入侵检测习题答案.doc

该【入侵检测习题答案 】是由【小果冻】上传分享，文档一共【12】页，该文档可以免费在线阅读，需要了解更多关于【入侵检测习题答案 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
第一章****题答案
.
答: 计算机平安的内容包括物理平安和逻辑平安两方面。物理平安指系统设备及相关设施受到物理保护,免于破坏、丧失等。逻辑平安指计算机中信息和数据的平安,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的平安、数据的平安和运行的平安。软件的平安是保护各种软件及其文档不被任意篡改、失效和非法复制,数据平安是保护所存贮的数据资源不被非法使用和修改,运行平安是保护信息系统能连续正确地运行。
平安的计算机系统的特征有几个,它们分别是什么?
答:平安的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。它一般应该具有以下几个特征:
● 机密性〔confidentiality〕:机密性是指数据不会泄漏给非授权的用户、实体,也不会被非授权用户使用,只有合法的授权用户才能对机密的或受限的数据进行存取。
● 完整性〔Integrity〕:完整性是指数据未经授权不能被改变。也就是说,完整性要求保持系统中数据的正确性和一致性。不管在什么情况下,都要保护数据不受破坏或者被篡改。
● 可用性〔Availability〕:计算机资源和系统中的数据信息在系统合法用户需要使用时,必须是可用的。即对授权用户,系统应尽量防止系统资源被耗尽或效劳被拒绝的情况出现。
● 可控性〔Controliability〕:可控性是指可以控制授权范围内的信息流向及行为方式,对信息的访问、传播以及具体内容具有控制能力。同时它还要求系统审计针对信息的访问,当计算机中的泄密现象被检测出后,计算机的平安系统必须能够保存足够的信息以追踪和识别入侵攻击者,入侵者对此不能够抵赖。
● 正确性〔Correctness〕:系统要尽量减少由于对事件的不正确判断所引起的虚警〔FalseAlarms〕现象,要有较高的可靠性。如果虚警率太高,那么用户的合法行为就会经常性地被打断或者被禁止。这样,不仅使得系统的可用性降低,而且也会使合法用户对系统失去信心。
描述并解释Anderson在1972年提出的计算机平安模型.
答: Anderson在1972年提出了计算机平安模型,。

其各个模块的功能如下:平安参考监视器控制主体能否访问对象。授权数据库并不是平安参考监视器的一局部,但是平安参考监视器要完成控制功能需要授权数据库的帮助。识别与认证系统识别主体和对象。审计系统用来记录系统的活动信息。该模型的实现采用访问控制机制来保证系统平安。访问控制机制识别与认证主体身份,根据授权数据库的记录决定是否可以允许主体访问对象。
描述并解释P2DR模型.
P2DR模型(Policy——策略,Protection—防护,Detection——检测,Response——响应)是一种动态的、平安性高的网络平安模型,。

它的根本思想是:以平安策略为核心,通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行平安漏洞检测,检测使系统从静态防护转化为动态防护,为系统快速响应提供了依据,当发现系统有异常时,根据系统平安策略快速作出响应,从而到达了保护系统平安的目的。防护、检测和响应组成了一个完整的、动态的平安循环。在平安策略的指导下保证信息系统的平安。
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
,他们分别是什么?
传统的平安技术分为两类:静态平安技术和动态平安技术。
所谓静态平安技术,是指通过人工的方法,采用一些外围设备,主要是用于保护系统抵御外部的攻击,其代表产品就是我们常见的防火墙。动态平安技术的最大优点在于“主动性〞,通过把实时的数据捕获、实时的数据分析和网络监视系统相结合,根据特定平安数据库中的数据,经过分析,迅速发现危险攻击的特征,进而发出警报,同时也提供一定的保护措施。

