入侵檢測技術(shù)課后答案

1、第 1 章 入侵檢測概述思考題：（ 1） 分布式入侵檢測系統(tǒng)（ DIDS）是如何把基于主機(jī)的入侵檢測方法和基于網(wǎng)絡(luò)的入 侵檢測方法集成在一起的？答：分布式入侵檢測系統(tǒng)是將主機(jī)入侵檢測和網(wǎng)絡(luò)入侵檢測的能力集成的第一次嘗 試，以便于一個集中式的安全管理小組能夠跟蹤安全侵犯和網(wǎng)絡(luò)間的入侵。DIDS 的最初概念是采用集中式控制技術(shù)，向 DIDS 中心控制器發(fā)報(bào)告。DIDS解決了這樣幾個問題。在大型網(wǎng)絡(luò)互聯(lián)中的一個棘手問題是在網(wǎng)絡(luò)環(huán)境下跟蹤 網(wǎng)絡(luò)用戶和文件。 DIDS 允許用戶在該環(huán)境中通過自動跨越被監(jiān)視的網(wǎng)絡(luò)跟蹤和得到用戶 身份的相關(guān)信息來處理這個問題。 DIDS 是第一個具有這個能力的入侵檢測系統(tǒng)。

2、DIDS解決的另一個問題是如何從發(fā)生在系統(tǒng)不同的抽象層次的事件中發(fā)現(xiàn)相關(guān)數(shù)據(jù) 或事件。這類信息要求要理解它們對整個網(wǎng)絡(luò)的影響，DIDS用一個 6 層入侵檢測模型提取數(shù)據(jù)相關(guān)性，每層代表了對數(shù)據(jù)的一次變換結(jié)果。（ 2） 入侵檢測作用體現(xiàn)在哪些方面？ 答：一般來說，入侵檢測系統(tǒng)的作用體現(xiàn)在以下幾個方面： 監(jiān)控、分析用戶和系統(tǒng)的活動； 審計(jì)系統(tǒng)的配置和弱點(diǎn)；評估關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性；識別攻擊的活動模式；對異?；顒舆M(jìn)行統(tǒng)計(jì)分析； 對操作系統(tǒng)進(jìn)行審計(jì)跟蹤管理，識別違反政策的用戶活動。（ 3） 為什么說研究入侵檢測非常必要？ 答：計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)提供保密性、完整性以及抵抗拒絕服務(wù)的能力，但是由于連網(wǎng)

3、用戶的增加，網(wǎng)上電子商務(wù)開辟的廣闊前景，越來越多的系統(tǒng)受到入侵者的攻擊。為了對付這些攻擊企圖，可以要求所有的用戶確認(rèn)并驗(yàn)證自己的身份，并使用嚴(yán)格的訪問控制機(jī)制，還可以用各種密碼學(xué)方法對數(shù)據(jù)提供保護(hù)，但是這并不完全可行。另一種對付破壞系統(tǒng)企圖的理想方法是建立一個完全安全的系統(tǒng)。但這樣的話，就要求所有的用 戶能識別和認(rèn)證自己，還要采用各種各樣的加密技術(shù)和強(qiáng)訪問控制策略來保護(hù)數(shù)據(jù)。而 從實(shí)際上看，這根本是不可能的。因此，一個實(shí)用的方法是建立比較容易實(shí)現(xiàn)的安全系統(tǒng)，同時按照一定的安全策略 建立相應(yīng)的安全輔助系統(tǒng)。入侵檢測系統(tǒng)就是這樣一類系統(tǒng)，現(xiàn)在安全軟件的開發(fā)方式 基本上就是按照這個思路進(jìn)行的。就目前

