信息安全第8章習題答案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上3. 在本章，我們討論了訪問控制列表（ACL）和訪問能力列表（C-list）。a. 請給出訪問能力列表相對于訪問控制列表的兩個優(yōu)勢。解：1.方便權限回收2.比較容易判斷出主體對客體有何種訪問權限b. 請給出訪問控制列表相對于訪問能力列表的兩個優(yōu)勢。解：1.方便權限傳遞2.方便查詢某個主體的所有授權訪問26. 在這一章，我們討論了三種類型的防火墻：包括過濾防火墻、基于狀態(tài)檢測的包過濾防火墻以及應用代理防火墻。a. 請問，上述三種防火墻都分別工作在IP網(wǎng)絡協(xié)議棧中的哪個層次上？解：1.包過濾防火墻：網(wǎng)絡層2. 基于狀態(tài)檢測的包過濾防火墻：傳輸層，網(wǎng)絡層3. 應用代理防火墻

2、：應用層b. 請問，上述三種防火墻分別能夠獲得哪些信息？解：1.包過濾防火墻：源IP地址、目的IP地址、源端口、目的端口以及TCP標志位2.基于狀態(tài)檢測的包過濾防火墻：信息包括源IP地址、目的IP地址、源端口、目的端口以及TCP標志位3.應用代理防火墻：七層數(shù)據(jù)c. 針對上述三種防火墻，請分別簡要地討論一個它們所面臨的實際攻擊的例子。解：1.包過濾防火墻： ip欺騙攻擊，木馬攻擊2. 基于狀態(tài)檢測的包過濾防火墻：協(xié)議隧道攻擊，反彈木馬攻擊3. 應用代理防火墻： 非授權web訪問，非授權Telnet訪問36. 從廣義上講，有兩種不同類型的入侵檢測系統(tǒng)，即基于特征的和基于異常行為的。a. 請列舉出

3、基于特征的入侵檢測系統(tǒng)相對于基于異常的入侵檢測系統(tǒng)的若干優(yōu)勢。解：1.簡單、高效(只要特征的數(shù)量不是太多)以及優(yōu)秀的檢測已知攻擊的能力。2.能夠發(fā)出比較明確具體的報警，因為這些特征都是與一些特定模式的攻擊相匹配。b. 請列舉出基于異常的入侵檢測系統(tǒng)相對于基于特征的入侵檢測系統(tǒng)的若干優(yōu)勢。解：1.可以檢測未知攻擊2.可以檢測到新的攻擊3.對操作系統(tǒng)的依賴性小4.在不知道很多安全知識的情況下依然能檢測出攻擊行為 答：可能檢測出未知的攻擊；如果特征文件較大的時候，基于異常的檢測技術要好一點。c. 請問，相比基于特征的入侵檢測系統(tǒng)，為什么實現(xiàn)一個有效的基于異常的入侵檢測系統(tǒng)天然地就更具有挑戰(zhàn)性呢？解:

4、1.我們必須要先確定對于系統(tǒng)來說正常的行為都包括什么，而當系統(tǒng)正常運行時這些行為一定會發(fā)生。 2.隨著系統(tǒng)使用方法的變化和系統(tǒng)自身的演化發(fā)展，這些正常行為的定義必須能夠相應做出調(diào)整。 3.還有涉及統(tǒng)計門限設定的難題。答：一個持續(xù)演進的異常檢測系統(tǒng)意味著有可能給Trudy留出可乘之機。即使檢測到了異常行為引發(fā)的報警可能也提供不了任何對系統(tǒng)管理員有用的具體信息，會讓我們很難確定應該采取何種實質(zhì)性的反應。40. 假設根據(jù)表8.8中時間間隔的統(tǒng)計結(jié)果，Alice的文件使用統(tǒng)計情況為：A0 = 0.05，A1 = 0.25，A2 = 0.25，A3 = 0.45。a. 請問，這是Alice的正常行為嗎？解：s=(0.05-0.1)2+(0.25-0.38)2+(0.25-0.364)2+(0.45-0.156)2=0.11832;我們將s<0.1的情況定義為正常，則在這個例子中s=0.11832,因為s>