“信息安全技術(shù)”第四章 入侵檢測與審計(jì) 的課后作業(yè)

1、信息安全技術(shù)第四章入侵檢測和審計(jì)后任務(wù)1、網(wǎng)絡(luò)入侵的特征是什么？特征：沒有時間和空間限制；具有很強(qiáng)的隱蔽性。具有復(fù)雜性和欺騙性。具有更大的危害性。什么是入侵檢測？入侵檢測：入侵檢測(id: intrusion detection)是識別和響應(yīng)試圖破壞計(jì)算機(jī)和網(wǎng)絡(luò)資源完整性、機(jī)密性和可用性的入侵行為的過程。什么是入侵檢測系統(tǒng)？入侵檢測系統(tǒng)(IDS，Intrusion Detection System)是防火墻的補(bǔ)充。作為重要的網(wǎng)絡(luò)安全工具，實(shí)時檢測系統(tǒng)或網(wǎng)絡(luò)資源，及時發(fā)現(xiàn)入侵系統(tǒng)或網(wǎng)絡(luò)的入侵者，并防止合法用戶的資源故障。入侵檢測基于哪兩個假設(shè)？可以在一個計(jì)算機(jī)系統(tǒng)中檢測用戶和程序的所有行為；系統(tǒng)

2、入侵的結(jié)果與合法運(yùn)營的結(jié)果有明顯的區(qū)別。5，列出三種以上的檢測方法，簡述其原理。1.基于統(tǒng)計(jì)的入侵檢測技術(shù)：設(shè)置由一組統(tǒng)計(jì)參數(shù)(例如CPU和I/O利用率、文件訪問、錯誤率、網(wǎng)絡(luò)連接等)組成的用戶的動作或基于計(jì)算機(jī)使用的動作特征輪廓，實(shí)時檢測用戶在審計(jì)系統(tǒng)中的使用情況，并在系統(tǒng)內(nèi)部存儲用戶動作概率統(tǒng)計(jì)模型，以便進(jìn)行檢測分析。2.基于用戶行為的神經(jīng)網(wǎng)絡(luò)異常檢測技術(shù)：利用用戶正常行為樣本教育神經(jīng)網(wǎng)絡(luò)，提取用戶的行為特征，形成用戶行為特征輪廓。如果檢測到的用戶行為是大偏差，則認(rèn)為是異常行為。3.基于程序行為的神經(jīng)網(wǎng)絡(luò)異常檢測技術(shù)：每個過程可以由執(zhí)行軌跡(開始-結(jié)束期間的系統(tǒng)調(diào)用順序列表)說明，程序的正

3、常行為可以由該執(zhí)行軌跡的局部模式(短序列)表示，離開這些模式意味著入侵。因此，可以監(jiān)視進(jìn)程使用的系統(tǒng)調(diào)用以執(zhí)行入侵檢測。4.基于免疫的異常檢測技術(shù)：由Forrest等提出，將入侵檢測視為區(qū)分“自我”和“非自我”的過程。該技術(shù)對網(wǎng)絡(luò)服務(wù)的正常運(yùn)行建模，首先收集一些參考審計(jì)記錄，形成表示正確行為模式的參考表，實(shí)時檢測進(jìn)程系統(tǒng)中的調(diào)用序列是否符合正常模式。5.支持向量機(jī)(SVM，Support Vector Machines)由N.V.Vapnik等在1992年至1995年正式提出。該理論在數(shù)據(jù)分類及回歸估計(jì)中的應(yīng)用取得了巨大成功。支持向量機(jī)學(xué)習(xí)算法的優(yōu)點(diǎn)是基于更精密的機(jī)器學(xué)習(xí)理論-統(tǒng)計(jì)學(xué)習(xí)理論，具

4、有良好的泛化能力。標(biāo)準(zhǔn)支持向量機(jī)處理兩類數(shù)據(jù)的分類問題，結(jié)果相當(dāng)好。實(shí)施方法：基于用戶行為，基于程序行為基于無監(jiān)督學(xué)習(xí)的異常檢測技術(shù)：理論基礎(chǔ)：異常行為與正常行為大不相同。異常行為的數(shù)量與正常行為相比所占的比例較小。一般方法：群集：將包含最多記錄的類視為正常，將其他類視為異常孤島檢測將孤立點(diǎn)視為異常特征：樣品要求沒有監(jiān)督學(xué)習(xí)異常檢測那么苛刻。離線測試6、入侵檢測技術(shù)在設(shè)計(jì)理念上主要分為兩種嗎？各自的特點(diǎn)是什么？1.異常檢測：主要通過檢測用戶的異常動作來檢測入侵事件。檢測方法的原則：任何與已知行為模型不匹配的行為都被視為入侵行為。誤用檢測：也稱為濫用檢測，首先對已知入侵的入侵特征建模，然后使用用

