入侵检测问答题

1、名词解析IDES入侵检测专家系统。采取了一 组特征量度值来建立系统活动的正常 行为模式，之后计算出当前用户行为 与先前正常活动模式的偏离程度，并 根据偏离程度的大小来判断是否发生 了入侵活动。NSM网络安全监控器DIDS分布式入侵检测系统。首次将 主机入侵检测和网络入侵检测技术进 行集成的一次努力，他具备在目标网 络环境下跟踪特定用户异常活动的能 力P2DR (Policy 策略、Protection 防护、 Detection 检测、Response 响应)动 态计算机系统安全理论模型。MIB管理信息库OSI开放系统互连参考模型，包括 应用层，表示层，会话层，传输层， 网络层，数据链路层，物

2、理层。RARP逆地址解析协议。提供从物理 地址到IP地址映像服务。ICMP网际控制报文协议。用来提供 差错报告服务的协议。必须包含在每 个IP协议实现中。TCP传输控制协议。在一对高层协 议之间在数据报服务的基础上建立可 靠地端对端连接UDP用户数据报协议。提供应用进程 之间传送数据报的基本机制ULP高层协议CMIP通用管理信息协议HEG主机事件发生器NID网络用户标识KDD数据库知识发现。指出背景是 解决日一整张的数据量与快速分析数 据要求之间的矛盾问题，目标是采取 各种特定的算法在海量数据中法相有 用的课理解的数据模式。ELFF扩展日志文件格式。除了 CLF 所定义的数据字段外，还扩展包含

3、了 其他的附加信息。CLF通用日志格式。从早期NCSA的 Web服务器版本书中继承下来的日志 格式简答题1、主机审计：产生、记录并检查按 照时间顺序排列的系统事件记录的过 程。2、入侵是对信息系统的非授权访问 以及(或者)未经许可在信息系统中 进行的操作。3、入侵检测是对企图入侵、正在进 行的入侵或者已经发生的入侵进行识 别的过程。4、P2DR模型是一个动态的计算机系 统安全理论模型，特点是动态性和基 于时间的特性。入侵检测系统需要根 据现有已知的安全策略信息，来更好 地配置系统模块参数信息，当发现入 侵行为后，入侵检测系统会通过响应 模块改变系统的防护措施，改善系统 的防护能力，从而实现动态

4、的系统安 全模型。因此从技术手段上分析，入 侵检测可以看作是实现模型的承前启 后的关键环节。5、操作系统的审计记录存在的问题不同的系统在审计事件的选择、审计 记录的选择和内容组织等诸多方面都 存在着兼容性的问题。另外一个是， 操作系统审计机制的设计和开发的初 始目标，不是为了满足后来才出现的 入侵检测技术的需求目的。6、操作系统审计记录被认为是基于 主机入侵检测技术的首选数据源： 操作系统的审计系统在设计时， 就考虑了审计记录的结构化组织工作 以及对审计记录内容的保护机制，因 此操作系统审计记录的安全性得到了 较好的保护。操作系统审计记录提供了在系统 内核级的事件发生情况，反映的是系 统底层的

5、活动情况并提供了相关的详 尽信息，为发现潜在的异常行为特征 奠定了良好的基础。7、Web服务器支持两种日志文件： 通用日志格式(Common Log Format， CLF)。扩展日志文件格式(Extended Log File Format ELFF)。8、BSM安全审计子系统的主要概念包 括审计日志、审计文件、审计记录和 审计令牌等，其中审计日志由一个或 多个审计文件组成，每个审计文件包 含多个审计记录，而每个审计记录则 由一组审计令牌(audit token)构 成。9、系统日志的安全性与操作系统的 审计记录比较而言，要差一些，其原 因如下： 产生系统日志的软件通常是在内 核外运行的应用

6、程序，因而这些软件 容易受到恶意的修改或攻击。系统日志通常是存储在普通的不 受保护的文件目录里，容易受到恶意 的篡改和删除等操作，而审计记录通 常以二进制文件形式存放具备较强的 保护机制。10、应用程序日志信息的必要性： 系统设计日益复杂，单纯分析从内核 底层数据是不够的；底层级别安全 数据的规模迅速膨胀，增加了分析难 度；入侵攻击行为的目标集中于提 供网络服务各种特定应用程序。存在 的问题及风险：应用程序的日志信息 易遭到恶意的攻击，包括篡改和删除 等操作；特定应用程序同样存在是否 值得信赖的问题。11、网络数据源的优势：采用被动 监听方式不影响目标监控系统的运行 性能，且无须改变原有网络结

