網(wǎng)絡(luò)安全技術(shù)與實(shí)踐習(xí)題與答案

1、網(wǎng)絡(luò)安全技術(shù)與實(shí)踐習(xí)題與答案第一章引言一、填空題.信息安全的3個(gè)基本目標(biāo)是：保密性、完整性和可用性。此外,還有一個(gè)不可忽視的目 標(biāo)是：合法使用。.網(wǎng)絡(luò)中存在的4種基本安全威脅有：信息泄漏、完整性破壞、拒絕服務(wù)和非法使用。.訪問(wèn)控制策略可以劃分為：強(qiáng)制性訪問(wèn)控制策略和自節(jié)j!訪問(wèn)控制策略。.安全性攻擊可以劃分為：被動(dòng)攻擊和主動(dòng)攻擊。. X.800定義的5類(lèi)安全服務(wù)是：認(rèn)證、訪問(wèn)控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性。. X.800定義的8種特定的安全機(jī)制是：加密、數(shù)字簽名、訪問(wèn)控制、數(shù)據(jù)完整性、認(rèn)證交 一 挽、流量填充、路由控制和公證。. X.800定義的5種普遍的安全機(jī)制是： 可信功能度、安

2、全標(biāo)志、事件檢測(cè)、安全審計(jì)跟蹤 和安全恢復(fù)。二、思考題.基本的安全威脅有哪些？主要的滲入類(lèi)型威脅是什么？主要的植入類(lèi)型威脅時(shí)什么？請(qǐng)列出幾種最主要的威脅。答：基本的安全威脅有：信息泄露、完整性破壞、拒絕服務(wù)、非法使用。主要的滲入類(lèi)型威脅有：假冒、旁路、授權(quán)侵犯。主要的植入威脅有：特洛伊木馬、陷門(mén)最主要安全威脅：（1）授權(quán)侵犯（2）假冒攻擊（3）旁路控制（4）特洛伊木馬或陷阱（5） 媒體廢棄物（出現(xiàn)的頻率有高到低）.什么是安全策略？安全策略有幾個(gè)不同的等級(jí)？答：安全策略：是指在某個(gè)安全區(qū)域內(nèi)，施加給所有與安全相關(guān)活動(dòng)的一套規(guī)則。安全策略的等級(jí)：1安全策略目標(biāo)；2機(jī)構(gòu)安全策略；3系統(tǒng)安全策略。.主

3、動(dòng)攻擊和被動(dòng)攻擊的區(qū)別是什么？請(qǐng)舉例說(shuō)明。答：區(qū)別：被動(dòng)攻擊時(shí)系統(tǒng)的操作和狀態(tài)不會(huì)改變，因此被動(dòng)攻擊主要威脅信息的保密性。主動(dòng)攻擊則意在篡改或者偽造信息、也可以是改變系統(tǒng)的狀態(tài)和操作，因此主動(dòng)攻擊主要威脅信息的完整性、可用性和真實(shí)性。主動(dòng)攻擊的例子：偽裝攻擊、重放攻擊、消息篡改、拒絕服務(wù)。被動(dòng)攻擊的例子：消息泄漏、流量分析。.請(qǐng)畫(huà)出一個(gè)通用的網(wǎng)絡(luò)安全模式，并說(shuō)明每個(gè)功能實(shí)體的作用。 網(wǎng)絡(luò)安全模式如下：可信的第一方飆苴有，:呼歸品的分配右）髭鞭性慰整息愷息攻工者網(wǎng)絡(luò)安全模型由六個(gè)功能實(shí)體組成：消息的發(fā)送方（信源）、消息的接收方（信宿）、安全變換、信息通道、可信的第三方和攻擊者。第二章 低層協(xié)議的

