1、1、入侵答:在入侵检测中指对系统的非授权操作,它可以造成系统数据的丢失和破坏,甚至会造成系统拒绝为合法用户等后果2、 基于状态转移分析的检测模型答:具体采用“状态转移图”来表示具体的入侵攻击过程,将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程。从而使得目标系统从初始状态转移到攻击者所期望的危害状态。3、 数据预处理答:数据预处理指在确定审计数据类型和来源后,主机入侵检测索要进行的工作,包括映射、过滤和格式转换等操作,完成包括数据集成、数据清洗、数据变换、数据简化的功能。4、 数据融合答:数据融合是指利用计算机对按时序获得的若干观测信息,在一定准则下加以自动分析、综合
2、,以完成所需的决策和评估任务而进行的信息处理技术。 (来自百度百科,大家可以自己总结或者采取老师的笔记)5、 被动响应答:被动响应是指系统只报告和记录发生的事件。 (来自网络,大家也可自己总结)6、 入侵检测答:入侵检测是对企图侵入、正在进行的入侵关系或者已经发生的入侵进行识别的过程。7、 文件完整性检查答:文件完整性检查是指检查主机系统的完整性,及时发现潜在的针对文件系统的无意或恶意的更改。8、系统配置分析技术答:又称静态分析技术,指通过检查系统的当前配置情况,例如系统文件的内容以及相关的数据表等,来判断系统当前的安全状态,是否已经收到入侵活动的侵害或者存在有可能被入侵的危险。8、 人工神经
3、网络答:人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,它是由大量简单的处理单元(神经元)进行高度互连而形成的复杂网络系统。9、 主动响应答:主动响应是指系统自动地或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程。 (来自网络,大家也可自己总结)10、对比基于主机入侵检测系统和基于网络入侵检测系统答:从数据来源来看,入侵检测通常可以分为基于主机入侵检测的基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源,并辅之以主机上的其他信息,在此基础上完成检测攻击的行为。基于网络的入侵检测是通过监听网络中的数据包来获得必要的数据来
4、源,并通过协议分析、特征匹配、统计分析等手段发现当前的不当行为。由于采用的数据来源不同,而呈现不同的特点。基于主机的入侵检测能够较为准确的检测到发生在主机系统高层的复杂攻击行为,而许多发生在应用进程级别的攻击行为是无法依靠基于网络的入侵检测来完成。而基于主机的入侵检测依赖于特定的操作系统平台,所以对不同的平台系统无法移植,其次它在保护主机上运行,影响宿主机的运行性能,特别是宿主机当服务器的情况,而且无法对网络环境下发生的大量攻击行为做出反映;基于网络的入侵检测能够实时监控网络中的数据流量,并发现潜在的攻击行为和做出迅速响应,由于其分析对象是网络协议,通常而言是标准化、独立与主机的操作系统类型,
5、一般没有移植性的问题。同时它采取独立主机和被动监听的工作模式丝毫不影响这或服务器的自身运行。11、 基于规则的专家系统的工作过程答:图 1 基于规则的专家系统的模型一套完备的专家系统包括知识库、数据库、推理引擎、解释工具和用户界面组成。 知识库:包含解决问题用到的领域知识,知识表达成为一序列规则。当满足规则的条件部分时,便激发规则,执行动作部分。 数据库:包含一序列事实(一个对象及其取值构成了一个事实) ,所有的事实都存放在数据库中,用来和知识库中存储的规则的部分相匹配。 推理引擎:执行推理,推理引擎连接知识库中的规则和数据库中的事实进行推理。 解释工具:用户使用解释工具询问专家系统如何得到某
6、个结论,以及为何需要某些事实。 用户界面是用户为寻求问题的解决方案和专家系统沟通的途径,沟通尽可能的有意义并且足够友好专家系统的基本工作流程是,用户通过人机界面回答系统的提问,推理机将用户输入的信息与知识库中各个规则的条件进行匹配,并把被匹配规则的结论存放到综合数据库中。最后,专家系统将得出最终结论呈现给用户。12、 简述检查文件完整性的必要性答:文件完整性检查是指检查主机系统的完整性,及时发现潜在的针对文件系统的无意或恶意的更改,必要性包括: 攻击者在入侵成功后,经常在文件系统中安装后门或者木马程序,以方便后继的攻击活动; 进一步,攻击者还可能安装非授权的特定程序(如嗅探器) ,并且替换掉特
