1、第一章 网络安全概述2网络系统面临的主要威胁有哪些?答:网络系统威胁主要有两个方面:网络存储威胁和网络传输威胁。网络存储威胁是指信息在网络结点上静态存放状态下受到的威胁,主要是网络内部或外部对信息的非法访问。网络传输威胁是指信息在动态传输过程中受到的威胁,主要有以下几种威胁。截获、中断、篡改和伪造。3主动攻击和被动攻击的区别是什么?答:在被动攻击中,攻击者只是观察和分析某一个协议数据单元而不干扰信息流。主动攻击是指攻击者对某个连接中通过的协议数据单元进行各种处理。第 2 章 网络安全体系结构1计算机网络安全的模型有哪两种?答:(1)P2DR 模型:P2DR 是 Policy(策略) 、Prot
2、ection(防护) 、Detection(检测)和 Response(响应)的缩写。P2DR 模型是在整体的策略的控制和指导下,在运用防护工具保证系统运行的同时,利用检测工具评估系统的安全状态,通过响应工具将系统调整到相对安全和风险最低的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证系统的安全。(2)PDRR 模型:PDRR 是 Protection(防护) 、Detection(检测) 、Response (响应) 、Recovery(恢复)的缩写。PDRR 模型中安全策略的前三个环节与 PPDR 模型中后三个环节的含义基本相同。最后一个环节,恢复是指在系统
3、被入侵之后,把系统恢复到原来的状态,或者比原来更安全的状态。2简述 Internet 网络安全体系结构框架。答:OSI 安全体系结构的内容主要包括:描述了安全服务及相关的安全机制,提出了参考模型,定义了安全服务和安全机制在参考模型中的位置。安全体系结构三维图见下图。第四章2. 会话建立过程由呼叫触发,在拨号接入的情况下,由用户至 LAC 的入呼叫触发。消息过程将交换如下信息:LAC 和 LNS 各自为会话分配的会话 ID;数据信道的承载类型和帧封装类型;主被叫号码及子地址;收发线路速率;数据消息是否要加序号。在拨号接入时,虽然 PPP 的终点是在 LNS,但 LAC 亦可根据需要与远端系统进行
4、LCP 协商和认证,称为代理 LCP 协商和认证。LAC 与用户协商完成后,启动与 LNS 间的入呼叫会话建立过程,并在成功消息 ICCN(Incoming Call Connected)中,将 LAC 和用户最终交换的 LCP 协商结果、用户初次发送的 LCP 协商请求、以及认证类型和认证参数送给 LNS,LNS 审核后可以省略 LCP 协商过程,如果 LNS 认为 LAC 不可信任,也可重新发起和远端系统的 LCP 协商。会话建立过程下图为 LAC 执行代理协商和认证的入呼叫接入的协议过程。图中假设 PC 用户经PSTN (Public Switched Telephone Network
5、)拨号方式发起呼叫,用户认证采用 PAP 算法。LAC 根据用户名确定接入的 ISP 并在 ICCN 消息中将协商和认证结果传给 LNS,LNS 认可后将给用户分配动态 IP 地址。LNS 还具有资源分配功能,如果隧道中的呼叫数已达到一定限度,LNS 可以不再接受新的呼叫。L2TP PPP 连接全程建立过程3. IPSec 协议不是一个单独的协议,它给出了应用于 IP 层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH) 、封装安全载荷协议 Encapsulating Security Payload(ESP) 、密钥管理协议 Internet
6、 Key Exchange (IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。下图是 IPSec 一个应用示例,图中有一个用户系统和两个 LAN。LAN 内的通信未考虑安全性,然而从用户系统和 LAN 发出通信业务流时,都需在网际设备中使用 IPSec 协议。网际设备指路由器或防火墙等设备,用于将 LAN 连接到外部网中。网际设备对发往 WAN的业务流进行加密和压缩,对来自 WAN 的业务流进行解密和解压缩。以上运算对 LAN 上的工作站和服务器来说都是透明的。4. 密 码
