網(wǎng)絡(luò)安全簡答題

1、網(wǎng)絡(luò)安全技術(shù)考試題庫1. 計算機網(wǎng)絡(luò)安全所面臨的威脅分為哪幾類？從人的 角度，威脅網(wǎng)絡(luò)安全的因素有哪些？答：計算機網(wǎng)絡(luò)安全所面臨的威脅主要可分為兩大 類：一是對網(wǎng)絡(luò)中信息的威脅，二是對網(wǎng)絡(luò)中設(shè)備的威 脅（2 分） 。從人的因素考慮，影響網(wǎng)絡(luò)安全的因素包括：（1）人為的無意失誤。 （1 分 ）（ 2）人為的惡意攻擊。 一種是主動攻擊， 另一種是 被動攻擊。 （1 分 ）（ 3）網(wǎng)絡(luò)軟件的漏洞和“后門” 。 （1 分 ） 2網(wǎng)絡(luò)攻擊和防御分別包括哪些內(nèi)容？答:網(wǎng)絡(luò)攻擊： 網(wǎng)絡(luò)掃描、 監(jiān)聽、入侵、后門、隱身； 網(wǎng)絡(luò)防御： 操作系統(tǒng)安全配置、 加密技術(shù)、 防火 墻技術(shù)、入侵檢測技術(shù)。4. 分析 TCP

2、/IP 協(xié)議，說明各層可能受到的威脅及防御方 法。答：網(wǎng)絡(luò)層： IP 欺騙欺騙攻擊，保護(hù)措施：防火墻 過濾、打補?。粋鬏攲樱簯?yīng)用層：郵件炸彈、病毒、木 馬等，防御方法：認(rèn)證、病毒掃描、安全教育等。 6請分析網(wǎng)絡(luò)安全的層次體系。答：從層次體系上，可以將網(wǎng)絡(luò)安全分成四個層次 上的安全：物理安全、邏輯安全、操作系統(tǒng)安全和聯(lián)網(wǎng) 安全。7. 請分析信息安全的層次體系。答：信息安全從總體上可以分成 5 個層次：安全的 密碼算法，安全協(xié)議，網(wǎng)絡(luò)安全，系統(tǒng)安全以及應(yīng)用安 全。10. 請說明“冰河”木馬的工作方式。答：病毒通過修改系統(tǒng)注冊表，通過執(zhí)行文本文件 的雙擊打開操作，駐留病毒程序，伺機實現(xiàn)遠(yuǎn)端控制目 的

3、?！緫?yīng)用題】1. 簡述防范遠(yuǎn)程攻擊的技術(shù)措施。答：防范遠(yuǎn)程攻擊的主要技術(shù)措施有防火墻技術(shù)、 數(shù)據(jù)加密技術(shù)和入侵檢測技術(shù)等。 （2 分 ）（ 1）防火墻技術(shù)。 用來保護(hù)計算機網(wǎng)絡(luò)免受非授權(quán) 人員的騷擾和黑客的入侵。 （1 分 ）（ 2）數(shù)據(jù)加密技術(shù)。 數(shù)據(jù)加密技術(shù)已經(jīng)成為所有通 信安全的基石。 （1 分 ）（ 3）入侵檢測技術(shù)。 是一種防范遠(yuǎn)程攻擊的重要技 術(shù)手段，能夠?qū)撛诘娜肭謩幼髯龀鲇涗?，并且能夠預(yù) 測攻擊的后果。 （1 分 ）2. 防范遠(yuǎn)程攻擊的管理措施有那些？ 答：防范遠(yuǎn)程攻擊的管理措施：（1）使用系統(tǒng)最高的安全級別。高安全等級的系統(tǒng) 是防范遠(yuǎn)程攻擊的首選。 （2 分 ）（2）加強內(nèi)部