7、定的系统程序,以掩盖非授权程序的存在; 为了防止攻击活动的痕迹,攻击者还可能删除若干重要系统日志文件的审计记录; 最后,入侵者还可能为了达成拒绝服务攻击的目的或者破坏的目的,恶意修改若干重要服务程序的配置文件或者数据库数据,包括系统安全策略的配置信息等。13、 简述先进的入侵检测技术。答:先进的入侵检测是指利用了许多人工智能或者机器学习的算法,试图解决传统的入侵检测技术中存在的若干如虚假警报、缺乏检测未知或变形的能力、扩展性和自适性等问题的新技术的总和,与传统的入侵检测技术既有联系也有区别,通常无法单纯的划分到某种具体的技术类型。先进的入侵检测技术主要涉及神经网络、数据挖掘、数据融合、计算机免
8、疫学和遗传学算法在内的多个技术领域和只是在入侵检测领域内的应用工作。14、 简述系统安全设计的原则答:机制的经济性原则,该原则提倡保护机制的设计应该在有效的前提下,尽量保持实现简单,在正常无误的条件下,保护机制通常都能够生效;可靠默认原则,保护机制的设计应该确保在默认的情况下,任何主体没有访问的特权,保护机制的设计应该指出在允许访问的特定条件;完全调节原则,该原则要求保护机制检查对每个对象的每次访问操作,必须确保该次数的操作都获得了合理的特权;开放设计原则,要求保护机制的设计不应该建立在攻击者对机制原理一无所知的假设基础之上,必须能够接受其他人的全面测试,也包括攻击者的测试;特权分割原则,该原
9、则的要点在于不能够满足一种条件下的情况,允许对对象的访问操作,一般在至少满足两个特点条件后才能够做出允许访问的决定;最小权限原则,指该系统中的每一个实体,包括用户和进程都应该在其能够满足要求的最小权限下进行操作;最小通用原则,该原则要求系统设计时尽可能减少出现所有用户都依赖的通用机制,如共享的通信信道和资源等;心里可接受原则,该原则是保护机制的人机交互界面必须要直观明显,便于用户操作,对于安全机制能否得到实际应用起到关键作用。15、简要说明 P2DR 模型答:P 2DR 模型是一个动态的计算机系统安全;理论模型,它的指导思想比传统静态安全方案有突破性提高,特点是动态性和基于时间的特性。P 2D
10、R 模型内容包括:策略:是该模型的和兴,规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等;防护:具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备,如防火墙等;检测:在采取各种安全措施后,根据系统运行的情况的变化,对系统安全状态进行实时的动态监控;响应:当发现入侵活动或入侵结果后,需要系统及时的反应并采取措施,如记录入侵行为、通知管理员等P2DR 模型阐述了安全的目标实际上就是尽可能增大保护时间,尽量减少检测时间和响应时间。 【模型的示意图如下】图 2 P2DR 模型16、对比误用入侵检测和异常入侵检测答:根据入侵检测分析方法不同,入侵检测分为
11、误用(或者“滥用” )入侵检测和异常入侵检测,误用检测的技术基础是分析各种类型的攻击手段,并找到可能的攻击特征集合根据这些特征集合,对当前的数据进行处理,再进行特征匹配,发现满足条件的匹配则指示为攻击行为;异常入侵检测是指对攻击行为的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现,较为成熟的技术是统计分析。比较而言,误用检测比异常检测具备更好的解释能力,即明确指示当前的攻击手段类型,在诸多商用系统中得到广泛应用,另一方面,误用检测具备较高的检测率和较低的报警率。开发规则库和特征集相对于建立系统正常模型而言要更方便、更容易。误用检测一般只能检测到已知的攻击模式,模式库只用不断的更
12、新才能检测出新的攻击方法,而异常检测可以检测到未知的入侵行为。17、简述基于专家系统的入侵检测技术的局限性答:专家系统需在知识库的基础上,根据所获得的事实和已知的规则进行推导并得结论,知识库的构建是一个耗时费力的艰苦过程,通常需要领域专家和知识工程师共同努力。就本质而言,专家系统无法自动生成新的知识或规则,它的认知水平最高只相当于构造和配置该系统的专家水平,即专家系统只能够基于明确的、可靠的规则得出结论,对于已超出规则范围内的事实,它无法得出有用结论。18、对于入侵检测系统的设计和开发过程,具体需要考虑到哪些方面的需求定义和分析情况?答:检测功能需求:对于入侵检测系统而言,足够有力的检测功能是
13、最基本的需求,按照不同用户的检测目标要求,设计相应的检测功能需求;响应需求:在入侵检测一般模型里,都包含了一定的响应模块,反映了一般用户都具有对所检测的异常行为进行响应的基本需求;操作需求:操作需求定义了执行入侵检测工作的具体过程,确定如何操作一个入侵检测系统极大地影响系统部署的总体有效性;平台范围需求:描述了用户需要监控的目标网络组建类型;数据来源需求:由用户提出的,要求入侵检测系统能够监控输入的审计数据源;检测性能要求:入侵检测系统具有通用的性能需求,不同类型的入侵检测技术具备自己的性能要求;可伸缩性要求:包括性能要求、系统部署和操作方面的可伸缩性要求;取证和诉讼要求:如果要把入侵检测系统
