信息安全試題答案題庫資料全

35/35題庫一、選擇1.密碼學的目的是（C）。A.研究數(shù)據(jù)加密B.研究數(shù)據(jù)解密C.研究數(shù)據(jù)D.研究信息安全2.從攻擊方式區(qū)分攻擊類型，可分為被動攻擊和主動攻擊。被動攻擊難以（C），然而（C）這些攻擊是可行的；主動攻擊難以（C），然而（C）這些攻擊是可行的。A.阻止,檢測,阻止,檢測B.檢測,阻止,檢測,阻止C.檢測,阻止,阻止,檢測D.上面3項都不是3.數(shù)據(jù)性安全服務的基礎是（D）。A.數(shù)據(jù)完整性機制B.數(shù)字簽名機制C.訪問控制機制D.加密機制4.數(shù)字簽名要預先使用單向Hash函數(shù)進行處理的原因是（C）。A.多一道加密工序使密文更難破譯B.提高密文的計算速度C.縮小簽名密文的長度，加快數(shù)字簽名和驗證簽名的運算速度D.保證密文能正確還原成明文5.基于通信雙方共同擁有的但是不為別人知道的秘密，利用計算機強大的計算能力，以該秘密作為加密和解密的密鑰的認證是（C）。A.公鑰認證B.零知識認證C.共享密鑰認證D.口令認證6.為了簡化管理，通常對訪問者（A），以避免訪問控制表過于龐大。A.分類組織成組B.嚴格限制數(shù)量C.按訪問時間排序，刪除長期沒有訪問的用戶D.不作任何限制7.PKI管理對象不包括（A）。A.ID和口令B.證書C.密鑰D.證書撤消8.下面不屬于PKI組成部分的是（D）。A.證書主體B.使用證書的應用和系統(tǒng)C.證書權(quán)威機構(gòu)D.AS9.IKE協(xié)商的第一階段可以采用（C）。A.主模式、快速模式B.快速模式、積極模式C.主模式、積極模式D.新組模式10．AH協(xié)議和ESP協(xié)議有（A）種工作模式。A.二B.三C.四D.五11.（C）屬于Web中使用的安全協(xié)議。A.PEM、SSLB.S-、S/MIMEC.SSL、S-D.S/MIME、SSL12.包過濾型防火墻原理上是基于（C）進行分析的技術。A.物理層B.數(shù)據(jù)鏈路層C.網(wǎng)絡層D.應用層13.VPN的加密手段為（C）。A.具有加密功能的防火墻B.具有加密功能的路由器C.VPN的各臺主機對各自的信息進行相應的加密D.單獨的加密設備14．（B）通過一個使用專用連接的共享基礎設施，連接企業(yè)總部、遠程辦事處和分支機構(gòu)。A.AccessVPNB.IntranetVPNC.ExtranetVPND.InternetVPN15．（C）通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或感興趣的群體連接到企業(yè)部網(wǎng)。A.AccessVPNB.IntranetVPNC.ExtranetVPND.InternetVPN16.計算機病毒是計算機系統(tǒng)中一類隱藏在（C）上蓄意破壞的搗亂程序。A.存B.軟盤C.存儲介質(zhì)D.網(wǎng)絡17.“公開密鑰密碼體制”的含義是（C）。A.將所有密鑰公開B.將私有密鑰公開，公開密鑰C.將公開密鑰公開，私有密鑰D.兩個密鑰一樣18.“會話偵聽和劫持技術”是屬于（B）的技術。A.密碼分析還原B.協(xié)議漏洞滲透C.應用漏洞分析與滲透D.DOS攻擊19．攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B稱為（D）。A.中間人攻擊B.口令猜測器和字典攻擊C.強力攻擊D.回放攻擊20.在ISO/OSI定義的安全體系結(jié)構(gòu)中，沒有規(guī)定（E）。A.對象認證服務B.數(shù)據(jù)性安全服務C.訪問控制安全服務D.數(shù)據(jù)完整性安全服務E.數(shù)據(jù)可用性安全服務21.Kerberos在請求訪問應用服務器之前，必須（A）。A.向TicketGranting服務器請求應用服務器ticketB.向認證服務器發(fā)送要求獲得“證書”的請求C.請求獲得會話密鑰D.直接與應用服務器協(xié)商會話密鑰22.下列對訪問控制影響不大的是（D）。A.主體身份B.客體身份C.訪問類型D.主體與客體的類型23.PKI的主要組成不包括（B）。A.證書授權(quán)CAB.SSLC.注冊授權(quán)RAD.證書存儲庫CR24.（A）協(xié)議必須提供驗證服務。A.AHB.ESPC.GRED.以上皆是25．下列選項中能夠用在網(wǎng)絡層的協(xié)議是（D）。A.SSLB.PGPC.PPTPD.IPSec26、（A）協(xié)議是一個用于提供IP數(shù)據(jù)報完整性、身份認證和可選的抗重播保護的機制，但不提供數(shù)據(jù)性保護。A.AH協(xié)議B.ESP協(xié)議C.IPSec協(xié)議D.PPTP協(xié)議27.IPSec協(xié)議中負責對IP數(shù)據(jù)報加密的部分是（A）。A.封裝安全負載（ESP）B.鑒別（AH）C.Internet密鑰交換（IKE）D.以上都不是28.SSL產(chǎn)生會話密鑰的方式是（C）。A.從密鑰管理數(shù)據(jù)庫中請求獲得B.每一臺客戶機分配一個密鑰的方式C.隨機由客戶機產(chǎn)生并加密后通知服務器D.由服務器產(chǎn)生并分配給客戶機29.為了降低風險，不建議使用的Internet服務是（D）。A.Web服務B.外部訪問部系統(tǒng)C.部訪問InternetD.FTP服務30.火墻用于將Internet和部網(wǎng)絡隔離，（B）。A.是防止Internet火災的硬件設施B.是網(wǎng)絡安全和信息安全的軟件和硬件設施C.是保護線路不受破壞的軟件和硬件設施D.是起抗電磁干擾作用的硬件設施31.屬于第二層的VPN隧道協(xié)議有（B）。A.IPSecB.PPTPC.GRED.以上皆不是32．不屬于隧道協(xié)議的是（C）。A.PPTPB.L2TPC.TCP/IPD.IPSec33.PPTP和L2TP最適合于（D）。A.局域網(wǎng)B.企業(yè)部虛擬網(wǎng)C.企業(yè)擴展虛擬網(wǎng)D.遠程訪問虛擬專用網(wǎng)34．A方有一對密鑰（KA公開，KA秘密），B方有一對密鑰（KB公開，KB秘密），A方向B方發(fā)送數(shù)字簽名M，對信息M加密為：M’=KB公開（KA秘密（M））。B方收到密文的解密方案是（C）。A.KB公開（KA秘密（M’））B.KA公開（KA公開（M’））C.KA公開（KB秘密（M’））D.KB秘密（KA秘密（M’））35.從安全屬性對各種網(wǎng)絡攻擊進行分類，阻斷攻擊是針對（B）的攻擊。A.性B.可用性C.完整性D.真實性11．攻擊者用傳輸數(shù)據(jù)來沖擊網(wǎng)絡接口，使服務器過于繁忙以至于不能應答請求的攻擊方式是（A）。A.拒絕服務攻擊B.地址欺騙攻擊C.會話劫持D.信號包探測程序攻擊36.（D）不屬于ISO/OSI安全體系結(jié)構(gòu)的安全機制。A.通信業(yè)務填充機制B.訪問控制機制C.數(shù)字簽名機制D.審計機制E.公證機制37.CA屬于ISO安全體系結(jié)構(gòu)中定義的（D）。A.認證交換機制B.通信業(yè)務填充機制C.路由控制機制D.公證機制38.訪問控制是指確定（A）以與實施訪問權(quán)限的過程。A.用戶權(quán)限B.可給予哪些主體訪問權(quán)利C.可被用戶訪問的資源D.系統(tǒng)是否遭受入侵39.PKI支持的服務不包括（D）。A.非對稱密鑰技術與證書管理B.目錄服務C.對稱密鑰的產(chǎn)生和分發(fā)D.訪問控制服務40.AH協(xié)議中必須實現(xiàn)的驗證算法是（A）。A.HMAC-MD5和HMAC-SHA1B.NULLC.HMAC-RIPEMD-160D.以上皆是41.對動態(tài)網(wǎng)絡地址交換（NAT），不正確的說法是（B）。A.將很多部地址映射到單個真實地址B.外部網(wǎng)絡地址和部地址一對一的映射C.最多可有64000個同時的動態(tài)NAT連接D.每個連接使用一個端口42.GRE協(xié)議的乘客協(xié)議是（D）。A.IPB.IPXC.AppleTalkD.上述皆可43．目前，VPN使用了（A）技術保證了通信的安全性。隧道協(xié)議、身份認證和數(shù)據(jù)加密身份認證、數(shù)據(jù)加密隧道協(xié)議、身份認證隧道協(xié)議、數(shù)據(jù)加密44．IPSecVPN不太適合用于（C）。已知圍的IP地址的網(wǎng)絡固定圍的IP地址的網(wǎng)絡動態(tài)分配IP地址的網(wǎng)絡TCP/IP協(xié)議的網(wǎng)絡45.假設使用一種加密算法，它的加密方法很簡單：將每一個字母加5，即a加密成f。這種算法的密鑰就是5，那么它屬于（A）。A.對稱加密技術B.分組密碼技術C.公鑰加密技術D.