入侵檢測技術(shù)-課后答案

1、入侵檢測技術(shù)-課后答案第1章入侵檢測概述思考題:(1)分布式入侵檢測系統(tǒng)(DIDS)是如何把基于主機(jī)的入侵檢測方法和基于網(wǎng)絡(luò)的入侵檢測方法集成在一起的？答：分布式入侵檢測系統(tǒng)是將主機(jī)入侵檢測和網(wǎng)絡(luò)入侵檢測的能力集成的第一次嘗試，以便于一個集中式的安全管理小組能夠跟蹤安全侵犯和網(wǎng)絡(luò)間的入侵。DIDS的最初概念是采用集中式控制技術(shù)，向DIDS中心控制器發(fā)報告。DIDS解決了這樣幾個問題。在大型網(wǎng)絡(luò)互聯(lián)中的一個棘手問題是在網(wǎng)絡(luò)環(huán)境下跟蹤網(wǎng)絡(luò)用戶和文件。DIDS允許用戶在該環(huán)境中通過自動跨越被監(jiān)視的網(wǎng)絡(luò)跟蹤和得到用戶身份的相關(guān)信息來處理這個問題。DIDS是第一個具有這個能力的入侵檢測系統(tǒng)。DIDS解決

2、的另一個問題是如何從發(fā)生在系統(tǒng)不同的抽象層次的事件中發(fā)現(xiàn)相關(guān)數(shù)據(jù)或事件。這類信息要求要理解它們對整個網(wǎng)絡(luò)的影響，DIDS用一個6層入侵檢測模型提取數(shù)據(jù)相關(guān)性，每層代表了對數(shù)據(jù)的一次變換結(jié)果。(2) 入侵檢測作用體現(xiàn)在哪些方面？答：一般來說，入侵檢測系統(tǒng)的作用體現(xiàn)在以下幾個方面：監(jiān)控、分析用戶和系統(tǒng)的活動；審計系統(tǒng)的配置和弱點；評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性；識別攻擊的活動模式；對異常活動進(jìn)行統(tǒng)計分析；對操作系統(tǒng)進(jìn)行審計跟蹤管理，識別違反政策的用戶活動。為什么說研究入侵檢測非常必要？答：計算機(jī)網(wǎng)絡(luò)安全應(yīng)提供保密性、完整性以及抵抗拒絕服務(wù)的能力，但是由于連網(wǎng)用戶的增加，網(wǎng)上電子商務(wù)開辟的廣闊前景，

3、越來越多的系統(tǒng)受到入侵者的攻擊。為了對付這些攻擊企圖，可以要求所有的用戶確認(rèn)并驗證自己的身份，并使用嚴(yán)格的訪問控制機(jī)制，還可以用各種密碼學(xué)方法對數(shù)據(jù)提供保護(hù)，但是這并不完全可行。另一種對付破壞系統(tǒng)企圖的理想方法是建立一個完全安全的系統(tǒng)。但這樣的話，就要求所有的用戶能識別和認(rèn)證自己，還要采用各種各樣的加密技術(shù)和強訪問控制策略來保護(hù)數(shù)據(jù)。而從實際上看，這根本是不可能的。因此，一個實用的方法是建立比較容易實現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略建立相應(yīng)的安全輔助系統(tǒng)。入侵檢測系統(tǒng)就是這樣一類系統(tǒng)，現(xiàn)在安全軟件的開發(fā)方式基本上就是按照這個思路進(jìn)行的。就目前系統(tǒng)安全狀況而言，系統(tǒng)存在被攻擊的可能性。如果系

4、統(tǒng)遭到攻擊，只要盡可能地檢測到，甚至是實時地檢測到，然后采取適當(dāng)?shù)奶幚泶胧?。入侵檢測系統(tǒng)一般不是采取預(yù)防的措施以防止入侵事件的發(fā)生，入侵檢測作為安全技術(shù)其主要目的有：(1)識別入侵者；(2)識別入侵行為：(3)檢測和監(jiān)視已成功的安全突破；(4)為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。從這個角度看待安全問題，入侵檢測非常必要，它可以有效彌補傳統(tǒng)安全保護(hù)措施的不足。第2章入侵方法與手段選擇題：B.B思考題：(1)一般來說，黑客攻擊的原理是什么？答：黑客之所以能夠滲透主機(jī)系統(tǒng)和對網(wǎng)絡(luò)實施攻擊，從內(nèi)因來講，主要因為主機(jī)系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在著漏洞，而從外因來講原因有很多，例如人類與生俱來的