4、安全性一、填空題主機(jī)的IPv4的長(zhǎng)度為32b,主機(jī)的MACM址長(zhǎng)度為 竺b。IPv6的地址長(zhǎng)度為128b。ARP的主要功能是將叵血址轉(zhuǎn)換成為物理地址。NAT的主要功能是實(shí)現(xiàn)帚地址和IP地址之間的轉(zhuǎn)換,它解決了 IPv4地址短缺的問(wèn)題。一DNS服務(wù)使用曳號(hào)端口，它用來(lái)實(shí)現(xiàn)域名到 IP地址或IP地址到域名的映射。二、思考題.簡(jiǎn)述以太網(wǎng)上一次 TCP會(huì)話(huà)所經(jīng)歷的步驟和涉及的協(xié)議。答：步驟：開(kāi)放TCP連接是一個(gè)3步握手過(guò)程：在服務(wù)器收到初始的 SYN數(shù)據(jù)包后，該連接 處于半開(kāi)放狀態(tài)。此后，服務(wù)器返回自己的序號(hào)，并等待確認(rèn)。最后，客戶(hù)機(jī)發(fā)送第3個(gè)數(shù)據(jù)包使TCP連接開(kāi)放，在客戶(hù)機(jī)和服務(wù)器之間建立連接。協(xié)議

5、 ：路由協(xié)議、Internet 協(xié)議、 TCP/IP 協(xié)議。.在TCP連接建立的3步握手階段，攻擊者為什么可以成功實(shí)施SYNFlood攻擊？在實(shí)際中，如何防范此類(lèi)攻擊？答：當(dāng)TCP處于半開(kāi)放狀態(tài)時(shí)，攻擊者可以成功利用SYN Flood對(duì)服務(wù)器發(fā)動(dòng)攻擊。攻擊者使用第一個(gè)數(shù)據(jù)包對(duì)服務(wù)器進(jìn)行大流量沖擊，使服務(wù)器一直處于半開(kāi)放連接狀態(tài)，導(dǎo)致服務(wù)器無(wú)法實(shí)現(xiàn)3步握手協(xié)議。防范SYNFlood攻擊，一類(lèi)是通過(guò)防火墻、路由器等過(guò)濾網(wǎng)關(guān)防護(hù)；另一類(lèi)是通過(guò)加固TCP/IP 協(xié)議棧防范。.為什么UDP騙比TCP更容易？答：由于UDP自身缺少流控制特性，所以采用UDP進(jìn)行大流量的數(shù)據(jù)傳輸時(shí)，就可能造成 堵塞主機(jī)或路由

6、器，并導(dǎo)致大量的數(shù)據(jù)包丟失；UDP沒(méi)有電路概念，所以發(fā)往給定端口的數(shù)據(jù)包都被發(fā)送給同一個(gè)進(jìn)程，而忽略了源地址和源端口號(hào)；UDP沒(méi)有交換握手信息和序號(hào)的過(guò)程，所以采用 UDP欺騙要比使用TCP更容易。.通過(guò)DNS持會(huì)對(duì)目標(biāo)系統(tǒng)產(chǎn)生什么樣的影響？如何避免？答：通過(guò)劫持了 DNS服務(wù)器，通過(guò)某些手段取得某域名的解析記錄控制權(quán)，進(jìn)而修改此域名的解析結(jié)果，導(dǎo)致對(duì)該域名的訪問(wèn)由原 IP地址轉(zhuǎn)入到修改后的指定 IP,其結(jié)果就是對(duì)特定 的網(wǎng)址不能訪問(wèn)或訪問(wèn)的是假網(wǎng)址。避免DNS劫持：暴露的主機(jī)不要采用基于名稱(chēng)的認(rèn)證；不要把秘密的信息放在主機(jī)名中；進(jìn)行數(shù)字簽名.判斷下列情況是否可能存在？為什么？（1）通過(guò)ICM

7、P數(shù)據(jù)包封裝數(shù)據(jù)，與遠(yuǎn)程主機(jī)進(jìn)行類(lèi)似UDP的通信。（2）通過(guò)特意構(gòu)造的 TCP數(shù)據(jù)包，中斷兩臺(tái)機(jī)器之間指定的一個(gè)TCP會(huì)話(huà)。答：（1）不存在。TCP/UD呢傳輸層（四層）的協(xié)議，只能為其上層提供服務(wù)，而ICMP是網(wǎng)絡(luò)互聯(lián)層（三層）的協(xié)議，怎么可能反過(guò)來(lái)用四層協(xié)議來(lái)為比它還低層的數(shù)據(jù)包來(lái)服務(wù)呢。（2）如果攻擊者能夠預(yù)測(cè)目標(biāo)主機(jī)選擇的起始序號(hào)，他就可能欺騙該目標(biāo)主機(jī)，使目標(biāo)主 機(jī)相信自己正在與一臺(tái)可信的主機(jī)會(huì)話(huà)。第三章 單（私）鑰加密體制一、填空題. 密碼體制的語(yǔ)法定義由以下六部分構(gòu)成：明文消息空間、密文消息空間、加密密鑰空間、密鑰生成算法、加密算法、解密算法。.單（私）鑰加密體制的特點(diǎn)是：通信雙