單向函數(shù)密碼技術46.從安全屬性對各種網(wǎng)絡攻擊進行分類，截獲攻擊是針對（A）的攻擊。A.性B.可用性C.完整性D.真實性47．最新的研究和統(tǒng)計表明，安全攻擊主要來自（B）。A.接入網(wǎng)B.企業(yè)部網(wǎng)C.公用IP網(wǎng)D.個人網(wǎng)48.用于實現(xiàn)身份鑒別的安全機制是（A）。A.加密機制和數(shù)字簽名機制B.加密機制和訪問控制機制C.數(shù)字簽名機制和路由控制機制D.訪問控制機制和路由控制機制49.身份鑒別是安全服務中的重要一環(huán)，以下關于身份鑒別敘述不正確的是（B）。A.身份鑒別是授權(quán)控制的基礎B.身份鑒別一般不用提供雙向的認證C.目前一般采用基于對稱密鑰加密或公開密鑰加密的方法D.數(shù)字簽名機制是實現(xiàn)身份鑒別的重要機制50.PKI能夠執(zhí)行的功能是（A）和（C）。A.鑒別計算機消息的始發(fā)者B.確認計算機的物理位置C.保守消息的D.確認用戶具有的安全性特權(quán)51.IKE協(xié)議由（A）協(xié)議混合而成。A.ISAKMP、Oakley、SKEMEB.AH、ESPC.L2TP、GRED.以上皆不是52.一般而言，Internet防火墻建立在一個網(wǎng)絡的（C）。A.部子網(wǎng)之間傳送信息的中樞B.每個子網(wǎng)的部C.部網(wǎng)絡與外部網(wǎng)絡的交叉點D.部分部網(wǎng)絡與外部網(wǎng)絡的結(jié)合處53.VPN的英文全稱是（B）。A.VisualProtocolNetworkB.VirtualPrivateNetworkC.VirtualProtocolNetworkD.VisualPrivateNetwork54．L2TP隧道在兩端的VPN服務器之間采用（A）來驗證對方的身份。A.口令握手協(xié)議CHAPB.SSLC.KerberosD.數(shù)字證書55.信息安全的基本屬性是（D）。A.性B.可用性C.完整性D.上面3項都是56.ISO安全體系結(jié)構(gòu)中的對象認證服務，使用（B）完成。A.加密機制B.數(shù)字簽名機制C.訪問控制機制D.數(shù)據(jù)完整性機制57.Kerberos的設計目標不包括（B）。A.認證B.授權(quán)C.記賬D.審計58.IPSec協(xié)議和（C）VPN隧道協(xié)議處于同一層。A.PPTPB.L2TPC.GRED.以上皆是59.傳輸層保護的網(wǎng)絡采用的主要技術是建立在（A）基礎上的（A）。A.可靠的傳輸服務，安全套接字層SSL協(xié)議B.不可靠的傳輸服務，S-協(xié)議C.可靠的傳輸服務，S-協(xié)議D.不可靠的傳輸服務，安全套接字層SSL協(xié)議60.以下（D）不是包過濾防火墻主要過濾的信息？A.源IP地址B.目的IP地址C.TCP源端口和目的端口D.時間61.將公司與外部供應商、客戶與其他利益相關群體相連接的是（B）。A.聯(lián)網(wǎng)VPNB.外聯(lián)網(wǎng)VPNC.遠程接入VPND.無線VPN62.竊聽是一種（A）攻擊，攻擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。截獲是一種（A）攻擊，攻擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接受站之間。A.被動,無須,主動,必須B.主動,必須,被動,無須C.主動,無須,被動,必須D.被動,必須,主動,無須63．（C）是一個對稱DES加密系統(tǒng)，它使用一個集中式的專鑰密碼功能，系統(tǒng)的核心是KDC。A.TACACSB.RADIUSC.KerberosD.PKI64.下列協(xié)議中，（A）協(xié)議的數(shù)據(jù)可以受到IPSec的保護。A.TCP、UDP、IPB.ARPC.RARPD.以上皆可以65、（D）協(xié)議主要由AH、ESP和IKE協(xié)議組成。A.PPTPB.L2TPC.L2FD.IPSec66.PPTP、L2TP和L2F隧道協(xié)議屬于（B）協(xié)議。A.第一層隧道B.第二層隧道C.第三層隧道D.第四層隧道67.性服務提供信息的，性服務包括（D）。A.文件性B.信息傳輸性C.通信流的性D.以上3項都是68.不屬于VPN的核心技術是（C）。A.隧道技術B.身份認證C.日志記錄D.訪問控制69.（A）通過一個擁有與專用網(wǎng)絡一樣策略的共享基礎設施，提供對企業(yè)部網(wǎng)或外部網(wǎng)的遠程訪問。A.AccessVPNB.IntranetVPNC.ExtranetVPND.InternetVPN70.拒絕服務攻擊的后果是（E）。A.信息不可用B.應用程序不可用C.系統(tǒng)宕機D.阻止通信E.上面幾項都是71.通常所說的移動VPN是指（A）。A.AccessVPNB.IntranetVPNC.ExtranetVPND.以上皆不是二、填空密碼系統(tǒng)包括以下4個方面：明文空間、密文空間、密鑰空間和密碼算法。解密算法D是加密算法E的逆運算。如果加密密鑰和解密密鑰一樣，這種密碼體制稱為對稱密碼體制。DES算法密鑰是64位，其中密鑰有效位是56位。RSA算法的安全是基于分解兩個大素數(shù)的積的困難。公開密鑰加密算法的用途主要包括兩個方面：密鑰分配、數(shù)字簽名。消息認證是驗證信息的完整性，即驗證數(shù)據(jù)在傳送和存儲過程中是否被篡改、重放或延遲等。Hash函數(shù)是可接受變長數(shù)據(jù)輸入，并生成定長數(shù)據(jù)輸出的函數(shù)。密鑰管理的主要容包括密鑰的生成、分配、使用、存儲、備份、恢復和銷毀。密鑰生成形式有兩種：一種是由中心集中生成，另一種是由個人分散生成。密鑰的分配是指產(chǎn)生并使使用者獲得密鑰的過程。密鑰分配中心的英文縮寫是KDC。數(shù)字簽名是筆跡簽名的模擬，是一種包括防止源點或終點否認的認證技術。身份認證是驗證信息發(fā)送者是真的，而不是冒充的，包括信源、信宿等的認證和識別。訪問控制的目的是為了限制訪問主體對訪問客體的訪問權(quán)限。防火墻是位于兩個網(wǎng)絡之間，一端是部網(wǎng)絡，另一端是外部網(wǎng)絡。防火墻系統(tǒng)的體系結(jié)構(gòu)分為雙宿主機體系結(jié)構(gòu)、屏蔽主機體系結(jié)構(gòu)、屏蔽子網(wǎng)體系結(jié)構(gòu)。IDS的物理實現(xiàn)不同，按檢測的監(jiān)控位置劃分，入侵檢測系統(tǒng)可分為基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)。計算機病毒的5個特征是：主動傳染性、破壞性、寄生性（隱蔽性）、潛伏性、多態(tài)性。惡意代碼的基本形式還有后門、邏輯炸彈、特洛伊木馬、蠕蟲、細菌。蠕蟲是通過網(wǎng)絡進行傳播的。計算機病毒的工作機制有潛伏機制、傳染機制、表現(xiàn)機制。三、問答題1．簡述主動攻擊與被動攻擊的特點，并列舉主動攻擊與被動攻擊現(xiàn)象。主動攻擊是攻擊者通過網(wǎng)絡線路將虛假信息或計算機病毒傳入信息系統(tǒng)部，破壞信息的真實性、完整性與系統(tǒng)服務的可用性，即通過中斷、偽造、篡改和重排信息容造成信息破壞，使系統(tǒng)無常運行。被動攻擊是攻擊者非常截獲、竊取通信線路中的信息，使信息性遭到破壞，信息泄露而無法察覺，給用戶帶來巨大的損失。2．簡述對稱密鑰密碼體制的原理和特點。對稱密鑰密碼體制，對于大多數(shù)算法，解密算法是加密算法的逆運算，加密密鑰和解密密鑰一樣，同屬一類的加密體制。它強度高但開放性差，要求發(fā)送者和接收者在安全通信之前，需要有可靠的密鑰信道傳遞密鑰，而此密鑰也必須妥善保管。什么是序列密碼和分組密碼？序列密碼是一種對明文中的單個位（有時對字節(jié)）運算的算法。分組密碼是把明文信息分割成塊結(jié)構(gòu)，逐塊予以加密和解密。塊的長度由算法設計者預先確定。簡述公開密鑰密碼機制的原理和特點？公開密鑰密碼體制是使用具有兩個密鑰的編碼解碼算法，加密和解密的能力是分開的；這兩個密鑰一個，另一個公開。根據(jù)應用的需要，發(fā)送方可以使用接收方的公開密鑰加密消息，或使用發(fā)送方的私有密鑰簽名消息，或兩個都使用，以完成某種類型的密碼編碼解碼功能。什么是MD5？MD消息摘要算法是由Rivest提出，是當前最為普遍的Hash算法，MD5是第5個版本，該算法以一個任意長度的消息作為輸入，生成128位的消息摘要作為輸出，輸入消息是按512位的分組處理的。安全問題概述一、選擇題二、問答題請解釋5種“竊取攻擊”方式的含義。