5、好奇心等等，而最主要的是個人、企業(yè)甚至國家的利益在網(wǎng)絡(luò)和互聯(lián)網(wǎng)中的體現(xiàn)。利益的驅(qū)動使得互聯(lián)網(wǎng)中的黑客數(shù)量激增。(2)拒絕服務(wù)攻擊是如何實施的？答：最基本的DoS攻擊是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使服務(wù)超載，無法響應(yīng)其他的請求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進(jìn)程或者向內(nèi)的連接。這種攻擊會導(dǎo)致資源的匱乏，無論計算機(jī)的處理速度多么快，內(nèi)存容量多么大，互連網(wǎng)的速度多么快都無法避免這種攻擊帶來的后果。因為任何事都有一個極限，所以，總能找到一個方法使請求的值大于該極限值，因此就會使所提供的服務(wù)資源匱乏，象是無法滿足需求。(2) 秘密掃描的原理是什么？答：秘密掃描不包含標(biāo)準(zhǔn)

6、的TCP三次握手協(xié)議的任何部分，所以無法被記錄下來，從而比SYN掃描隱蔽得多。秘密掃描技術(shù)使用FIN數(shù)據(jù)包來探聽端口。當(dāng)一個FIN數(shù)據(jù)包到達(dá)一個關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且回返回一個RST數(shù)據(jù)包。否則，當(dāng)一個FIN數(shù)據(jù)包到達(dá)一個打開的端口，數(shù)據(jù)包只是簡單的丟掉(不返回RST)。分布式拒絕服務(wù)攻擊的原理是什么？答：DDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。理解了DoS攻擊的話，DDoS的原理就很簡單。如果說計算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺攻擊機(jī)來攻擊不再能起作用的話，攻擊者使用10臺攻擊機(jī)同時攻擊呢？用100臺呢？DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，以比從

7、前更大的規(guī)模來進(jìn)攻受害者。緩沖區(qū)溢出攻擊的原理是什么？答：緩沖區(qū)是計算機(jī)內(nèi)存中的臨時存儲數(shù)據(jù)的區(qū)域，通常由需要使用緩沖區(qū)的程序按照指定的大小來創(chuàng)建的。一個強健的程序應(yīng)該可以創(chuàng)建足夠大的緩沖區(qū)以保存它接收的數(shù)據(jù)，或者可以監(jiān)測緩沖區(qū)的使用情況并拒絕接收超過緩沖區(qū)中可以保存的數(shù)據(jù)。如果程序沒有對緩沖區(qū)邊界進(jìn)行檢查，即可以允許沒有干擾地輸入數(shù)據(jù)，而不考慮大小問題。這樣多出的數(shù)據(jù)就會被寫到緩沖區(qū)之外，這時就可能寫入到其它的內(nèi)存區(qū)域中。如果在這部分內(nèi)存中已經(jīng)存放了一些重要的內(nèi)容(例如計算機(jī)操作系統(tǒng)的某一部分，或者更有可能是其它數(shù)據(jù)或應(yīng)用程序自己的代碼)，那么它的內(nèi)容就被覆蓋了(發(fā)生數(shù)據(jù)丟失)。(3) 格式

8、化字符串攻擊的原理是什么？答：所謂格式化串，就是在*printf()系列函數(shù)中按照一定的格式對數(shù)據(jù)進(jìn)行輸出，可以輸出到標(biāo)準(zhǔn)輸出，即printf(),也可以輸出到文件句柄，字符串等，對應(yīng)的函數(shù)有fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf等。能被黑客利用的地方也就出在這一系列的*printf()函數(shù)中,*printf()系列函數(shù)有三條特殊的性質(zhì)，這些特殊性質(zhì)如果被黑客結(jié)合起來利用，就會形成漏洞。格式化串漏洞和普通的緩沖溢出有相似之處，但又有所不同，它們都是利用了程序員的疏忽大意來改變程序運行的正常流程。第3章入侵檢測系統(tǒng)