7、构和工 作方式；嗅探器模块可以采用对网 络用户透明的模式，降低了其自身被 入侵者攻击的概率；网络数据信息 源可发现主机数据源无法发现的攻击 手段。相对于主机数据源网络数据 包标准化程度更高，有利于在不同系 统平台环境下的移植。12、(其他数据来源)1、其他安全 产品：其他独立运行的安全产品；2、 网络设备的数据：网络管理系统、路 由器或交换机提供的数据信息；3、带外数据源是指由人工方式提供的数 据信息。包括系统管理员对入侵检测 系统所进行的各种管理控制操作，包 括策略设定、系统配置、结果反馈等。13、信息源的选择问题：根据入侵检 测系统设计的检测目标来选择。如果 要求检测主机用户的异常活动，或

8、特 定应用程序的运行情况等，采用主机 数据源；如需发现通过网络协议发动 的入侵攻击就网络数据的输入信息。 如要求监控整个目标系统内的总体安 全状况等，就需同时采用来自主机和 网络的数据源；在分布式的环境下， 或许还要考虑到包括带外数据在内的 其他类型数据源。14、从数据来源看，入侵检测通常可 以分为两类：基于主机的入侵检测 和基于网络的入侵检测。基于主机的入侵检测通常从主机的审 计记录和日志文件中获得所需的主要 数据源，并辅之以主机上的其他信息， 在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中 的数据包来获得必要的数据来源，并 通过协议分析、特征匹配、统计分析 等手段发现当

9、前发生的攻击行为。15、从数据分析手段看，入侵检测通 常可以分为滥用（misuse）入侵检测 和异常（anomaly）入侵检测。滥用入侵检测利用这些特征集合或者 是对应的规则集合，对当前的数据来 源进行各种处理后，再进行特征匹配 或者规则匹配工作，如果发现满足条 件的匹配，则指示发生了一次攻击行 为。异常入侵检测的假设条件是对攻击行 为的检测可以通过观察当前活动与系 统历史正常活动情况之间的差异来实 现入侵检测的其他分类标准，例如实时 和非实时处理系统：非实时的检测系统通常在事后收集的 审计日志文件基础上，进行离线分析 处理，并找出可能的攻击行为踪迹， 目的是进行系统配置的修补工作，防 范以后

10、的攻击。实时处理系统实时监控，并在出现异 常活动时及时做出反应。实时的概念 是一个根据用户需求而定的变量，当 系统分析和处理的速度处于用户需求 范围内时，就可以称为实时入侵检测 系统。16、审计数据的获取是主机入侵检测 技术的重要基石，是进行主机入侵检 测的信息来源。审计数据的获取质量 和数量，决定了主机入侵检测工作的 有效程度。审计数据的获取工作主要 需要考虑下列问题。确定审计数据的来源和类型。审计数据的预处理工作，其中包 括记录标准格式的设计、过滤和映射 操作等。审计数据的获取方式，包括审计 数据获取模块的结构设计和传输协议 等。17、IDES在Sun UNIX目标系统环境 下所收集到的审

11、计数据，主要分为4 个典型类型。文件访问：包括对文件和目录进 行的操作，如读取、写入、创建、删 除和访问控制列表的修改。系统访问：包括登录、退出、调 用以及终止超级用户权限等。资源消耗：包括CPU、I/O和内 存的使用情况。进程创建命令的 调用：指示一个进程的创建。18、主机入侵检测所要进行的主要工 作就是审计数据的预处理工作，包括 映射、过滤和格式转换等操作。16、STAT系统的标准审计记录格式由 3个部分定义组成：（Subject, Action, Object） Snort 的系统架构 分为3大部分：协议解析器、规则检测引擎和日志/警报系统。19、预处理工作的必要性体现在以下 几个方面。

12、有利于系统在不同目标平台间的 移植；便于后继处理模块进行检测工 作。需对审计记录流进行必要的 映射和过滤等。20、审计数据获取模块的主要作用是 获取目标系统的审计数据，并经过预 处理工作后，最终目标是为入侵检测 的处理模块提供一条单一的审计记录 块数据流，供其使用。21、负责入侵检测工作的处理模块位 于目标监控主机系统之外的特定控制 台上，而所监控目标主机系统的数目 又并非单台主机的情况（通常是一组 经过网络环境连接起来的主机系统）。 此时需要考虑的设计问题主要包括：在各目标主机系统和中央分析控制 台之间处理负荷的平衡问题。采用何种传输协议的问题。如何将从多个目标主机处获得的审 计数据多路复用