传统的一些平安机制分不六类,如下:
(1).,变成无意义的密文,接收方那么将此密文经过解密函数、解密钥匙复原成明文。
(2).。它要确定合法用户对哪些系统资源享有何种权限、可进行什么类型的访问操作,防止非法用户进入计算机系统和合法用户对系统资源的非法使用。
(3).。它以交换信息的方式来确认实体的身份。
(4).。数据完整性控制包括文件系统完整性控制及网络传输信息的完整性。
(5).平安***。漏洞就是某种形式的脆弱性。***是自动检测远端或本地主机平安脆弱点的技术,它通过对系统当前的状况进行扫描、分析,找出系统中存在的各种脆弱性,在此根底上进一步考虑脆弱性的修补与消除。
(6).。防火墙是在被保护网络周边建立的、分隔被保护网络与外部网络的系统,它在内部网与外部网之间形成了一道平安保护屏障。
,它可分为几种类型?防火墙的优点与缺乏各是什么?
防火墙可通过软件和硬件相结合的方式来实现,当前比拟成熟的防火墙实现技术从层次上主要有以下两种:包过滤和应用层网关。包过滤技术主要在IP层实现。它根据包头中所含的信息如源地址、目的地址等来判断其能否通过。与包过滤相比,应用层网关在通信协议栈的更高层操作,提供更为平安的选项。它通常由两局部组成:代理效劳器和筛选路由器。这种防火墙技术是目前最通用的一种,它把过滤路由器技术和软件代理技术结合在一起,由过滤路由器负责网络的互联,进行严格的数据选择,应用代理那么提供给用层效劳的控制,中间转接外部网络向内部网络申请的效劳。
防火墙具有以下优点:防火墙通过过滤不平安的效劳,可以极大地提高网络平安和减少子网中主机的风险;它可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机;阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS;防火墙可以记录和统计通过它的网络通讯,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;防火墙提供制定和执行网络平安策略的手段,它可对企业内部网实现集中的平安管理,它定义的平安规那么可运用于整个内部网络系统,而无须在内部网每台机器上分别设立平安策略。
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
防火墙的缺乏:
〔1〕入侵者可以寻找防火墙背后可能敞开的***而绕过防火墙.
〔2〕防火墙完全不能阻止内部攻击,对于企业内部心怀不满的员工来说防火墙形同虚设.
〔3〕由于性能的限制,防火墙通常不能提供实时的入侵检测能力.
〔4〕防火墙对于病毒也束手无策的.
〔5〕防火墙无法有效地解决自身的平安问题.
〔6〕防火墙无法做到平安与速度的同步提高,一旦考虑到平安因素而对网络流量进行深入的决策和分析,那么网络的运行速度势必会受到影响.
〔7〕防火墙是一种静态的平安技术,需要人工来实施和维护,不能主动跟踪入侵者.
因此,认为在Internet的入口处布置防火墙,系统就足够平安的想法是不切实际的。
第二章入侵检测系统答案
?
防火墙是要保护的网络或系统与外界之间的一道平安屏障。它通过加强网络间的访问控制,防止外部用户非法使用内部网的资源,从而到达保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取的目的。它规定了哪些内部效劳可以被外界访问;外界的哪些人可以访问内部的效劳,以及哪些外部效劳可以被内部人员访问。
但防火墙只是一种被动的防御技术,它无法识别和防御来自内部网络的滥用和攻击,比方内部员工恶意破坏、删除数据,越权使用设备,也不能有效防止绕过防火墙的攻击,比方公司的员工将机密数据用便携式存储设备随身带出去造成泄密,员工自己拨号上网造成攻击进入等。
入侵检测技术作为一种主动防护技术,可以在攻击发生时记录攻击者的行为,发出报警,必要时还可以追踪攻击者。它既可以独立运行,也可以与防火墙等平安技术协同工作,更好地保护网络。

