入侵检测技术 课后答案.docx
《入侵检测技术 课后答案.docx》由会员分享,可在线阅读,更多相关《入侵检测技术 课后答案.docx(15页珍藏版)》请在冰点文库上搜索。
入侵检测技术课后答案
第1章入侵检测概述
思考题:
(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?
答:
分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?
答:
一般来说,入侵检测系统的作用体现在以下几个方面:
●监控、分析用户和系统的活动;
●审计系统的配置和弱点;
●评估关键系统和数据文件的完整性;
●识别攻击的活动模式;
●对异常活动进行统计分析;
●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?
答:
计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言,系统存在被攻击的可能性。
如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:
(1)识别入侵者;
(2)识别入侵行为:
(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段
选择题:
(1)B.
(2)B
思考题:
(1)一般来说,黑客攻击的原理是什么?
答:
黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?
答:
最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。
(3)秘密扫描的原理是什么?
答:
秘密扫描不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而比SYN扫描隐蔽得多。
秘密扫描技术使用FIN数据包来探听端口。
当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。
否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
(4)分布式拒绝服务攻击的原理是什么?
答:
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
理解了DoS攻击的话,DDoS的原理就很简单。
如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?
用100台呢?
DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
(5)缓冲区溢出攻击的原理是什么?
答:
缓冲区是计算机内存中的临时存储数据的区域,通常由需要使用缓冲区的程序按照指定的大小来创建的。
一个强健的程序应该可以创建足够大的缓冲区以保存它接收的数据,或者可以监测缓冲区的使用情况并拒绝接收超过缓冲区中可以保存的数据。
如果程序没有对缓冲区边界进行检查,即可以允许没有干扰地输入数据,而不考虑大小问题。
这样多出的数据就会被写到缓冲区之外,这时就可能写入到其它的内存区域中。
如果在这部分内存中已经存放了一些重要的内容(例如计算机操作系统的某一部分,或者更有可能是其它数据或应用程序自己的代码),那么它的内容就被覆盖了(发生数据丢失)。
(6)格式化字符串攻击的原理是什么?
答:
所谓格式化串,就是在*printf()系列函数中按照一定的格式对数据进行输出,可以输出到标准输出,即printf(),也可以输出到文件句柄,字符串等,对应的函数有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。
能被黑客利用的地方也就出在这一系列的*printf()函数中,*printf()系列函数有三条特殊的性质,这些特殊性质如果被黑客结合起来利用,就会形成漏洞。
格式化串漏洞和普通的缓冲溢出有相似之处,但又有所不同,它们都是利用了程序员的疏忽大意来改变程序运行的正常流程。
第3章入侵检测系统
选择题:
(1)D
(2)D
思考题:
(1)入侵检测系统有哪些基本模型?
答:
在入侵检测系统的发展历程中,大致经历了三个阶段:
集中式阶段、层次式阶段和集成式阶段。
代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)。
(2)简述IDM模型的工作原理?
答:
IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。
也就是给出了将分散的原始数据转换为高层次的有关入侵和被监测环境的全部安全假设过程。
通过把收集到的分散数据进行加工抽象和数据关联操作,IDM构造了一台虚拟的机器环境,这台机器由所有相连的主机和网络组成。
将分布式系统看作是一台虚拟的计算机的观点简化了对跨越单机的入侵行为的识别。
(3)入侵检测系统的工作模式可以分为几个步骤,分别是什么?
答:
入侵检测系统的工作模式可以分为4个步骤,分别为:
从系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为作出响应;记录并报告检测过程和结果。
(4)基于主机的入侵检测系统和基于网络的入侵检测系统的区别是什么?
答:
基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。
当有文件发生变化时,入侵检测系统将新的记录条目与攻击标记相比较,看它们是否匹配。
如果匹配,系统就会向管理员报警,以采取措施。
基于网络的入侵检测系统使用原始网络数据包作为数据源。
基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
(5)异常入侵检测系统的设计原理是什么?