8、方采用的密鑰相同。所以人們通常也稱(chēng)其為對(duì)稱(chēng)加密體制。第四章數(shù)字證書(shū)與公鑰基礎(chǔ)設(shè)施一、選擇題.數(shù)字證書(shū)將用戶(hù)與其B相聯(lián)系。A.私鑰B.公鑰C.護(hù)照D.駕照.用戶(hù)的 B不能出現(xiàn)在數(shù)字證書(shū)中。A.公鑰B.私鑰C.組織名D.人名. A可以簽發(fā)數(shù)字證書(shū)。A CAB.政府C.小店主D.銀. D標(biāo)準(zhǔn)定義數(shù)字證書(shū)結(jié)構(gòu)。A.X.500B.TCP/IPC.ASN.1D.X.509. RA A 簽發(fā)數(shù)字證書(shū)。A.可以B.不必C.必須D.不能. CA使用 D 簽名數(shù)字證書(shū)。A.用戶(hù)的公鑰B.用戶(hù)的私鑰C.自己的公鑰D.自己的私鑰.要解決信任問(wèn)題，需使用 C。A.公鑰.自簽名證書(shū)C.數(shù)字證書(shū)D.數(shù)字簽名CRbQ 的。A

9、.聯(lián)機(jī)B.聯(lián)機(jī)和脫機(jī)C.脫機(jī)D.未定義OCS屋 A 的。A.聯(lián)機(jī)B.聯(lián)機(jī)和脫機(jī)C.脫機(jī)D.未定義最高權(quán)威的CA稱(chēng)為。A.RCAB.RAC.SOAD.ARA二、思考題.數(shù)字證書(shū)的典型內(nèi)容什么？答：數(shù)字證書(shū)的概念：一個(gè)用戶(hù)的身份與其所持有的公鑰的結(jié)合，由一個(gè)可信任的權(quán)威機(jī)構(gòu)CA來(lái)證實(shí)用戶(hù)的身份，然后由該機(jī)構(gòu)對(duì)該用戶(hù)身份及對(duì)應(yīng)公鑰相結(jié)合的證書(shū)進(jìn)行數(shù)字簽名， 以證明其證書(shū)的有效性。一般包括：(1)證書(shū)的版本信息；(2)證書(shū)的序列號(hào)，每個(gè)證書(shū)都有一個(gè)唯一的證書(shū)序列號(hào)；(3)證書(shū)所使用的簽名算法；(4)證書(shū)的發(fā)型機(jī)構(gòu)名稱(chēng)；(5)證書(shū)的有效期；(6)證書(shū)所有人名稱(chēng)；(7)證書(shū)所有人的公開(kāi)密鑰；(8)證書(shū)發(fā)行

10、者對(duì)證書(shū)的簽名；.簡(jiǎn)述撤銷(xiāo)數(shù)字證書(shū)的原因？答：(1)數(shù)字證書(shū)持有者報(bào)告該證書(shū)中指定公鑰對(duì)應(yīng)的私鑰被破解(被盜)；CA發(fā)現(xiàn)簽發(fā)數(shù)字證書(shū)是出錯(cuò)；(3)證書(shū)持有者離職，而證書(shū)為其在職期間簽發(fā)的。第五章網(wǎng)絡(luò)加密與密鑰管理一、填空題. 網(wǎng)絡(luò)加密方式有 4種，它們分別是鏈路加密、節(jié)點(diǎn)加密、端到端加密和混合加密。.在通信網(wǎng)的數(shù)據(jù)加密中， 密鑰可分為基本密鑰、 會(huì)話(huà)密鑰、密鑰加密密鑰、主機(jī)主密鑰。.密鑰分配的基本方法有利用安全信道實(shí)現(xiàn)密鑰傳輸、利用雙鑰體制建立安全信道傳遞和利用特定的物理現(xiàn)象實(shí)現(xiàn)密鑰傳遞等。.在網(wǎng)絡(luò)中，可信第三方TTP的角色可以由密鑰服務(wù)器、密鑰管理設(shè)備、 密鑰查閱服務(wù)和時(shí)戳代理等來(lái)承擔(dān)(請(qǐng)任

