密函数、解密钥匙还原成明文。(2). 访问控制技术 . 访问控制技术按照事先确定的规则决定主体对客体的访问是否合法。它要确定合法用户对哪些系统资源享有
7、何种权限、可进行什么类型的访问操作,防止非法用户进入计算机系统和合法用户对系统资源的非法使用。(3). 认证技术 . 认证就是将特定实体从任意实体的集合中识别出来的行为。它以交换信息的方式来确认实体的身份。(4). 数据完整性控制技术. 数据完整性控制技术是指能识别有效数据的一部分或全部信息被篡改的技术。数据完整性控制包括文件系统完整性控制及网络传输信息的完整性。(5). 安全漏洞扫描技术. 漏洞是指任意的允许非法用户未经授权获得访问或提高其访问层次的硬件或软件特征。漏洞就是某种形式的脆弱性。漏洞扫描是自动检测远端或本地主机安全脆弱点的技术,它通过对系统当前的状况进行扫描、分析,找出系统中存在
8、的各种脆弱性,在此基础上进一步考虑脆弱性的修补与消除。(6). 防火墙技术. 防火墙是指安装在内部网络与 Internet 之间或者网络与网络之间的可以限制相互访问的一种的安全保护措施。防火墙是在被保护网络周边建立的、分隔被保护网络与外部网络的系统,它在内部网与外部网之间形成了一道安全保护屏障。17 防火墙技术在网络安全中占有重要的地位,它可分为几种类型?防火墙的优点与不足各是什么?防火墙可通过软件和硬件相结合的方式来实现,当前比较成熟的防火墙实现技术从层次上主要有以下两种:包过滤和应用层网关。包过滤技术主要在 IP 层实现。它根据包头中所含的信息如源地址、目的地址等来判断其能否通过。与包过滤
9、相比,应用层网关在通信协议栈的更高层操作,提供更为安全的选项。它通常由两部分组成:代理服务器和筛选路由器。这种防火墙技术是目前最通用的一种,它把过滤路由器技术和软件代理技术结合在一起,由过滤路由器负责网络的互联,进行严格的数据选择,应用代理则提供应用层服务的控制,中间转接外部网络向内部网络申请的服务。防火墙具有以下优点:防火墙通过过滤不安全的服务,可以极大地提高网络安全和减少子网中主机的风险;它可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机;阻止攻击者获取攻击网络系统的有用信息,如 Finger 和 DNS;防火墙可以记录和统计通过它的网络通讯,提供关于网络使用的统
10、计数据,根据统计数据来判断可能的攻击和探测;防火墙提供制定和执行网络安全策略的手段,它可对企业内部网实现集中的安全管理,它定义的安全规则可运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。防火墙的不足:(1)入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙.(2)防火墙完全不能阻止内部攻击, 对于企业内部心怀不满的员工来说防火墙形同虚设.(3)由于性能的限制, 防火墙通常不能提供实时的入侵检测能力.(4)防火墙对于病毒也束手无策的.(5)防火墙无法有效地解决自身的安全问题. (6)防火墙无法做到安全与速度的同步提高, 一旦考虑到安全因素而对网络流量进行深入的决策和分析, 那么
11、网络的运行速度势必会受到影响. (7)防火墙是一种静态的安全技术, 需要人工来实施和维护, 不能主动跟踪入侵者. 因此,认为在 Internet 的入口处布置防火墙,系统就足够安全的想法是不切实际的。第二章 入侵检测系统答案21 入侵检测系统弥补了防火墙的哪些不足?防火墙是要保护的网络或系统与外界之间的一道安全屏障。它通过加强网络间的访问控制,防止外部用户非法使用内部网的资源,从而达到保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取的目的。它规定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务,以及哪些外部服务可以被内部人员访问。但防火墙只是一种被动的防御技术,它无法识别和
12、防御来自内部网络的滥用和攻击,比如内部员工恶意破坏、删除数据,越权使用设备,也不能有效防止绕过防火墙的攻击,比如公司的员工将机密数据用便携式存储设备随身带出去造成泄密,员工自己拨号上网造成攻击进入等。入侵检测技术作为一种主动防护技术,可以在攻击发生时记录攻击者的行为,发出报警,必要时还可以追踪攻击者。它既可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络。2.2 简述入侵检测系统的发展历史(1). 入侵检测的研究最早可追溯到 James P. Anderson 在 1980 年的工作。在这一年的4 月,他为美国空军做了一份题为计算机安全威胁监控与监视 (Computer Secur