答:
异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。
在异常入侵检测中,假定所有入侵行为都是与正常行为不同的,这样,如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。
对于异常阈值与特征的选择是异常入侵检测的关键。
比如,通过流量统计分析将异常时间的异常网络流量视为可疑。
异常入侵检测的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。
(6)误用入侵检测系统的优缺点分别是什么?
答:
误用入侵检测系统的优点是误报少;缺点是它只能发现已知的攻击,对未知的攻击无能为力。
(7)简述防火墙对部署入侵检测系统的影响。
答:
防火墙系统起防御来自外部网络的攻击的作用,在这时和入侵检测系统互相配合可以做更有效的安全管理。
通常将入侵检测系统部署在防火墙之后,进行继防火墙一次过滤后的二次防御。
但是在有些情况下,还需要考虑来自外部的针对防火墙本身的攻击行为。
如果黑客觉察到防火墙的存在并攻破防火墙的话,对内部网络来说是非常危险的。
因此在高安全性要求的环境下在防火墙外部部署入侵检测产品,进行先于防火墙的一次检测、防御。
这样用户可以预知那些恶意攻击防火墙的行为并及时采取相应的安全措施,以保证整个网络的安全性。
第4章入侵检测流程
选择题:
(1)C
(2)A
思考题:
(1)入侵分析的目的是什么?
答:
入侵分析的主要目的是提高信息系统的安全性。
除了检测入侵行为之外,人们通常还希望达到以下目标:
重要的威慑力;安全规划和管理;获取入侵证据。
(2)入侵分析需要考虑哪些因素?
答:
入侵分析需要考虑的因素主要有以下四个方面:
需求;子目标;目标划分;平衡。
(3)告警与响应的作用是什么?
答:
在完成系统安全状况分析并确定系统所存在的问题之后,就要让人们知道这些问题的存在,在某些情况下,还要另外采取行动。
这就是告警与响应要完成的任务。
(4)联动响应机制的含义是什么?
答:
入侵检测的主要作用是通过检查主机日志或网络传输内容,发现潜在的网络攻击,但一般的入侵检测系统只能做简单的响应,如通过发RST包终止可疑的TCP连接。
而对于大量的非法访问,如DoS类攻击,仅仅采用入侵检测系统本身去响应是远远不够的。
因此,在响应机制中,需要发挥各种不同网络安全技术的特点,从而取得更好的网络安全防范效果。
这就需要采用入侵检测系统的联动响应机制。
目前,可以与入侵检测系统联动进行响应的安全技术包括防火墙、安全扫描器、防病毒系统、安全加密系统等。
但其中最主要的是防火墙联动,即当入侵检测系统检测到潜在的网络攻击后,将相关信息传输给防火墙,由防火墙采取响应措施,从而更有效的保护网络信息系统的安全。
第5章基于主机的入侵检测技术
一、ABCD
二、思考题
1.基于主机的数据源主要有哪些?
答:
基于主机的数据源主要有系统日志、应用程序日志等。
2.获取审计数据后,为什么首先要对这些数据进行预处理?
答:
当今现实世界中的数据库的共同特点是存在不完整的、含噪声的和不一致的数据,用户感兴趣的属性,并非总是可用的。
网络入侵检测系统分析数据的来源与数据结构的异构性,实际系统所提供数据的不完全相关性、冗余性、概念上的模糊性以及海量审计数据中可能存在大量的无意义信息等问题,使得系统提供的原始信息很难直接被检测系统使用,而且还可能造成检测结果的偏差,降低系统的检测性能。
这就要求获取的审计数据在被检测模块使用之前,对不理想的原始数据进行有效的归纳、进行格式统一、转换和处理。
3.数据预处理的方法很多,常用的有哪几种?