9、選擇題：DD思考題：(1) 入侵檢測系統(tǒng)有哪些基本模型？答：在入侵檢測系統(tǒng)的發(fā)展歷程中，大致經(jīng)歷了三個階段：集中式階段、層次式階段和集成式階段。代表這三個階段的入侵檢測系統(tǒng)的基本模型分別是通用入侵檢測模型(Denning模型)、層次化入侵檢測模型(IDM)和管理式入侵檢測模型(SNMP-IDSM)。(2) 簡述IDM模型的工作原理？答：IDM模型給出了在推斷網(wǎng)絡(luò)中的計算機(jī)受攻擊時數(shù)據(jù)的抽象過程。也就是給出了將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次的有關(guān)入侵和被監(jiān)測環(huán)境的全部安全假設(shè)過程。通過把收集到的分散數(shù)據(jù)進(jìn)行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作，IDM構(gòu)造了一臺虛擬的機(jī)器環(huán)境，這臺機(jī)器由所有相連的主機(jī)和網(wǎng)絡(luò)組成。將

10、分布式系統(tǒng)看作是一臺虛擬的計算機(jī)的觀點簡化了對跨越單機(jī)的入侵行為的識別。(3) 入侵檢測系統(tǒng)的工作模式可以分為幾個步驟，分別是什么？答：入侵檢測系統(tǒng)的工作模式可以分為4個步驟，分別為：從系統(tǒng)的不同環(huán)節(jié)收集信息；分析該信息，試圖尋找入侵活動的特征；自動對檢測到的行為作出響應(yīng)；記錄并報告檢測過程和結(jié)果。(4) 基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的區(qū)別是什么？答：基于主機(jī)的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄當(dāng)有文件發(fā)生變化時，入侵檢測系統(tǒng)將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警，以采取措施?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)

11、絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通常利用一個運行在混雜模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。異常入侵檢測系統(tǒng)的設(shè)計原理是什么？答：異常入侵檢測系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵行為和異常活動的依據(jù)。在異常入侵檢測中，假定所有入侵行為都是與正常行為不同的，這樣，如果建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。對于異常閾值與特征的選擇是異常入侵檢測的關(guān)鍵。比如，通過流量統(tǒng)計分析將異常時間的異常網(wǎng)絡(luò)流量視為可疑。異常入侵檢測的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的軌跡難于計算和更新。誤用入侵檢測系統(tǒng)的優(yōu)缺點分別

12、是什么？答：誤用入侵檢測系統(tǒng)的優(yōu)點是誤報少；缺點是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。(5) 簡述防火墻對部署入侵檢測系統(tǒng)的影響。答：防火墻系統(tǒng)起防御來自外部網(wǎng)絡(luò)的攻擊的作用，在這時和入侵檢測系統(tǒng)互相配合可以做更有效的安全管理。通常將入侵檢測系統(tǒng)部署在防火墻之后，進(jìn)行繼防火墻一次過濾后的二次防御。但是在有些情況下，還需要考慮來自外部的針對防火墻本身的攻擊行為。如果黑客覺察到防火墻的存在并攻破防火墻的話，對內(nèi)部網(wǎng)絡(luò)來說是非常危險的。因此在高安全性要求的環(huán)境下在防火墻外部部署入侵檢測產(chǎn)品，進(jìn)行先于防火墻的一次檢測、防御。這樣用戶可以預(yù)知那些惡意攻擊防火墻的行為并及時采取相應(yīng)的安全措施，以保

13、證整個網(wǎng)絡(luò)的安全性。第4章入侵檢測流程選擇題：CA思考題：(1)入侵分析的目的是什么？答：入侵分析的主要目的是提高信息系統(tǒng)的安全性。除了檢測入侵行為之外，人們通常還希望達(dá)到以下目標(biāo)：重要的威懾力；安全規(guī)劃和管理；獲取入侵證據(jù)。(2) 入侵分析需要考慮哪些因素？答：入侵分析需要考慮的因素主要有以下四個方面：需求；子目標(biāo)；目標(biāo)劃分；平衡。(3) 告警與響應(yīng)的作用是什么？答：在完成系統(tǒng)安全狀況分析并確定系統(tǒng)所存在的問題之后，就要讓人們知道這些問題的存在，在某些情況下，還要另外采取行動。這就是告警與響應(yīng)要完成的任務(wù)。(4) 聯(lián)動響應(yīng)機(jī)制的含義是什么？答：入侵檢測的主要作用是通過檢查主機(jī)日志或網(wǎng)絡(luò)傳輸內(nèi)