4、管理。為對付內(nèi)部產(chǎn)生的黑客行為， 要在安全管理方面采取措施。 （2 分）（3）修補系統(tǒng)的漏洞。任何系統(tǒng)都是有漏洞的，應(yīng) 當(dāng)及時堵上已知的漏洞并及時發(fā)現(xiàn)未知的漏洞。 （1 分）3. 簡述遠(yuǎn)程攻擊的主要手段。答：遠(yuǎn)程攻擊的手段主要有：（1）緩沖區(qū)溢出攻擊。 （1 分 ）（ 2）口令破解。 又稱口令攻擊， 口令是網(wǎng)絡(luò)安全防護(hù)的第一道防線。 （1 分 ）（ 3）網(wǎng)絡(luò)偵聽。 是指在計算機網(wǎng)絡(luò)接口處截獲網(wǎng)上 計算機之間通信的數(shù)據(jù)。 （1 分 ）（ 4）拒絕服務(wù)攻擊。 是一種簡單的破壞性攻擊。 （1 分）（ 5）欺騙攻擊。 （1 分 ）4. 簡述端口掃描技術(shù)的原理 。答：端口掃描向目標(biāo)主機的 TCP/IP

5、服務(wù)端口發(fā)送探 測數(shù)據(jù)包，并記錄目標(biāo)主機的響應(yīng) （1 分） 。通過分析響 應(yīng)來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提 供的服務(wù)或信息 （1 分） 。端口掃描也可以通過捕獲本地 主機或服務(wù)器的注入 / 流出 IP 數(shù)據(jù)包來監(jiān)視本地主機運 行情況 （1 分 ） 。端口掃描只能對接收到的數(shù)據(jù)進(jìn)行分析， 幫助我們發(fā)現(xiàn)目標(biāo)主機的某些內(nèi)在的弱點，而不會提供 進(jìn)入一個系統(tǒng)的詳細(xì)步驟。 （2 分 ）5. 緩沖區(qū)溢出攻擊的原理是什么？答：緩沖區(qū)溢出攻擊指的是一種系統(tǒng)攻擊的手段， 通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū) 的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指 令，以達(dá)到攻擊的目的。 （3

6、 分 ）緩沖區(qū)溢出攻擊最常見的方法是通過使某個特殊程 序的緩沖區(qū)溢出轉(zhuǎn)而執(zhí)行一個 Shell ，通過 Shell 的權(quán) 限可以執(zhí)行高級的命令。 如果這個特殊程序具有 System 權(quán)限，攻擊成功者就能獲得一個具有 Shell 權(quán)限的 Shell ，就可以對系統(tǒng)為所欲為了。 （2 分 ）7. 簡述暴力攻擊的原理。答：使用窮舉法破譯密碼等信息的一種方法，如： 字典攻擊、破解操作系統(tǒng)密碼、破解郵箱密碼、破解軟 件密碼等。9. 簡述緩沖區(qū)溢出的攻擊原理。答：當(dāng)目標(biāo)系統(tǒng)收到了超過其可接收的最大信息量 時，會發(fā)生緩沖區(qū)溢出。易造成目標(biāo)系統(tǒng)的程序修改， 由此產(chǎn)生系統(tǒng)后門。10. 簡述拒絕服務(wù)的種類和原理。答

7、：拒絕服務(wù)攻擊主要是計算機網(wǎng)絡(luò)帶寬攻擊和連 通性攻擊。通過耗用有限計算機資源，使得目標(biāo)主機無 法提供正常網(wǎng)絡(luò)服務(wù)。11. 簡述DDoS的特點及常用攻擊手段。答：攻擊計算機控制著多臺主機，對目標(biāo)主機實施 攻擊， 大量瞬時網(wǎng)絡(luò)流量阻塞網(wǎng)絡(luò)， 使得目標(biāo)主機癱瘓。12. 留后門的原則是什么？答：原則就是讓管理員看不到有任何特別的地方。13. 列舉后門的三種程序，并闡述其原理和防御方法。答：1）遠(yuǎn)程開啟TELNET服務(wù)（RTCS.VBE工具軟） 件，防御方法：注意對開啟服務(wù)的監(jiān)護(hù)；2）建立WEB和TELNET服務(wù)（WNC.EXE，防御方法：注意對開啟服務(wù)的 監(jiān)護(hù)；3）讓禁用的 GUEST用戶具有管理權(quán)限