答:
数据预处理的方法很多,常用的有:
基于粗糙集理论的约简法、基于粗糙集理论的属性离散化、属性的约简等。
(需要对上述方法的基本原理进行掌握)
4.简述基于专家系统的入侵检测技术的局限性。
答:
专家系统可有针对性地建立高效的入侵检测系统,检测准确度高。
但在具体实现中,专家系统主要面临如下问题:
①专家知识获取问题。
即由于专家系统的检测规则由安全专家用专家知识构造,因此难以科学地从各种入侵手段中抽象出全面的规则化知识。
②规则动态更新问题。
用户行为模式的动态性要求入侵检测系统具有自学习、自适应的功能。
5.配置分析技术的基本原理是基于哪两个观点?
配置分析技术的基本原理是基于如下两个观点:
①一次成功的入侵活动可能会在系统中留下痕迹,这可以通过检查系统当前的状态来发现。
②系统管理员和用户经常会错误地配置系统,从而给攻击者以入侵的可乘之机。
第6章基于网络的入侵检测技术
思考题:
(1)简述交换网络环境下的数据捕获方法。
答:
在使用交换机连接的交换式网络环境中,处于监听状态下的网络设备,只能捕获到它所连接的交换机端口上的数据,而无法监听其他交换机端口和其他网段的数据。
因此,实现交换网络的数据捕获要采用一些特殊的方法。
通常可以采用如下方法:
(1)将数据包捕获程序放在网关或代理服务器上,这样就可以捕获到整个局域网的数据包;
(2)对交换机实行端口映射,将所有端口的数据包全部映射到某个连接监控机器的端口上;(3)在交换机和路由器之间连接一个HUB,这样数据将以广播的方式发送;(4)实行ARP欺骗,即在负责数据包捕获的机器上实现整个网络的数据包的转发,不过会降低整个局域网的效率。
(2)简述包捕获机制BPF的原理。
答:
BPF主要由两大部分组成:
网络分接头(NetworkTap)和数据包过滤器(PacketFilter)。
网络分接头从网络设备驱动程序处收集数据包复制,并传递给正在捕获数据包的应用程序。
过滤器决定某一数据包是被接受或者拒绝以及如果被接受,数据包的那些部分会被复制给应用程序。
(3)简述协议分析的原理。
答:
协议分析的功能是辨别数据包的协议类型,以便使用相应的数据分析程序来检测数据包。
可以把所有的协议构成一棵协议树,一个特定的协议是该树结构中的一个结点,可以用一棵二叉树来表示。
一个网络数据包的分析就是一条从根到某个叶子的路径。
在程序中动态地维护和配置此树结构即可实现非常灵活的协议分析功能。
(4)举例说明如何检测端口扫描。
答:
本例中检测引擎检测到主机192.168.0.5与主机192.168.0.4在短期内建立了大量的连接,符合阈值要求,所以已被认定为端口扫描,如下图所示。
图端口扫描的检测
(5)举例说明如何检测拒绝服务攻击。
答:
本例中检测引擎检测出了IGMP的DoS攻击,检测结果下图所示。
图拒绝服务攻击的检测结果
第7章入侵检测系统的标准与评估
选择题:
(1)ABC
(2)C
(3)BD
(4)B
(5)AC
(6)ABC
(7)B
(8)A
思考题:
(1)CIDF标准化工作的主要思想是什么?
答:
CIDF标准化工作基于这样的思想:
入侵行为是如此广泛和复杂,以至于依靠某个单一的IDS不可能检测出所有的入侵行为,因此就需要一个IDS系统的合作来检测跨越网络或跨越较长时间段的不同攻击。
为了尽可能地减少标准化工作,CIDF把IDS系统合作的重点放在了不同组件间的合作上。
(2)CIDF是怎样解决组件之间的通讯问题的?
答:
CIDF组件间的通信是通过一个层次化的结构来完成的。
这个结构包括三层:
Gidos层、信体层、协商传输层。
针对CIDF的一个组件怎样才能安全地连接到其它组件的问题,CIDF提出了一个可扩展性非常好的比较完备的解决方法,即采用中介服务(Matchmaker)。
针对连接建立后CIDF如何保证组件之间安全有效地进行通信的问题,CIDF是通过信体层和传输层来解决的。
信体层是为了解决诸如同步(例如阻塞和非阻塞等)、屏蔽不同操作系统的不同数据表示、不同编程语言不同的数据结构等问题而提出的。
它规定了Message的格式,并提出了双方通信的流程。
此外,为了保证通信的安全性,信体层包含了鉴别、加密和签名等机制。
(3)IDWG的主要工作是什么?