1）網(wǎng)絡踩點（Footprinting）攻擊者事先匯集目標的信息，通常采用Whois、Finger、Nslookup、Ping等工具獲得目標的一些信息，如域名、IP地址、網(wǎng)絡拓撲結(jié)構(gòu)、相關的用戶信息等，這往往是黑客入侵所做的第一步工作。2）掃描攻擊（Scanning）這里的掃描主要指端口掃描，通常采用Nmap等各種端口掃描工具，可以獲得目標計算機的一些有用信息，比如機器上打開了哪些端口，這樣就知道開設了哪些網(wǎng)絡服務。黑客就可以利用這些服務的漏洞，進行進一步的入侵。這往往是黑客入侵所做的第二步工作。3）協(xié)議棧指紋（StackFingerprinting）鑒別（也稱操作系統(tǒng)探測）黑客對目標主機發(fā)出探測包，由于不同OS廠商的IP協(xié)議棧實現(xiàn)之間存在許多細微差別，因此每種OS都有其獨特的響應方法，黑客經(jīng)常能夠確定目標主機所運行的OS。這往往也可以看作是掃描階段的一部分工作。4）信息流嗅探（Sniffering）通過在共享局域網(wǎng)中將某主機網(wǎng)卡設置成混雜（Promiscuous）模式，或在各種局域網(wǎng)中某主機使用ARP欺騙，該主機就會接收所有經(jīng)過的數(shù)據(jù)包?；谶@樣的原理，黑客可以使用一個嗅探器（軟件或硬件）對網(wǎng)絡信息流進行監(jiān)視，從而收集到和口令等信息。這是黑客入侵的第三步工作。5）會話劫持（SessionHijacking）所謂會話劫持，就是在一次正常的通信過程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流里注射額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成交由黑客中轉(zhuǎn)。這種攻擊方式可認為是黑客入侵的第四步工作——真正的攻擊中的一種。請解釋5種“非法訪問”攻擊方式的含義。1）口令破解攻擊者可以通過獲取口令文件然后運用口令破解工具進行字典攻擊或暴力攻擊來獲得口令，也可通過猜測或竊聽等方式獲取口令，從而進入系統(tǒng)進行非法訪問，選擇安全的口令非常重要。這也是黑客入侵中真正攻擊方式的一種。2)IP欺騙攻擊者可通過偽裝成被信任源IP地址等方式來騙取目標主機的信任，這主要針對LinuxUNIX下建立起IP地址信任關系的主機實施欺騙。這也是黑客入侵中真正攻擊方式的一種。3)DNS欺騙當DNS服務器向另一個DNS服務器發(fā)送某個解析請求（由域名解析出IP地址）時，因為不進行身份驗證，這樣黑客就可以冒充被請求方，向請求方返回一個被篡改了的應答（IP地址），將用戶引向黑客設定的主機。這也是黑客入侵中真正攻擊方式的一種。4)重放（Replay）攻擊在消息沒有時間戳的情況下，攻擊者利用身份認證機制中的漏洞先把別人有用的消息記錄下來，過一段時間后再發(fā)送出去。5)特洛伊木馬（TrojanHorse）把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中，而一旦用戶觸發(fā)正常程序，黑客代碼同時被激活，這些代碼往往能完成黑客早已指定的任務（如監(jiān)聽某個不常用端口，假冒登錄界面獲取和口令等）。3.請解釋下列各種“惡意攻擊DoS”的方式：PingofDeath、Teardrop、SYNFlood、LandAttack、SmurfAttack、DDoS攻擊1）PingofDeath在早期操作系統(tǒng)TCP/IP協(xié)議棧實現(xiàn)中，對單個IP報文的處理過程常是設置有一定大小的緩沖區(qū)（65535Byte），以應付IP分片的情況。接收數(shù)據(jù)包時，網(wǎng)絡層協(xié)議要對IP分片進行重組。但如果重組后的數(shù)據(jù)報文長度超過了IP報文緩沖區(qū)的上限時，就會出現(xiàn)溢出現(xiàn)象，導致TCP/IP協(xié)議棧的崩潰。2）淚滴（Teardrop）協(xié)議棧在處理IP分片時，要對收到的一樣ID的分片進行重組，這時免不了出現(xiàn)一些重疊現(xiàn)象，分片重組程序要對此進行處理。對一個分片的標識，可以用offset表示其在整個包中的開始偏移，用end表示其結(jié)束偏移。對于其他一些重疊情況，分片重組程序都能很好地處理，但對于一種特殊情況，分片重組程序就會出現(xiàn)致命失誤，即第二個分片的位置整個包含在第一個分片之。分片重組程序中，當發(fā)現(xiàn)offset2小于end1時，會將offset2調(diào)整到和end1一樣，然后更改len2：len2=end2-offset2，在這里，分片重組程序想當然地認為分片2的末尾偏移肯定是大于其起始偏移的，但在這種情況下，分片2的新長度len2變成了一個負值，這在隨后的處理過程中將會產(chǎn)生致命的操作失誤。3）SYNFlood一個正常的TCP連接，需要經(jīng)過三次握手過程才能真正建立。但是如果客戶端不按常規(guī)辦事（假定源IP根本就是一個不會產(chǎn)生響應的虛假地址），并不向服務器最終返回三次握手所必須的ACK包，這種情況下服務器對于未完成連接隊列中的每個連接表項都設置一個超時定時器，一旦超時時間到，則丟棄該表項。但黑客并不會只發(fā)送一次這樣的SYN包，如果他源源不斷發(fā)送，每個SYN包的源IP都是隨機產(chǎn)生的一些虛假地址（導致受害者不可能再進行IP過濾或追查攻擊源），受害者的目標端口未完成隊列就不斷壯大，因為超時丟棄總沒有新接收的速度快，所以直到該隊列滿為止，正常的連接請求將不會得到響應。4）LandAttack如果向Windows95的某開放端口（例如139端口）發(fā)送一個包含SYN標識的特殊的TCP數(shù)據(jù)包，將導致目標系統(tǒng)立即崩潰。做法很簡單，就是設置該SYN包的源IP為目標主機的IP，源端口為目標主機受攻擊的端口。5）SmurfAttack黑客以受害主機的名義向某個網(wǎng)絡地址發(fā)送ICMPecho請求廣播，收到該ICMPecho請求的網(wǎng)絡中的所有主機都會向“無辜”的受害主機返回ICMPecho響應，使得受害主機應接不暇，導致其對正常的網(wǎng)絡應用拒絕服務。6）DDoS攻擊DDoS攻擊是DoS攻擊的一種延伸，它之所以威力巨大，是因為其協(xié)同攻擊的能力。黑客使用DDoS工具，往往可以同時控制成百上千臺攻攻擊源，向某個單點目標發(fā)動攻擊，它還可以將各種傳統(tǒng)的DoS攻擊手段結(jié)合使用。4.了解下列各種攻擊方式：UDPFlood、FraggleAttack、電子炸彈、緩沖區(qū)溢出攻擊、社交工程1）UDPFlood有些系統(tǒng)在安裝后，沒有對缺省配置進行必要的修改，使得一些容易遭受攻擊的服務端口對外敞開著。Echo服務（TCP7和UDP7）對接收到的每個字符進行回送；Chargen（TCP19和UDP19）對每個接收到的數(shù)據(jù)包都返回一些隨機生成的字符（如果是與Chargen服務在TCP19端口建立了連接，它會不斷返回亂字符直到連接中斷）。黑客一般會選擇兩個遠程目標，生成偽造的UDP數(shù)據(jù)包，目的地是一臺主機的Chargen服務端口，來源地假冒為另一臺主機的Echo服務端口。這樣，第一臺主機上的Chargen服務返回的隨機字符就發(fā)送給第二臺主機的Echo服務了，第二臺主機再回送收到的字符，如此反復，最終導致這兩臺主機應接不暇而拒絕服務，同時造成網(wǎng)絡帶寬的損耗。2）FraggleAttack它對SmurfAttack做了簡單的修改，使用的是UDP應答消息而非ICMP。3）電子炸彈黑客利用某個“無辜”的服務器，持續(xù)不斷地向攻擊目標（地址）發(fā)送垃圾，很可能“撐破”用戶的信箱，導致正常的丟失。4）緩沖區(qū)溢出攻擊十多年來應用非常廣泛的一種攻擊手段，近年來，許多著名的安全漏洞都與緩沖區(qū)溢出有關。所謂緩沖區(qū)溢出，就是由于填充數(shù)據(jù)越界而導致程序原有流程的改變，黑客借此精心構(gòu)造填充數(shù)據(jù)，讓程序轉(zhuǎn)而執(zhí)行特殊的代碼，最終獲得系統(tǒng)的控制權(quán)。5）社交工程（SocialEngineering）一種低技術含量破壞網(wǎng)絡安全的有效方法，但它其實是高級黑客技術的一種，往往使得處在看似嚴密防護下的網(wǎng)絡系統(tǒng)出現(xiàn)致命的突破口。這種技術是利用說服或欺騙的方式，讓網(wǎng)絡部的人（安全意識薄弱的職員）來提供必要的信息，從而獲得對信息系統(tǒng)的訪問。6.請解釋下列網(wǎng)絡信息安全的要素：性、完整性、可用性、可存活性安全體系結(jié)構(gòu)與模型一、選擇題三、問答題列舉并解釋ISO/OSI中定義的5種標準的安全服務。（1）鑒別用于鑒別實體的身份和對身份的證實，包括對等實體鑒別和數(shù)據(jù)原發(fā)鑒別兩種。（2）訪問控制提供對越權(quán)使用資源的防御措施。