11、意舉出4個(gè)例子)。.按照協(xié)議的功能分類(lèi)，密碼協(xié)議可以分為認(rèn)證建立協(xié)議、密鑰建立協(xié)議、認(rèn)證的密鑰建立協(xié)議。. Diffie-Hellman密鑰交換協(xié)議不能抵抗中間人的攻擊。二、選擇題Kerberos 提供 AA.加密B.SSOC.遠(yuǎn)程登錄D.本地登陸在Kerberos中，允許用戶(hù)訪問(wèn)不同應(yīng)用程序或服務(wù)器的服務(wù)器稱(chēng)為AA.ASB.TGTC.TGSD.文件服務(wù)器在Kerberos中，C 與系統(tǒng)中的每個(gè)用戶(hù)共享唯個(gè)口令。A.ASB.TGTC.TGSD.文件服務(wù)器二、思考題.網(wǎng)絡(luò)加密有哪幾種方式？請(qǐng)比較它們的優(yōu)缺點(diǎn)。答：網(wǎng)絡(luò)加密的方式有 4種分別是鏈路加密、節(jié)點(diǎn)加密、端到端加密、混合加密。鏈路加密的優(yōu)點(diǎn)

12、：(1)加密對(duì)用戶(hù)是透明的，通過(guò)鏈路發(fā)送的任何信息在發(fā)送前都先被加密。(2)每個(gè)鏈路只需要一對(duì)密鑰。(3)提供了信號(hào)流安全機(jī)制。缺點(diǎn)：數(shù)據(jù)在中間結(jié)點(diǎn)以明文形式出現(xiàn)，維護(hù)結(jié)點(diǎn)安全性的代價(jià)較高。節(jié)點(diǎn)加密的優(yōu)點(diǎn)：(1)消息的加、解密在安全模塊中進(jìn)行，這使消息內(nèi)容不會(huì)被泄密(2)加密對(duì)用戶(hù)透明缺點(diǎn)：(1)某些信息(如報(bào)頭和路由信息)必須以明文形式傳輸(2)因?yàn)樗泄?jié)點(diǎn)都必須有密鑰，密鑰分發(fā)和管理變的困難端到端加密的優(yōu)點(diǎn)：對(duì)兩個(gè)終端之間的整個(gè)通信線(xiàn)路進(jìn)行加密；只需要2臺(tái)加密機(jī)，1臺(tái)在發(fā)端，1臺(tái)在收端；從發(fā)端到收端的傳輸過(guò)程中，報(bào)文始終以密文存在；消息報(bào)頭(源/目的地址)不能加密，以明文傳送；只需要2臺(tái)加

13、密機(jī)，1臺(tái)在發(fā)端，1臺(tái)在收端；從發(fā)端到收端的傳輸過(guò)程中，報(bào)文始終以密文存在；比鏈路和節(jié)點(diǎn)加密更安全可靠，更容易設(shè)計(jì)和維護(hù)缺點(diǎn)：不能防止業(yè)務(wù)流分析攻擊?；旌霞用艿氖擎溌泛投说蕉嘶旌霞用芙M成，優(yōu)點(diǎn)：從成本、靈活性和安全性來(lái)看，一般端到端加密方式較有吸引力。對(duì)于某些遠(yuǎn)程機(jī)構(gòu)，鏈路加密可能更為合適。缺點(diǎn)信息的安全設(shè)計(jì)較復(fù)雜。.密鑰有哪些種類(lèi)？它們各自的用途是什么？請(qǐng)簡(jiǎn)述它們之間的關(guān)系？答：種類(lèi)：(1)基本密鑰或稱(chēng)初始密鑰其用途是與會(huì)話(huà)密鑰一起去啟動(dòng)和控制某種算法所構(gòu)造的密鑰產(chǎn)生器，產(chǎn)生用于加密數(shù)據(jù)的密鑰流。(2)會(huì)話(huà)密鑰其用途是使人們可以不必繁瑣的更換基本密鑰，有利于密鑰的安全和管理。(3)密鑰加密密