14、容，發(fā)現(xiàn)潛在的網(wǎng)絡(luò)攻擊，但一般的入侵檢測系統(tǒng)只能做簡單的響應(yīng)，如通過發(fā)RST包終止可疑的TCP連接。而對于大量的非法訪問，如DoS類攻擊，僅僅采用入侵檢測系統(tǒng)本身去響應(yīng)是遠(yuǎn)遠(yuǎn)不夠的。因此，在響應(yīng)機(jī)制中，需要發(fā)揮各種不同網(wǎng)絡(luò)安全技術(shù)的特點，從而取得更好的網(wǎng)絡(luò)安全防范效果。這就需要采用入侵檢測系統(tǒng)的聯(lián)動響應(yīng)機(jī)制。目前，可以與入侵檢測系統(tǒng)聯(lián)動進(jìn)行響應(yīng)的安全技術(shù)包括防火墻、安全掃描器、防病毒系統(tǒng)、安全加密系統(tǒng)等。但其中最主要的是防火墻聯(lián)動，即當(dāng)入侵檢測系統(tǒng)檢測到潛在的網(wǎng)絡(luò)攻擊后，將相關(guān)信息傳輸給防火墻，由防火墻采取響應(yīng)措施，從而更有效的保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全。1. 第5章基于主機(jī)的入侵檢測技術(shù)一、AB

15、CD二、思考題基于主機(jī)的數(shù)據(jù)源主要有哪些？答：基于主機(jī)的數(shù)據(jù)源主要有系統(tǒng)日志、應(yīng)用程序日志等。2. 獲取審計數(shù)據(jù)后，為什么首先要對這些數(shù)據(jù)進(jìn)行預(yù)處理？答：當(dāng)今現(xiàn)實世界中的數(shù)據(jù)庫的共同特點是存在不完整的、含噪聲的和不一致的數(shù)據(jù)，用戶感興趣的屬性，并非總是可用的。網(wǎng)絡(luò)入侵檢測系統(tǒng)分析數(shù)據(jù)的來源與數(shù)據(jù)結(jié)構(gòu)的異構(gòu)性，實際系統(tǒng)所提供數(shù)據(jù)的不完全相關(guān)性、冗余性、概念上的模糊性以及海量審計數(shù)據(jù)中可能存在大量的無意義信息等問題，使得系統(tǒng)提供的原始信息很難直接被檢測系統(tǒng)使用，而且還可能造成檢測結(jié)果的偏差，降低系統(tǒng)的檢測性能。這就要求獲取的審計數(shù)據(jù)在被檢測模塊使用之前，對不理想的原始數(shù)據(jù)進(jìn)行有效的歸納、進(jìn)行格式統(tǒng)

16、一、轉(zhuǎn)換和處理。3. 數(shù)據(jù)預(yù)處理的方法很多，常用的有哪幾種？答：數(shù)據(jù)預(yù)處理的方法很多，常用的有：基于粗糙集理論的約簡法、基于粗糙集理論的屬性離散化、屬性的約簡等。（需要對上述方法的基本原理進(jìn)行掌握）4. 簡述基于專家系統(tǒng)的入侵檢測技術(shù)的局限性。答：專家系統(tǒng)可有針對性地建立高效的入侵檢測系統(tǒng)，檢測準(zhǔn)確度高。但在具體實現(xiàn)中,專家系統(tǒng)主要面臨如下問題：專家知識獲取問題。即由于專家系統(tǒng)的檢測規(guī)則由安全專家用專家知識構(gòu)造，因此難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知識。規(guī)則動態(tài)更新問題。用戶行為模式的動態(tài)性要求入侵檢測系統(tǒng)具有自學(xué)習(xí)、自適應(yīng)的功能。5. 配置分析技術(shù)的基本原理是基于哪兩個觀點？配置