13、ity Threat Monitoring and Surveillance )的技术报告,这份报告被公认为是入侵检测的开山之作。在报告中,他首次提出了入侵检测的概念,给出了入侵尝试 (Intrusion attempt)或威胁(Threat)的定义。(2). 1987 年,乔治敦大学的 Dorothy E. Denning 提出了一个实时的入侵检测系统抽象模型IDES(Intrusion Detection Expert System,入侵检测专家系统) ,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。(3). 1990 年是入侵检测系统发展史上的一个分水岭。这一年,加州大学
14、戴维斯分校的L. T. Heberlein 等人提出了一个新的概念:基于网络的入侵检测NSM(Network Security Monitor).(4). 1991 年,NADIR(Network Anomaly Detection and Intrusion Reporter)与DIDS(Distribute Intrusion Detection System)提出了收集和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。(5). 1994 年,Mark Crosbie 和 Gene Spafford 建议使用自治代理(autonomous agents)以便提高IDS 的可伸缩性
15、、可维护性、效率和容错性,该理念非常符合正在进行的计算机科学其他领域 (如软件代理,software agent)的研究。(6). 1995 年开发了 IDES 完善后的版本NIDES(Next-Generation Intrusion Detection System) 可以检测多个主机上的入侵。23 叙述基于主机的入侵检测系统的优点.基于主机的入侵检查系统优点包括:(1)能确定攻击是否成功。主机是攻击的目的所在,所以基于主机的 IDS 使用含有已发生的事件信息,可以比基于网络的 IDS 更加准确地判断攻击是否成功。就这一方面而言,基于主机的 IDS 与基于网络的 IDS 互相补充,网络部分
16、尽早提供针对攻击的警告,而主机部分则可确定攻击是否成功。(2)监控粒度更细。基于主机的 IDS,监控的目标明确,视野集中,它可以检测一些基于网络的 IDS 不能检测的攻击。它可以很容易地监控系统的一些活动,如对敏感文件、目录、程序或端口的存取。例如,基于主机的 IDS 可以监督所有用户登录及退出登录的情况,以及每位用户在联接.到网络以后的行为。它还可监视通常只有管理员才能实施的非正常行为。针对系统的一些活动,有时并不通过网络传输数据,有时虽然通过网络传输数据但所传输的数据并不能提供足够多的信息,从而使得基于网络的系统检测不到这些行为,或者检测到这个程度非常困难。(3)配置灵活。每一个主机有其自
17、己的基于主机的 IDS,用户可根据自己的实际情况对其进行配置。(4)可用于加密的以及交换的环境。加密和交换设备加大了基于网络 IDS 收集信息的难度,但由于基于主机的 IDS 安装在要监控的主机上,根本不会受这些因素的影响。(5)对网络流量不敏感。基于主机的 IDS 一般不会因为网络流量的增加而丢掉对网络行为的监视。(6)不需要额外的硬件。2.4 叙述基于网络的入侵检测系统的优点与缺点.基于网络的入侵检测系统有以下优点:(1)监测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。(2)隐蔽性好。一个网络上的监测器不像一个主机那样显眼
18、和易被存取,因而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序,不提供网络服务,可以不响应其他计算机,因此可以做得比较安全。(3)视野更宽。可以检测一些主机检测不到的攻击,如泪滴攻击(Teardrop) ,基于网络的 SYN 攻击等。还可以检测不成功的攻击和恶意企图。(4)较少的监测器。由于使用一个监测器就可以保护一个共享的网段,所以你不需要很多的监测器。相反地,如果基于主机,则在每个主机上都需要一个代理,这样的话,花费昂贵,而且难于管理。但是,如果在一个交换环境下,就需要特殊的配置。(5)攻击者不易转移证据。基于网络的 IDS 使用正在发生的网络通讯进行实时攻击的检测。所以攻击者