13、成为一条单一审计记 录数据流的问题。如何处理诸如网络传输过程中可能 出现的延时、遗漏等问题。22、邻域接口包括两个主要部件：目标系统组件（Agen）和IDES组件 （Arpool）。Agen是留驻在目标系统上的组件，通常Agen以离散的时间 间隔对每一个审计文件进行轮询，以 确定目标主机是否已经加入了新的审 计数据。Arpool是留驻在邻域接口的 服务器端，即它的目的是接收从多个 目标机器发来的IDES格式的审计记 录，并将它们序列化成一个单独的记 录流，然后再对数据做进一步的处理。23、Denning提出4种可以用于入侵 检测的统计模型。（1）操作模型（2） 均值与标准偏差模型（3）多元模型

14、（4）马尔可夫过程模型24、基于状态转移分析的检测模型，将攻击者的入侵行为描绘为一系列的 特征操作及其所引起的一系列系统状 态转换过程，从而使得目标系统从初 始状态转移到攻击者所期望的危害状 态。它所具有的优点如下：直接采用审计记录序列来表示攻 击行为的方法不具备直观性。而STAT 采用高层的状态转移表示方法来表示 攻击过程，避免这一问题。对于同一种攻击行为可能对应着 不同的审计记录序列，这些不同审计 记录序列可能仅仅因为一些细微的差 别而无法被采用直接匹配技术的检测 系统察觉，而STAT可以较好地处理 这种情况。STAT能够检测到由多个攻击者所 共同发起的协同攻击，以及跨越多个 进程的攻击行

15、为。另外，STAT的一大 特色就是具备在某种攻击行为尚未造 成实质危害时，就及时检测到并采取 某种响应措施的能力。25、网络数据包的截获是基于网络的 入侵检测技术的工作基石。检测引擎 的设计是基于网络入侵检测的核心问 题。26、语句-|tr和- |se将 tr 和 se类型的事实从知识库中删除。这样 做有3个原因：可避免规则因同样的满足条件而循 环点火。将不需要的事实从知识库 中删除，有助于提高系统运行速度。节约内存。27、构建一个输入接口的必要步骤：为用户所需要加入到知识库中的 事实做出对应的ptype类型声明。 编写一个C语言函数，来调用正确的 assert_ （ptypename）（）函

16、数。编写一条规则，在其前提或者结论语 句中加入对此C语言函数的调用。28、构建状态转移图的过程大致分为 如下步骤： 分析具体的攻击行为，理解内在 机理。确定攻击过程中的关键行 为点。确定初始状态和最终状态。从最终状态出发，逐步确定所需 的各个中间状态及其应该满足的状态 断言组。29、检查文件系统完整性的必要性包 括如下几个方面：攻击者在入侵成功后，经常在文 件系统中安装后门或者木马程序，以 方便后继的攻击活动。攻击者还可能安装非授权的特定 程序，并且替换掉特定的系统程序， 以掩盖非授权程序的存在。为了防止攻击活动的痕迹，攻击 者还可能删除若干重要系统日志文件 中的审计记录。入侵者还可能为了达成

17、拒绝服务 攻击目的或者破坏目的，恶意修改若 干重要服务程序的配置文件或者数据 库数据，包括系统安全策略的配置信 息等。30、配置分析技术的基本原理：一 次成功的入侵活动可能会在系统中留 下痕迹，可通过检查系统当前状态来 发现；系统管理员和用户经常会错 误地配置系统，从而给攻击者以入侵 的可乘之机。31、COPS系统检查的系统安全范围包 括：检查文件、目录和设备的访 问权限模式。脆弱的口令设置。 检查口令文件和组用户文件的安 全性、格式和内容。检查在 /etc/rc*目录和cron中指定运行的 文件和程序。 具有root SUID属 性的文件，检查它们是否可写，以及 是否脚本程序。 对重要的二进

18、制 文件和其他文件计算CRC校验和，检 查是否发生更改。检查用户主目 录下文件是否可写。是否具有匿 名FTP登录服务账户。是否存在 TFTP服务、Sendmail中别名情况以 及在inetd.conf文件中隐藏的启动 脚本程序等。各种类型的根权限 检查。(11)按照CERT安全报告的发布 日期，检查关键文件是否已经及时进 行了升级或打上了补丁。32、采用镜像端口常碰到两个问题：随着交换带宽的不断增长，并非 所有网络流量都会反映在镜像端口上。并非所有的交换设备都提供类似 的镜像端口。很多的IDS系统会选择 挂接在流量通常最大的上下行端口上， 用来截获进出内外网的数据流量。33、DIDS中央控制台