（3）數(shù)據(jù)性針對信息泄露而采取的防御措施。分為連接性、無連接性、選擇字段性、通信業(yè)務流性四種。（4）數(shù)據(jù)完整性防止非法篡改信息，如修改、復制、插入和刪除等。分為帶恢復的連接完整性、無恢復的連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無連接完整性五種。（5）抗否認是針對對方否認的防措施，用來證實發(fā)生過的操作。包括有數(shù)據(jù)原發(fā)證明的抗否認和有交付證明的抗否認兩種。解釋六層網(wǎng)絡安全體系中各層安全性的含義。1.物理安全防止物理通路的損壞、竊聽和攻擊（干擾等），保證物理安全是整個網(wǎng)絡安全的前提，包括環(huán)境安全、設備安全和媒體安全三個方面。2.鏈路安全保證通過網(wǎng)絡鏈路傳送的數(shù)據(jù)不被竊聽，主要針對公用信道的傳輸安全。在公共鏈路上采用一定的安全手段可以保證信息傳輸?shù)陌踩?，對抗通信鏈路上的竊聽、篡改、重放、流量分析等攻擊。3.網(wǎng)絡級安全需要從網(wǎng)絡架構(gòu)（路由正確）、網(wǎng)絡訪問控制（防火墻、安全網(wǎng)關、VPN）、漏洞掃描、網(wǎng)絡監(jiān)控與入侵檢測等多方面加以保證，形成主動性的網(wǎng)絡防御體系。4.信息安全包括信息傳輸安全（完整性、性、不可抵賴和可用性等）、信息存儲安全（數(shù)據(jù)備份和恢復、數(shù)據(jù)訪問控制措施、防病毒）和信息（容）審計。5.應用安全包括應用平臺（OS、數(shù)據(jù)庫服務器、Web服務器）的安全、應用程序的安全。6.用戶安全用戶合法性，即用戶的身份認證和訪問控制。9．Windows2000Server屬于哪個安全級別，為什么？Windows2000Server屬于C2級。因為它有訪問控制、權(quán)限控制，可以避免非授權(quán)訪問，并通過注冊提供對用戶事件的跟蹤和審計。密鑰分配與管理一、填空題二、問答題5．KDC在密鑰分配過程中充當何種角色？KDC在密鑰分配過程中充當可信任的第三方。KDC保存有每個用戶和KDC之間共享的唯一密鑰，以便進行分配。在密鑰分配過程中，KDC按照需要生成各對端用戶之間的會話密鑰，并由用戶和KDC共享的密鑰進行加密，通過安全協(xié)議將會話密鑰安全地傳送給需要進行通信的雙方。數(shù)字簽名與鑒別協(xié)議一、選擇題二、填空題三、問答題1.數(shù)字簽名有什么作用？當通信雙方發(fā)生了下列情況時，數(shù)字簽名技術必須能夠解決引發(fā)的爭端：?否認，發(fā)送方不承認自己發(fā)送過某一報文。?偽造，接收方自己偽造一份報文，并聲稱它來自發(fā)送方。?冒充，網(wǎng)絡上的某個用戶冒充另一個用戶接收或發(fā)送報文。?篡改，接收方對收到的信息進行篡改。2.請說明數(shù)字簽名的主要流程。數(shù)字簽名通過如下的流程進行：(1)采用散列算法對原始報文進行運算，得到一個固定長度的數(shù)字串，稱為報文摘要(MessageDigest)，不同的報文所得到的報文摘要各異，但對一樣的報文它的報文摘要卻是惟一的。在數(shù)學上保證，只要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符，這樣就保證了報文的不可更改性。(2)發(fā)送方用目己的私有密鑰對摘要進行加密來形成數(shù)字簽名。(3)這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給接收方。(4)接收方首先對接收到的原始報文用同樣的算法計算出新的報文摘要，再用發(fā)送方的公開密鑰對報文附件的數(shù)字簽名進行解密，比較兩個報文摘要，如果值一樣，接收方就能確認該數(shù)字簽名是發(fā)送方的，否則就認為收到的報文是偽造的或者中途被篡改。3.數(shù)字證書的原理是什么？數(shù)字證書采用公開密鑰體制（例如RSA）。每個用戶設定一僅為本人所知的私有密鑰，用它進行解密和簽名；同時設定一公開密鑰，為一組用戶所共享，用于加密和驗證簽名。采用數(shù)字證書，能夠確認以下兩點：(1)保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認。(2)保證信息自簽發(fā)后到收到為止未曾做過任何修改，簽發(fā)的信息是真實信息。4.報文鑒別有什么作用，公開密鑰加密算法相對于常規(guī)加密算法有什么優(yōu)點？報文鑒別往往必須解決如下的問題：(1)報文是由確認的發(fā)送方產(chǎn)生的。(2)報文的容是沒有被修改過的。(3)報文是按傳送時的一樣順序收到的。(4)報文傳送給確定的對方。一種方法是發(fā)送方用自己的私鑰對報文簽名，簽名足以使任何人相信報文是可信的。另一種方法常規(guī)加密算法也提供了鑒別。但有兩個問題，一是不容易進行常規(guī)密鑰的分發(fā)，二是接收方?jīng)]有辦法使第三方相信該報文就是從發(fā)送方送來的，而不是接收方自己偽造的。因此，一個完善的鑒別協(xié)議往往考慮到了報文源、報文宿、報文容和報文時間性的鑒別。第十二章身份認證一、選擇題二、填空題三、問答題解釋身份認證的基本概念。身份認證是指用戶必須提供他是誰的證明，這種證實客戶的真實身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網(wǎng)絡資源，它是其他安全機制的基礎。身份認證是安全系統(tǒng)中的第一道關卡，識別身份后，由訪問監(jiān)視器根據(jù)用戶的身份和授權(quán)數(shù)據(jù)庫決定是否能夠訪問某個資源。一旦身份認證系統(tǒng)被攻破，系統(tǒng)的所有安全措施將形同虛設，黑客攻擊的目標往往就是身份認證系統(tǒng)。2.單機狀態(tài)下驗證用戶身份的三種因素是什么？（1）用戶所知道的東西：如口令、密碼。（2）用戶所擁有的東西：如智能卡、。（3）用戶所具有的生物特征：如指紋、聲音、視網(wǎng)膜掃描、DNA等。4.了解散列函數(shù)的基本性質(zhì)。散列函數(shù)H必須具有性質(zhì)：?H能用于任何長度的數(shù)據(jù)分組；?H產(chǎn)生定長的輸出；?對任何給定的x，H(x)要相對容易計算；?對任何給定的碼h，尋找x使得H(x)=h在計算上是不可行的，稱為單向性；?對任何給定的分組x，尋找不等于x的y，使得H(y)=H(x)在計算上是不可行的，稱為弱抗沖突（WeakCollisionResistance）；?尋找對任何的(x,y)對，使得H(y)=H(x)在計算上是不可行的，稱為強抗沖突（StrongCollisionResistance）。12.了解Kerberos系統(tǒng)的優(yōu)點。(1)安全：網(wǎng)絡竊聽者不能獲得必要信息以假冒其他用戶，Kerberos應足夠強壯以致于潛在的敵人無法找到它的弱點連接。(2)可靠：Kerberos應高度可靠并且應借助于—個分布式服務器體系結(jié)構(gòu)，使得一個系統(tǒng)能夠備份另一個系統(tǒng)。(3)透明：理想情況下用戶除了要求輸入口令以外應感覺不到認證的發(fā)生。(4)可伸縮：系統(tǒng)應能夠支持大數(shù)量的客戶和服務器，這意味著需要一個模塊化的分布式結(jié)構(gòu)。第十三章授權(quán)與訪問控制一、選擇題二、填空題三、問答題解釋訪問控制的基本概念。訪問控制是建立在身份認證基礎上的，通過限制對關鍵資源的訪問，防止非法用戶的侵入或因為合法用戶的不慎操作而造成的破壞。訪問控制的目的：限制主體對訪問客體的訪問權(quán)限（安全訪問策略），從而使計算機系統(tǒng)在合法圍使用。2.訪問控制有幾種常用的實現(xiàn)方法？它們各有什么特點？1訪問控制矩陣行表示客體（各種資源），列表示主體（通常為用戶），行和列的交叉點表示某個主體對某個客體的訪問權(quán)限。通常一個文件的Own權(quán)限表示可以授予（Authorize）或撤消（Revoke）其他用戶對該文件的訪問控制權(quán)限。2訪問能力表實際的系統(tǒng)中雖然可能有很多的主體與客體，但兩者之間的權(quán)限關系可能并不多。為了減輕系統(tǒng)的開銷與浪費，我們可以從主體（行）出發(fā)，表達矩陣某一行的信息，這就是訪問能力表（Capabilities）。只有當一個主體對某個客體擁有訪問的能力時，它才能訪問這個客體。但是要從訪問能力表獲得對某一特定客體有特定權(quán)限的所有主體就比較困難。在一個安全系統(tǒng)中，正是客體本身需要得到可靠的保護，訪問控制服務也應該能夠控制可訪問某一客體的主體集合，于是出現(xiàn)了以客體為出發(fā)點的實現(xiàn)方式——ACL。