答:
IDWG的主要工作围绕着下面三点:
(1)制定入侵检测消息交换需求文档。
该文档内容有入侵检测系统之间通信的要求说明,同时还有入侵检测系统和管理系统之间通信的要求说明。
(2)制定公共入侵语言规范。
(3)制定一种入侵检测消息交换的体系结构,使得最适合于用目前已存在协议实现入侵检测系统之间的通信。
(4)检测系统的报警信息可信度与虚警率、检测率之间的关系是什么?
答:
给定检测率的条件下,报警信息的可信度将随着检测系统虚警率的增大而减小。
而在给定虚警率的条件下,报警信息的可信度将随着检测率的增大而增大。
(5)评价入侵检测系统性能的三个因素是什么,分别表示什么含义?
答:
评价入侵检测系统性能的三个因素是:
准确性;处理性能;完备性。
准确性指入侵检测系统能正确地检测出系统入侵活动。
当一个入侵检测系统的检测不准确时,它就可能把系统中的合法活动当作入侵行为并标识为异常。
处理性能指一个入侵检测系统处理系统审计数据的速度。
显然,当入侵检测系统的处理性能较差时,它就不可能实现实时的入侵检测。
完备性指入侵检测系统能够检测出所有攻击行为的能力。
如果存在一个攻击行为,无法被入侵检测系统检测出来,那么该入侵检测系统就不具有检测完备性。
由于在一般情况下,很难得到关于攻击行为以及对系统特权滥用行为的所有知识,所以关于入侵检测系统的检测完备性的评估要相对困难得多。
(6)IDS测试方法的局限性是什么?
答:
IDS测试方法的局限性在于只能测试己知攻击。
(7)性能测试的主要指标是什么?
答:
性能测试的主要的指标有:
IDS引擎的吞吐量;包的重装;过滤的效率。
(8)离线评估方案和实时评估方案各有什么优缺点?
答:
离线评估方案的优点是设计简单,集中于核心技术,消除安全与隐私问题并提供大多数入侵检测系统所使用的数据类型。
缺点是无法反映网络入侵行为的实时性。
实时评估方案的优点是可以测量每个IDS系统在现有的正常机器和网络活动中检测入侵行为的效力,可以测量每个IDS系统的反应机制的效力以及对正常用户的影响。
缺点是构建评估环境比较复杂。
第8章Snort分析
一、选择题
1.B
2.C
二、思考题
1.Snort的3种工作模式是什么?
答:
Snort有以下3种工作模式:
①嗅探器——嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。
②数据包记录器——数据包记录器模式把数据包记录到硬盘上。
③网络入侵检测系统——Snort最重要的用途还是作为网络入侵检测系统,这种工作模式是最复杂的,而且是可配置的。
用户可以让Snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
2.Snort所需的底层库有哪些?