4、系統(tǒng)安全狀況而言，系統(tǒng)存在被攻擊的可能性。 如果系統(tǒng)遭到攻擊，只要盡可能地檢測到，甚至是實(shí)時地檢測到，然后采取適當(dāng)?shù)奶幚泶胧Ｈ肭謾z測系統(tǒng)一般不是采取預(yù)防的措施以防止入侵事件的發(fā)生，入侵檢測作為安 全技術(shù)其主要目的有： （1）識別入侵者； （2）識別入侵行為： （3）檢測和監(jiān)視已成功的 安全突破；（4）為對抗入侵及時提供重要信息，阻止事件的發(fā)生和事態(tài)的擴(kuò)大。從這個 角度看待安全問題，入侵檢測非常必要，它可以有效彌補(bǔ)傳統(tǒng)安全保護(hù)措施的不足。第 2 章 入侵方法與手段選擇題：（ 1） B.（ 2） B思考題：（ 1） 一般來說，黑客攻擊的原理是什么？ 答：黑客之所以能夠滲透主機(jī)系統(tǒng)和對網(wǎng)絡(luò)實(shí)施攻擊

5、，從內(nèi)因來講，主要因?yàn)橹鳈C(jī) 系統(tǒng)和網(wǎng)絡(luò)協(xié)議存在著漏洞，而從外因來講原因有很多，例如人類與生俱來的好奇心等 等，而最主要的是個人、企業(yè)甚至國家的利益在網(wǎng)絡(luò)和互聯(lián)網(wǎng)中的體現(xiàn)。利益的驅(qū)動使 得互聯(lián)網(wǎng)中的黑客數(shù)量激增。（ 2） 拒絕服務(wù)攻擊是如何實(shí)施的？答：最基本的 DoS 攻擊是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使服務(wù)超 載，無法響應(yīng)其他的請求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進(jìn) 程或者向內(nèi)的連接。這種攻擊會導(dǎo)致資源的匱乏，無論計(jì)算機(jī)的處理速度多么快，內(nèi)存 容量多么大，互連網(wǎng)的速度多么快都無法避免這種攻擊帶來的后果。因?yàn)槿魏问露加幸?個極限，所以，總能找到一個方法使請求的值

6、大于該極限值，因此就會使所提供的服務(wù) 資源匱乏，象是無法滿足需求。（ 3） 秘密掃描的原理是什么？答：秘密掃描不包含標(biāo)準(zhǔn)的 TCP 三次握手協(xié)議的任何部分，所以無法被記錄下來， 從而比 SYN掃描隱蔽得多。秘密掃描技術(shù)使用 FIN 數(shù)據(jù)包來探聽端口。當(dāng)一個 FIN 數(shù)據(jù) 包到達(dá)一個關(guān)閉的端口，數(shù)據(jù)包會被丟掉，并且回返回一個RST 數(shù)據(jù)包。否則，當(dāng)一個FIN 數(shù)據(jù)包到達(dá)一個打開的端口，數(shù)據(jù)包只是簡單的丟掉（不返回RST）。（ 4） 分布式拒絕服務(wù)攻擊的原理是什么？答： DDoS攻擊手段是在傳統(tǒng)的 DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。理解了DoS攻擊的話， DDoS的原理就很簡單。 如果說計(jì)算機(jī)

7、與網(wǎng)絡(luò)的處理能力加大了10 倍，用一臺攻擊機(jī)來攻擊不再能起作用的話，攻擊者使用 10 臺攻擊機(jī)同時攻擊呢？用 100 臺呢？DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，以比從前更大的規(guī)模來進(jìn)攻受害者。（ 5） 緩沖區(qū)溢出攻擊的原理是什么？ 答：緩沖區(qū)是計(jì)算機(jī)內(nèi)存中的臨時存儲數(shù)據(jù)的區(qū)域，通常由需要使用緩沖區(qū)的程序 按照指定的大小來創(chuàng)建的。一個強(qiáng)健的程序應(yīng)該可以創(chuàng)建足夠大的緩沖區(qū)以保存它接收 的數(shù)據(jù)，或者可以監(jiān)測緩沖區(qū)的使用情況并拒絕接收超過緩沖區(qū)中可以保存的數(shù)據(jù)。如 果程序沒有對緩沖區(qū)邊界進(jìn)行檢查，即可以允許沒有干擾地輸入數(shù)據(jù)，而不考慮大小問 題。這樣多出的數(shù)據(jù)就會被寫到緩沖區(qū)之外，這時就可能寫入到