(1).。在这一年的4月,他为美国空军做了一份题为?计算机平安威胁监控与监视?〔?ComputerSecurityThreatMonitoringandSurveillance?〕的技术报告,这份报告被公认为是入侵检测的开山之作。在报告中,他首次提出了入侵检测的概念,给出了入侵尝试(Intrusionattempt)或威胁(Threat)的定义。
(2).1987年,——IDES〔IntrusionDetectionExpertSystem,入侵检测专家系统〕,首次将入侵检测的概念作为一种计算机系统平安防御问题的措施提出。
(3).1990年是入侵检测系统开展史上的一个分水岭。这一年,:基于网络的入侵检测—NSM(NetworkSecurityMonitor).
(4).1991年,NADIR(NetworkAnomalyDetectionandIntrusionReporter)与DIDS(DistributeIntrusionDetectionSystem)提出了收集和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
(5).1994年,MarkCrosbie和GeneSpafford建议使用自治代理(autonomousagents)以便提高IDS的可伸缩性、可维护性、效率和容错性,该理念非常符合正在进行的计算机科学其他领域(如软件代理,softwareagent)的研究。
(6).1995年开发了IDES完善后的版本—NIDES(Next-GenerationIntrusionDetectionSystem)可以检测多个主机上的入侵。
.
基于主机的入侵检查系统优点包括:
〔1〕能确定攻击是否成功。主机是攻击的目的所在,所以基于主机的IDS使用含有已发生的事件信息,可以比基于网络的IDS更加准确地判断攻击是否成功。就这一方面而言,基于主机的IDS与基于网络的IDS互相补充,网络局部尽早提供针对攻击的警告,而主机局部那么可确定攻击是否成功。
〔2〕监控粒度更细。基于主机的IDS,监控的目标明确,视野集中,它可以检测一些基于网络的IDS不能检测的攻击。它可以很容易地监控系统的一些活动,如对敏感文件、目录、程序或端口的存取。例如,基于主机的IDS可以监督所有用户登录及退出登录的情况,。它还可监视通常只有管理员才能实施的非正常行为。针对系统的一些活动,有时并不通过网络传输数据,有时虽然通过网络传输数据但所传输的数据并不能提供足够多的信息,从而使得基于网络的系统检测不到这些行为,或者检测到这个程度非常困难。
〔3〕配置灵活。每一个主机有其自己的基于主机的IDS,用户可根据自己的实际情况对其进行配置。
〔4〕可用于加密的以及交换的环境。加密和交换设备加大了基于网络IDS收集信息的难度,但由于基于主机的IDS安装在要监控的主机上,根本不会受这些因素的影响。
〔5〕对网络流量不敏感。基于主机的IDS一般不会因为网络流量的增加而丢掉对网络行为的监视。
〔6〕不需要额外的硬件。
.
基于网络的入侵检测系统有以下优点:
〔1〕监测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品那么要依靠对最近几分钟内审计记录的分析。
〔2〕隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易被存取,因而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序,不提供网络效劳,可以不响应其他计算机,因此可以做得比拟平安。
〔3〕视野更宽。可以检测一些主机检测不到的攻击,如泪滴攻击〔Teardrop〕,基于网络的SYN攻击等。还可以检测不成功的攻击和恶意企图。
〔4〕较少的监测器。由于使用一个监测器就可以保护一个共享的网段,所以你不需要很多的监测器。相反地,如果基于主机,那么在每个主机上都需要一个代理,这样的话,花费昂贵,而且难于管理。但是,如果在一个交换环境下,就需要特殊的配置。
〔5〕攻击者不易转移证据。基于网络的IDS使用正在发生的网络通讯进行实时攻击的检测。所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法,而且还包括可识别黑客身份和对其进行起诉的信息。许多黑客都熟知审计记录,他们知道如何操纵这些文件掩盖他们的作案痕迹,如何阻止需要这些信息的基于主机的系统去检测入侵。
〔6〕操作系统无关性。基于网络的IDS作为平安监测资源,与主机的操作系统无关。与之相比,基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作,生成有用的结果。
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
〔7〕可以配置在专门的机器上,不会占用被保护的设备上的任何资源。
基于网络的入侵检测系统的主要缺点是:只能监视本网段的活动,精确度不高;在交换环境下难以配置;防入侵欺骗的能力较差;难以定位入侵者。
,入侵检测系统可以分为几类?其原理分别是什么?
根据检测原理,将入侵检测分为两类:异常检测和误用检测。

在异常检测中,观察到的不是的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常〞,并如何做出具体决策。

在误用检测中,入侵过程模型及它在被观察系统中留下的踪迹是决策的根底。所以,可事先定义某些特征的行为是非法的,然后将观察对象与之进行比拟以做出判别。误用检测基于的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的平安策略,所以无法检测系统未知的攻击行为,从而产生漏报。
第三章 入侵的方法与手段答案