14、鑰用途是用于對(duì)傳送的會(huì)話(huà)或文件密鑰進(jìn)行加密時(shí)采用的密鑰，也成為次主密鑰、輔助密鑰或密鑰傳送密鑰。(4)主機(jī)主密鑰作用是對(duì)密鑰加密密鑰進(jìn)行加密的密鑰，存儲(chǔ)于主機(jī)處理器中。(5)雙鑰體制下的公開(kāi)鑰和秘密鑰、簽名密鑰、證實(shí)密鑰。關(guān)系如圖：I.密鑰分配的基本模式有哪些？(1)點(diǎn)對(duì)點(diǎn)密鑰分配：由 A直接將密鑰送給 B,利用A與B的共享基本密鑰加密實(shí)現(xiàn)。(2)密鑰分配中心( 過(guò)A轉(zhuǎn)遞給B,利用BobKDO： A向KDC請(qǐng)求發(fā)送與B通信用的密鑰，KDC&成k傳給A,并通A與KDC B與KDC勺共享密鑰實(shí)現(xiàn)。KTQ : A與KTG B與KTd共享基本密鑰。(3)密鑰傳遞中心(.在密碼系統(tǒng)中，密鑰是如何進(jìn)行保護(hù)

15、、存儲(chǔ)和備份的？密鑰的保護(hù)：將密鑰按類(lèi)型分成不同的等級(jí)。大量的數(shù)據(jù)通過(guò)少量的動(dòng)態(tài)產(chǎn)生的初級(jí)密 鑰來(lái)保護(hù)。初級(jí)密鑰用更少量的、相對(duì)不變的二級(jí)密鑰或主密鑰KM0來(lái)保護(hù)。二級(jí)密鑰用主機(jī)主密鑰KM1 KM2來(lái)保護(hù)。少量的主密鑰以明文形式存儲(chǔ)在專(zhuān)用的密碼裝置中，其余的密 鑰以密文形式存儲(chǔ)在專(zhuān)用密碼裝置以外。這樣，就把保護(hù)大量數(shù)據(jù)的問(wèn)題簡(jiǎn)化為保護(hù)和使用少量數(shù)據(jù)的問(wèn)題。密鑰的存儲(chǔ)：密鑰在多數(shù)時(shí)間處于靜態(tài)，因此對(duì)密鑰的保存是密鑰管理重要內(nèi)容。密鑰可以作為一個(gè)整體進(jìn)行保存， 也可化為部分進(jìn)行保存。 密鑰的硬件存儲(chǔ)； 使用門(mén)限方案的密 鑰保存；公鑰在公用媒體中存儲(chǔ)。密鑰的備份：交給安全人員放在安全的地方保管；采用

16、共享密鑰協(xié)議。第六章防火墻技術(shù)一、選擇題.防火墻應(yīng)位于 CA.公司網(wǎng)絡(luò)內(nèi)部B.公司網(wǎng)絡(luò)外部C.公司網(wǎng)絡(luò)與外部網(wǎng)絡(luò)D渚B不對(duì).應(yīng)用網(wǎng)關(guān)的安全性 B 包過(guò)濾防火墻。A.不如B.超過(guò)C.等于D渚B不對(duì)二、填空題. 防火墻可以分為靜態(tài)包過(guò)濾、動(dòng)態(tài)包過(guò)濾、電路級(jí)網(wǎng)關(guān)、應(yīng)用級(jí)網(wǎng)關(guān)、狀態(tài)檢查包過(guò)濾、切換代理和空氣隙 7種類(lèi)型。.靜態(tài)包過(guò)濾防火墻工作于 OSI模型的網(wǎng)絡(luò)層上，他對(duì)數(shù)據(jù)包的某些特定域進(jìn)行檢查，這些特定域包括：數(shù)據(jù)源地址、目的地址、應(yīng)用或協(xié)議、源端口號(hào)、目的端口號(hào)。.動(dòng)態(tài)包過(guò)濾防火墻工作于 OSI模型的網(wǎng)絡(luò)層上，他對(duì)數(shù)據(jù)包的某些特定域進(jìn)行檢查，這些特定域包括數(shù)據(jù)源地址、目的地址、應(yīng)用或協(xié)議、源端口