19、无法转移证据。被捕获的数据不仅包括攻击的方法,而且还包括可识别黑客身份和对其进行起诉的信息。许多黑客都熟知审计记录,他们知道如何操纵这些文件掩盖他们的作案痕迹,如何阻止需要这些信息的基于主机的系统去检测入侵。(6)操作系统无关性。基于网络的 IDS 作为安全监测资源,与主机的操作系统无关。与之相比,基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作,生成有用的结果。(7)可以配置在专门的机器上,不会占用被保护的设备上的任何资源。基于网络的入侵检测系统的主要缺点是:只能监视本网段的活动,精确度不高;在交换环境下难以配置;防入侵欺骗的能力较差;难以定位入侵者。25 根据检测原理,入侵
20、检测系统可以分为几类?其原理分别是什么?根据检测原理,将入侵检测分为两类:异常检测和误用检测。1异常检测在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常” ,并如何做出具体决策。 2误用检测在误用检测中,入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。所以,可事先定义某些特征的行为是非法的,然后将观察对象与之进行比较以做出判别。误用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的
21、攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏报。第三章 入侵的方法与手段答案3.1 叙述计算机网络的主要漏洞计算机网络的主要漏洞有:(1)缓冲区溢出缓冲区溢出漏洞是很典型的一类漏洞,现有的漏洞很多都可以归为此类。比如最近发现,OpenLDAP 存在多个远程缓冲区溢出漏洞。OpenLDAP 是一款开放源代码的轻量级目录访问协议(LDAP)实现,用于在网络环境中发布信息,比如 X.509 证书或登录信息。其源代码被发现存在多个缓冲区边界没有正确检查的问题,远程攻击者可以利用这些漏洞进行缓冲区溢出攻击,并以 OpenLDAP 进程权限在系统上执行任意命令。(2)
22、拒绝服务攻击漏洞拒绝服务攻击漏洞也是一类典型的漏洞。比如,Microsoft 公司开发的 HTTP 服务器程序IIS。它的“Shtml.dll”组件对包含畸形 HOST 头字段的 HTTP 请求处理存在问题,远程攻击者可以发送包含多个“/” 字符的 HOST 头信息给 IIS 服务器,这样可以导致 WEB 服务崩溃,停止对合法请求的响应。(3)权限提升漏洞比如 Windows WM_TIMER 消息处理权限提升漏洞。WM_TIMER 消息一般在某一计时器超时时发送,可以用来使进程执行计时回调函数。WM_TIMER 消息存在安全问题,本地或者利用终端服务访问的攻击者可以利用这个漏洞使用 WM_T
23、IMER 消息利用其他高权限进程执行回调函数,造成权限提升,使本地用户可以提升权限至管理用户。(4)远程命令执行漏洞比如,Cobalt RaQ4 管理接口远程命令执行漏洞。这个漏洞只存在安装了 RaQ4 加固安全包之后的 RaQ4 服务程序中。Cobalt RaQ 是一个基于 Internet 的服务应用程序,由 Sun 微系统公司发布和维护。Cobalt RaQ WEB 管理接口在处理用户提供的 Email 参数时缺少正确过滤,远程攻击者可以利用这个漏洞以 WEB 进程权限在系统上执行任意命令。(5)文件泄漏、信息泄漏漏洞比如 Kunani FTP 文件泄漏漏洞。Kunani FTP ser
24、ver 1.0.10 存在一个漏洞,通过一个包含“/”的恶意请求可以对服务器进行目录遍历。远程攻击者可以利用这个漏洞访问系统FTP 目录以外任意的文件。(7)其他类型的漏洞除了以上举例说明的几种漏洞外,按照漏洞造成的直接危害,还存在列举出其他一些漏洞,比如脚本执行漏洞、可绕过认证漏洞、远程访问漏洞等,这里就不一一举例。以上举出的漏洞多数已经有补丁发布。3.2 根据攻击发生的方式,Anderson 将攻击如何分类?Anderson 将攻击分为三类 :1. 外部渗透:就是非授权用户对计算机系统进行的攻击。2. 内部渗透:系统的合法用户对其访问权限以外的资源造成危害的攻击。3. 不当行为:合法用户对