8、（PSU.EXE 修改注冊表） ，防御方法：監(jiān)護(hù)系統(tǒng)注冊表。14. 簡述木馬由來及木馬和后門的差異。答：木馬是一種可以駐留在對方服務(wù)器系統(tǒng)中的程 序（服務(wù)器端、 客戶端），其功能是通過客戶端控制駐留 在對方服務(wù)器中的服務(wù)器端。木馬功能較強，具有遠(yuǎn)程 控制功能，后門功能單一，只提供登錄使用。16. 簡述兩種通過 UNICODE漏洞，進(jìn)行攻擊的方式。答：入侵目標(biāo)操作系統(tǒng)；刪除目標(biāo)系統(tǒng)主頁。17. 簡述一次成功的攻擊，可分為哪幾個步驟？答：1、隱藏IP ； 2、踩點掃描；3、獲得系統(tǒng)或管 理員權(quán)限；4、種植后門；5、在網(wǎng)絡(luò)中隱身。18. 簡述網(wǎng)絡(luò)監(jiān)聽的原理及常用方法。答：網(wǎng)絡(luò)監(jiān)聽的目的是截獲通信的內(nèi)

9、容，監(jiān)聽的手 段是對協(xié)議進(jìn)行分析。Sniffer pro就是一個完善的網(wǎng)絡(luò)監(jiān)聽工具。19. 簡述SQL注入漏洞的原理。答：利用惡意 SQL語句（web缺少對SQL語句的鑒 別）實現(xiàn)對后臺數(shù)據(jù)庫的攻擊行為。答：P2P網(wǎng)絡(luò)是對等網(wǎng)絡(luò)，即點對點網(wǎng)絡(luò)。產(chǎn)生的 安全隱患主要有無賴流量和大量上傳下載產(chǎn)生的病毒傳 播等問題。1. 試述如何防止特洛伊木馬的非法訪問。答：通過強加一些不可逾越的訪問限制，系統(tǒng)可以 防止一些類型的特洛伊木馬的攻擊。在強制訪問控制中， 系統(tǒng)對主體與客體都分配一個特殊的安全屬性，這種安 全屬性一般不能更改，系統(tǒng)通過比較主體與客體安全屬 性來決定一個主體是否能夠訪問某個客體。用戶為某個

10、目的而運行的程序，不能改變它自己及任何其他客體的 安全屬性。（2分）以下兩種方法可以減少特洛伊木馬攻擊成功的可能 性。（1）限制訪問控制的靈活性 （2分）用戶修改訪問 控制信息的唯一途徑是請求一個特權(quán)系統(tǒng)的功能調(diào)用，這種方法就可以消除偷改訪問控制的特洛伊木馬的攻 擊。（2分）（2）過程控制（2分）采用過程控制可以減少特洛伊 木馬攻擊的機會。（2分）2. 分析漏洞掃描存在問題及如何解決。答：漏洞掃描中的問題及完善建議有：（1）系統(tǒng)配置規(guī)則庫問題存在局限性 如果規(guī)則庫設(shè)計的不準(zhǔn)確，預(yù)報的準(zhǔn)確度就無從 談起；（1分） 它是根據(jù)已知的安全漏洞進(jìn)行安排和策劃的，而 對網(wǎng)絡(luò)系統(tǒng)的很多危險的威脅卻是來自未知