17、號(hào)、目的端口號(hào)。.電路級(jí)網(wǎng)關(guān)工作于 OSI模型的會(huì)話(huà)層上,它檢查數(shù)據(jù)包中的數(shù)據(jù)分別為源地址、目的地生應(yīng)用或協(xié)議、源端口號(hào)、目而布號(hào)和握手信息及序列號(hào)。. 應(yīng)用級(jí)網(wǎng)關(guān)工作于 OSI模型的麗層上,它可以對(duì)整個(gè)數(shù)據(jù)包進(jìn)行檢查,因此其安全性最Wj。.狀態(tài)檢測(cè)防火墻工作于 OSI模型的網(wǎng)絡(luò)層上,所以在理論上具有很高的安全性，但是現(xiàn)有的大多數(shù)狀態(tài)檢測(cè)防火墻只工作于網(wǎng)絡(luò)層上，因此其安全性與包過(guò)濾防火墻相當(dāng)。.切換代理在連接建立階段工作于OSI模型的會(huì)話(huà)層上,當(dāng)連接建立完成值后， 再切換到動(dòng)態(tài)包過(guò)濾模式,即工作于OSI模型的網(wǎng)絡(luò)彥工一.空氣隙防火墻也稱(chēng)作安全網(wǎng)閘，它在外網(wǎng)和內(nèi)網(wǎng)之間實(shí)現(xiàn)了真正的隔離。三、思考題

18、.防火墻一般有幾個(gè)接口？什么是防火墻的非軍事區(qū)(DMZ ?它的作用是什么？答：防火墻一般有 3個(gè)或3個(gè)以上的接口。網(wǎng)關(guān)所在的網(wǎng)絡(luò)稱(chēng)為“非軍事區(qū)” (DMZ。網(wǎng)關(guān) 的作用是提供中繼服務(wù)，以補(bǔ)償過(guò)濾器帶來(lái)的影響。.為什么防火墻要具有 NAT功能？在NAT中為什么要記錄端口號(hào)？答：使用NAT的防火墻具有另一個(gè)優(yōu)點(diǎn)，它可以隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，這在某種程度上提升了網(wǎng)絡(luò)的安全性。 在NAT中記錄端口號(hào)是因?yàn)樵趯?shí)現(xiàn)端口地址轉(zhuǎn)換功能時(shí)，兩次NAT的數(shù)據(jù)包通過(guò)端口號(hào)加以區(qū)分。.應(yīng)用級(jí)網(wǎng)關(guān)與電路級(jí)網(wǎng)關(guān)有何不同？簡(jiǎn)述應(yīng)用級(jí)網(wǎng)關(guān)的優(yōu)缺點(diǎn)。答：與電路級(jí)網(wǎng)關(guān)不同的是應(yīng)用級(jí)網(wǎng)關(guān)必須針對(duì)每個(gè)特定的服務(wù)運(yùn)行一個(gè)特定的代理，

19、它只能對(duì)特定服務(wù)所生成的數(shù)據(jù)包進(jìn)行傳遞和過(guò)濾。應(yīng)用級(jí)網(wǎng)關(guān)的優(yōu)點(diǎn)：1、在已有的安全模型中安全性較高2、具有強(qiáng)大的認(rèn)證功能3、具有超強(qiáng)的日志功能4、應(yīng)用級(jí)網(wǎng)關(guān)防火墻的規(guī)則配置比較簡(jiǎn)單缺點(diǎn)：1、靈活性差2、配置復(fù)雜3、性能不高.防火墻有什么局限性？答：防火墻是Internet安全的最基本組成部分，但對(duì)于內(nèi)部攻擊以及繞過(guò)防火墻的連接卻 無(wú)能為力，另外，攻擊者可能利用防火墻為某些業(yè)務(wù)提供的特殊通道對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊， 注入病毒或木馬。.軟件防火墻與硬件防火墻之間的區(qū)別是什么？答：軟件防火墻是利用 CPU的運(yùn)算能力進(jìn)行數(shù)據(jù)處理， 而硬件防火墻使用專(zhuān)用的芯片級(jí)處理 機(jī)制。第七章入侵檢測(cè)系統(tǒng)一、填空題根據(jù)數(shù)據(jù)