17、分析技術(shù)的基本原理是基于如下兩個觀點：一次成功的入侵活動可能會在系統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當(dāng)前的狀態(tài)來發(fā)現(xiàn)。系統(tǒng)管理員和用戶經(jīng)常會錯誤地配置系統(tǒng)，從而給攻擊者以入侵的可乘之機(jī)第6章基于網(wǎng)絡(luò)的入侵檢測技術(shù)思考題:（1）簡述交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲方法。答:在使用交換機(jī)連接的交換式網(wǎng)絡(luò)環(huán)境中，處于監(jiān)聽狀態(tài)下的網(wǎng)絡(luò)設(shè)備，只能捕獲到它所連接的交換機(jī)端口上的數(shù)據(jù)，而無法監(jiān)聽其他交換機(jī)端口和其他網(wǎng)段的數(shù)據(jù)。因此，實現(xiàn)交換網(wǎng)絡(luò)的數(shù)據(jù)捕獲要采用一些特殊的方法。通?？梢圆捎萌缦路椒ǎ海?）將數(shù)據(jù)包捕獲程序放在網(wǎng)關(guān)或代理服務(wù)器上，這樣就可以捕獲到整個局域網(wǎng)的數(shù)據(jù)包；（2）對交換機(jī)實行端口映射，將所有端口的

18、數(shù)據(jù)包全部映射到某個連接監(jiān)控機(jī)器的端口上；（3）在交換機(jī)和路由器之間連接一個HUB,這樣數(shù)據(jù)將以廣播的方式發(fā)送；(4)實行ARP欺騙，即在負(fù)責(zé)數(shù)據(jù)包捕獲的機(jī)器上實現(xiàn)整個網(wǎng)絡(luò)的數(shù)據(jù)包的轉(zhuǎn)發(fā)，不過會降低整個局域網(wǎng)的效率。(2) 簡述包捕獲機(jī)制BPF的原理。答：BPF主要由兩大部分組成：網(wǎng)絡(luò)分接頭(NetworkTap)和數(shù)據(jù)包過濾器(PacketFilter)。網(wǎng)絡(luò)分接頭從網(wǎng)絡(luò)設(shè)備驅(qū)動程序處收集數(shù)據(jù)包復(fù)制，并傳遞給正在捕獲數(shù)據(jù)包的應(yīng)用程序。過濾器決定某一數(shù)據(jù)包是被接受或者拒絕以及如果被接受，數(shù)據(jù)包的那些部分會被復(fù)制給應(yīng)用程序。(3) 簡述協(xié)議分析的原理。答：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以

19、便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹，一個特定的協(xié)議是該樹結(jié)構(gòu)中的一個結(jié)點，可以用一棵二叉樹來表示。一個網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。在程序中動態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實現(xiàn)非常靈活的協(xié)議分析功能。(4) 舉例說明如何檢測端口掃描。答：本例中檢測引擎檢測到主機(jī)192.168.0.5與主機(jī)192.168.0.4在短期內(nèi)建立了大量的連接，符合閾值要求，所以已被認(rèn)定為端口掃描，如下圖所示1:392:4ICMPPINGWindows*Classification;IliacactivilyPriority;308/19-16:49:27.62C68119

20、2.158.0.5->132.158.0ICMPTIL:L2STOS!CaOIDi4S58IpLew!20OgJiLeftiSOTyp«8CWkQSeq；215Q5ECHOFSref=>arachnids109*100：1:1spp_portscan；PORTSCANDETECTED£roin162.ie9_0.5(THRESHOLD4coraiBCJtiansexceededin0s&conds)舛08/19-16:52:24.351000*IDO;2;1spp.p&ttscajx;portscansia'tusiromL92.168.

21、Q.S;82conneelionsacross1hosts:TCP(S2),UEP(D)*08/19-16:52:27.355000*100:2;13pp_portscanjportscanstatusfrom192.16&.0.5;3connectionsacross1hosts:TCP(3),UDP(0)t*03/16-15:52:35.367000圖端口掃描的檢測(5) 舉例說明如何檢測拒絕服務(wù)攻擊。答：本例中檢測引擎檢測出了IGMP的DoS攻擊，檢測結(jié)果下圖所示。#*E1j273i2DOSI頃Pdasattack*Classification:AttenptedDenialof

22、ServicePriority:208/20-13:25:53.23O2S0192.168.U.S->192168.L4PROTO如2TTLs128TOS:OxOID:57481IpLen:20DpiLs:15MIFFragOffset:0x073AFragSize:0z05C8*»1!273:2DOSIGMFdosattack*ClassxFicaption:A+'tenptedDenialofServicePricrit/i208/20-13；25；53.230404192.108.0.5->192.168.0.4TOTOD02TTLH2BTOS:OnOID:

23、57481IpLen:20DeniLeiiJ1600MFFragOffset:0k07F3Frag：Size：OzO5C8*Li273:2DOSIG1IPdosatlack*Classificalion:At*tenptedDemalofServicePriority:20S/2O-B；25；53.2&C542192.156.C.5->1.168.0,4卜KROIQ002TTL;126TOS;OkOID;67431IpLen;20Dgmlen;150tfT.IFFragOffset:0x0SACFrag：Size:0i05C8+*I：273;2DOSIGMPdosattack*C

24、lassificaiion:At"tenptedDemalofServicePriority:20&/20-13：25i53i2?0fi78192.160.C.5->!92.108*0*4PHOIO002TIL:126TOS：OxOID:67481IpLen:20眼jnlcmlSUQKFFragOffset:0x0965FragSize:D富。5C8圖拒絕服務(wù)攻擊的檢測結(jié)果第7章入侵檢測系統(tǒng)的標(biāo)準(zhǔn)與評估選擇題：(1) ABCCBDBACABCBA思考題：(1)CIDF標(biāo)準(zhǔn)化工作的主要思想是什么？答：CIDF標(biāo)準(zhǔn)化工作基于這樣的思想：入侵行為是如此廣泛和復(fù)雜，以至于依靠某

25、個單一的IDS不可能檢測出所有的入侵行為，因此就需要一個IDS系統(tǒng)的合作來檢測跨越網(wǎng)絡(luò)或跨越較長時間段的不同攻擊。為了盡可能地減少標(biāo)準(zhǔn)化工作，CIDF把IDS系統(tǒng)合作的重點放在了不同組件間的合作上。(2)CIDF是怎樣解決組件之間的通訊問題的？答：CIDF組件間的通信是通過一個層次化的結(jié)構(gòu)來完成的。這個結(jié)構(gòu)包括三層：Gidos層、信體層、協(xié)商傳輸層。針對CIDF的一個組件怎樣才能安全地連接到其它組件的問題，CIDF提出了一個可擴(kuò)展性非常好的比較完備的解決方法，即采用中介服務(wù)(Matchmaker)。針對連接建立后CIDF如何保證組件之間安全有效地進(jìn)行通信的問題，CIDF是通過信體層和傳輸層來解

26、決的。信體層是為了解決諸如同步(例如阻塞和非阻塞等)、屏蔽不同操作系統(tǒng)的不同數(shù)據(jù)表示、不同編程語言不同的數(shù)據(jù)結(jié)構(gòu)等問題而提出的。它規(guī)定了Message的格式，并提出了雙方通信的流程。此外，為了保證通信的安全性，信體層包含了鑒別、加密和簽名等機(jī)制。（3）IDWG的主要工作是什么？答：IDWG的主要工作圍繞著下面三點：（1）制定入侵檢測消息交換需求文檔。該文檔內(nèi)容有入侵檢測系統(tǒng)之間通信的要求說明，同時還有入侵檢測系統(tǒng)和管理系統(tǒng)之間通信的要求說明。（2）制定公共入侵語言規(guī)范。（3）制定一種入侵檢測消息交換的體系結(jié)構(gòu)，使得最適合于用目前已存在協(xié)議實現(xiàn)入侵檢測系統(tǒng)之間的回巨。（4）檢測系統(tǒng)的報警信息可信

27、度與虛警率、檢測率之間的關(guān)系是什么？答：給定檢測率的條件下，報警信息的可信度將隨著檢測系統(tǒng)虛警率的增大而減小。而在給定虛警率的條件下，報警信息的可信度將隨著檢測率的增大而增大。(5) 評價入侵檢測系統(tǒng)性能的三個因素是什么，分別表示什么含義？答：評價入侵檢測系統(tǒng)性能的三個因素是:準(zhǔn)確性；處理性能；完備性。準(zhǔn)確性指入侵檢測系統(tǒng)能正確地檢測出系統(tǒng)入侵活動。當(dāng)一個入侵檢測系統(tǒng)的檢測不準(zhǔn)確時，它就可能把系統(tǒng)中的合法活動當(dāng)作入侵行為并標(biāo)識為異常。處理性能指一個入侵檢測系統(tǒng)處理系統(tǒng)審計數(shù)據(jù)的速度。顯然，當(dāng)入侵檢測系統(tǒng)的處理性能較差時，它就不可能實現(xiàn)實時的入侵檢測。完備性指入侵檢測系統(tǒng)能夠檢測出所有攻擊行為的