11、的漏洞，這 樣，如果規(guī)則庫更新不及時， 預(yù)報準(zhǔn)確度也會相應(yīng)降低； （1分）（1分）完善建議：系統(tǒng)配置規(guī)則庫應(yīng)能不斷地被擴充和修 正，這樣也是對系統(tǒng)漏洞庫的擴充和修正，這在目前來 講仍需要專家的指導(dǎo)和參與才能實現(xiàn)。（2分）（2）漏洞庫信息要求漏洞庫信息是基于網(wǎng)絡(luò)系統(tǒng)漏洞庫的漏洞掃描的主 要判斷依據(jù)。如果漏洞庫住處不全面或得不到即時的更 新，不但不能發(fā)（3分）完善建議：漏洞庫信息不但應(yīng)具備完整性和有效性， 也應(yīng)具備簡易性的特點，這樣即使是用戶自己也易于對 漏洞庫進(jìn)行添加配置，從而實現(xiàn)對漏洞庫的即時更新。 （2分）3. 簡述研究惡意代碼的必要性。答：防護(hù)國家等信息安全。4 簡述惡意代碼長期存在的原因

12、。答：系統(tǒng)漏洞層出不窮；利益驅(qū)使等。5. 惡意代碼是如何定義的，可以分為哪幾類？答: Grimes的定義：經(jīng)過存儲介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播， 未經(jīng)授權(quán)認(rèn)證破壞計算機系統(tǒng)完整性的程序和代碼。7. 說明PE病毒的原理及影響問題。起源于DOS系統(tǒng)，發(fā)展于 WINDOWS通常采用匯編 格式編寫，且格式為 PE=具有數(shù)量極多、破壞性大和功 能強等特點。其核心技術(shù)是感染模塊。8. 簡述腳本病毒常用的自身隱藏方式。答：隨機選取密鑰對自己的部分代碼實施加密；采 用變形技術(shù)；采用多態(tài)技術(shù)加殼。10.簡述U盤病毒通常的幾種隱藏方式。答：作為系統(tǒng)文件隱藏；偽裝為其他文件；隱藏在 系統(tǒng)文件夾中；運用 WINDOWS洞等?！?/p>

13、應(yīng)用題】1. 自主訪問控制的模式有哪幾種？答：自主訪問控制模式有：（1）文件。對文件常設(shè)置的訪問模式有以下幾種：讀和復(fù)制，寫和刪除，運行，無效。（3分）（2）目 錄對于一個目錄型客體，它的訪問模式的最小集合包括：讀，寫-擴展。（2分）2. 什么是蜜罐技術(shù)？蜜罐的特點是什么？答：蜜罐技術(shù)通過一個由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來引誘黑客， 并對黑客進(jìn)行跟蹤和記錄。（1分） 蜜罐的特點：（1） 它不是一個單一的系統(tǒng)， 而是一個網(wǎng)絡(luò)，是一 種高度相互作用的蜜罐，裝有多個系統(tǒng)和應(yīng)用軟件。（2 分）（2）所有放置在蜜罐網(wǎng)內(nèi)的系統(tǒng)都是標(biāo)準(zhǔn)的產(chǎn)品系統(tǒng)，即真實的系統(tǒng)和應(yīng)用軟件，都不是仿效的。（2分）5.簡述信

14、息流模型的組成答：信息流模型一般有以下 5部分組成。 客體集合，如文件、程序、變量等，它表示信息 的存放處。（2分） 進(jìn)程集合，它表示與信息流有關(guān)的活動主體。（2分） 安全類集合，它表示離散的信息類，如安全系統(tǒng)中的權(quán)力級別和對象類別。（2分） 類間復(fù)合操作符，用于確定在兩類信息上操作所 產(chǎn)生的信息。（1分） 流關(guān)系，用于決定在任一對安全類之間，信息能否從一個安全流向另一個安全類。（1分）信息流動策略規(guī)定信息必須由低安全類向高安全類 或同安全類流動，而不允許信息由高安全類向低類或無 關(guān)類流動。（2分）8. 訪問控制的基本任務(wù)是什么？答：訪問控制的基本任務(wù)有：（1） 用戶身份認(rèn)證。認(rèn)證就是證實用戶