14、用于法律起诉用途的工具,需满足取证和诉讼要求;其他要求:入侵检测系统还需要满足其他的要求,如用于损伤情况评估的需求和尽可能减少对目标系统性能影响的需求等。19、如何分析协议?答:以太网数据包中第 13 个字节处包含了两个字节的第三层协议标识,跳过前面 12 个字节,读取 13 字节处的 2 字节协议标识(0800) ,根据协议规范可以判断这个网络数据包是 IP 包。IP 规定 IP 包的第 24 字节处有一个 1 字节的第四层协议标识。因此跳过 15-24 字节直接读取第四层协议标识(06) ,这个数据包是 TCP。TCP 在第 35 字节处有一个 2 字节的应用层协议标识(端口号) 。于是检
15、测引擎跳过第 25-34 字节直接读取第 35 字节的端口号(80) ,该数据包是一个 HTTP 的数据包。HTTP 规定第 55 字节是 URL 开始处。20、考题预测:一单项选择题(每题 2 分,共 10 题)1.一般来说,网络入侵者的步骤不包括下列哪个阶段( B )A、信息收集B、信息分析C、漏洞挖掘D、实施攻击2.IP 欺骗的实质是( B )A、IP 地址的隐藏B、信任关系的破坏C、TCP 序列号的重置D、IP 地址的验证3.在通用入侵检测模型的活动简档中未定义的随机变量为( D )A、事件计数器B 间隔计数器C、资源计数器D、告警响应计数器4.异常入侵检测的过程不包括下列哪个阶段(
16、D )A、信息收集B、信息分析C、信息融合D、告警与响应5.在入侵分析的模型中,第一阶段的任务是( A )A、构造分析引擎B、进行数据分析C、反馈D、提炼6.在 CIDF 中,IDS 各组件间通过( C )来进行入侵检测和警告等信息内容的通信A、IDFB、SIDC、CISLD、Matchmaker7.IDMEF 使用( B )解决数据的安全传输问题A、XMLB、TLSC、IAPD、RFC25108.以下对 Snort 的描述不正确的是( B )A、snort 是一个网络入侵检测软件B、snort 是由四个子系统构成C、snort 是用 C 语言写的D、snort 使用插件技术来实现模块坏功能9
17、.以下不属于 snort 命令行参数的是 ( C )A.AB.-aC.B D.-b10黑客利用 IP 地址进行攻击的方法有:( A )A.IP 欺骗B.解密C.窃取口令D.发送病毒二、填空题1、数据预处理的功能是(数据集成) , (数据清理) , (数据变换), (数据简化) 。2、IDF 定义了 IDS 系统和应急系统之间的交换数据方式,CIDF互操作主要有(配置互操作 ) , (语义互操作) , (语法互操作)3 、影响入侵检测性能的参数(检测率) , (虚警率)4、IDWG 的标准中,有关入侵检测和警报的数据模型有(基于XML 的数据模型 ) , (面向对象数据模型)5 、 (模拟攻击
18、)是测试软件的一个必不可少的功能,通过运行攻击来验证 IDS 是否能够检测到这些攻击。6、 现有入侵检测的不足有(有效性差) , (适应性差) , (扩展性差) , (伸张性差)7 、 入侵检测流程六步确定目标,信息收集, ( 漏洞挖掘) ,(实施攻击) ,留下后门,清除日志。8 、根据入侵检测分析方法的不同可将入侵检测系统分为(异常入侵检测系统 ) , (误用入侵检测系统) 。21、预测知识点入侵检测信息源的分类:基于主机的数据源 、基于网络的数据源、应用程序的日志文件、其他入侵检测系统的报警信息。按照数据源的分类,入侵检测可分为基于主机的入侵检测和基于网络的入侵检测。根据入侵检测分析方法不
19、同,入侵检测分为误用(或者“滥用” )入侵检测和异常入侵检测。入侵检测的统计模型包括:操作模型、均值与标准偏差模型、多元模型和马尔可夫过程模型。误用(滥用)检测的检测方法:专家系统、特征分析、状态转移分析。根据目标主体类型的不同,IDES(入侵检测专家系统)是一个混合型的入侵检测系统定义了 3 中不同类型的测量值,针对用户主体、目标系统主体和远程主机主体,把 IDES 统计分析系统中不同类型的单独测量值分为:活动强度测量者、审计记录分部测量值、类别测量值和序数测量值。STAT 系统(基于状态转移分析的入侵检测系统)包括预处理器、知识库(事实库和规则库) 、推理引擎和决策引擎网络数据包的截获需要把网卡工作模式设为混杂模式。IDES:入侵检测专家系统是一个混合型的入侵检测系统,模型包括 IDES 目标系统域、领域接口、IDES 处理引擎和 IDES 用户接口混合入侵监测模型 DIDS 主要包括三种类型的组件:主机监控器、局域网控制台和中央控制台。其他:通用入侵检测模型(只记方框中的内容)通用入侵检测系统模型(添加一个“数据收集器” ,只记方框中的内容)数据挖掘步骤包括:理解应用背景、数据准备、数据挖掘、结果分析、使用所发现的知识。