25、其访问权限之内的数据或者其他资源的误用行为。3.3 叙述木马发展的两个阶段。木马的发展大致分为两个阶段。最初网络以 UNIX 平台为主的时候,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。WINDOWS 平台普及之后,一些基于图形操作的木马程序出现了。由于用户界面的改善,使用者可以不必掌握太多的专业知识就能够熟练的操作木马,相对的木马入侵事件发生率更高了,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。3.4 叙述木马的工作原理木马一般又
26、两部分组成:服务器端,客户端。在 Windows 系统中,木马一般是一个网络服务程序,服务器端运行于感染的机器上监听它的一些特定端口,这个端口号多数比较大(5000 以上,但也有部分是 5000 以下的) ;当该木马相应的客户端程序在此端口上请求连接时,木马的客户端和服务器端就建立一个 TCP 连接,这样客户端就可以控制感染木马的机器,以达到攻击的目的。3.5 木马的隐蔽方式有哪些?木马的隐藏方式:(1).修改图标 服务器的图标必须能够迷惑目标电脑的主人,如果木马的图标看上去象是系统文件,电脑的主人就不会轻易地删除他。另外在 Email 的附件中,木马设计者们将木马服务端程序的图标改成 HTM
27、L、TXT、 ZIP 等各种文件的图标,这样就有相当大的迷惑性,现在这种木马很常见。例如 BO,它的图标是透明的,并且没有文件名,其后缀名是 EXE,由于WINDOWS 默认方式下不显示后缀名的,所以在资源管理器中就看不到这个文件。 (2).捆绑文件 为了启动木马,最容易下手的地方是三个,注册表、win.ini 、system.ini,电脑启动的时候,需要装载这三个文件。还有替换 windows 启动程序装载的,例如 schoolbus 1.60 版本。以上木马的启动方式都属于非捆绑方式,大部分木马是使用这几种方式启动的。但是非捆绑方法会在注册表等位置留下痕迹,很容易发现。如果把木马捆绑到一般
28、的程序上,启动是不确定的,但是要靠电脑主人启动被捆绑的程序,木马才会运行。捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马。捆绑方式的木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马具有很强的隐蔽性。木马 phAse 1.0版本和 NetBus 1.53 版本就可以以捆绑方式装到目标电脑上,捆绑到启动程序上,也可以捆绑到一般程序的常用程序上。因此当安装程序运行时,木马就会在用户毫无察觉的情况下进入了系统。有一点要说明的是,被捆绑的文件一般是可执行文件(即 EXE,COM 一类的文件)。(3) .出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反
29、应,这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框,错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开!”之类的信息,其实却是启动木马。(4).定制端口 很多老式的木马端口都是固定的,这使得木马隐蔽性较差,只要查一下特定的端口就知道感染了什么木马,这样就可以很容易的把它删除。像 netspy 的端口号是 7306,冰河的端口号是 7626。现在很多新式木马已经可以定制端口,控制端用户可以在 1024-65535 之间任选一个端口作为木马端口(一般不选 1024 以下的端口) ,这
30、样要判断所感染木马的类型就不太容易了。像 SUB7 默认的端口是 1243,如果没有改变,利用 SUB7 的删除方法很容易就删除了,但是如果把端口改成 7626,计算机使用者就会感到混淆。(5).自我销毁 这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到 WINDOWS 的系统文件夹中(C:WINDOWS 或 C:WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的( 捆绑文件的木马除外),那么中了木马的人只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小在系统目录的文件夹查找相同大小的文