15、的身份。（1 分）（2）授權(quán)。根據(jù)不同的用戶分配給不同的使用資源，決定訪問權(quán)限的因素有用戶類別、資源和訪問規(guī)則。（2分）（3）文件保護(hù)。對文件提供附加保護(hù)，使非授權(quán)用戶不可讀。 （1 分 ）（4）審計。 記錄用戶的行動， 以說明安全方案的有 效性。 （1 分 ）9. 訪問控制包括哪幾個層次？答： 訪問控制的層次包括：（ 1）入網(wǎng)訪問控制。 入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供 了第一層訪問控制。 （1 分 ）（ 2）網(wǎng)絡(luò)權(quán)限控制。 是針對網(wǎng)絡(luò)非法操作所提出的 一種安全保護(hù)措施。 （1 分 ）（3）目錄級安全控制。控制用戶對目錄、文件、設(shè) 備的訪問。 （1 分 ）（4）屬性安全控制。 給文件、 目錄等指定

16、訪問屬性。 （1 分 ）（ 5）服務(wù)器安全控制。 網(wǎng)絡(luò)允許在服務(wù)器控制臺上 執(zhí)行一系列操作。 （1 分 ）10. 試述建立安全模型的原因和安全模型的特點。答：設(shè)計安全模型的主要目的是確定系統(tǒng)安全訪問 控制策略、決定系統(tǒng)內(nèi)部主體對客體的訪問和監(jiān)控方式 等。 （2 分 ）安全模型一般有如下幾個特點：（1） 能充分體現(xiàn)預(yù)定的安全需要，應(yīng)清楚地、準(zhǔn)確 地表達(dá)安全策略。 （2 分 ）（2） 模型的安全表達(dá)是無二意性的。 （2 分 ）（3）模型應(yīng)該是簡單的、 抽象的、 易于理解和實現(xiàn)， 而且應(yīng)易于驗證。 （2 分 ）（4）安全模型應(yīng)當(dāng)只涉及安全性質(zhì)，對系統(tǒng)的其他 功能及實現(xiàn)不能有影響和太大的削弱。 （2

17、分）13. 如何關(guān)閉不需要的端口和服務(wù)。答：通過 TCP/IP 協(xié)議屬性的高級設(shè)置完成。14. 簡述安全模型的意義及 BLP模型的特點。 答：安全模型：對安全策略所表達(dá)的安全需求的簡單、抽象和無歧義的描述，為安全策略及其機制提供了 一種框架。 BLP 模型是一種適用于軍事安全策略的操作 系統(tǒng)安全模型。15. 簡述安全模型的意義及 Biba 模型的特點。 答：安全模型：對安全策略所表達(dá)的安全需求的簡單、抽象和無歧義的描述，為安全策略及其機制提供了 一種框架。 Biba 模型是一種適用于保護(hù)信息完整性的操 作系統(tǒng)安全模型。16. 簡述 Flask 安全體系結(jié)構(gòu)的優(yōu)點。 答：該結(jié)構(gòu)使策略的可變通性的

18、實現(xiàn)成為可能。安全結(jié)構(gòu)中機制和策略清晰區(qū)分，使得系統(tǒng)可以使用比以 前更少的策略來支持更多的安全策略集合。17. 簡述安全操作系統(tǒng)的機制。答：操作系統(tǒng)源代碼中內(nèi)置了特定的安全策略，通 過一些設(shè)置，使操作系統(tǒng)更安全。18. 列舉三種以上的安全操作系統(tǒng)。答：Tmach/ASOS/SOFTO等。19. 訪問控制機制的理論基礎(chǔ)是訪問監(jiān)控器。 其引用 驗證機制需同時滿足三個基本原則，即：具有自我保護(hù) 能力；總是處于活躍狀態(tài)；設(shè)計得足夠小。請就上述原 則說明其涵義。答：保持自身完整性；程序?qū)Y源的引用應(yīng)得到驗 證機制的仲裁；保證引用驗證機制的實現(xiàn)是正確和符合要求的。20. 簡述操作系統(tǒng)安全內(nèi)核的意義。答：操