7、 规 范 变 更 协 议 由 单 个 消 息 组 成 , 该 消 息 只 包 含 一 个 值 为 1 的 单 个 字 节 。 该消 息 的 唯 一 作 用 就 是 使 未 决 状 态 拷 贝 为 当 前 状 态 , 更 新 用 于 当 前 连 接 的 密 码 组 。 为 了 保障 SSL 传 输 过 程 的 安 全 性 , 双 方 应 该 每 隔 一 段 时 间 改 变 加 密 规 范 。5.( 1) 强 行 密 码 分 析 攻 击 : SSL 能 抵 御 强 行 密 码 分 析 以 安 全 地 保 护 机 密 数 据 , SSL所 使 用 的 加 密 算 法 应 该 在 被 选 择 明 文
8、被 选 择 密 文 攻 击 下 是 安 全 的 。 IETF 的 IPSEC 工作 组 的 最 近 研 究 表 明 , SSL 3.0 的 记 录 层 能 够 抵 御 这 些 强 有 力 的 攻 击( 2) 重放攻击:通过在生成的数据中加入隐藏的序列号,来防止重放攻击。这种机制也可以防止被耽搁的,被重新排序的,或者是被删除数据的干扰。序列号的长度是位。另外,序列号由每个连接方向分别维护,而且在每一次新的密钥交换时进行更新,所以不会有明显的弱点。(3)中间人攻击:SSLv3 中包含了对 Diffie-Hellman 密钥交换进行了临时加密的支持。Diffie-Hellman 是一种公开密钥算法,
9、它能有效地提供完善的保密功能,对于 SSL 来说是一个有益的补充。在密钥交换系统中,服务器必须指定模数和原始根,以及 Diffie-Hellman 的指数。为了防止服务器端产生的陷门,客户端应该对模数和原始根进行仔细的检查,看它们是否为固定公共列表上的可靠数值。在 SSLv3 中,通过对服务器端的 Diffie-Hellman 指数的鉴别,可以抵御中间人攻击。第五章1. 从密码体制方面而言,密码体制分为对称密码体制 (Symmetric key cryptography)和非对称密码体制(Asymmetric key cryptography) ,对称密码体制要求加解密双方拥有相同的密钥。而非
10、对称密码体制是加密解密双方拥有不同的密钥,在不知道信息的情况下,加密密钥和解密密钥在计算上是不能相互算出的。对称密码体制与非对称密码体制的特点主要是由以下两点本质不同产生的:(1)对称密码体制是基于共享秘密的;公钥密码体制是基于个人秘密的。(2)在对称密码体制中,符号被重新排序或替换;在公钥密码体制中,处理的对象是数字,即加解密过程就是把数学函数应用于数字以创建另外一些数字的过程。因为两种密码体制各有优缺点,因此不能相互取代,通常是结合两者优点形成混合密码体制。混合密码体制既解决了对称加密中需要安全分发通信密钥的问题,也解决了非对称加密中运算速度慢的问题。混合加密受到各个制定未来公钥加密标准的
11、组织的高度重视,ISO 要求所有公钥加密候选都应能够加密任意长度的消息,从而必须适用于混合加密。2.小明想法过于理想化,实际却不可行。模 2 加算法密钥传输困难,若采用公钥体制传输效率较低,此外,每次都用不同的密钥更会大大降低实用性。5. 在使用 RSA 系统时,对于公开密钥 e 与解密密钥 d,亦需有所限制。否则在使用上可能会导致 RSA 系统被攻破,或应用在密码协议上不安全。如果 e 选取过小,会导致安全问题,如果 e 选取过大,则会使加密、解密速度缓慢。参数 e 选取可参考 X.931 标准。6. 主要有四种:挑战-应答机制;时戳/ 序列号机制;Diffie-Hellman 密钥协商;基
12、于口令的认证。在 ISO 的标准化机制中,通常采用序列号 SA 替代时戳 ttA,序列号机制要求通信双方维护某个状态同步 SA,且这个序列号应以双方知道的方式递增。但是在开放系统中,一个主体和所有其他通信主体维护具有同步状态的序列号比较困难,因此序列号机制较少应用于实际认证协议中。7. 从某种意义上说,消息认证类似于数字签名。二者的不同之处在于消息认证系统不要求第三方(可能是不诚实的)验证由指定用户生成的认证标签的有效性,而数字签名系统要求第三方可以校验其他用户生成的签名的有效性。因此,数字签名为消息认证问题提供了一种解决方案。另一方面,消息认证机制并不一定会构成数字签名机制。第 7 章4.