8、其它的內(nèi)存區(qū)域中。如 果在這部分內(nèi)存中已經(jīng)存放了一些重要的內(nèi)容（例如計(jì)算機(jī)操作系統(tǒng)的某一部分，或者 更有可能是其它數(shù)據(jù)或應(yīng)用程序自己的代碼） ，那么它的內(nèi)容就被覆蓋了（發(fā)生數(shù)據(jù)丟 失）。（ 6） 格式化字符串攻擊的原理是什么？ 答：所謂格式化串，就是在 *printf（） 系列函數(shù)中按照一定的格式對數(shù)據(jù)進(jìn)行輸出， 可以輸出到標(biāo)準(zhǔn)輸出，即 printf（） ，也可以輸出到文件句柄，字符串等，對應(yīng)的函數(shù)有 fprintf,sprintf,snprintf,vprintf,vfprintf,vsprintf,vsnprintf 等。能被黑客利用 的地方也就出在這一系列的 *printf（） 函數(shù)中，

9、 *printf（） 系列函數(shù)有三條特殊的性質(zhì)， 這些特殊性質(zhì)如果被黑客結(jié)合起來利用，就會形成漏洞。格式化串漏洞和普通的緩沖溢 出有相似之處，但又有所不同，它們都是利用了程序員的疏忽大意來改變程序運(yùn)行的正 常流程。第 3 章 入侵檢測系統(tǒng)選擇題：（ 1） D（ 2） D思考題：（ 1） 入侵檢測系統(tǒng)有哪些基本模型？ 答：在入侵檢測系統(tǒng)的發(fā)展歷程中，大致經(jīng)歷了三個階段：集中式階段、層次式階 段和集成式階段。代表這三個階段的入侵檢測系統(tǒng)的基本模型分別是通用入侵檢測模型（ Denning 模型）、層次化入侵檢測模型（ IDM）和管理式入侵檢測模型（ SNMP-IDSM）。（ 2） 簡述 IDM模型的

10、工作原理？ 答：IDM 模型給出了在推斷網(wǎng)絡(luò)中的計(jì)算機(jī)受攻擊時數(shù)據(jù)的抽象過程。也就是給出了將分散的原始數(shù)據(jù)轉(zhuǎn)換為高層次的有關(guān)入侵和被監(jiān)測環(huán)境的全部安全假設(shè)過程。通過把收集到的分散數(shù)據(jù)進(jìn)行加工抽象和數(shù)據(jù)關(guān)聯(lián)操作，IDM 構(gòu)造了一臺虛擬的機(jī)器環(huán)境， 這臺機(jī)器由所有相連的主機(jī)和網(wǎng)絡(luò)組成。將分布式系統(tǒng)看作是一臺虛擬的計(jì)算機(jī)的觀點(diǎn)簡化 了對跨越單機(jī)的入侵行為的識別。（ 3） 入侵檢測系統(tǒng)的工作模式可以分為幾個步驟，分別是什么？ 答：入侵檢測系統(tǒng)的工作模式可以分為 4 個步驟，分別為：從系統(tǒng)的不同環(huán)節(jié)收集 信息；分析該信息，試圖尋找入侵活動的特征；自動對檢測到的行為作出響應(yīng)；記錄并 報(bào)告檢測過程和結(jié)果。（

11、 4） 基于主機(jī)的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的區(qū)別是什么？ 答：基于主機(jī)的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當(dāng)有文件發(fā)生變化時，入侵檢測系統(tǒng)將新的記錄條目與攻擊標(biāo)記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報(bào)警，以采取措施?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源。基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通常利用一個運(yùn)行在混雜模 式下的網(wǎng)絡(luò)適配器來實(shí)時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。（ 5） 異常入侵檢測系統(tǒng)的設(shè)計(jì)原理是什么？ 答：異常入侵檢測系統(tǒng)利用被監(jiān)控系統(tǒng)正常行為的信息作為檢測系統(tǒng)中入侵行為和 異?；顒拥囊罁?jù)。在異常入侵檢測中，假定所有入侵行為都