31、件, 然后判断哪一个是木马。而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,给查找、删除木马带来困难。(6) 木马文件的文件名、存放位置在 windows 系统中木马存放的位置一般是 c:windows 和 c:windowssystem 中,主要是因为这两个目录下面的文件大都是系统文件,并且文件最多。木马的文件名一般是与一些系统的文件名比较接近,以达到迷惑受害人的目的。比如木马 SubSeven1.7 版本的服务器文件名是 c:windowsKERNEL16.DL,它与 windows 中的一个系统文件c:windowsKERNEL32.DLL
32、 很相近。再例如 phAse1.0 版本生成的木马文件名是C:windowsMsgsrv32.exe,与 windows 系统文件 C:windowssystemMsgsrv32.exe 文件名一样。(7).隐蔽运行既然是木马,当然不会那么容易让你看出破绽,对于程序设计人员来说,要隐藏自己所设计的窗口程序,主要途径有:在任务栏中将窗口隐藏,这个只要把 Form 的 Visible 属性调整为 False,ShowInTaskBar 也设为 False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身,只要将程序调整为系统服务程序就可以了。另外还有一些木马运行的时候其进程也是隐藏起
33、来的。3.6 木马的触发条件主要有几种?木马的触发条件主要有以下几种: 1).注册表:打开 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以 Run 和 RunServices 主键,有些木马安装在机器上以后,在其中可以寻找到启动木马的键值。 2).WIN.INI:C:WINDOWS 目录下有一个配置文件 win.ini,用文本方式打开,在windows字段中有启动命令 load=和 run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3).SYSTEM.INI:C:WINDOWS 目录下有个配置文件 syst
34、em.ini,用文本方式打开,在386Enh,mic, drivers32中有命令行,在其中寻找木马的启动命令。 4).Autoexec.bat 和 Config.sys:在 C 盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。 5). *.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,6).注册表:打开 HKEY_CLASSES_ROOT文件类型shellopencommand 主键,查看其键值。
35、举个例子,国产 木马“冰河”就是修改 HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”。如果双击一个 TXT 文件后,原本是应用NOTEPAD 打开文件的,现在却变成启动木马程序了。另外通过修改 HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“文件类型”这个主键的差别. 7).捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起
36、,然后上传到服务端覆盖原文件,这样即使木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。 8).启动菜单. 3.7 木马的破解方法有哪些?1. 端口扫描 端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口,因为 B 机装有木马程序,所以它的木马端口 7626 是处于开放状态的,如果成功, 则说明端口开放 , 如果失败或超过某个特定的时间 (超时), 则说明端口关闭。2. 检查注册表 3. 查找文件4. 杀病毒软件第四章 入侵检测的信息源答案4.1 基于主机的 IDS 和基于网络的 IDS 各有哪些优缺点?基于主机的 IDS 优点:
37、基于主机的 IDS 分析来自单个的计算机系统的系统审计迹和系统日志来检测攻击,它主要是用来保护网络中比较重要的主机; 基于主机的 IDS 分析的信息来自于单个的计算机系统,因此视野比较集中,这个优点使得它能够相对精确、相对可靠地分析入侵活动,确定是否存在针对某台主机的攻击,是谁进行的攻击。4.2 信息源如何分类?每一类信息源又包括哪些?信息源可以分为基于主机的信息源和基于网络的信息源。基于主机的信息源主要包括操作系统审计迹(operating system audit trail) 、系统日志文件和其他应用程序的日志文件,基于网络的数据源主要是指网络数据包。4.3 操作系统审计迹与系统日志有哪
