入侵检测问答题.docx

《入侵检测问答题.docx》由会员分享，可在线阅读，更多相关《入侵检测问答题.docx（4页珍藏版）》请在优知文库上搜索。

1、名词解析IDES入侵检测专家系统。采取了一组特征量度值来建立系统活动的正常行为模式，之后计算出当前用户行为与先前正常活动模式的偏离程度，并根据偏离程度的大小来判断是否发生了入侵活动。NSM网络安全监控器DIDS分布式入侵检测系统。首次将主机入侵检测和网络入侵检测技术进行集成的一次努力，他具备在目标网络环境下跟踪特定用户异常活动的能力P2DR(Policy策略、Protection防护、DeteCtiOn检测、ReSPonSe响应)动态计算机系统安全理论模型。MIB管理信息库OSI开放系统互连参考模型，包括应用层，表ZK层，会话层，传输层，网络层，数据链路层，物理层。RARP逆地址解析协议。提供

2、从物理地址到IP地址映像服务。ICMP网际控制报文协议。用来提供差错报告服务的协议。必须包含在每个IP协议实现中。TCP传输控制协议。在一对高层协议之间在数据报服务的基础上建立可靠地端对端连接UDP用户数据报协议。提供应用进程之间传送数据报的基本机制ULP高层协议CMIP通用管理信息协议HEG主机事件发生器NID网络用户标识KDD数据库知识发现。指出背景是解决日一整张的数据量与快速分析数据要求之间的矛盾问题，目标是采取各种特定的算法在海量数据中法相有用的课理解的数据模式。ELFF扩展日志文件格式。除了CLF所定义的数据字段外，还扩展包含了其他的附加信息。CLF通用日志格式。从早期NCSA的We

3、b服务器版本书中继承下来的日志、格式简答题1、主机审计：产生、记录并检查按照时间顺序排列的系统事件记录的过程。2、入侵是对信息系统的非授权访问以及(或者)未经许可在信息系统中进行的操作。3、入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。4、P2DR模型是一个动态的计算机系统安全理论模型，特点是动态性和基于时间的特性。入侵检测系统需要根据现有已知的安全策略信息，来更好地配置系统模块参数信息，当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，从而实现动态的系统安全模型。因此从技术手段上分析，入侵检测可以看作是实现模型的承前启后的关键环节。5

4、、操作系统的审计记录存在的问题不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。另外一个是，操作系统审计机制的设计和开发的初始目标，不是为了满足后来才出现的入侵检测技术的需求目的。6、操作系统审计记录被认为是基于主机入侵检测技术的首选数据源：操作系统的审计系统在设计时，就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制，因此操作系统审计记录的安全性得到了较好的保护。操作系统审计记录提供了在系统内核级的事件发生情况，反映的是系统底层的活动情况并提供了相关的详尽信息，为发现潜在的异常行为特征奠定了良好的基础。7：Web服务器支持两种日志文件：通用日志格式

5、(ConImonLogFormatCLF)o扩展日志文件格式(ExtendedLogFileFormatELFF)o8、BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等，其中审计日志由一个或多个审计文件组成，每个审计文件包含多个审计记录，而每个审计记录则由一组审计令牌(audittoken)构成。9、系统日志的安全性与操作系统的审计记录比较而言，要差一些，其原因如下：产生系统日志的软件通常是在内核外运行的应用程序，因而这些软件容易受到恶意的修改或攻击。系统日志通常是存储在普通的不受保护的文件目录里，容易受到恶意的篡改和删除等操作，而审计记录通常以二进制文件形式存放具备

6、较强的保护机制。10、应用程序日志信息的必要性：系统设计日益复杂，单纯分析从内核底层数据是不够的：底层级别安全数据的规模迅速膨胀，增加了分析难度；入侵攻击行为的目标集中于提供网络服务各种特定应用程序。存在的问题及风险：应用程序的日志信息易遭到恶意的攻击，包括篡改和删除等操作；特定应用程序同样存在是否值得信赖的问题。IK网络数据源的优势：采用被动监听方式不影响目标监控系统的运行性能，且无须改变原有网络结构和工作方式；嗅探器模块可以采用对网络用户透明的模式，降低了其自身被入侵者攻击的概率；网络数据信息源可发现主机数据源无法发现的攻击手段。相对于主机数据源网络数据包标准化程度更高，有利于在不同系统平

7、台环境下的移植。12、(其他数据来源)1、其他安全产品：其他独立运行的安全产品；2、网络设备的数据：网络管理系统、路由器或交换机提供的数据信息；3、带外数据源是指由人工方式提供的数据信息。包括系统管理员对入侵检测系统所进行的各种管理控制操作，包括策略设定、系统配置、结果反馈等。13、信息源的选择问题：根据入侵检测系统设计的检测目标来选择。如果要求检测主机用户的异常活动，或特定应用程序的运行情况等，采用主机数据源；如需发现通过网络协议发动的入侵攻击就网络数据的输入信息。如要求监控整个目标系统内的总体安全状况等，就需同时采用来自主机和网络的数据源；在分布式的环境下，或许还要考虑到包括带外数据在内的