3訪問控制表也可以從客體（列）出發(fā)，表達矩陣某一列的信息，這就是訪問控制表（AccessControlList）。它可以對某一特定資源指定任意一個用戶的訪問權(quán)限，還可以將有一樣權(quán)限的用戶分組，并授予組的訪問權(quán)。4授權(quán)關系表授權(quán)關系表（AuthorizationRelations）的每一行表示了主體和客體的一個授權(quán)關系。對表按客體進行排序，可以得到訪問控制表的優(yōu)勢；對表按主體進行排序，可以得到訪問能力表的優(yōu)勢。適合采用關系數(shù)據(jù)庫來實現(xiàn)。8.為什么MAC能阻止特洛伊木馬？MAC能夠阻止特洛伊木馬。一個特洛伊木馬是在一個執(zhí)行某些合法功能的程序中隱藏的代碼，它利用運行此程序的主體的權(quán)限違反安全策略，通過偽裝成有用的程序在進程中泄露信息。阻止特洛伊木馬的策略是基于非循環(huán)信息流，由于MAC策略是通過梯度安全標簽實現(xiàn)信息的單向流通，從而它可以很好地阻止特洛伊木馬的泄密。第十四章PKI技術一、選擇題二、問答題2.什么是數(shù)字證書？現(xiàn)有的數(shù)字證書由誰頒發(fā)，遵循什么標準，有什么特點？數(shù)字證書是一個經(jīng)證書認證中心(CA)數(shù)字簽名的包含公開密鑰擁有者信息以與公開密鑰的文件。認證中心(CA)作為權(quán)威的、可信賴的、公正的第三方機構(gòu)，專門負責為各種認證需求提供數(shù)字證書服務。認證中心頒發(fā)的數(shù)字證書均遵循X.509V3標準。X.509標準在編排公共密鑰密碼格式方面已被廣為接受。X.509證書已應用于許多網(wǎng)絡安全，其中包括IPSec(IP安全)、SSL、SET、S/MIME。3.X.509規(guī)中是如何定義實體A信任實體B的？在PKI任又是什么具體含義？X.509規(guī)中給出了適用于我們目標的定義：當實體A假定實體B嚴格地按A所期望的那樣行動，則A信任B。在PKI中，我們可以把這個定義具體化為：如果一個用戶假定CA可以把任一公鑰綁定到某個實體上，則他信任該CA。4.有哪4種常見的信任模型？1.認證機構(gòu)的嚴格層次結(jié)構(gòu)模型認證機構(gòu)(CA)的嚴格層次結(jié)構(gòu)可以被描繪為一棵倒置的樹，根代表一個對整個PKI系統(tǒng)的所有實體都有特別意義的CA——通常叫做根CA(RootCA)，它充當信任的根或“信任錨(TrustAnchor)”——也就是認證的起點或終點。2.分布式信任結(jié)構(gòu)模型分布式信任結(jié)構(gòu)把信任分散在兩個或多個CA上。也就是說，A把CA1作為他的信任錨，而B可以把CA2做為他的信任錨。因為這些CA都作為信任錨，因此相應的CA必須是整個PKI系統(tǒng)的一個子集所構(gòu)成的嚴格層次結(jié)構(gòu)的根CA。3.Web模型Web模型依賴于流行的瀏覽器，許多CA的公鑰被預裝在標準的瀏覽器上。這些公鑰確定了一組CA，瀏覽器用戶最初信任這些CA并將它們作為證書檢驗的根。從根本上講，它更類似于認證機構(gòu)的嚴格層次結(jié)構(gòu)模型，這是一種有隱含根的嚴格層次結(jié)構(gòu)。4.以用戶為中心的信任模型每個用戶自己決定信任哪些證書。通常，用戶的最初信任對象包括用戶的朋友、家人或同事，但是否信任某證書則被許多因素所左右。9.CA有哪些具體的職責？?驗證并標識證書申請者的身份。?確保CA用于簽名證書的非對稱密鑰的質(zhì)量。?確保整個簽證過程的安全性，確保簽名私鑰的安全性。?證書材料信息(包括公鑰證書序列號、CA標識等)的管理。?確定并檢查證書的有效期限。?確保證書主體標識的惟一性，防止重名。?發(fā)布并維護作廢證書表（CRL）。?對整個證書簽發(fā)過程做日志記錄。?向申請人發(fā)通知。其中最為重要的是CA自己的一對密鑰的管理，它必須確保高度的性，防止他方偽造證書。12.什么是X.500目錄服務？X.500是一種CCITT針對已經(jīng)被ISO接受的目錄服務系統(tǒng)的建議，它定義了一個機構(gòu)如何在一個企業(yè)的全局圍共享名字和與它們相關的對象。一個完整的X.500系統(tǒng)稱為一個“目錄”，X.500是層次性的，其中的管理性域(機構(gòu)、分支、部門和工作組)可以提供這些域的用戶和資源的信息。它被認為是實現(xiàn)一個目錄服務的最好途徑。X.500目錄服務是一種用于開發(fā)一個單位部人員目錄的標準方法，這個目錄可以成為全球目錄的一部分，任何人都可以查詢這個單位中人員的信息。這個目錄有一個樹型結(jié)構(gòu)：國家，單位(或組織)，部門和個人。一個知名和最大的X.500目錄是用于管理域名注冊的InterNIC。X.500目錄服務可以向需要訪問網(wǎng)絡任何地方資源的電子函件系統(tǒng)和應用，或需要知道在網(wǎng)絡上的實體名字和地點的管理系統(tǒng)提供信息。這個目錄是一個目錄信息數(shù)據(jù)庫(DIB)。13.什么是X.509方案，它是如何實現(xiàn)數(shù)字簽名的？X.509是一種行業(yè)標準或者行業(yè)解決方案——X.509公共密鑰證書，在X.509方案中，默認的加密體制是公鑰密碼體制。為進行身份認證，X.509標準與公共密鑰加密系統(tǒng)提供了數(shù)字簽名的方案。用戶可生成一段信息與其摘要(指紋)。用戶用專用密鑰對摘要加密以形成簽名，接收者用發(fā)送者的公共密鑰對簽名解密，并將之與收到的信息“指紋”進行比較，以確定其真實性。16.實施PKI的過程中產(chǎn)生了哪些問題，如何解決？首先是實施的問題，PKI定義了嚴格的操作協(xié)議和信任層次關系。任何向CA申請數(shù)字證書的人必須經(jīng)過線下(offline)的身份驗證(通常由RA完成)，這種身份驗證工作很難擴展到整個Internet圍，因此，現(xiàn)今構(gòu)建的PKI系統(tǒng)都局限在一定圍，這造成了PKI系統(tǒng)擴展問題。由于不同PKI系統(tǒng)都定義了各自的信任策略，在進行互相認證的時候，為了避免由于信任策略不同而產(chǎn)生的問題，普遍的做法是忽略信任策略。這樣，本質(zhì)上是管理Internet上的信任關系的PKI就僅僅起到身份驗證的作用了。提出用PMI解決。18．敘述基于X.509數(shù)字證書在PKI中的作用。X.509數(shù)字證書是各實體在網(wǎng)絡中的明，它證書了實體所聲明的身份與其公鑰的匹配關系。從公鑰管理的機制講，數(shù)字證書是非對稱密碼體制中密鑰管理的媒介。即在非對稱密碼體制中，公鑰的分發(fā)、傳送是通過數(shù)字證書來實現(xiàn)的。通過數(shù)字證書，可以提供身份的認證與識別，完整性、性和不可否認等安全服務。第十五章IP的安全一、選擇題二、問答題1.IPSec和IP協(xié)議以與VPN的關系是什么？IPSec是一種由IETF設計的端到端的確保IP層通信安全的機制。不是一個單獨的協(xié)議，而是一組協(xié)議。IPSec是隨著IPv6的制定而產(chǎn)生的，后來也增加了對IPv4的支持。在前者中是必須支持的，在后者中是可選的。IPSec作為一個第三層隧道協(xié)議實現(xiàn)了VPN通信，可以為IP網(wǎng)絡通信提供透明的安全服務，免遭竊聽和篡改，保證數(shù)據(jù)的完整性和性，有效抵御網(wǎng)絡攻擊，同時保持易用性。IPSec包含了哪3個最重要的協(xié)議？簡述這3個協(xié)議的主要功能？IPSec眾多的RFC通過關系圖組織在一起，它包含了三個最重要的協(xié)議：AH、ESP、IKE。（1）AH為IP數(shù)據(jù)包提供如下3種服務：無連接的數(shù)據(jù)完整性驗證、數(shù)據(jù)源身份認證和防重放攻擊。數(shù)據(jù)完整性驗證通過哈希函數(shù)（如MD5）產(chǎn)生的校驗來保證；數(shù)據(jù)源身份認證通過在計算驗證碼時加入一個共享密鑰來實現(xiàn)；AH報頭中的序列號可以防止重放攻擊。（2）ESP除了為IP數(shù)據(jù)包提供AH已有的3種服務外，還提供數(shù)據(jù)包加密和數(shù)據(jù)流加密。數(shù)據(jù)包加密是指對一個IP包進行加密（整個IP包或其載荷部分），一般用于客戶端計算機；數(shù)據(jù)流加密一般用于支持IPSec的路由器，源端路由器并不關心IP包的容，對整個IP包進行加密后傳輸，目的端路由器將該包解密后將原始數(shù)據(jù)包繼續(xù)轉(zhuǎn)發(fā)。AH和ESP可以單獨使用，也可以嵌套使用?？梢栽趦膳_主機、兩臺安全網(wǎng)關（防火墻和路由器），或者主機與安全網(wǎng)關之間使用。