38、些不同之处?操作系统审计迹一般是由操作系统的内核产生,它比系统日志保护得更好,更加详细。系统日志则比较简单明了,比较容易理解。许多基于主机的 IDS 被设计成一种支持集中式IDS 的管理和报告基础结构,这种基础结构允许一个管理控制台跟踪多个主机。第五章 入侵检测方法与应用答案5.1 请描述数据挖掘技术在入侵检测方面的应用.数据挖掘是数据库中的一项技术,它的作用就是从大型数据集中抽取知识。对于入侵检测系统来说,也需要从大量的数据中提取出入侵的特征。因此就有学者将数据挖掘技术引入到入侵检测系统中,通过数据挖掘程序处理搜集到的审计数据,为各种入侵行为和正常操作建立精确的行为模式,这是一个自动的过程。
39、数据挖掘方法的关键点在于算法的选取和建立一个正确的体系结构。5.2 请描述基于数据挖掘的用户键盘及鼠标异常检测模块的实现思想.基本思想如下:击键韵律最先是由 Rick Joyce 和 Gopal Gupta 作为认证手段提出的,并取得了一定的成果。实验数据表明,不同用户之间击键韵律存在可以进行鉴别的差别,同理,不同用户对鼠标的使用也有各自的特征。本文着眼于用户键盘和鼠标的行为特征,将其作为分析对象,应用数据挖掘技术进行异常检测。从对用户正常行为活动的描述方面开辟了新的方法,同时针对于这种数据,对 Apriori 关联规则算法进行了改进,还将分类算法和漏桶算法相结合进行实时检测。5.3 请对基于
40、数据融合的入侵检测系统做简单的描述.当前入侵检测系统中存在的误报率、漏报率过高的问题,基于数据融合技术的入侵检测技术从总体上考虑入侵检测,具有灵活、易实现、易扩展的特点。多传感器数据融合的思想就是通过处理 IDS 报警数据,从而改进报警的质量。在 IDS 系统中采用数据融合技术,可以联合使用多种不同类型的 IDS,通过对不同类型 IDS 产生的报警进行融合处理,并对联合的数据进行推理,可以生成报警的多层位置攻击描述抽象,这样在一定程度上解决了误报率问题。数据融合的步骤主要有以下向步:检测,数据校准发,相关(关联) ,状态估计,目标识别,行为估计等。数据融合的关键问题是:数据转换、数据相关、数据
41、库、融合推理和融合损失等:5.4 对于一个面向企业网的分布式 IDS 系统,请描述其总体设计结构(1). 系统总体组成系统的总体组成包括在自顶向下设计系统的过程中,处在最上层的那部分组件,我们称为“一级组件” ,包括:一级管理中心(Top Manager) 、二级管理中心(local Manager) 、网络检测代理(Network-based Agent) 、服务器代理(Server Agent) 、出口检测代理(Access Agent) 。(2). 总体结构描述本体系采用了多种的代理(agent)分类策略,在两级(管理中心)的控制之下联合协作,检测发生在企业网之内的入侵事件,并及时做出反
42、应措施。这个体系可以抽象成是一种“代理管理中心”结构,一部分是各个功能不同的代理,另一部分是两级管理中心。本结构的一个重要的特点是采用树形、分级的检测管理的策略来实现体系结构。所谓树形,就是根节点是“一级管理中心” , “一级管理中心”下属节点是“二级管理中心” ,叶节点是受管理的具有各种功能的代理(Agent) 。 “一级管理中心”直接和控制“二级管理中心” ,同时“二级管理中心”只控制和自己直接相连的下一级节点。5.5 请描述可入侵容忍的分布式协同入侵检测系统体系结构.分布式入侵检测体系结构具有一定的入侵容忍能力,可进行一些协同操作。其体系结构如下图所示:图 5.1 可入侵容忍的分布式协同
43、入侵检测系统体系结构该体系结构包括相互补充的功能模块来提供更强大、更全面的检测能力。在与其它安全系统协同时还可集成标准的网络管理功能以便于以后的自动响应。该体系结构包括本地检测子系统、协同分析器、监控器以及总控制管理器。每部分都包括一个收发器,不过为了便于显示,只在本地检测子系统中给出了收发器。本地收发器完成基本的检测,并向上发送经过筛选的标准化格式的数据,接收控制管理器的管理。协同分析器关联分析来自多个本地检测子系统的数据,完成更复杂的检测功能。在实现中可能会包含多级协同分析器。运行监控器监控关键组件的运行(具体是哪些组件可进行配置) ,一旦出现问题就采取相应的安全措施。控制管理器是整个体系