12、是與正常行為不同的，這樣， 如果建立系統(tǒng)正常行為的軌跡，那么理論上可以把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為 可疑企圖。對于異常閾值與特征的選擇是異常入侵檢測的關(guān)鍵。比如，通過流量統(tǒng)計(jì)分 析將異常時間的異常網(wǎng)絡(luò)流量視為可疑。異常入侵檢測的局限是并非所有的入侵都表現(xiàn) 為異常，而且系統(tǒng)的軌跡難于計(jì)算和更新。（ 6） 誤用入侵檢測系統(tǒng)的優(yōu)缺點(diǎn)分別是什么？ 答：誤用入侵檢測系統(tǒng)的優(yōu)點(diǎn)是誤報(bào)少；缺點(diǎn)是它只能發(fā)現(xiàn)已知的攻擊，對未知的 攻擊無能為力。（ 7） 簡述防火墻對部署入侵檢測系統(tǒng)的影響。答：防火墻系統(tǒng)起防御來自外部網(wǎng)絡(luò)的攻擊的作用，在這時和入侵檢測系統(tǒng)互相配 合可以做更有效的安全管理。通常將入侵檢測系統(tǒng)

13、部署在防火墻之后，進(jìn)行繼防火墻一 次過濾后的二次防御。但是在有些情況下，還需要考慮來自外部的針對防火墻本身的攻 擊行為。如果黑客覺察到防火墻的存在并攻破防火墻的話，對內(nèi)部網(wǎng)絡(luò)來說是非常危險(xiǎn) 的。因此在高安全性要求的環(huán)境下在防火墻外部部署入侵檢測產(chǎn)品，進(jìn)行先于防火墻的 一次檢測、防御。這樣用戶可以預(yù)知那些惡意攻擊防火墻的行為并及時采取相應(yīng)的安全 措施，以保證整個網(wǎng)絡(luò)的安全性。第 4 章 入侵檢測流程選擇題：（ 1） C（ 2） A思考題：（ 1） 入侵分析的目的是什么？ 答：入侵分析的主要目的是提高信息系統(tǒng)的安全性。除了檢測入侵行為之外，人們 通常還希望達(dá)到以下目標(biāo)：重要的威懾力；安全規(guī)劃和管理

14、；獲取入侵證據(jù)。（ 2） 入侵分析需要考慮哪些因素？ 答：入侵分析需要考慮的因素主要有以下四個方面：需求；子目標(biāo)；目標(biāo)劃分；平 衡。（ 3） 告警與響應(yīng)的作用是什么？ 答：在完成系統(tǒng)安全狀況分析并確定系統(tǒng)所存在的問題之后，就要讓人們知道這些 問題的存在，在某些情況下，還要另外采取行動。這就是告警與響應(yīng)要完成的任務(wù)。（ 4） 聯(lián)動響應(yīng)機(jī)制的含義是什么？ 答：入侵檢測的主要作用是通過檢查主機(jī)日志或網(wǎng)絡(luò)傳輸內(nèi)容，發(fā)現(xiàn)潛在的網(wǎng)絡(luò)攻 擊，但一般的入侵檢測系統(tǒng)只能做簡單的響應(yīng)，如通過發(fā)RST包終止可疑的 TCP 連接。而對于大量的非法訪問，如 DoS 類攻擊，僅僅采用入侵檢測系統(tǒng)本身去響應(yīng)是遠(yuǎn)遠(yuǎn)不夠 的。

15、因此，在響應(yīng)機(jī)制中，需要發(fā)揮各種不同網(wǎng)絡(luò)安全技術(shù)的特點(diǎn)，從而取得更好的網(wǎng) 絡(luò)安全防范效果。這就需要采用入侵檢測系統(tǒng)的聯(lián)動響應(yīng)機(jī)制。目前，可以與入侵檢測 系統(tǒng)聯(lián)動進(jìn)行響應(yīng)的安全技術(shù)包括防火墻、安全掃描器、防病毒系統(tǒng)、安全加密系統(tǒng)等。 但其中最主要的是防火墻聯(lián)動，即當(dāng)入侵檢測系統(tǒng)檢測到潛在的網(wǎng)絡(luò)攻擊后，將相關(guān)信 息傳輸給防火墻，由防火墻采取響應(yīng)措施，從而更有效的保護(hù)網(wǎng)絡(luò)信息系統(tǒng)的安全。第 5 章 基于主機(jī)的入侵檢測技術(shù)一、 ABCD二、思考題1基于主機(jī)的數(shù)據(jù)源主要有哪些？答：基于主機(jī)的數(shù)據(jù)源主要有系統(tǒng)日志、應(yīng)用程序日志等。2獲取審計(jì)數(shù)據(jù)后，為什么首先要對這些數(shù)據(jù)進(jìn)行預(yù)處理？答：當(dāng)今現(xiàn)實(shí)世界中的數(shù)據(jù)