19、组件能够解决两 个关键的问题：网络环境下对特定用户和系统对象 (例如文件)的跟踪问题。为此，DIDS提出了网络用户标识(NID)的 概念，目的是惟一标识在目标网络环 境中多台主机间不断移动的用户。不同层次的入侵数据抽象问题。 DIDS系统提出了一个6层的入侵检测 模型，并以此模型为基础和指导，构 造了专家系统的检测规则集合。34、混合型入侵检测技术包括：第一 种是指采用多种信息输入源的入侵检 测技术，第二种则强调采用多种不同 类型的入侵检测方法。35、DIDS系统主要包括3种类型的组 件： 主机监控器(host monitor )、 局域网监控器(LAN monitor)和中 央控制台(dir

20、ector)。36、入侵检测专家系统(Intrusion Detection Expert System ,IDES ); 它模型分为：目标系统域、邻域接口、 处理引擎和用户接口。而实际由以下功能组件构成：邻域接 口、统计异常检测器、专家系统异常 检测器和用户接口。NIDES系统包括3种服务器：SOUI服务器、Analysis服务器和Arpool服务器。37、数据挖掘(Data Mining)是所 谓“数据库知识发现(Knowledge Discovery in Database， KDD)技术 中一个关键步骤，其提出背景是解决 日益增长的数据量与快速分析数据要 求之间矛盾问题，目标是采用各种

21、特 定的算法在海量数据中发现有用的可 理解的数据模式。38、 常用的分类算法包括：RIPPER、C4.5、Nearest Neighbor 等。主流的 关联分析算法有：Apriori算法、 AprioriTid 算法等。常见的序列分析算法包括：ArpioriAll 算法、DynamicSome 算法 和AprioriSome算法等。39、进化计算的主要算法包括以下5种类型：遗传算法(Genetic Algorithm， GA)、进化规划(Evolutionary Programming，EP )、 进化策略(Evolutionary Strategies， ES)、分类器系统(Classifi

22、er Systems CFS)和遗传 规划 (Genetic Programming，GP )。40、需求定义或者需求分析是进行系 统设计的第一步，同时也是对后继过 程产生最重要影响的阶段。检测功能需求2.响应需求3.操作 需求4.平台范围需求5.数据来源需 求6.检测性能需求7.可伸缩性需求8. 取证和诉讼需求9.其他需求 系统安全设计原则：1.机制的经济性 原则2.可靠默认原则3.完全调节原 则4.开放设计原则5.特权分割原则6. 最小权限原则7.最小通用原则8.心 理接受原则41、按照响应发生的时间和紧急程度 可分为：紧急行动、及时行动、本地 的长期行动和全局的长期行动。响应 类型：主动

23、响应和被动响应。被动响 应指的是入侵检测系统仅仅报告和记 录所检测到的异常活动信息。42、通常的“电子证据”是指在计算 机或计算机系统运行过程中产生的以 其记录的内容作为证明案件事实的电 磁记录物。43、人工神经网络是模拟人脑加工、 存储和处理信息机制而提出的一种智 能化信息处理技术，它是由大量简单 的处理单元(神经元)进行高度互联 而成的复杂网络系统。从本质上讲， 人工神经网络实现的是一种从输入到 输出的映射关系，其输出值由输入样 本、神经元间的互联权值以及传递函 数所决定。通过训练和学习过程来修 改网络互联权值，神经网络就可以完 成所需的输入-输出映射。44、神经网络技术应用于入侵检测领

24、域优势:神经网络具有概括和抽象能 力，对不完整输入信息具有一定程度 的容错处理能力。神经网络具备 高度的学习和自适应能力。神经 网络所独有的内在并行计算和存储特 性。缺陷和不足：(1)需要解决神经 网络对大容量入侵行为类型的学习能 力问题。(2)需要解决神经网络的解 释能力不足的问题。(3)执行速度问 题。要解决这个问题，或许需要设计 专门的神经网络计算芯片或者计算机。45、KDD技术通常包括以下步骤：理解应用背景。首先要充分了解 数据集合的特性，然后要明确知识发 现的任务目标。数据准备。包括创建进行知识发 现的目标数据集合，消除数据集合中 的噪声数据以及定义对应的变量集合数据挖掘。首先要确定