44、结构的核心,完成对安全策略的实现以及对各组件的管理和控制。第六章 典型的入侵检测系统介绍答案6.1 在入侵检测系统中引入代理和移动代理技术的优缺点?使用移动代理有如下优点:(1). 移动代理可以自主执行,动态适应移动代理具备一定的自主性和智能性,它提供一种灵活多样的运行机制,使得自身可以比较“聪明”地适应所处的环境,对环境的变化做出反应,比如移动代理可以移动到负载较重的地方,协助处理数据以实现负载的平衡。同时移动代理也可以方便地被系统中负责管理移动代理的协调模块进行克隆、分派、挂起、回收(或杀死) 。(2). 使用移动代理可以减轻网络负载和减少网络延时,减少系统内部通信量由于移动代理可以移动到
45、事发地进行现场处理,因此使用移动代理可以有效减轻和平衡网络负载,有利于提高网络的使用效率,减小网络延时。需要在网络中传输的数据少了,系统内部的通信量也就减少了。(3). 移动代理可以运行于多种平台之上,或说代理的运行是与平台无关的由于移动代理可以从一种平台移动到另一种平台,移动后仍能正常运行,因此移动代理的运行是与平台无关的。移动代理的这种性能对于系统及时采取响应很有好处,因为入侵和对入侵的响应随处都可能存在和发生。(4). 使用移动代理可以实时就地采取响应措施这是移动代理最大的优点和潜力。由于入侵是不可预知的,而响应又需要及时作出,再加之移动代理可以跨平台运行,因此采用移动代理对于加强和完善
46、大规模分布式入侵检测系统的响应机制很有帮助。使用移动代理可以从攻击的目标主机进行响应,从发动攻击的源主机进行响应,可以及时切断源主机和目标主机的连接。另外,使用移动代理还可以实现对入侵者的追踪。(5). 移动代理的使用有利于大规模分布式入侵检测系统的分布式结构和模块化设计的实现第七章 对入侵检测系统的评价及发展方向答案7.1 评价一个入侵检测系统的优劣,从技术角度看主要从哪几方面来考察?从技术的角度看,一个好的入侵检测系统,应该具有以下特点:(1). 检测效率高. 一个好的入侵检测系统,应该有比较高的效率,也就是它可以快速处理数据包,不会出现漏包、丢包或网络拥塞现象。(2). 资源占用率小 .
47、 一个好的入侵检测系统应该尽量少地占用系统的资源,比如内存、对于 CPU 的使用等。(3). 开放性. 一个好的入侵检测系统应该是开放式结构,允许第三方和用户对系统进行扩展和维护. (4). 完备性. 一个好的入侵检测系统,应该具备自学习、事后推理、策略反馈等能力,以使得入侵检测系统具有一定的智能,从而能较好地识别未知攻击。(5). 安全性. 一个好的入侵检测系统,应该保证自身的安全,使自己不会轻易被攻破。7.2 对入侵检测系统进行测试和评估有哪些作用?对入侵检测进行测试和评估,具有以下作用:(1). 有助于更好的显现入侵检测系统的特征。通过测试评估,可更好的认识理解入侵检测的处理方法、所需资
48、源及测试环境;建立比较入侵检测系统的基准;领会各检测方法之间的关系;(2). 对入侵检测系统的各项性能进行评估。确定入侵检测系统的性能级别及其对运行环境的影响;(3). 利用测试和评估结果,可作出一些预测。推断入侵检测系统发展的趋势,估计风险,制定可实现的入侵检测系统质量目标(比如,可靠性、可用性、速度、精确度) 、花费以及开发进度;(4). 根据测试和评估结果,对入侵检测系统进行改善。也就是发现系统中存在的问题并进行改进,从而提高系统的各项性能指标。7.3 入侵和攻击的发展有哪些新趋势?从最近几年的发展趋势看,入侵技术的发展与演化主要反映在下面几个方面: (1). 入侵和攻击的复杂化与综合化
49、入侵的手段有很多种,入侵者在一次攻击中一般只采用一种攻击手段。由于网络防范技术的进步和多重化,使得攻击的难度增加,因此现在入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功,这样做还可以在攻击实施的初期掩盖攻击或入侵的真实目的。(2). 入侵主体的间接化,即实施入侵和攻击的主体的隐蔽化通过一定的技术,可掩盖攻击主体的源地址及主机位置。用了隐蔽技术后,对于被攻击对象来说,攻击的主体是无法直接确定的。现在有不少攻击都是借助其他脆弱主机或脆弱的网络来攻击目标主机,而它们自己却隐藏在背后,这样也就使得他们不容易被发现和查出。即使能够发现攻击,也不一定能够有效地追踪到攻击者。这样,虽然自己的系统遭到了别人的入侵,但由于没法找到真正的攻击者和攻击的有效证据,因此也没有办法对攻击者实施法律制裁和惩罚。(3). 入侵和攻击的规模扩大对于网络的入侵和攻击,在其初期往往是针对于某公司或某一个网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,当然也不排除商业的盗窃与破坏行为。现在的攻击主要是针对网络的,也就是说,它们的目的就是要使目标网络崩溃或瘫痪,这样造成的危害严重,波及面广。另外,由于战争对电子技术与网络技术的依赖