16、庫的共同特點(diǎn)是存在不完整的、含噪聲的和不一致的數(shù) 據(jù)，用戶感興趣的屬性，并非總是可用的。網(wǎng)絡(luò)入侵檢測系統(tǒng)分析數(shù)據(jù)的來源與數(shù)據(jù)結(jié) 構(gòu)的異構(gòu)性，實(shí)際系統(tǒng)所提供數(shù)據(jù)的不完全相關(guān)性、冗余性、概念上的模糊性以及海量 審計(jì)數(shù)據(jù)中可能存在大量的無意義信息等問題，使得系統(tǒng)提供的原始信息很難直接被檢 測系統(tǒng)使用，而且還可能造成檢測結(jié)果的偏差，降低系統(tǒng)的檢測性能。這就要求獲取的 審計(jì)數(shù)據(jù)在被檢測模塊使用之前，對不理想的原始數(shù)據(jù)進(jìn)行有效的歸納、進(jìn)行格式統(tǒng)一、 轉(zhuǎn)換和處理。3數(shù)據(jù)預(yù)處理的方法很多，常用的有哪幾種？答：數(shù)據(jù)預(yù)處理的方法很多，常用的有：基于粗糙集理論的約簡法、基于粗糙集理 論的屬性離散化、屬性的約簡等。

17、（需要對上述方法的基本原理進(jìn)行掌握）4簡述基于專家系統(tǒng)的入侵檢測技術(shù)的局限性。答：專家系統(tǒng)可有針對性地建立高效的入侵檢測系統(tǒng)，檢測準(zhǔn)確度高。但在具體實(shí) 現(xiàn)中，專家系統(tǒng)主要面臨如下問題：專家知識獲取問題。即由于專家系統(tǒng)的檢測規(guī)則 由安全專家用專家知識構(gòu)造，因此難以科學(xué)地從各種入侵手段中抽象出全面的規(guī)則化知 識。規(guī)則動態(tài)更新問題。用戶行為模式的動態(tài)性要求入侵檢測系統(tǒng)具有自學(xué)習(xí)、自適 應(yīng)的功能。5配置分析技術(shù)的基本原理是基于哪兩個觀點(diǎn)？配置分析技術(shù)的基本原理是基于如下兩個觀點(diǎn)：一次成功的入侵活動可能會在系 統(tǒng)中留下痕跡，這可以通過檢查系統(tǒng)當(dāng)前的狀態(tài)來發(fā)現(xiàn)。系統(tǒng)管理員和用戶經(jīng)常會錯 誤地配置系統(tǒng)，從而

18、給攻擊者以入侵的可乘之機(jī)。第 6 章 基于網(wǎng)絡(luò)的入侵檢測技術(shù)思考題：（ 1） 簡述交換網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)捕獲方法。 答：在使用交換機(jī)連接的交換式網(wǎng)絡(luò)環(huán)境中，處于監(jiān)聽狀態(tài)下的網(wǎng)絡(luò)設(shè)備，只能捕 獲到它所連接的交換機(jī)端口上的數(shù)據(jù)，而無法監(jiān)聽其他交換機(jī)端口和其他網(wǎng)段的數(shù)據(jù)。 因此，實(shí)現(xiàn)交換網(wǎng)絡(luò)的數(shù)據(jù)捕獲要采用一些特殊的方法。通?？梢圆捎萌缦路椒ǎ海?1）將數(shù)據(jù)包捕獲程序放在網(wǎng)關(guān)或代理服務(wù)器上，這樣就可以捕獲到整個局域網(wǎng)的數(shù)據(jù)包； （2）對交換機(jī)實(shí)行端口映射，將所有端口的數(shù)據(jù)包全部映射到某個連接監(jiān)控機(jī)器的端口 上；（3）在交換機(jī)和路由器之間連接一個HUB，這樣數(shù)據(jù)將以廣播的方式發(fā)送； （ 4）實(shí)行ARP欺