25、对数据进 行处理后最终需要获得的模型类型， 例如分类模型、聚类模型或者摘要模 型等，然后应用各种特定的算法生成 对应的分类规则或者分类树结构、关 联模式和常见序列模式等。结果解析。对产生的数据模式进 行理解分析，还可以用不同的配置信 息来重复以上步骤获取不同的数据模 式，并进行对比分析，去除冗余和不 重要的模式，并将最后的有用模式提 交给用户。使用所发现的知识。包括将新发 现的知识结合到已有的系统模块中， 或者直接提交到其他感兴趣的相关实 体。46、与现有的计算机安全系统相比较， 生物免疫系统具备如下重要的特征：多层次保护机制。高度分布式 的检测和记忆系统。多样化的个 体检测能力。识别未知异体

26、的能 力。47、入侵检测系统在设计时所需要考 虑的实际问题:系统设计的最初阶段 要注意对用户的实际需求进行分析， 从而能够具备明确的设计目标。必 须在系统设计时遵循若干基本的安全 设计原则，保障系统自身的安全性能。 简要回顾入侵检测系统的设计生命 周期过程。48、基于主机的入侵检查系统优点包 括：能确定攻击是否成功。主机是 攻击的目的所在，所以基于主机的 IDS使用含有已发生的事件信息，可 以比基于网络的IDS更加准确地判断 攻击是否成功。就这一方面而言，基 于主机的IDS与基于网络的IDS互相 补充，网络部分尽早提供针对攻击的 警告，而主机部分则可确定攻击是否 成功。（2）监控粒度更细。基于

27、主机的IDS， 监控的目标明确，视野集中，它可以 检测一些基于网络的IDS不能检测的 攻击。它可以很容易地监控系统的一 些活动，如对敏感文件、目录、程序 或端口的存取。例如，基于主机的 IDS可以监督所有用户登录及退出登 录的情况，以及每位用户在联接.到 网络以后的行为。它还可监视通常只 有管理员才能实施的非正常行为。针 对系统的一些活动，有时并不通过网 络传输数据，有时虽然通过网络传输 数据但所传输的数据并不能提供足够 多的信息，从而使得基于网络的系统 检测不到这些行为，或者检测到这个 程度非常困难。（3）配置灵活。每一个主机有其自 己的基于主机的IDS，用户可根据自 己的实际情况对其进行配

28、置。（4）可用于加密的以及交换的环境。 加密和交换设备加大了基于网络IDS 收集信息的难度，但由于基于主机的 IDS安装在要监控的主机上，根本不 会受这些因素的影响。（5）对网络流量不敏感。基于主机 的IDS 一般不会因为网络流量的增加 而丢掉对网络行为的监视。（6）不需要额外的硬件。49、基于网络的入侵检测系统的优点 与缺点：基于网络的入侵检测系统有以下优点：1）监测速度快。基于网络的监测器 通常能在微秒或秒级发现问题。而大 多数基于主机的产品则要依靠对最近 几分钟内审计记录的分析。2）隐蔽性好。一个网络上的监测器 不像一个主机那样显眼和易被存取， 因而也不那么容易遭受攻击。基于网 络的监视

29、器不运行其他的应用程序， 不提供网络服务，可以不响应其他计 算机，因此可以做得比较安全。3）视野更宽。可以检测一些主机检 测不到的攻击，如泪滴攻击（Teardrop），基于网络的SYN攻击 等。还可以检测不成功的攻击和恶意 企图。4）较少的监测器。由于使用一个监 测器就可以保护一个共享的网段，所 以你不需要很多的监测器。相反地， 如果基于主机，则在每个主机上都需 要一个代理，这样的话，花费昂贵， 而且难于管理。但是，如果在一个交 换环境下，就需要特殊的配置。5）攻击者不易转移证据。基于网络 的IDS使用正在发生的网络通讯进行 实时攻击的检测。所以攻击者无法转 移证据。被捕获的数据不仅包括攻击

30、的方法，而且还包括可识别黑客身份 和对其进行起诉的信息。许多黑客都 熟知审计记录，他们知道如何操纵这 些文件掩盖他们的作案痕迹，如何阻 止需要这些信息的基于主机的系统去 检测入侵。6）操作系统无关性。基于网络的IDS 作为安全监测资源，与主机的操作系 统无关。与之相比，基于主机的系统 必须在特定的、没有遭到破坏的操作 系统中才能正常工作，生成有用的结 果。7）可以配置在专门的机器上，不会 占用被保护的设备上的任何资源。主要缺点是：只能监视本网段的活动， 精确度不高；在交换环境下难以配置; 防入侵欺骗的能力较差；难以定位入 侵者。50、根据检测原理，将入侵检测分为 两类：异常检测和误用检测。异常检测在