（3）IKE負責密鑰管理，定義了通信實體間進行身份認證、協(xié)商加密算法以與生成共享的會話密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟(SA)中，供AH和ESP以后通信時使用。解釋域(DOI)為使用IKE進行協(xié)商SA的協(xié)議統(tǒng)一分配標識符。第十六章電子的安全一、問答題1.電子存在哪些安全性問題？1）垃圾包括廣告、騷擾、連鎖、反動等。垃圾會增加網(wǎng)絡負荷，影響網(wǎng)絡傳輸速度，占用服務器的空間。2）詐騙通常指那些帶有惡意的欺詐性。利用電子的快速、便宜，發(fā)信人能迅速讓大量受害者上當。3）炸彈指在短時間向同一信箱發(fā)送大量電子的行為，信箱不能承受時就會崩潰。4）通過電子傳播的病毒通常用VBScript編寫，且大多數(shù)采用附件的形式夾帶在電子中。當收信人打開附件后，病毒會查詢他的通訊簿，給其上所有或部分人發(fā)信，并將自身放入附件中，以此方式繼續(xù)傳播擴散。端到端的安全電子技術，能夠保證從發(fā)出到接收的整個過程中的哪三種安全性？端到端的安全電子技術，保證從被發(fā)出到被接收的整個過程中，容、無法修改、并且不可否認。目前的Internet上，有兩套成型的端到端安全電子標準：PGP和S/MIME。它一般只對信體進行加密和簽名，而信頭則由于傳輸中尋址和路由的需要，必須保證原封不動。畫圖說明PGP的工作原理。第十七章Web與電子商務的安全一、選擇題二、問答題1.討論一下為什么CGI出現(xiàn)的漏洞對Web服務器的安全威脅最大？相比前面提到的問題，CGI可能出現(xiàn)的漏洞很多，而被攻破后所能造成的威脅也很大。程序設計人員的一個簡單的錯誤或不規(guī)的編程就可能為系統(tǒng)增加一個安全漏洞。一個故意放置的有惡意的CGI程序能夠自由訪問系統(tǒng)資源，使系統(tǒng)失效、刪除文件或查看顧客的信息(包括用戶名和口令)。比較JavaApplet和ActiveX實現(xiàn)安全性的不同。JavaApplet就是活動容的一種。它使用Java語言開發(fā)，可以實現(xiàn)各種各樣的客戶端應用。這些Applet隨頁面下載下來，只要瀏覽器兼容Java，它就可在客戶機上自動運行。Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來限制JavaApplet的活動。ActiveX是另一種活動容的形式，可以用許多程序設汁語言來開發(fā)，但它只能運行在安裝Windows的計算機上。ActiveX在安全性方面不如JavaApplet。一旦下載，它就能像其他程序一樣執(zhí)行，能訪問包括操作系統(tǒng)代碼在的所有系統(tǒng)資源，這是非常危險的。說明SSL的概念和功能。安全套接層協(xié)議SSL主要是使用公開密鑰體制和X.509數(shù)字證書技術保護信息傳輸?shù)男院屯暾?，但它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸。它是Netscape公司提出的基于Web應用的安全協(xié)議，它包括服務器認證、客戶認證(可選)、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)性。SSL通過在瀏覽器軟件和Web服務器之間建立一條安全通道，實現(xiàn)信息在Internet中傳送的性。在TCP/IP協(xié)議族中，SSL位于TCP層之上、應用層之下。這使它可以獨立于應用層，從而使應用層協(xié)議可以直接建立在SSL之上。SSL協(xié)議包括以下一些子協(xié)議；SSL記錄協(xié)議、SSL握手協(xié)議、SSL更改密碼說明協(xié)議和SSL警告協(xié)議。SSL記錄協(xié)議建立在可靠的傳輸協(xié)議(例如TCP)上，用來封裝高層的協(xié)議。SSL握手協(xié)議準許服務器端與客戶端在開始傳輸數(shù)據(jù)前，能夠通過特定的加密算法相互鑒別。什么是SET電子錢包？SET交易發(fā)生的先決條件是，每個持卡人(客戶)必須擁有一個惟一的電子(數(shù)字)證書，且由客戶確定口令，并用這個口令對數(shù)字證書、私鑰、信用卡與其他信息進行加密存儲，這些與符合SET協(xié)議的軟件一起組成了一個SET電子錢包。簡述SSL的記錄協(xié)議和握手協(xié)議。SSL記錄協(xié)議是建立在可靠的傳輸協(xié)議（如TCP）之上，為更高層提供基本的安全服務，如提供數(shù)據(jù)封裝、眼所、加密等基本功能的支持。SSL記錄協(xié)議用來定義數(shù)據(jù)傳輸?shù)母袷?，它包括的記錄頭和記錄數(shù)據(jù)格式的規(guī)定。在SSL協(xié)議中，所有的傳輸數(shù)據(jù)都被封裝在記錄中。SSL握手協(xié)議負責建立當前會話狀態(tài)的參數(shù)。雙方協(xié)商一個協(xié)議版本，選擇密碼算法，相互認證（不是必須的），并且使用公鑰加密技術通過一系列交換的消息在客戶端和服務器之間生成共享密鑰。第十八章防火墻技術一、選擇題二、填空題三、問答題1.什么是防火墻，為什么需要有防火墻？防火墻是一種裝置，它是由軟件/硬件設備組合而成，通常處于企業(yè)的部局域網(wǎng)與Internet之間，限制Internet用戶對部網(wǎng)絡的訪問以與管理部用戶訪問Internet的權(quán)限。換言之，一個防火墻在一個被認為是安全和可信的部網(wǎng)絡和一個被認為是不那么安全和可信的外部網(wǎng)絡(通常是Internet)之間提供一個封鎖工具。如果沒有防火墻，則整個部網(wǎng)絡的安全性完全依賴于每個主機，因此，所有的主機都必須達到一致的高度安全水平，這在實際操作時非常困難。而防火墻被設計為只運行專用的訪問控制軟件的設備，沒有其他的服務，因此也就意味著相對少一些缺陷和安全漏洞，這就使得安全管理變得更為方便，易于控制，也會使部網(wǎng)絡更加安全。防火墻所遵循的原則是在保證網(wǎng)絡暢通的情況下，盡可能保證部網(wǎng)絡的安全。它是一種被動的技術，是一種靜態(tài)安全部件。2.防火墻應滿足的基本條件是什么？作為網(wǎng)絡間實施網(wǎng)間訪問控制的一組組件的集合，防火墻應滿足的基本條件如下：(1)部網(wǎng)絡和外部網(wǎng)絡之間的所有數(shù)據(jù)流必須經(jīng)過防火墻。(2)只有符合安全策略的數(shù)據(jù)流才能通過防火墻。(3)防火墻自身具有高可靠性，應對滲透(Penetration)免疫，即它本身是不可被侵入的。3.列舉防火墻的幾個基本功能？(1)隔離不同的網(wǎng)絡，限制安全問題的擴散，對安全集中管理，簡化了安全管理的復雜程度。(2)防火墻可以方便地記錄網(wǎng)絡上的各種非法活動，監(jiān)視網(wǎng)絡的安全性，遇到緊急情況報警。(3)防火墻可以作為部署NAT的地點，利用NAT技術，將有限的IP地址動態(tài)或靜態(tài)地與部的IP地址對應起來，用來緩解地址空間短缺的問題或者隱藏部網(wǎng)絡的結(jié)構(gòu)。(4)防火墻是審計和記錄Internet使用費用的一個最佳地點。(5)防火墻也可以作為IPSec的平臺。(6)容控制功能。根據(jù)數(shù)據(jù)容進行控制，比如防火墻可以從電子中過濾掉垃圾，可以過濾掉部用戶訪問外部服務的圖片信息。只有代理服務器和先進的過濾才能實現(xiàn)。包過濾防火墻的過濾原理是什么？包過濾防火墻也稱分組過濾路由器，又叫網(wǎng)絡層防火墻，因為它是工作在網(wǎng)絡層。路由器便是一個網(wǎng)絡層防火墻，因為包過濾是路由器的固有屬性。它一般是通過檢查單個包的地址、協(xié)議、端口等信息來決定是否允許此數(shù)據(jù)包通過，有靜態(tài)和動態(tài)兩種過濾方式。這種防火墻可以提供部信息以說明所通過的連接狀態(tài)和一些數(shù)據(jù)流的容，把判斷的信息同規(guī)則表進行比較，在規(guī)則表中定義了各種規(guī)則來表明是否同意或拒絕包的通過。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則（丟棄該包）。在制定數(shù)據(jù)包過濾規(guī)則時，一定要注意數(shù)據(jù)包是雙向的。狀態(tài)檢測防火墻的原理是什么，相對包過濾防火墻有什么優(yōu)點？狀態(tài)檢測又稱動態(tài)包過濾，所以狀態(tài)檢測防火墻又稱動態(tài)防火墻，最早由CheckPoint提出。狀態(tài)檢測是一種相當于4、5層的過濾技術，既提供了比包過濾防火墻更高的安全性和更靈活的處理，也避免了應用層網(wǎng)關的速度降低問題。要實現(xiàn)狀態(tài)檢測防火墻，最重要的是實現(xiàn)連接的跟蹤功能，并且根據(jù)需要可動態(tài)地在過濾規(guī)則中增加或更新條目。