信息安全第8章習(xí)題答案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上3. 在本章，我們討論了訪問控制列表（ACL）和訪問能力列表（C-list）。a. 請給出訪問能力列表相對于訪問控制列表的兩個(gè)優(yōu)勢。解：1.方便權(quán)限回收2.比較容易判斷出主體對客體有何種訪問權(quán)限b. 請給出訪問控制列表相對于訪問能力列表的兩個(gè)優(yōu)勢。解：1.方便權(quán)限傳遞2.方便查詢某個(gè)主體的所有授權(quán)訪問26. 在這一章，我們討論了三種類型的防火墻：包括過濾防火墻、基于狀態(tài)檢測的包過濾防火墻以及應(yīng)用代理防火墻。a. 請問，上述三種防火墻都分別工作在IP網(wǎng)絡(luò)協(xié)議棧中的哪個(gè)層次上？解：1.包過濾防火墻：網(wǎng)絡(luò)層2. 基于狀態(tài)檢測的包過濾防火墻：傳輸層，網(wǎng)絡(luò)層3. 應(yīng)用代理防火墻

2、：應(yīng)用層b. 請問，上述三種防火墻分別能夠獲得哪些信息？解：1.包過濾防火墻：源IP地址、目的IP地址、源端口、目的端口以及TCP標(biāo)志位2.基于狀態(tài)檢測的包過濾防火墻：信息包括源IP地址、目的IP地址、源端口、目的端口以及TCP標(biāo)志位3.應(yīng)用代理防火墻：七層數(shù)據(jù)c. 針對上述三種防火墻，請分別簡要地討論一個(gè)它們所面臨的實(shí)際攻擊的例子。解：1.包過濾防火墻： ip欺騙攻擊，木馬攻擊2. 基于狀態(tài)檢測的包過濾防火墻：協(xié)議隧道攻擊，反彈木馬攻擊3. 應(yīng)用代理防火墻： 非授權(quán)web訪問，非授權(quán)Telnet訪問36. 從廣義上講，有兩種不同類型的入侵檢測系統(tǒng)，即基于特征的和基于異常行為的。a. 請列舉出

3、基于特征的入侵檢測系統(tǒng)相對于基于異常的入侵檢測系統(tǒng)的若干優(yōu)勢。解：1.簡單、高效(只要特征的數(shù)量不是太多)以及優(yōu)秀的檢測已知攻擊的能力。2.能夠發(fā)出比較明確具體的報(bào)警，因?yàn)檫@些特征都是與一些特定模式的攻擊相匹配。b. 請列舉出基于異常的入侵檢測系統(tǒng)相對于基于特征的入侵檢測系統(tǒng)的若干優(yōu)勢。解：1.可以檢測未知攻擊2.可以檢測到新的攻擊3.對操作系統(tǒng)的依賴性小4.在不知道很多安全知識(shí)的情況下依然能檢測出攻擊行為 答：可能檢測出未知的攻擊；如果特征文件較大的時(shí)候，基于異常的檢測技術(shù)要好一點(diǎn)。c. 請問，相比基于特征的入侵檢測系統(tǒng)，為什么實(shí)現(xiàn)一個(gè)有效的基于異常的入侵檢測系統(tǒng)天然地就更具有挑戰(zhàn)性呢？解:

4、1.我們必須要先確定對于系統(tǒng)來說正常的行為都包括什么，而當(dāng)系統(tǒng)正常運(yùn)行時(shí)這些行為一定會(huì)發(fā)生。 2.隨著系統(tǒng)使用方法的變化和系統(tǒng)自身的演化發(fā)展，這些正常行為的定義必須能夠相應(yīng)做出調(diào)整。 3.還有涉及統(tǒng)計(jì)門限設(shè)定的難題。答：一個(gè)持續(xù)演進(jìn)的異常檢測系統(tǒng)意味著有可能給Trudy留出可乘之機(jī)。即使檢測到了異常行為引發(fā)的報(bào)警可能也提供不了任何對系統(tǒng)管理員有用的具體信息，會(huì)讓我們很難確定應(yīng)該采取何種實(shí)質(zhì)性的反應(yīng)。40. 假設(shè)根據(jù)表8.8中時(shí)間間隔的統(tǒng)計(jì)結(jié)果，Alice的文件使用統(tǒng)計(jì)情況為：A0 = 0.05，A1 = 0.25，A2 = 0.25，A3 = 0.45。a. 請問，這是Alice的正常行為嗎？解：s=(0.05-0.1)2+(0.25-0.38)2+(0.25-0.364)2+(0.45-0.156)2=0.11832;我們將s<0.1的情況定義為正常，則在這個(gè)例子中s=0.11832,因?yàn)閟>