网络安全技术 习题及答案 第9章 入侵检测系统.doc

第9章 入侵检测系统1. 单项选择题1) B2) D3) D4) C5) A6) D2、简答题（1）什么叫入侵检测，入侵检测系统有哪些功能？入侵检测系统（简称“IDS”） 就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。入侵检测系统功能主要有：l 识别黑客常用入侵与攻击手段l 监控网络异常通信l 鉴别对系统漏洞及后门的利用l 完善网络安全管理（2）根据检测对象的不同，入侵检测系统可分哪几种？根据检测对象的不同，入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合，它为前两种方案提供了互补，还提供了入侵检测的集中管理，采用这种技术能实现对入侵行为的全方位检测。（3）常用的入侵检测系统的技术有哪几种？其原理分别是什么？常用的入侵检测系统的技术有两种，一种基于误用检测（Anomal Detection），另一种基于异常检测（Misuse Detection）。对于基于误用的检测技术来说，首先要定义违背安全策略事件的特征，检测主要判别这类特征是否在所收集到的数据中出现，如果检测到该行为在入侵特征库中，说明是入侵行为，此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则是先定义一组系统正常情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较大偏差的行为，无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。（4）入侵检测系统弥补了防火墙的哪些不足？网络防火墙是指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙也存在以下不足之处：l 防火墙可以阻断攻击，但不能消灭攻击源。入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙； l 防火墙不能抵抗最新的未设置策略的攻击漏洞。 l 防火墙的并发连接数限制容易导致拥塞或者溢出。而当防火墙溢出l 的时候，整个防线就如同虚设，原本被禁止的连接也能从容通过了； l 防火墙对待内部主动发起连接的攻击一般无法阻止； l 防火墙本身也会出现问题和受到攻击； l 防火墙不处理病毒。普通防火墙虽然扫描通过他的信息，但一般只扫描源地址、目的地址端口号，不扫描数据的确切内容，对于病毒来说，防火墙不能防范。 l 防火墙是一种静态的安全技术, 需要人工来实施和维护, 不能主动跟踪入侵者。综合以上可以看出，防火墙是网络安全的重要一环，但不代表设置了防火墙就能一定保证网络的安全。入侵攻击已经见怪不怪，对付这些入侵者的攻击，可以通过身份鉴别技术，使用严格的访问控制技术，还可以对数据进行加密保护等，但这并不完全可行。所以静态安全措施并不足以保护安全对象。因此，一种动态的方法是必要的。比如行为跟踪、入侵检测技术。但是，完全防止入侵目前看是不现实的。人们可以尽力检测出这些入侵，以便采取措施或者以后修补。（5）简述基于主机的入侵检测系统的优点。基于主机的入侵检测系统优点：l 能够监视特定的系统活动，可以精确的根据自己的需要定制规则。l 不需要额外的硬件，HIDS驻留在现有的网络基础设施上，其包括文件服务器、Web服务器和其它的共享资源等。减少了以后维护和管理硬件设备的负担。l 适用于被加密的和交换的环境。可以克服NIDS在交换和加密环境中所面临的一些困难。 缺点：l 依赖于特定的操作系统平台，对不同的平台系统而言，它是无法移植的，因此必须针对各不同主机安裝各种HIDS。l 在所保护主机上运行，将影响到宿主机的运行性能，特别是当宿主机为服务器的情况；通常无法对网络环境下发生的大量攻击行为，做出及时的反应。（6）简述基于网络的入侵检测系统的优点与缺点。基于网络的入侵检测系统的优点：l 成本较低，NIDS系统并不需要在各种各样的主机上进行安装，大大减少了安全和管理的复杂性。l 实时检测和响应，一旦发生恶意访问或攻击，NIDS检测可以随时发现它们，因此能够很快地作出反应。l 可监测到未成功或恶意的入侵攻击：一个放在防火墙外面的NIDS可以检测到旨在利用防火墙后面的资源的攻击。l 与操作系统无关：并不依赖主机的操作系统作为检测资源，而HIDS需要特定的操作系统才能发挥作用。 缺点：l 要采集大型网络上的流量并加以分析，往往需要更有效率的CPU处理速度，以及更大的内存空间。l 只检查它直接相连的网段的通信，不能检测其他网段的包。l 处理加密的会话较困难。目前通过加密通道的攻击尚不多，但随着IPV6l 的普及，这个问题会越来越突出。 （7）评价一个入侵检测系统的优劣，技术角度看主要从哪几方面来考虑。从技术的角度看，一个好的入侵检测系统，应该具有以下特点： l 检测效率高。一个好的入侵检测系统，应该有比较高的效率，也就是它可以快速处l 理数据包，不会出现漏包、丢包或网络拥塞现象。l 资源占用率小。一个好的入侵检测系统应该尽量少地占用系统的资源，比如内存、l 对于CPU的使用等。 l 开放性一个好的入侵检测系统应该是开放式结构，允许第三方和用户对系统进行l 扩展和维护. l 完备性。一个好的入侵检测系统，应该具备自学习、事后推理、策略反馈等能力，l 以使得入侵检测系统具有一定的智能，从而能较好地识别未知攻击。l 安全性。一个好的入侵检测系统，应该保证自身的安全，使自己不会轻易被攻破。（8）简述IDS的发展趋势l 分布式入侵检测l 智能化入侵检测l