28、能力。如果存在一個攻擊行為，無法被入侵檢測系統(tǒng)檢測出來，那么該入侵檢測系統(tǒng)就不具有檢測完備性。由于在一般情況下，很難得到關(guān)于攻擊行為以及對系統(tǒng)特權(quán)濫用行為的所有知識，所以關(guān)于入侵檢測系統(tǒng)的檢測完備性的評估要相對困難得多。(6) IDS測試方法的局限性是什么？答：IDS測試方法的局限性在于只能測試己知攻擊。(7) 性能測試的主要指標(biāo)是什么？答：性能測試的主要的指標(biāo)有：IDS弓I擎的吞吐量；包的重裝；過濾的效率。離線評估方案和實時評估方案各有什么優(yōu)缺點？答：離線評估方案的優(yōu)點是設(shè)計簡單，集中于核心技術(shù)，消除安全與隱私問題并提供大多數(shù)入侵檢測系統(tǒng)所使用的數(shù)據(jù)類型。缺點是無法反映網(wǎng)絡(luò)入侵行為的實時性。

29、實時評估方案的優(yōu)點是可以測量每個IDS系統(tǒng)在現(xiàn)有的正常機(jī)器和網(wǎng)絡(luò)活動中檢測入侵行為的效力，可以測量每個IDS系統(tǒng)的反應(yīng)機(jī)制的效力以及對正常用戶的影響。缺點是構(gòu)建評估環(huán)境比較復(fù)雜第8章Snort分析一、選擇題BC二、思考題1.Snort的3種工作模式是什么？答：Snort有以下3種工作模式：嗅探器嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器一一數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測系統(tǒng)，這種工作模式是最復(fù)雜的，而且是可配置的。用戶可以讓Snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一

30、定的動作。2. Snort所需的底層庫有哪些？答：Snort所需的底層庫有：Libpcap:Libpcap提供的接口函數(shù)主要實現(xiàn)和封裝了與數(shù)據(jù)包截獲有關(guān)的過程Libnet:Libnet提供的接口函數(shù)主要實現(xiàn)和封裝了數(shù)據(jù)包的構(gòu)造和發(fā)送過程。NDISpacketcaptureDriver:NDISpacketcaptureDriver是為了方便用戶在Win32/9x/NT/2000環(huán)境下抓取和處理網(wǎng)絡(luò)數(shù)據(jù)包而提供的驅(qū)動程序。PacketDriver分為Windows9x、WindowsNT和Windows20003種不同類型。3. 簡述Snort的特點答：Snort是一個強大的輕量級的網(wǎng)絡(luò)入侵檢測

31、系統(tǒng)，它具有實時數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對內(nèi)容進(jìn)行搜索/匹配；它能夠檢測各種不同的攻擊方式，對攻擊進(jìn)行實時報警；此外，Snort具有很好的擴(kuò)展性和可移植性。還有，這個軟件遵循通用公共許可證GPL,所以只要遵守GPL任何組織和個人都可以自由使用。Snort是一個輕量級的入侵檢測系統(tǒng)。Snort雖然功能強大，但是其代碼極為簡潔、短小，其源代碼壓縮包只有大約110KB。Snort的跨平臺性能極佳。與大多數(shù)商用入侵檢測軟件只能支持其中的12種操作系統(tǒng)，甚至需要特定的操作系統(tǒng)不同的是，Snort具有跨平臺的特點，它支持的操作系統(tǒng)廣泛。Snort的功能非常強大。Snort

32、具有實時流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力、能夠快速地檢測網(wǎng)絡(luò)攻擊，及時地發(fā)出報警；Snort能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索/匹配；Snort的日志格式既可以是Tcpdump式的二進(jìn)制格式，也可以解碼成ASCII字符形式，更加便于用戶尤其是新手檢查；使用數(shù)據(jù)庫輸出插件，Snort可以把日志記入數(shù)據(jù)庫；使用TCP流插件(Tcpstream),Snort可以對TCP包進(jìn)行重組、可以對TCP包進(jìn)行緩沖，；使用SPADE(StatisticalPacketAnomalyDetectionEngine)插件，Snort能夠報告非正常的可疑包，從而對端口掃描進(jìn)行有效的檢測；Snort還有很強的系統(tǒng)防護(hù)能力，使