13、答:分解压力与威胁法分解压力与威胁法,即弱化 DNS 功能,将单点故障和风险分散到网络的各个层次。将 DNS 功能分解到主机、其他服务器、路由器上,为每个域提供多台域名服务器,采用 SplitDNS 的策略,内部 DNS 守护进程监听内部网络接口,负责提供本地局域网内部域名的查询,外部 DNS 守护进程监听外部网络接口,负责提供外部用户的查询,同时处理来自内部守护进程提交的请求。在多台主机的网络环境下,可以将 DNS 的功能扩展到主机系统,采用多播协议连接多台主机,利用多台主机的 cookie 缓存能力保证常用网站的可连接。采用 DNS 转发器的策略为其他 DNS 服务器完成 DNS 查询请求
14、,减轻 DNS 处理的压力;使用负责解析域中查询的 DNS 广告者(DNS advertisers),只应答其授权的域名的查询;使用可以完成递归查询的 DNS 解析者(DNS resolver)来解析未授权的域名,从而减少与公共服务器 DNS 解析者相关的风险(包括缓存中毒),增加了安全。保障服务器硬件的安全做到硬件资源配备要充足,能提供 DNS 服务的硬件服务器足够高的配置,对伪造信息和 DoS 攻击具有健壮性。DNS 服务器一般应放置 DMZ( Demilitarized Zone)非军事区,并配有完善的安全管理办法,禁止未授权用户直接操作服务器。在网络拓扑布局上做到主从 DNS 服务器物
15、理隔离,并为服务器提供一个 UPS 电源系统,不间断地为用户提供服务,保证服务器运行的完整性、安全性。合理配置 DNS 软件及时更新版本和下载补丁程序,进行系统升级,利用软件提供的如下特性来提高系统的安全程度:使用 TSIG 机制,即事务签名( Transaction Signature),进行 Client 与 Server的双向身份验证,确保交换数据的完整性认证以及保护查询、响应、区传送和动态更新;缓存服务器要设置更新周期,每小时或每几天更新一次,并通过配置 DNS 服务器的属性里面的“防止缓存污染”选项保护 DNS 不受缓存污染;限制外部用户查询 DNS 服务器中的allow-query
16、 语句,严格限制区传输,限制动态更新和递归查询,DNS 有选择地限制一些 IP的查询请求,限制对权威资源的查询;使 DNS 服务器功能专一化,在 DNS 服务器上不用提供其他服务,对外只开放 UDP53 和 TCP53 端口,配置防火墙,进行流量控制,降低风险。访问控制采取 allow-transfer 控制来加强安全,只有授权的辅名字服务器才能从主名字服务器上获得区数据信息。使用防火墙来控制 DNS 访问,组织外部主机连接这些 DNS 服务器。对于缓存 DNS 服务器,进行防火墙的配置,阻止内部用户使用 DNS 协议连接外部 DNS 服务器。在堡垒主机上建立一个伪 DNS 服务器共外部使用,
17、对外隐藏 DNS 信息,而在内建立一个真实的 DNS 服务器供内部主机使用。在 DNS 注册表和 DNS 文件系统入口设置中访问控制,使 DDNS(动态 DNS)只用安全连接。利用 DNS 安全扩展机制IETF 提出采用公开密钥加密体制的 DNSSEC(Domain Name System Security Extentions)机制,是在兼顾现有协议的基础上引入加密和认证体系,在每个区域(zone )都有一对区域级的密钥对,密钥对中的公钥用于区域中的域名记录信息作数字签名,从而使 DNSSEC 的接收者得以校验应答信息的可靠性,允许客户端和域名服务器对任何 DNS数据来源进行密钥验证,通过密
18、码同时提供权限认证和信息完整性,确保了数据完整性及数据源认证。第 8 章1. 答:基于行的自主访问控制机制基于行的自主访问控制机制在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同又可分为以下 3 种形式:(1)能力表(capabilities list)。目前利用能力表实现的自主访问控制系统不多,并且在这些为数不多的系统中,只有少数系统试图实现完备的自主访问控制机制。(2)前缀表(prefixes)。作为一般的安全规则,除非主体被授予某种访问模式,否则任何主体对任何客体都不具有任何访问权力。相对而言用专门的安全管理员控制主体前缀是比较安全的,但这种方法非常受限。在一个频繁更