计算机网络的主要漏洞有:
(1)缓冲区溢出
缓冲区溢出漏洞是很典型的一类漏洞,现有的漏洞很多都可以归为此类。比方最近发现,OpenLDAP存在多个远程缓冲区溢出漏洞。OpenLDAP是一款开放源代码的轻量级目录访问协议〔LDAP〕实现,用于在网络环境中发布信息,。其源代码被发现存在多个缓冲区边界没有正确检查的问题,远程攻击者可以利用这些漏洞进行缓冲区溢出攻击,并以OpenLDAP进程权限在系统上执行任意命令。
(2)拒绝效劳攻击漏洞
拒绝效劳攻击漏洞也是一类典型的漏洞。比方,Microsoft公司开发的HTTP效劳器程序IIS。它的“〞组件对包含畸形HOST头字段的HTTP请求处理存在问题,远程攻击者可以发送包含多个“/〞字符的HOST头信息给IIS效劳器,这样可以导致WEB效劳崩溃,停止对合法请求的响应。
(3)权限提升漏洞
比方WindowsWM_TIMER消息处理权限提升漏洞。WM_TIMER消息一般在某一计时器超时时发送,可以用来使进程执行计时回调函数。WM_TIMER消息存在平安问题,本地或者利用终端效劳访问的攻击者可以利用这个漏洞使用WM_TIMER消息利用其他高权限进程执行回调函数,造成权限提升,使本地用户可以提升权限至管理用户。
(4)远程命令执行漏洞
比方,CobaltRaQ4管理接口远程命令执行漏洞。这个漏洞只存在安装了RaQ4加固平安包之后的RaQ4效劳程序中。CobaltRaQ是一个基于Internet的效劳应用程序,由Sun微系统公司发布和维护。CobaltRaQWEB管理接口在处理用户提供的Email参数时缺少正确过滤,远程攻击者可以利用这个漏洞以WEB进程权限在系统上执行任意命令。
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
(5)文件泄漏、信息泄漏漏洞
比方KunaniFTP文件泄漏漏洞。,通过一个包含“../〞的恶意请求可以对效劳器进行目录遍历。远程攻击者可以利用这个漏洞访问系统FTP目录以外任意的文件。
(7)其他类型的漏洞
除了以上举例说明的几种漏洞外,按照漏洞造成的直接危害,还存在列举出其他一些漏洞,比方脚本执行漏洞、可绕过认证漏洞、远程访问漏洞等,这里就不一一举例。以上举出的漏洞多数已经有补丁发布。
,Anderson将攻击如何分类?
Anderson将攻击分为三类:
1. 外部渗透:就是非授权用户对计算机系统进行的攻击。
2. 内部渗透:系统的合法用户对其访问权限以外的资源造成危害的攻击。
3. 不当行为:合法用户对其访问权限之内的数据或者其他资源的误用行为。
。
木马的开展大致分为两个阶段。最初网络以UNIX平台为主的时候,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。WINDOWS平台普及之后,一些基于图形操作的木马程序出现了。由于用户界面的改善,使用者可以不必掌握太多的专业知识就能够熟练的操作木马,相对的木马入侵事件发生率更高了,而且由于这个时期木马的功能已日趋完善,因此对效劳端的破坏也更大了。

木马一般又两局部组成:效劳器端,客户端。在Windows系统中,木马一般是一个网络效劳程序,效劳器端运行于感染的机器上监听它的一些特定端口,这个端口号多数比拟大〔5000以上,但也有局部是5000以下的〕;当该木马相应的客户端程序在此端口上请求连接时,木马的客户端和效劳器端就建立一个TCP连接,这样客户端就可以控制感染木马的机器,以到达攻击的目的。
?
木马的隐藏方式:
(1).修改图标
效劳器的图标必须能够迷惑目标电脑的主人,如果木马的图标看上去象是系统文件,电脑的主人就不会轻易地删除他。另外在Email的附件中,木马设计者们将木马效劳端程序的图标改成HTML、TXT、ZIP等各种文件的图标,这样就有相当大的迷惑性,现在这种木马很常见。例如BO,它的图标是透明的,并且没有文件名,其后缀名是EXE,由于WINDOWS默认方式下不显示后缀名的,所以在资源管理器中就看不到这个文件。
(2).捆绑文件
为了启动木马,最容易下手的地方是三个,注册表、、,电脑启动的时候,需要装载这三个文件。还有替换windows启动程序装载的,。以上木马的启动方式都属于非捆绑方式,大局部木马是使用这几种方式启动的。但是非捆绑方法会在注册表等位置留下痕迹,很容易发现。如果把木马捆绑到一般的程序上,启动是不确定的,但是要靠电脑主人启动被捆绑的程序,木马才会运行。捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马。捆绑方式的木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使木马具有很强的隐蔽性。,捆绑到启动程序上,也可以捆绑到一般程序的常用程序上。因此当安装程序运行时,木马就会在用户毫无发觉的情况下进入了系统。有一点要说明的是,被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,isolatingnetworkprotectionfacilities
ofruraldrinkingwatersources,protectionofdrinkingwatersourcesinruralareasbytheendofthedelimitationofthescopeofprotection,completewithwarningsigns,is