19、作系統(tǒng)的可信內(nèi)核。是實現(xiàn)訪問監(jiān)控器的一 種技術(shù)。不允許有任何繞過安全內(nèi)核存取控制檢查的存 取行為存在。21. 簡述可信計算基的內(nèi)涵和意義。 答：由操作系統(tǒng)安全依賴的、實施安全策略的可信軟件、硬件，負(fù)責(zé)系統(tǒng)安全管理的人員共同組成。其組 成中，軟件部分是安全操作系統(tǒng)的核心內(nèi)容。22. 簡述自主訪問控制的內(nèi)涵及其保護(hù)的對象。 答：自主訪問控制用以決定主體 （用戶 ）對客體的一種訪問約束機制。其保護(hù)對象包括：文件、目錄、IPC、設(shè)備等。通過訪問控制矩陣實現(xiàn)。23. 簡述強制訪問控制的內(nèi)涵及其保護(hù)的對象。 答：由安全管理員對每一個對象（包括：文件、目錄、IPC、設(shè)備等）設(shè)置安全屬性。主體對客體的訪問將

20、啟動強制訪問機制，通過比較主、客體間的安全屬性， 決定是否允許訪問的建立。24. 簡述計算機系統(tǒng) （安全操作系統(tǒng)） 安全體系結(jié)構(gòu) 的內(nèi)涵。答：詳細(xì)描述系統(tǒng)中安全相關(guān)的方面；描述安全相 關(guān)模塊之間的關(guān)系；提出指導(dǎo)設(shè)計的基本原理；提出開 發(fā)框架和層次結(jié)構(gòu)。【應(yīng)用題】1. 簡述公開密鑰密碼體制的特點。答： 公開密鑰密碼體制的特點：（1）保密強度高。 其理論基礎(chǔ)是基于數(shù)論中大素數(shù) 因數(shù)分解的難度問題， 當(dāng) n 大于 2048 位時，目前的算法 無法在有效時間內(nèi)破譯 RSA。 （1 分 ）（ 2）密鑰分配及管理簡便在RSA體制中，加密密鑰和解密密鑰互異、分離。 加密密鑰可以公開，解密密鑰則由用戶秘密保存

21、，秘密 保存的密鑰量減少，這就使得密鑰分配更加方便，便于 密鑰管理。 （2 分）（ 3）數(shù)字簽名易實現(xiàn)在RSA體制中，只有接收方利用自己的解密密鑰對 明文進(jìn)行簽名，其他任何人可利用公開密鑰對簽名文進(jìn) 行驗證，但無法偽造。 （2 分）2. 密碼分析可分為哪幾類，它們的含義是什么？答： 密碼分析可分為窮舉法和分析破譯法 （2 分） ：（1）窮舉法。 又稱強力法或完全試湊法， 它對截收 的密報依次用各種可能的密鑰試譯，直到得到有意義的 明文；或者在不變密鑰下，對所有可能的明文加密直到 得到的密文與截獲密文一致為止。 （1 分）（ 2）分析破譯法。 分析破譯法有確定性和統(tǒng)計性兩 類。確定性分析法利用一

22、個或幾個已知量用數(shù)學(xué)關(guān)系式 表示出所求未知量。統(tǒng)計分析法是利用明文的已知統(tǒng)計 規(guī)律進(jìn)行破譯的方法。 （2 分）3. 簡述對稱加密算法的基本原理。 答：加密和解密密鑰可相互推導(dǎo)或一致，由通信算法協(xié)商解決，其算法的安全性完全依賴于密鑰的保護(hù)。4. 簡述公鑰算法的基本原理。 答：加密、解密密鑰不同且無法相互推導(dǎo)，分公鑰和私鑰兩種，算法較為復(fù)雜，但安全性較高。5. 簡述PGP加密技術(shù)的應(yīng)用。答：是一個基于RSA公鑰加密體系的郵件加密軟件， 提出來公共鑰匙或不對稱文件的加密技術(shù)。6. 簡述RSA加密算法安全性的數(shù)學(xué)基礎(chǔ)。答：RSA加密算法的安全性依賴于大數(shù)分解數(shù)學(xué)難 題?！緫?yīng)用題】1. 什么是依據(jù)地址進(jìn)