19、迭对客体的访问权的环境下,这种方法肯定是不适宜的。因为访问权的撤销一般也是比较困难的,除非对每种访问权,系统都能自动校验主体的前缀。而删除一个客体则需要判定在哪个主体前缀中有该客体。另外客体名由于通常是杂乱无章的,所以很难分类。对于一个可访问许多客体的主体,它的前缀量将是非常大的,因而是很难管理的。此外,所有受保护的客体都必须具有唯一的客体名,互相不能重名,而在一个客体很多的系统中,应用这种方法就十分困难。(3)口令(password)。口令机制对于确认用户身份,也许是一种比较有效的方法,但用于客体访问控制,它并不是一种合适的方法。因为如果要撤销某用户对一个客体的访问权,只有通过改变该客体的口
20、令才行,这同时也意味着废除了所有其他可访问该客体的用户的访问权力。当然可以对每个客体使用多个口令来解决这个问题,但每个用户必须记住许多不同的口令,当客体很多时,用户就不得不将这些口令记录下来才不至于混淆或遗忘,这种管理方式很麻烦也不安全。另外,口令是手工分发的,无须系统参与,所以不知道究竟是哪个用户访问了该客体。并且当一个程序运行期间要访问某个客体时,该客体的口令就必须镶嵌在程序中,这就大大增加了口令意外泄露的危险。因为其他用户完全不必知道某客体的口令,只需运行一段镶嵌该客体口令的程序就可以访问到该客体了。这同样给这种机制带来了不安全性。基于列的自主访问控制机制基于列的自主访问控制机制,在每个
21、客体都附加一个可访问它的主体的明细表,它有两种形式,即保护位和访问控制表。(1)保护位(protection bits)。这种方法对所有主体、主体组以及客体的拥有者指明一个访问模式集合。保护位机制不能完备地表达访问控制矩阵,一般很少使用。(2)存取控制表(access control list,ACL)。这是国际上流行的一种十分有效的自主访问控制模式,它在每个客体上都附加一个主体明细表,表示访问控制矩阵。自主访问控制的访问许可在许多系统中,对访问许可与访问模式不加区分。但是,在自主访问控制机制中,应当对此加以区分,这种区分会把客体的控制与对客体的访问区别开来。由于访问许可允许主体修改客体的存取
22、控制表,因此利用它可以实现对自主访问控制机制的控制。这种控制有 3 种类型:(1)拥有型(2)等级型这种结构的优点是:通过选择可信任的人担任各级领导,使得能力以可信方式对客体施加控制,并且这种控制和人员的组织体系相近似。缺点是,对于一个客体而言,可能会同时有多个主体有能力修改它的访问控制表。(3)自由型自由型方式的特点是:一个客体的生产者可以对任何一个主体分配对它拥有的客体的访问控制权,即对客体的访问控制表有修改权,并且还可以使其对其它主体也具有分配这种权力的能力。在这种系统中,不存在“拥有者”概念。2. 答:强制访问控制的安全性比自主访问控制的安全性有了提高,但灵活性要差一些。强制访问控制包
23、括规则型(Rule-based)访问控制和管理指定型(Administratively-based)访问控制。MAC 模型中有几种比较主要的模型:Lattice 模型、Bell-LaPadula 模型(BLP model)和 Biba 模型(Biba model )。BLP 模型为通用的计算机系统定义了安全性属性,即以一组规则表示什么是一个安全的系统,尽管这种基于规则的模型比较容易实现,但是它不能以语义的形式阐明安全性的含义,因此这种模型不能解释主-客体框架以外的安全性问题。Biba 模型可同时针对有层次的安全级别和无层次的安全种类。Biba 模型的主要特征是禁止向上读。这个特征使得完整性级别
24、高的文件一定是由完整性高的进程所产生的,从而保证了完整性级别高的文件不会被完整性低的进程中的信息所覆盖。Lattices 模型是实现安全分级的系统,这种方案非常适用于需要对信息资源进行明显分类的系统。3. 答:基于角色的访问控制 RBAC(Role-based Access Control)是由美国国家标准化和技术委员会(NIST)的 Ferraiolo 等人在 20 世纪 90 年代提出的,其特有的优点引起了学术界和工业界的广泛关注,成为研究计算机和数据库安全性的一个热点。此后 NIST 专门成立了RBAC 研究机构,对基于角色的访问控制进行了系统的研究。RBAC 的基本思想是在用户和访问权
25、限之间引入角色的概念,将用户和角色联系起来,通过对角色的授权来控制用户对系统资源的访问。这是因为在很多实际应用中,用户并不是可以访问的客体信息资源的所有者,这样的话,访问控制应该基于用户的职务而不是基于用户在哪个组或是谁是信息的所有者,即访问控制是由各个用户在部门中所担任的角色来确定的。例如,一个学校可以有教工、老师、学生和其他管理人员等角色。RBAC 从控制主体的角度出发,根据管理中相对稳定的职权和责任来划分角色,将访问权限与角色相联系,这点与传统的 MAC 和 DAC 将权限直接授予用户的方式不同;通过给用户分配合适的角色,让用户与访问权限相联系。角色成为访问控制中访问主体和受控对象之间的
