“信息安全技术”第四章 入侵检测与审计 的课后作业

1、信息安全技术第四章入侵检测和审计后任务1、网络入侵的特征是什么？特征：没有时间和空间限制；具有很强的隐蔽性。具有复杂性和欺骗性。具有更大的危害性。什么是入侵检测？入侵检测：入侵检测(id: intrusion detection)是识别和响应试图破坏计算机和网络资源完整性、机密性和可用性的入侵行为的过程。什么是入侵检测系统？入侵检测系统(IDS，Intrusion Detection System)是防火墙的补充。作为重要的网络安全工具，实时检测系统或网络资源，及时发现入侵系统或网络的入侵者，并防止合法用户的资源故障。入侵检测基于哪两个假设？可以在一个计算机系统中检测用户和程序的所有行为；系统

2、入侵的结果与合法运营的结果有明显的区别。5，列出三种以上的检测方法，简述其原理。1.基于统计的入侵检测技术：设置由一组统计参数(例如CPU和I/O利用率、文件访问、错误率、网络连接等)组成的用户的动作或基于计算机使用的动作特征轮廓，实时检测用户在审计系统中的使用情况，并在系统内部存储用户动作概率统计模型，以便进行检测分析。2.基于用户行为的神经网络异常检测技术：利用用户正常行为样本教育神经网络，提取用户的行为特征，形成用户行为特征轮廓。如果检测到的用户行为是大偏差，则认为是异常行为。3.基于程序行为的神经网络异常检测技术：每个过程可以由执行轨迹(开始-结束期间的系统调用顺序列表)说明，程序的正

3、常行为可以由该执行轨迹的局部模式(短序列)表示，离开这些模式意味着入侵。因此，可以监视进程使用的系统调用以执行入侵检测。4.基于免疫的异常检测技术：由Forrest等提出，将入侵检测视为区分“自我”和“非自我”的过程。该技术对网络服务的正常运行建模，首先收集一些参考审计记录，形成表示正确行为模式的参考表，实时检测进程系统中的调用序列是否符合正常模式。5.支持向量机(SVM，Support Vector Machines)由N.V.Vapnik等在1992年至1995年正式提出。该理论在数据分类及回归估计中的应用取得了巨大成功。支持向量机学习算法的优点是基于更精密的机器学习理论-统计学习理论，具

4、有良好的泛化能力。标准支持向量机处理两类数据的分类问题，结果相当好。实施方法：基于用户行为，基于程序行为基于无监督学习的异常检测技术：理论基础：异常行为与正常行为大不相同。异常行为的数量与正常行为相比所占的比例较小。一般方法：群集：将包含最多记录的类视为正常，将其他类视为异常孤岛检测将孤立点视为异常特征：样品要求没有监督学习异常检测那么苛刻。离线测试6、入侵检测技术在设计理念上主要分为两种吗？各自的特点是什么？1.异常检测：主要通过检测用户的异常动作来检测入侵事件。检测方法的原则：任何与已知行为模型不匹配的行为都被视为入侵行为。误用检测：也称为滥用检测，首先对已知入侵的入侵特征建模，然后使用用

5、户当前的行为和系统状态与此类入侵模型匹配。检测方法的起点：所有与已知行为模型匹配的行为都是入侵行为。7、从数据源看，如何划分入侵检测系统？各自的特点是什么？1.基于主机的入侵检测系统：根据主机的审计追踪数据和系统的日志发现可疑事件。其目标环境是主机系统，适用于此系统用户。优点根据各种操作系统的特征，很容易确定应用层的入侵事件。准确评估本地安全状态缺点使用主机宝贵资源的高成本2.基于网络的入侵检测系统通过连接到网络的站点捕获消息，并根据网络流量、协议分析等数据判断是否发生了入侵。优点实时响应、低运营成本、易于安装和使用。缺点对加密通信的检测分析能力不强，容易受到拒绝服务攻击。3.多源入侵检测系统

6、基于网络和基于主机的入侵检测系统在实际应用中各有优缺点，两者在检测范围和能力上都有一定的互补性。基于主机和基于网络的方法结合使用可以获得更好的测试结果8、分析了集中式入侵检测系统的优缺点。优点：a)检测系统内部发生的攻击行为或可疑活动b)可管理性好c)简单、易于实施缺点：a)网络负载b)可扩展性和健壮性下降9、针对分布式入侵检测，入侵检测系统必须满足的两个基本要求是什么？a)可以在一个计算机系统中检测用户和程序的所有动作；b)系统入侵的结果与法律运营的结果有明显的差异。10、在入侵检测中引入数据挖掘的目的是什么？1.提取入侵特征，创建误用检测的检测规则和模型。2.提取用户和程序行为特性，为异常

7、检测配置正常模式。11、基于数据融合的入侵检测的两种主要方法是什么？请简述其原理。a)数据级别的整合b)决策层的整合12、在信息安全过程中，IDS、HIDS、NIDS、IPS、HONEYPOT、ITS、TCSEC，其中每个人的中文含义是什么？入侵检测系统(ids):入侵检测系统基于主机的入侵检测系统(hids):主机的入侵检测系统基于网络入侵检测系统(NIDS):网络的入侵检测系统入侵预防系统(IPS):入侵预防系统蜜罐：蜜罐系统intrusion tolerant systems(its):入侵防护系统可信计算机系统评估标准(TC sec): TC sec指南，该指南是美国国防部发布的，用于

8、评估安全措施对自动信息数据处理系统产品的影响。TCSEC通常用于评估操作系统或软件平台的安全性。什么是蜜罐系统？主要角色是什么？Honeypot和Honeynet是旨在观察黑客如何被检测和执行最终入侵的系统，看起来像普通机器(或网络环境)，但通过一些特殊配置引诱潜在黑客，捕捉他们的痕迹。a)这包括不会威胁企业机密的数据或应用程序，对黑客来说是极大的诱惑。b)对黑客的秘密跟踪和检测目的：不要用它来抓黑客，而只是在不知道他们观察到的事实的情况下，弄清楚他们是如何工作的，这样有助于更好地保护我们的系统和网络14、TCSEC安全审计准则的定义。审核信息必须选择性地保留和保护，与安全相关的活动可以追溯到

9、负责人，系统必须能够选择和记录与安全相关的信息，以便将审核开销降至最低，以便有效地进行分析。15、网络设备和防火墙日志、操作系统日志和接收类工具是否满足安全审计要求？如果不能满足，则简单分析原因。1.网络设备和防火墙日志a)通常具有特定的日志功能b)存在的缺失I .由于网络设备和防火墙分析功能的限制，目前只能记录自己的操作和一些简单的违规信息，不能提供具体的有价值的网络操作信息。二.通常使用内存日志记录，空间有限，很容易复盖有用的信息，无法永久存储2.操作系统日志c)提供记录日志功能，通常记录一些零碎的信息d)现有问题I .无法理解用户的特定操作行为，难以获取整个入侵过程的完整信息；二.分布式入侵分