防火墻應當包含關于包最近已經(jīng)通過它的“狀態(tài)信息”，以決定是否讓來自Internet的包通過或丟棄。應用層網(wǎng)關的工作過程是什么？它有什么優(yōu)缺點？主要工作在應用層，又稱為應用層防火墻。它檢查進出的數(shù)據(jù)包，通過自身復制傳遞數(shù)據(jù)，防止在受信主機與非受信主機間直接建立聯(lián)系。應用層網(wǎng)關能夠理解應用層上的協(xié)議，能夠做復雜的訪問控制，并做精細的注冊和審核?；竟ぷ鬟^程是：當客戶機需要使用服務器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務器，代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù)，然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。常用的應用層網(wǎng)關已有相應的代理服務軟件，如、SMTP、FTP、Telnet等，但是對于新開發(fā)的應用，尚沒有相應的代理服務，它們將通過網(wǎng)絡層防火墻和一般的代理服務。應用層網(wǎng)關有較好的訪問控制能力，是目前最安全的防火墻技術。能夠提供容過濾、用戶認證、頁面緩存和NAT等功能。但實現(xiàn)麻煩，有的應用層網(wǎng)關缺乏“透明度”。應用層網(wǎng)關每一種協(xié)議需要相應的代理軟件，使用時工作量大，效率明顯不如網(wǎng)絡層防火墻。代理服務器有什么優(yōu)缺點？代理服務技術的優(yōu)點是：隱蔽部網(wǎng)絡拓撲信息；網(wǎng)關理解應用協(xié)議，可以實施更細粒度的訪問控制；較強的數(shù)據(jù)流監(jiān)控和報告功能。（主機認證和用戶認證）缺點是對每一類應用都需要一個專門的代理，靈活性不夠；每一種網(wǎng)絡應用服務的安全問題各不一樣，分析困難，因此實現(xiàn)困難。速度慢。什么是堡壘主機，它有什么功能？堡壘主機(BastionHost)的硬件是一臺普通的主機（其操作系統(tǒng)要求可靠性好、可配置性好），它使用軟件配置應用網(wǎng)關程序，從而具有強大而完備的功能。它是部網(wǎng)絡和Internet之間的通信橋梁，它中繼（不允許轉(zhuǎn)發(fā)）所有的網(wǎng)絡通信服務，并具有認證、訪問控制、日志記錄、審計監(jiān)控等功能。它作為部網(wǎng)絡上外界惟一可以訪問的點，在整個防火墻系統(tǒng)中起著重要的作用，是整個系統(tǒng)的關鍵點。什么是雙宿主機模式，如何提高它的安全性？雙宿主主機模式是最簡單的一種防火墻體系結(jié)構(gòu)，該模式是圍繞著至少具有兩個網(wǎng)絡接口的堡壘主機構(gòu)成的。雙宿主主機外的網(wǎng)絡均可與雙宿主主機實施通信，但外網(wǎng)絡之間不可直接通信（不能直接轉(zhuǎn)發(fā)）。雙宿主主機可以通過代理或讓用戶直接到其上注冊來提供很高程度的網(wǎng)絡控制。由于雙宿主機直接暴露在外部網(wǎng)絡中，如果入侵者得到了雙宿主主機的訪問權(quán)（使其成為一個路由器），部網(wǎng)絡就會被入侵，所以為了保證部網(wǎng)的安全，雙宿主主機首先要禁止網(wǎng)絡層的路由功能，還應具有強大的身份認證系統(tǒng)，盡量減少防火墻上用戶的賬戶數(shù)。邊界防火墻有哪些缺陷？分布式防火墻的組成是什么，它有哪些優(yōu)勢？首先是結(jié)構(gòu)性限制。隨著企業(yè)業(yè)務規(guī)模的擴大，數(shù)據(jù)信息的增長，使得企業(yè)網(wǎng)的邊界已成為一個邏輯邊界的概念，物理的邊界日趨模糊，因此邊界防火墻的應用受到越來越多的結(jié)構(gòu)性限制。其次是部威脅。當攻擊來自信任的地帶時，邊界防火墻自然無法抵御，被攻擊在所難免。最后是效率和故障。邊界防火墻把檢查機制集中在網(wǎng)絡邊界處的單點上，一旦被攻克，整個部網(wǎng)絡將完全暴露在外部攻擊者面前。分布式防火墻是三部分組成的立體防護系統(tǒng)：1）網(wǎng)絡防火墻(NetworkFirewall)：它承擔著傳統(tǒng)邊界防火墻看守大門的職責；2）主機防火墻(HostFirewall)：它解決了邊界防火墻不能很好解決的問題(例如來自部的攻擊和結(jié)構(gòu)限制等)；3）集中管理(CentralManagement)：它解決了由分布技術而帶來的管理問題。分布式防火墻的優(yōu)勢主要有：(1)保證系統(tǒng)的安全性。分布式防火墻技術增加了針對主機的入侵檢測和防護功能，加強了對來自于部的攻擊的防，對用戶網(wǎng)絡環(huán)境可以實施全方位的安全策略，并提供了多層次立體的防體系。(2)保證系統(tǒng)性能穩(wěn)定高效。消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)整體安全性能。(3)保證系統(tǒng)的擴展性。伴隨網(wǎng)絡系統(tǒng)擴充，分布式防火墻技術可為安全防護提供強大的擴充能力。第十九章VPN技術一、選擇題二、問答題1.解釋VPN的基本概念。VPN是VirtualPrivateNetwork的縮寫，是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。Virtual是針對傳統(tǒng)的企業(yè)“專用網(wǎng)絡”而言的。VPN則是利用公共網(wǎng)絡資源和設備建立一個邏輯上的專用通道，盡管沒有自己的專用線路，但它卻可以提供和專用網(wǎng)絡同樣的功能。Private表示VPN是被特定企業(yè)或用戶私有的，公共網(wǎng)絡上只有經(jīng)過授權(quán)的用戶才可以使用。在該通道傳輸?shù)臄?shù)據(jù)經(jīng)過了加密和認證，保證了傳輸容的完整性和性。簡述VPN使用了哪些主要技術。1）隧道（封裝）技術是目前實現(xiàn)不同VPN用戶業(yè)務區(qū)分的基本方式。一個VPN可抽象為一個沒有自環(huán)的連通圖，每個頂點代表一個VPN端點（用戶數(shù)據(jù)進入或離開VPN的設備端口），相鄰頂點之間的邊表示連結(jié)這兩對應端點的邏輯通道，即隧道。隧道以疊加在IP主干網(wǎng)上的方式運行。需安全傳輸?shù)臄?shù)據(jù)分組經(jīng)一定的封裝處理，從信源的一個VPN端點進入VPN，經(jīng)相關隧道穿越VPN（物理上穿越不安全的互聯(lián)網(wǎng)），到達信宿的另一個VPN端點，再經(jīng)過相應解封裝處理，便得到原始數(shù)據(jù)。（不僅指定傳送的路徑，在中轉(zhuǎn)節(jié)點也不會解析原始數(shù)據(jù)）2）當用戶數(shù)據(jù)需要跨越多個運營商的網(wǎng)絡時，在連接兩個獨立網(wǎng)絡的節(jié)點該用戶的數(shù)據(jù)分組需要被解封裝和再次封裝，可能會造成數(shù)據(jù)泄露，這就需要用到加密技術和密鑰管理技術。目前主要的密鑰交換和管理標準有SKIP和ISAKMP（安全聯(lián)盟和密鑰管理協(xié)議）。3）對于支持遠程接入或動態(tài)建立隧道的VPN，在隧道建立之前需要確認訪問者身份，是否可以建立要求的隧道，若可以，系統(tǒng)還需根據(jù)訪問者身份實施資源訪問控制。這需要訪問者與設備的身份認證技術和訪問控制技術。VPN有哪三種類型？它們的特點和應用場合分別是什么？1.AccessVPN（遠程接入網(wǎng)）即所謂移動VPN，適用于企業(yè)部人員流動頻繁和遠程辦公的情況，出差員工或在家辦公的員工利用當?shù)豂SP就可以和企業(yè)的VPN網(wǎng)關建立私有的隧道連接。通過撥入當?shù)氐腎SP進入Internet再連接企業(yè)的VPN網(wǎng)關，在用戶和VPN網(wǎng)關之間建立一個安全的“隧道”，通過該隧道安全地訪問遠程的部網(wǎng)（節(jié)省通信費用，又保證了安全性）。撥入方式包括撥號、ISDN、ADSL等，唯一的要求就是能夠使用合法IP地址訪問Internet。2.IntranetVPN（聯(lián)網(wǎng)）如果要進行企業(yè)部異地分支結(jié)構(gòu)的互聯(lián)，可以使用IntranetVPN的方式，即所謂的網(wǎng)關對網(wǎng)關VPN。在異地兩個網(wǎng)絡的網(wǎng)關之間建立了一個加密的VPN隧道，兩端的部網(wǎng)絡可以通過該VPN隧道安全地進行通信。3.ExtranetVPN（外聯(lián)網(wǎng)）如果一個企業(yè)希望將客戶、供應商、合作伙伴連接到企業(yè)部網(wǎng)，可以使用ExtranetVPN。其實也是一種網(wǎng)關對網(wǎng)關的VPN，但它需要有不同協(xié)議和設備之間的配合和不同的安全配置。