19、騙， 即在負(fù)責(zé)數(shù)據(jù)包捕獲的機(jī)器上實(shí)現(xiàn)整個網(wǎng)絡(luò)的數(shù)據(jù)包的轉(zhuǎn)發(fā)，不過會降低整個局域網(wǎng)的效率。（ 2） 簡述包捕獲機(jī)制 BPF的原理。答：BPF主要由兩大部分組成： 網(wǎng)絡(luò)分接頭 （ Network Tap）和數(shù)據(jù)包過濾器 （ Packet Filter ）。 ?網(wǎng)絡(luò)分接頭從網(wǎng)絡(luò)設(shè)備驅(qū)動程序處收集數(shù)據(jù)包復(fù)制，并傳遞給正在捕獲數(shù)據(jù) 包的應(yīng)用程序。過濾器決定某一數(shù)據(jù)包是被接受或者拒絕以及如果被接受，數(shù)據(jù)包的那 些部分會被復(fù)制給應(yīng)用程序。（ 3） 簡述協(xié)議分析的原理。 答：協(xié)議分析的功能是辨別數(shù)據(jù)包的協(xié)議類型，以便使用相應(yīng)的數(shù)據(jù)分析程序來檢測數(shù)據(jù)包?？梢园阉械膮f(xié)議構(gòu)成一棵協(xié)議樹，一個特定的協(xié)議是該樹結(jié)構(gòu)中

20、的一個結(jié) 點(diǎn)，可以用一棵二叉樹來表示。一個網(wǎng)絡(luò)數(shù)據(jù)包的分析就是一條從根到某個葉子的路徑。 在程序中動態(tài)地維護(hù)和配置此樹結(jié)構(gòu)即可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。（ 4） 舉例說明如何檢測端口掃描。答：本例中檢測引擎檢測到主機(jī) 與主機(jī)在短期內(nèi)建立了大量的連接， 符合閾值要求， 所以已被認(rèn)定為端口掃描，如下圖所示。圖 端口掃描的檢測（ 5） 舉例說明如何檢測拒絕服務(wù)攻擊。答：本例中檢測引擎檢測出了 IGMP的 DoS攻擊，檢測結(jié)果下圖所示。圖 拒絕服務(wù)攻擊的檢測結(jié)果第 7 章 入侵檢測系統(tǒng)的標(biāo)準(zhǔn)與評估選擇題：（ 1） ABC（2）C（ 3） BD（4）B（ 5） AC（ 6） ABC（7）B（8）A思考

21、題：（1） CIDF 標(biāo)準(zhǔn)化工作的主要思想是什么？答： CIDF 標(biāo)準(zhǔn)化工作基于這樣的思想：入侵行為是如此廣泛和復(fù)雜，以至于依靠某 個單一的 IDS 不可能檢測出所有的入侵行為，因此就需要一個IDS 系統(tǒng)的合作來檢測跨越網(wǎng)絡(luò)或跨越較長時間段的不同攻擊。為了盡可能地減少標(biāo)準(zhǔn)化工作， CIDF把 IDS 系統(tǒng) 合作的重點(diǎn)放在了不同組件間的合作上。（2） CIDF 是怎樣解決組件之間的通訊問題的？答：CIDF 組件間的通信是通過一個層次化的結(jié)構(gòu)來完成的。 這個結(jié)構(gòu)包括三層： Gidos 層、信體層、 協(xié)商傳輸層。 針對 CIDF的一個組件怎樣才能安全地連接到其它組件的問題， CIDF提出了一個可擴(kuò)展