26、一座桥梁。相比较而言,RBAC 是实施面向机构的安全策略的一种有效的访问控制方式,其具有灵活性、方便性和安全性的特点。目前在大型数据库系统的权限管理中得到普遍应用,角色由系统管理员定义,角色成员的增减也只能由系统管理员来执行,即只有系统管理员有权定义和分配角色。用户与客体无直接联系,他只有通过角色才享有该角色所对应的权限,从而访问相应的客体。角色可以看作是一组操作的集合,不同的角色具有不同的操作集,这些操作集由系统管理员分配给角色。依据角色的不同,每个主体只能执行自己所制定的访问功能。系统定义了各种角色,每种角色可以完成一定的职能,不同的用户根据其职能和责任被赋予相应的角色,一旦某个用户成为某
27、角色的成员,则此用户可以完成该角色所具有的职能。角色的定义角色由用户自行定义,根据业务岗位不同可以定义多个角色。登录系统,首先需要向系统申请注册,同一个用户只能在系统中登记一次,因此角色是用户权限的基础,用户可以扮演多个角色。将某一角色授予某一用户时,权限不能超越该角色权限,但可以小于该角色权限。每个用户在系统中有一个唯一的 USERID 标识。用户通过系统登录界面登录系统。系统通过加密算法验证用户身份和判断用户是否已经登录系统。如果登录成功,则通知 Application preference service 和安全管理系统保存用户登录信息。角色由用户根据自己设想的组织机构进行添加设置,提供
28、一个专门的模块用来设置组织机构,用户通过组织机构方便地进行角色管理。例如用户可以通过部门机构来进行角色的管理,部门采用编号分层的方式,编号的每两位为一个层次。例如一级部门编号为两位,二级部门编号为 4 位,依次类推下去,直到将全部的部门机构建立树状结构图。这类数据仅为方便用户管理角色而存在,在系统的其他方面不存在任何意义。每个角色在系统中也是由一个唯一的角色编号来标识的,同时必须保存用户所设置的机构信息,一般来说每个角色只需要保存自己所在机构的代码即可。4. 答:根据应用环境的不同,VPN 主要分为三种典型的应用方式:内联网 VPN、外联网VPN 和远程接入 VPN。在内联网 VPN 未使用之
29、前,如果要实现两个异地网络之间的互联,就必须直接铺设网络线路,或租用运营商的专线。不管采用哪一种方式,使用和维护成本都很高,而且不便于网络的扩展。在使用了内联网 VPN 后,可以很方便实现两个局域网之间的互联,其条件是分别在每一个局域网中设置一台 VPN 网关,同时每一个 VPN 网关都需要分配一个公用IP 地址,以实现 VPN 网关的远程连接。而局域网中的所有主机都可以使用私有 IP 地址进行通信。外联网 VPN 是随着企业经营方式的发展而出现的一种网络连接方式。现代企业需要在企业与银行、供应商、销售商及客户之间建立一种联系(即电子商务活动),但是在这种联系过程中,企业需要根据不同的用户身份
30、(如供应商、销售商等)进行授权访问,建立相应的身份验证机制和访问控制机制。外联网 VPN 其实是对内联网 VPN 在应用功能上的延伸,是在内联网 VPN 的基础上增加了身份验证、访问控制等安全机制。在远程接入 VPN 技术出现之前,如果用户要通过 Internet 连接到单位内部网络,需要在单位内部网络中部署一台远程访问服务器(Remote Access Server,RAS ),用户通过拨号方式连接到该 RAS 后再根据相应权限来访问内部网络中的相应资源。远程拨号方式需要RAS 的支持,而且用户与 RAS 之间的通信是以明文方式进行,缺乏安全性。另外,远程的拨号用户可能需要支持长途电话通信费
31、。而远程接入 VPN 方式中的远程用户,只需要通过当地的 ISP 接入到 Internet 就可以连接到单位的 VPN 网关,并访问单位内部的资源。与传统的远程拨号方式相比,远程连接 VPN 方式实现容易,使用费用较低。简单来说,只要用户能够接入 Internet,就可以使用远程接入 VPN 方式连接到单位内部网络。第 9 章1. 什么是防火墙?计算机防火墙的种类有哪些?答:防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。从防火墙的软、硬件形式来分,防火墙可分为软件防火墙、硬件防火墙以及芯片级防火墙。从防火墙的技术实现来分,防火墙可分为包过滤