答:
Snort所需的底层库有:
①Libpcap:
Libpcap提供的接口函数主要实现和封装了与数据包截获有关的过程②Libnet:
Libnet提供的接口函数主要实现和封装了数据包的构造和发送过程。
③NDISpacketcaptureDriver:
NDISpacketcaptureDriver是为了方便用户在Win32/9x/NT/2000环境下抓取和处理网络数据包而提供的驱动程序。
PacketDriver分为Windows9x、WindowsNT和Windows20003种不同类型。
3.简述Snort的特点
答:
Snort是一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和日志IP网络数据包的能力,能够进行协议分析,对内容进行搜索/匹配;它能够检测各种不同的攻击方式,对攻击进行实时报警;此外,Snort具有很好的扩展性和可移植性。
还有,这个软件遵循通用公共许可证GPL,所以只要遵守GPL任何组织和个人都可以自由使用。
①Snort是一个轻量级的入侵检测系统。
Snort虽然功能强大,但是其代码极为简洁、短小,其源代码压缩包只有大约110KB。
②Snort的跨平台性能极佳。
与大多数商用入侵检测软件只能支持其中的1~2种操作系统,甚至需要特定的操作系统不同的是,Snort具有跨平台的特点,它支持的操作系统广泛。
③Snort的功能非常强大。
Snort具有实时流量分析和日志IP网络数据包的能力、能够快速地检测网络攻击,及时地发出报警;Snort能够进行协议分析,内容的搜索/匹配;Snort的日志格式既可以是Tcpdump式的二进制格式,也可以解码成ASCII字符形式,更加便于用户尤其是新手检查;使用数据库输出插件,Snort可以把日志记入数据库;使用TCP流插件(Tcpstream),Snort可以对TCP包进行重组、可以对TCP包进行缓冲,;使用SPADE(StatisticalPacketAnomalyDetectionEngine)插件,Snort能够报告非正常的可疑包,从而对端口扫描进行有效的检测;Snort还有很强的系统防护能力,使用FlexResp功能,Snort能够主动断开恶意连接。
④扩展性能较好,对于新的攻击威胁反应迅速。
⑤遵循公共通用许可证GPL,任何企业、个人、组织都可以免费使用它作为自己的NIDS。
4.简述Snort的入侵检测流程。
答:
基于规则的模式匹配是Snort的核心检测机制。
Snort的入侵检测流程分成两大步:
第一步是规则的解析流程,包括从规则文件中读取规则和在内存中组织规则;第二步是使用这些规则进行匹配的入侵流程。
(要求对具体的流程树进行掌握)
第9章入侵检测的发展趋势
一、选择题
1.ABCD
2.ABCD
二、思考题
1.入侵检测基于两个基本的前提是什么?
答:
一是系统活动是可以观察到的;二是合法行为和入侵行为是可以区分的,也就是说可以通过提取用户行为的特征来分析、判断该行为的合法性。
2.代表性的入侵检测的先进技术有哪些?
答:
入侵检测的先进技术主要有:
神经网络与入侵检测技术的结合、数据挖掘与入侵检测技术的结合、数据融合技术与入侵检测技术的结合、计算机免疫学与入侵检测技术的结合、进化计算与入侵检测技术的结合以及分布式的入侵检测框架等等。
3.简述入侵检测的前景。
答:
一方面可以从入侵检测系统的分析能力上另一方面可以从入侵检测系统本身的管理和协调操作上考虑入侵检测系统的前景:
未来的入侵检测系统应该能够进行基于事件语义的检测,而不是基于事件语法的检测,用以弥补当前在安全政策和检测政策之间的差距;入侵检测功能与通用网络管理结合起来,使入侵检测系统能够进行良好的趋势分析,可能也会及时预测有威胁的攻击,从而阻塞或防止这些攻击;必须能够收集可靠的信息,以便能够支持入侵调查,做为法律证据;更好的易用性和易管理性,特别是在设备的规模比较大的情况下;入侵检测高度分布式监控结构的使用;广泛的信息源;硬件版本的入侵检测系统和安全网络工具箱集成在一起,集成的安全和网络工具箱可能会包括网络接口硬件(保护集线器和路由器)、防火墙、连接加密器、Web服务器和其他用来加强更快更安全连接的功能;最重要的是提供高效的安全服务。
4.简述IPv6对入侵检测的影响。
答:
与IPv4相比,IPv6提供了许多全新的特性,如地址空间扩展、安全性设置以及自动配置等,IPv6的发展也得到了众多设备制造商的支持。
在新一代因特网中,依然存在各种各样的入侵。
由于当前IPv6尚未普及,利用IPv6展开的入侵也并未在因特网上传开,因此基于IPv6入侵检测系统的后续工作应该主要围绕提高系统稳定性和处理性能展开,并跟踪国内外IPv6入侵检测领域的最新动态,及时更新特征规则库和各种处理插件。
升级会员 