5、戶當(dāng)前的行為和系統(tǒng)狀態(tài)與此類入侵模型匹配。檢測方法的起點(diǎn)：所有與已知行為模型匹配的行為都是入侵行為。7、從數(shù)據(jù)源看，如何劃分入侵檢測系統(tǒng)？各自的特點(diǎn)是什么？1.基于主機(jī)的入侵檢測系統(tǒng)：根據(jù)主機(jī)的審計(jì)追蹤數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件。其目標(biāo)環(huán)境是主機(jī)系統(tǒng)，適用于此系統(tǒng)用戶。優(yōu)點(diǎn)根據(jù)各種操作系統(tǒng)的特征，很容易確定應(yīng)用層的入侵事件。準(zhǔn)確評估本地安全狀態(tài)缺點(diǎn)使用主機(jī)寶貴資源的高成本2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過連接到網(wǎng)絡(luò)的站點(diǎn)捕獲消息，并根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析等數(shù)據(jù)判斷是否發(fā)生了入侵。優(yōu)點(diǎn)實(shí)時響應(yīng)、低運(yùn)營成本、易于安裝和使用。缺點(diǎn)對加密通信的檢測分析能力不強(qiáng)，容易受到拒絕服務(wù)攻擊。3.多源入侵檢測系統(tǒng)

6、基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)在實(shí)際應(yīng)用中各有優(yōu)缺點(diǎn)，兩者在檢測范圍和能力上都有一定的互補(bǔ)性?；谥鳈C(jī)和基于網(wǎng)絡(luò)的方法結(jié)合使用可以獲得更好的測試結(jié)果8、分析了集中式入侵檢測系統(tǒng)的優(yōu)缺點(diǎn)。優(yōu)點(diǎn)：a)檢測系統(tǒng)內(nèi)部發(fā)生的攻擊行為或可疑活動b)可管理性好c)簡單、易于實(shí)施缺點(diǎn)：a)網(wǎng)絡(luò)負(fù)載b)可擴(kuò)展性和健壯性下降9、針對分布式入侵檢測，入侵檢測系統(tǒng)必須滿足的兩個基本要求是什么？a)可以在一個計(jì)算機(jī)系統(tǒng)中檢測用戶和程序的所有動作；b)系統(tǒng)入侵的結(jié)果與法律運(yùn)營的結(jié)果有明顯的差異。10、在入侵檢測中引入數(shù)據(jù)挖掘的目的是什么？1.提取入侵特征，創(chuàng)建誤用檢測的檢測規(guī)則和模型。2.提取用戶和程序行為特性，為異常

7、檢測配置正常模式。11、基于數(shù)據(jù)融合的入侵檢測的兩種主要方法是什么？請簡述其原理。a)數(shù)據(jù)級別的整合b)決策層的整合12、在信息安全過程中，IDS、HIDS、NIDS、IPS、HONEYPOT、ITS、TCSEC，其中每個人的中文含義是什么？入侵檢測系統(tǒng)(ids):入侵檢測系統(tǒng)基于主機(jī)的入侵檢測系統(tǒng)(hids):主機(jī)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS):網(wǎng)絡(luò)的入侵檢測系統(tǒng)入侵預(yù)防系統(tǒng)(IPS):入侵預(yù)防系統(tǒng)蜜罐：蜜罐系統(tǒng)intrusion tolerant systems(its):入侵防護(hù)系統(tǒng)可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)(TC sec): TC sec指南，該指南是美國國防部發(fā)布的，用于

8、評估安全措施對自動信息數(shù)據(jù)處理系統(tǒng)產(chǎn)品的影響。TCSEC通常用于評估操作系統(tǒng)或軟件平臺的安全性。什么是蜜罐系統(tǒng)？主要角色是什么？Honeypot和Honeynet是旨在觀察黑客如何被檢測和執(zhí)行最終入侵的系統(tǒng)，看起來像普通機(jī)器(或網(wǎng)絡(luò)環(huán)境)，但通過一些特殊配置引誘潛在黑客，捕捉他們的痕跡。a)這包括不會威脅企業(yè)機(jī)密的數(shù)據(jù)或應(yīng)用程序，對黑客來說是極大的誘惑。b)對黑客的秘密跟蹤和檢測目的：不要用它來抓黑客，而只是在不知道他們觀察到的事實(shí)的情況下，弄清楚他們是如何工作的，這樣有助于更好地保護(hù)我們的系統(tǒng)和網(wǎng)絡(luò)14、TCSEC安全審計(jì)準(zhǔn)則的定義。審核信息必須選擇性地保留和保護(hù)，與安全相關(guān)的活動可以追溯到

9、負(fù)責(zé)人，系統(tǒng)必須能夠選擇和記錄與安全相關(guān)的信息，以便將審核開銷降至最低，以便有效地進(jìn)行分析。15、網(wǎng)絡(luò)設(shè)備和防火墻日志、操作系統(tǒng)日志和接收類工具是否滿足安全審計(jì)要求？如果不能滿足，則簡單分析原因。1.網(wǎng)絡(luò)設(shè)備和防火墻日志a)通常具有特定的日志功能b)存在的缺失I .由于網(wǎng)絡(luò)設(shè)備和防火墻分析功能的限制，目前只能記錄自己的操作和一些簡單的違規(guī)信息，不能提供具體的有價(jià)值的網(wǎng)絡(luò)操作信息。二.通常使用內(nèi)存日志記錄，空間有限，很容易復(fù)蓋有用的信息，無法永久存儲2.操作系統(tǒng)日志c)提供記錄日志功能，通常記錄一些零碎的信息d)現(xiàn)有問題I .無法理解用戶的特定操作行為，難以獲取整個入侵過程的完整信息；二.分布式入侵分