23、行過濾？答在包過濾系統(tǒng)中，最簡單的方法是依據(jù)地址進(jìn)行 過濾（1分）。用地址進(jìn)行過濾可以不管使用什么協(xié)議， 僅根據(jù)源地址/目的地址對流動的包進(jìn)行過濾（2分）。使用這種方法可以 只讓某些被指定的外部主機與某些被指定的內(nèi)部主機進(jìn) 行交互（1分），此外還可以防止黑客采用偽裝包來對網(wǎng) 絡(luò)進(jìn)行攻擊。（1分）2. 簡述包過濾的優(yōu)點。答：包過濾方式有很多優(yōu)點，而其主要優(yōu)點之一是 僅用放置在重要位置上的包過濾路由器就可保護(hù)整個網(wǎng) 絡(luò)。（2分）包過濾不需要用戶軟件的支持，也不要求對客戶機 做特別的設(shè)置，也沒有必要對用戶做任何培訓(xùn)。（1分）包過濾工作對用戶來講是透明的，這種透明就是在 不要求用戶進(jìn)行任何操作的前題下

24、完成包過濾工作。（1分）3. 入侵檢測系統(tǒng)常用的檢測方法有哪些？答：入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng) 計檢測與專家系統(tǒng)。（2分）特征檢測對已知的攻擊或入侵的方式做出確定性的 描述，形成相應(yīng)的事件模式。當(dāng)被審計的事件與已知的 入侵事件模式相匹配時，即報警。（1分）統(tǒng)計模型常用異常檢測。（1分）用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常是針對的特征入 侵行為。運用專家系統(tǒng)防范有特征入侵行為的有效性完 全取決于專家系統(tǒng)知識庫的完備性。 （1分）4. 按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法可分為 哪兩大類，分別論述其技術(shù)特點。答：按照防火墻對內(nèi)外來往數(shù)據(jù)的處理方法，大致可以分為兩大類：包過濾防火墻和應(yīng)用代理防

25、火墻。（2分）包過濾防火墻又稱為過濾路由器，它通過將包頭信 息和管理員設(shè)定的規(guī)則表比較，如果有一條規(guī)則不允許 發(fā)送某個包，路由器就將它丟棄。（2分）在包過濾系統(tǒng)中，又包括依據(jù)地址進(jìn)行過濾和依據(jù)服務(wù)進(jìn)行過濾。（2分）應(yīng)用代理，也叫應(yīng)用網(wǎng)關(guān)，它作用在應(yīng)用層，其特 點是完全“阻隔”了網(wǎng)絡(luò)的通信流，通過對每種應(yīng)用服 務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流 的作用。（2分）代理服務(wù)器有一些特殊類型，主要表現(xiàn)為應(yīng)用級和 回路級代理、公共與專用代理服務(wù)器和智能代理服務(wù)器。（2分）5. 設(shè)計和建立堡壘主機的基本原則是什么？答： 設(shè)計和建立堡壘主機的基本原則有基本兩條： 最簡化原則和預(yù)防原則。（1分）（1）最簡化原則：堡壘主機越簡單， 對它進(jìn)行保護(hù)就越方便，以堡壘主機上設(shè)置的服務(wù)必須最少，同時對 必須設(shè)置的服務(wù)軟件只能給予盡可能低的權(quán)限。（2分）（2） 預(yù)防原則：盡管已對堡壘主機嚴(yán)加保護(hù)，但仍 有可能