舉例說明什么是乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議？（1）乘客協(xié)議：用戶真正要傳輸（也即被封裝）的數(shù)據(jù)，如IP、PPP、SLIP等。（2）封裝協(xié)議：用于建立、保持和拆卸隧道，如L2F、PPTP、L2TP、GRE。（3）傳輸協(xié)議：乘客協(xié)議被封裝后應用傳輸協(xié)議，例如UDP協(xié)議。8.了解第三層隧道協(xié)議——GRE。GRE是通用的路由封裝協(xié)議，支持全部的路由協(xié)議（如RIP2、OSPF等），用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包（IP、IPX、NetBEUI等）。在GRE中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是GRE，傳輸協(xié)議就是IP。在GRE的處理中，很多協(xié)議的細微差別都被忽略，這使得GRE不限于某個特定的“XoverY”的應用，而是一種通用的封裝形式。原始IP包的IP地址通常是企業(yè)私有網(wǎng)絡規(guī)劃的保留IP地址，而外層的IP地址是企業(yè)網(wǎng)絡出口的IP地址，因此，盡管私有網(wǎng)絡的IP地址無法和外部網(wǎng)絡進行正確的路由，但這個封裝之后的IP包可以在Internet上路由——最簡單的VPN技術。（NAT，非IP數(shù)據(jù)包能在IP互聯(lián)網(wǎng)上傳送）GREVPN適合一些小型點對點的網(wǎng)絡互聯(lián)。第二十章安全掃描技術一、問答題1.簡述常見的黑客攻擊過程。1目標探測和信息攫取先確定攻擊日標并收集目標系統(tǒng)的相關信息。一般先大量收集網(wǎng)上主機的信息，然后根據(jù)各系統(tǒng)的安全性強弱確定最后的目標。1)踩點（Footprinting）黑客必須盡可能收集目標系統(tǒng)安全狀況的各種信息。Whois數(shù)據(jù)庫查詢可以獲得很多關于目標系統(tǒng)的注冊信息，DNS查詢(用Windows/UNIX上提供的nslookup命令客戶端)也可令黑客獲得關于目標系統(tǒng)域名、IP地址、DNS務器、服務器等有用信息。此外還可以用traceroute工具獲得一些網(wǎng)絡拓撲和路由信息。2)掃描（Scanning）在掃描階段，我們將使用各種工具和技巧(如Ping掃射、端口掃描以與操作系統(tǒng)檢測等)確定哪些系統(tǒng)存活著、它們在監(jiān)聽哪些端口(以此來判斷它們在提供哪些服務)，甚至更進一步地獲知它們運行的是什么操作系統(tǒng)。3)查點（Enumeration）從系統(tǒng)中抽取有效賬號或?qū)С鲑Y源名的過程稱為查點，這些信息很可能成為目標系統(tǒng)的禍根。比如說，一旦查點查出一個有效用戶名或共享資源，攻擊者猜出對應的密碼或利用與資源共享協(xié)議關聯(lián)的某些脆弱點通常就只是一個時間問題了。查點技巧差不多都是特定于操作系統(tǒng)的，因此要求使用前面步驟匯集的信息。2獲得訪問權(quán)（GainingAccess）通過密碼竊聽、共享文件的野蠻攻擊、攫取密碼文件并破解或緩沖區(qū)溢出攻擊等來獲得系統(tǒng)的訪問權(quán)限。3特權(quán)提升（EscalatingPrivilege）在獲得一般賬戶后，黑客經(jīng)常會試圖獲得更高的權(quán)限，比如獲得系統(tǒng)管理員權(quán)限。通?？梢圆捎妹艽a破解(如用L0phtcrack破解NT的SAM文件)、利用已知的漏洞或脆弱點等技術。4竊?。⊿tealing）對敏感數(shù)據(jù)進行篡改、添加、刪除與復制（如Windows系統(tǒng)的注冊表、UNIX的rhost文件等）。5掩蓋蹤跡（CoveringTracks）此時最重要就隱藏自己蹤跡，以防被管理員發(fā)覺，比如清除日志記錄、使用rootkits等工具。6創(chuàng)建后門（CreatingBookdoor）在系統(tǒng)的不同部分布置陷阱和后門，以便入侵者在以后仍能從容獲得特權(quán)訪問。掌握幾種主要的端口掃描方式。安全掃描系統(tǒng)的邏輯結(jié)構(gòu)是什么？1.策略分析部分用于控制網(wǎng)絡安全掃描系統(tǒng)的功能，即根據(jù)系統(tǒng)預先設定的配置文件，它應當檢測哪些Internet域的主機并進行哪些檢測(簡單、中級和高級)。2.獲取檢測工具部分用于決定對給定的目標系統(tǒng)進行檢測的工具。目標系統(tǒng)可以是一個主機，或是某個子網(wǎng)上的所有主機。確定目標系統(tǒng)后，該部分就可以根據(jù)策略分析部分得出的測試級別類，確定需要應用的檢測工具。3.獲取數(shù)據(jù)部分對于給定的檢測工具，獲取數(shù)據(jù)部分運行對應的檢測過程，收集數(shù)據(jù)信息并產(chǎn)生新的事實記錄。最后獲得的新的事實記錄是事實分析部分的輸入。4.事實分析部分對于給定的事實記錄，事實分析部分能產(chǎn)生出新的目標系統(tǒng)、新的檢測工具和新的事實記錄。新的目標系統(tǒng)作為獲取檢測工具部分的輸入，新的檢測工具又作為獲取數(shù)據(jù)部分的輸入，新的事實記錄又再一次作為事實分析部分的輸入。循環(huán)直到不產(chǎn)生新的事實記錄為止。5.報告分析部分報告分析部分將關于目標系統(tǒng)的大量有用的信息組織起來，用HTML界面顯示，使用戶可以通過Web瀏覽器方便查看運行的結(jié)果。9．什么是漏洞掃描？系統(tǒng)漏洞檢測又稱漏洞掃描，就是對重要網(wǎng)絡信息進行檢查，發(fā)現(xiàn)其中可被攻擊者利用的漏洞。第二十一章入侵檢測與安全審計一、填空題1．二、問答題1.什么是IDS，它有哪些基本功能？入侵檢測系統(tǒng)IDS，它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，檢查網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門。1）監(jiān)測并分析用戶和系統(tǒng)的活動，查找非法用戶和合法用戶的越權(quán)操作；2）核查系統(tǒng)配置和漏洞并提示管理員修補漏洞；3）評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性；4）識別已知的攻擊行為，統(tǒng)計分析異常行為；5）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動等。什么是基于主機的IDS、基于網(wǎng)絡的IDS、分布式IDS？1.基于主機的入侵檢測系統(tǒng)基于主機的IDS的輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，即在每個要保護的主機上運行一個代理程序，一般只能檢測該主機上發(fā)生的入侵。它在重要的系統(tǒng)服務器、工作站或用戶機器上運行，監(jiān)視操作系統(tǒng)或系統(tǒng)事件級別的可疑活動(如嘗試登錄失敗)。此類系統(tǒng)需要定義清楚哪些是不合法的活動，然后把這種安全策略轉(zhuǎn)換成入侵檢測規(guī)則。2.基于網(wǎng)絡的入侵檢測系統(tǒng)基于網(wǎng)絡的IDS的輸入數(shù)據(jù)來源于網(wǎng)絡的信息流，該類系統(tǒng)一般被動地在網(wǎng)絡上監(jiān)聽整個網(wǎng)段上的信息流，通過捕獲網(wǎng)絡數(shù)據(jù)包，進行分析，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡入侵。3.分布式入侵檢測系統(tǒng)分布式IDS一般由多個部件組成，分布在網(wǎng)絡的各個部分，完成相應功能，分別進行數(shù)據(jù)采集、數(shù)據(jù)分析等。通過中心的控制部件進行數(shù)據(jù)匯總、分析、產(chǎn)生入侵警報等。在這種結(jié)構(gòu)下，不僅可以檢測到針對單獨主機的入侵，同時也可以檢測到針對整個網(wǎng)絡上的主機的入侵。IDS有哪兩類分析方法，并對兩者分析比較。1.異常檢測假定所有入侵行為都是與正常行為不同的，如果建立系統(tǒng)正常行為的軌跡（特征文件Profiles），那么理論上可以通過統(tǒng)計那些不同于我們已建立的特征文件的所有系統(tǒng)狀態(tài)的數(shù)量，來識別入侵企圖，即把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑企圖。例如，一個程序員的正?；顒?/p>