8、其他类型数据源。14、从数据来源看，入侵检测通常可以分为两类：基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源，并辅之以主机上的其他信息,在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。15、从数据分析手段看，入侵检测通常可以分为滥用（misuse）入侵检测和异常（anomaly）入侵检测。滥用入侵检测利用这些特征集合或者是对应的规则集合，对当前的数据来源进行各种处理后，再进行特征匹配或者规则匹配工作，如果发现满足条件的匹

9、配，则指示发生了一次攻击行为。异常入侵检测的假设条件是对攻击行为的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现入侵检测的其他分类标准，例如实时和非实时处理系统：非实时的检测系统通常在事后收集的审计日志文件基础上，进行离线分析处理，并找出可能的攻击行为踪迹，目的是进行系统配置的修补工作，防范以后的攻击。实时处理系统实时监控，并在出现异常活动时及时做出反应。实时的概念是一个根据用户需求而定的变量，当系统分析和处理的速度处于用户需求范围内时，就可以称为实时入侵检测系统。16、审计数据的获取是主机入侵检测技术的重要基石，是进行主机入侵检测的信息来源。审计数据的获取质量和数量，决定了主

10、机入侵检测工作的有效程度。审计数据的获取工作主要需要考虑下列问题。确定审计数据的来源和类型。审计数据的预处理工作，其中包括记录标准格式的设计、过滤和映射操作等。审疝数据的获取方式，包括审计数据获取模块的结构设计和传输协议等。17、IDES在SunUNIX目标系统环境下所收集到的审计数据，主要分为4个典型类型。文件访问：包括对文件和目录进行的操作，如读取、写入、创建、删除和访问控制列表的修改。系统访问：包括登录、退出、调用以及终止超级用户权限等。资源消耗：包括CPU、I/O和内存的使用情况。进程创建命令的调用：指示一个进程的创建。18、主机入侵检测所要进行的主要工作就是审计数据的预处理工作，包括

11、映射、过滤和格式转换等操作。16、STAT系统的标准审计记录格式由3个部分定义组成：（Subject,Action,Object）Snort的系统架构分为3大部分：协议解析器、规则检测引擎和日志/警报系统。19、预处理工作的必要性体现在以下几个方面。有利于系统在不同目标平台间的移植；便于后继处理模块进行检测工作。需对审计记录流进行必要的映射和过滤等。20、审计数据获取模块的主要作用是获取目标系统的审计数据，并经过预处理工作后，最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流，供其使用。21、负责入侵检测工作的处理模块位于目标监控主机系统之外的特定控制台上，而所监控目标主机系统的数目

12、又并非单台主机的情况（通常是一组经过网络环境连接起来的主机系统）。此时需要考虑的设计问题主要包括：在各目标主机系统和中央分析控制台之间处理负荷的平衡问题。采用何种传输协议的问题。如何将从多个目标主机处获得的审计数据多路复用成为一条单一审计记录数据流的问题。如何处理诸如网络传输过程中可能出现的延时、遗漏等问题。22、邻域接口包括两个主要部件：目标系统组件（Agen）和IDES组件（Arpool）0Agen是留驻在目标系统上的组件，通常Agen以离散的时间间隔对每一个审计文件进行轮询，以确定目标主机是否已经加入了新的审计数据。ArPoOl是留驻在邻域接口的服务器端，即它的目的是接收从多个目标机器发

13、来的IDES格式的审计记录，并将它们序列化成一个单独的记录流，然后再对数据做进一步的处理。23、Denning提出4种可以用于入侵检测的统计模型。（1）操作模型（2）均值与标准偏差模型（3）多元模型（4）马尔可夫过程模型24、基于状态转移分析的检测模型，将攻击者的入侵行为描绘为一系列的特征操作及其所引起的系列系统状态转换过程，从而使得目标系统从初始状态转移到攻击者所期望的危害状态。它所具有的优点如下：直接采用审计记录序列来表示攻击行为的方法不具备直观性。而STAT采用高层的状态转移表示方法来表示攻击过程，避免这一问题。对于同一种攻击行为可能对应着不同的审计记录序列，这些不同审计记录序列可能仅仅

14、因为一些细微的差别而无法被采用直接匹配技术的检测系统察觉，而STAT可以较好地处理这种情况。STAT能够检测到由多个攻击者所共同发起的协同攻击，以及跨越多个进程的攻击行为。另外，STAT的一大特色就是具备在某种攻击行为尚未造成实质危害时，就及时检测到并采取某种响应措施的能力。25、网络数据包的截获是基于网络的入侵检测技术的工作基石。检测引擎的设计是基于网络入侵检测的核心问题。26、语句-Itr和-se将tr和Se类型的事实从知识库中删除。这样做有3个原因：可避免规则因同样的满足条件而循环点火。将不需要的事实从知识库中删除，有助于提高系统运行速度。节约内存。27、构建一个输入接口的必要步骤：为用户所需要加入到知识库中的事实做出对应的PtyPe类型声明。编写一个C语言函数，来调用正确的assert_配置分析技术的基本原理：一次成功的入侵活动可能会在系统中留下痕迹，可通过检查系统当前状态来发现；系统管理员和用户经常会错误地配置系统，从而给攻击者以入侵的可乘之机。31、CoPS系统检查的系统安全范围包括：检查文件、目录和设备的访问权限模式。脆弱的口令设置。检查口令文件和组用户文件的安全性、格式和内容。检查在etc