20、源的來(lái)源不同，IDS可分為基于網(wǎng)絡(luò) NID3、基于主機(jī) HIDS和兩種都有 DIDS種 類(lèi)型。一個(gè)通用的IDS模型主要由數(shù)據(jù)收集、檢測(cè)器、知識(shí)庫(kù)和控制器4部分組成。入侵檢測(cè)分為3個(gè)步驟，分別為信息收集、數(shù)據(jù)分析和響應(yīng)。_一個(gè)NIDS的功能結(jié)構(gòu)上至少包含而提取、入侵分析二侵扁應(yīng)和遠(yuǎn)程管理 4部分功能。DIDS通常由數(shù)據(jù)采集構(gòu)建、通信傳輸構(gòu)建、入侵檢測(cè)分析、應(yīng)急處理的構(gòu)建和用戶(hù)管 理構(gòu)建5個(gè)構(gòu)建組成。IDS控制臺(tái)主要由日志檢索、探測(cè)器管理、規(guī)則管理、日志報(bào)表和用戶(hù)管理 5個(gè)功能模塊構(gòu)成。HIDS常安裝于被保護(hù)的主機(jī)，NIDS常安裝于網(wǎng)絡(luò)入口處。潛在人侵者的可以通過(guò)檢查蜜罐日志來(lái)獲取。吸引潛在攻擊者

21、陷阱為蜜罐。二、思考題1.入侵檢測(cè)系統(tǒng)按照功能可分為哪幾類(lèi)，有哪些主要功能？答：功能構(gòu)成包含：事件提取、入侵分析、入侵響應(yīng)、遠(yuǎn)程管理4個(gè)部分功能(1)網(wǎng)絡(luò)流量的跟蹤與分析功能(2)已知攻擊特征的識(shí)別功能(3)異常行為的分析、統(tǒng)計(jì)與響應(yīng)功能(4)特征庫(kù)的在線(xiàn)和離線(xiàn)升級(jí)功能(5)數(shù)據(jù)文件的完整性檢查功能(6)自定義的響應(yīng)功能(7)系統(tǒng)漏洞的預(yù)報(bào)警功能IDS探測(cè)器集中管理功能. 一個(gè)好的IDS應(yīng)該滿(mǎn)足哪些基本特征？答：1、可以使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)的任何變更2、能給網(wǎng)絡(luò)安全策略的制定提供依據(jù)3、它應(yīng)該管理、配置簡(jiǎn)單，即使非專(zhuān)業(yè)人員也非常容易使用4、入侵檢測(cè)的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全

22、需求的改變而改變5、入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后會(huì)及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警。.什么是異常檢測(cè)，基于異常檢測(cè)原理的入侵檢測(cè)方法有哪些？答：異常檢測(cè)技術(shù)又稱(chēng)為基于行為的入侵檢測(cè)技術(shù)，用來(lái)識(shí)別主機(jī)或網(wǎng)絡(luò)中的異常行為。通過(guò)收集操作活動(dòng)的歷史數(shù)據(jù)，建立代表主機(jī)、用戶(hù)或網(wǎng)絡(luò)連接的正常行為描述，判斷是否發(fā)生入侵。1、統(tǒng)計(jì)異常檢測(cè)方法2、特征選擇異常檢測(cè)方法3、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法4、基于貝葉斯推理異常檢測(cè)方法5、基于模式預(yù)測(cè)異常檢測(cè)方法.什么是誤用檢測(cè)，基于誤用檢測(cè)原理的入侵檢測(cè)方法有哪些？答：誤用檢測(cè)技術(shù)又稱(chēng)為基于知識(shí)的檢測(cè)技術(shù)。它通過(guò)對(duì)已知的入侵行為和手段進(jìn)行分析，提取檢測(cè)特征，構(gòu)建攻擊模式或攻擊簽名，判斷入侵行為。1、基于條件的概率誤用檢測(cè)方法2、基于專(zhuān)家系統(tǒng)誤用檢測(cè)方法3、基于狀態(tài)遷移分析誤用檢測(cè)方法4、基于鍵盤(pán)監(jiān)控誤用檢測(cè)方法5、基于模型誤用檢測(cè)方法.蜜網(wǎng)和蜜罐的作用是什么，它們?cè)跈z測(cè)入侵方面有什么優(yōu)勢(shì)？蜜罐的作用：