32、型防火墙、应用代理型防火墙及入侵状态检测防火墙三大类。从防火墙结构上分,防火墙可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。按防火墙的应用部署位置,防火墙可以分为边界防火墙、个人防火墙和混合防火墙三大类。2. 简述防火墙体系结构。答:防火墙可分为:双重宿主主机、屏蔽主机、屏蔽子网三种体系结构。双宿主主机可以用于把一个内部网络从一个不可信的外部网络分离出来。主机屏蔽防火墙体系结构是在防火墙的前面增加了屏蔽路由器。子网屏蔽防火墙体系结构添加额外的安全层到主机屏蔽体系结构,即通过添加周边网络更进一步地把内部网络与外网隔离。3. 简述防火墙具有的缺点。答:防火墙具有如下缺点:1、不能防范
33、恶意知情者防火墙可以禁止系统用户经过网络连接发送专有信息,但用户可以将数据复制到其他介质中带出去。2、 不能防范不通过它的连接防火墙能够有效的防止通过它进行传输的信息,然而不能防止不通过它进行传输的信息。3、不能防范全部威胁防火墙被用来防范已知的威胁,如果是一个很好的防火墙设计方案,可以防范新的威胁。但是没有一个防火墙能自动防御所有新威胁。4. 简述防火墙与隔离网闸在网络中起到的不同作用。答:防火墙是以应用为主安全为辅,也就是说在支持尽可能多的应用的前提下,来保证使用的安全。防火墙的这一设计理念使得它可以广泛地用于尽可能多的领域,拥有更加广泛的市场。而网闸则是以安全为主,在保证安全的前提下,支
34、持尽可能多地应用。网闸主要用于安全性要求极高的领域物理隔离网闸和防火墙是完全不同的两个产品,防火墙是保证网络层安全的边界安全工具(如通常的非军事化区) ,而物理隔离网闸重点是保护内部网络的安全。因此两种产品由于定位的不同,因此不能相互取代。第 10 章1. 答:传统的入侵检测系统采用的是集中式结构,因此系统中的数据收集、分析和响应等模块都集中运行在一台主机上,这样的操作虽然简单,但是随着网络的快速发展和网络上数据流量的剧增,用一台计算机无法负担所有的入侵检测工作,并且这种集中式的入侵检测系统还存在着单点失效的问题。如果这台主机受到了攻击而停止工作,整个网络将处于危险中。分布式入侵检测系统是由分
35、布在网络上不同位置的检测部件所组成的,它不仅能检测到针对单个主机的入侵,也能检测到针对整个网络的入侵。分布式入侵检测系统在很大程度上解决了传统集中式入侵检测系统处理能力有限且容易单点失效的缺点。分布式入侵检测系统可以分为 3 种类型。1)层次式。层次式入侵检测系统将数据收集的工作分布在整个网络中,并将所获取的数据传送到更高一层的分布式数据分析模块,经过初步分析后将结果送入全局的分析模块进行判断和决策。层次式入侵检测系统的缺点在于难以完全适应网络拓扑的变化,如果上层的入侵检测模块受到攻击,则该系统的有效性要大大降低。2)协作式。协作式入侵检测系统的数据分析模块相对独立,因此具有较层次式入侵检测系
36、统更好的独立性。它的缺点是存在单点失效的风险。3)对等式。对等式入侵检测系统的各模块地址和作用都平等,因此整个系统拥有很好的伸缩性,真正避免了单点失效。对等式入侵检测系统所面临的问题是入侵检测系统同伴间的通信较为复杂。2. 答:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;3. 答:入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应) ,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全
37、策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。4. 答:异常检测异常检测技术(Anomaly Detection)也称为基于行为的检测技术,是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测模型如下图 10.7 所示。异常检测技术首先假设网络攻击行为是不常见的或是异常的,区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。异常检测的关键是选一个区分异常事件与入侵活动的阈值,从而减少漏报和误报的问题。5. 答:误用检测的优点是:检测的准确性高;由于可以精确描述入侵行为,因此虚警率低。它的缺点是:检测的完整性要取决于数据库的及时更新程度;收集已经攻击行为和系统脆弱性信息困难;可移植性差并且难以检测内部用户的权限滥用。