22、性非常好的比較完備的解決方法，即采用中介服務(wù) （Matchmaker）。針對連接建立后 CIDF 如何保證組件之間安全有效地進(jìn)行通信的問題， CIDF 是通過信體層 和傳輸層來解決的。信體層是為了解決諸如同步（例如阻塞和非阻塞等） 、屏蔽不同操作 系統(tǒng)的不同數(shù)據(jù)表示、 不同編程語言不同的數(shù)據(jù)結(jié)構(gòu)等問題而提出的。 它規(guī)定了 Message 的格式，并提出了雙方通信的流程。此外，為了保證通信的安全性，信體層包含了鑒別、 加密和簽名等機(jī)制。（ 3） IDWG的主要工作是什么？答： IDWG的主要工作圍繞著下面三點(diǎn)： （1）制定入侵檢測消息交換需求文檔。該文 檔內(nèi)容有入侵檢測系統(tǒng)之間通信的要求說明，同

23、時還有入侵檢測系統(tǒng)和管理系統(tǒng)之間通 信的要求說明。 （ 2）制定公共入侵語言規(guī)范。 （3）制定一種入侵檢測消息交換的體系結(jié) 構(gòu)，使得最適合于用目前已存在協(xié)議實(shí)現(xiàn)入侵檢測系統(tǒng)之間的通信。（ 4） 檢測系統(tǒng)的報(bào)警信息可信度與虛警率、檢測率之間的關(guān)系是什么？ 答：給定檢測率的條件下，報(bào)警信息的可信度將隨著檢測系統(tǒng)虛警率的增大而減小。而在給定虛警率的條件下，報(bào)警信息的可信度將隨著檢測率的增大而增大。（ 5） 評價入侵檢測系統(tǒng)性能的三個因素是什么，分別表示什么含義？ 答：評價入侵檢測系統(tǒng)性能的三個因素是：準(zhǔn)確性；處理性能；完備性。 準(zhǔn)確性指入侵檢測系統(tǒng)能正確地檢測出系統(tǒng)入侵活動。當(dāng)一個入侵檢測系統(tǒng)的檢測

24、 不準(zhǔn)確時，它就可能把系統(tǒng)中的合法活動當(dāng)作入侵行為并標(biāo)識為異常。處理性能指一個入侵檢測系統(tǒng)處理系統(tǒng)審計(jì)數(shù)據(jù)的速度。顯然，當(dāng)入侵檢測系統(tǒng)的 處理性能較差時，它就不可能實(shí)現(xiàn)實(shí)時的入侵檢測。完備性指入侵檢測系統(tǒng)能夠檢測出所有攻擊行為的能力。如果存在一個攻擊行為， 無法被入侵檢測系統(tǒng)檢測出來，那么該入侵檢測系統(tǒng)就不具有檢測完備性。由于在一般 情況下，很難得到關(guān)于攻擊行為以及對系統(tǒng)特權(quán)濫用行為的所有知識，所以關(guān)于入侵檢 測系統(tǒng)的檢測完備性的評估要相對困難得多。（6） IDS 測試方法的局限性是什么？答：IDS 測試方法的局限性在于只能測試己知攻擊。（ 7） 性能測試的主要指標(biāo)是什么？答：性能測試的主要的

25、指標(biāo)有： IDS 引擎的吞吐量；包的重裝；過濾的效率。（ 8） 離線評估方案和實(shí)時評估方案各有什么優(yōu)缺點(diǎn)？ 答：離線評估方案的優(yōu)點(diǎn)是設(shè)計(jì)簡單，集中于核心技術(shù)，消除安全與隱私問題并提 供大多數(shù)入侵檢測系統(tǒng)所使用的數(shù)據(jù)類型。缺點(diǎn)是無法反映網(wǎng)絡(luò)入侵行為的實(shí)時性。實(shí)時評估方案的優(yōu)點(diǎn)是可以測量每個 IDS 系統(tǒng)在現(xiàn)有的正常機(jī)器和網(wǎng)絡(luò)活動中檢測 入侵行為的效力，可以測量每個 IDS 系統(tǒng)的反應(yīng)機(jī)制的效力以及對正常用戶的影響。缺 點(diǎn)是構(gòu)建評估環(huán)境比較復(fù)雜。第 8 章 Snort 分析一、選擇題1B2C二、思考題1Snort 的 3 種工作模式是什么？答：Snort 有以下 3 種工作模式： 嗅探器嗅探器模式

26、僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù) 包并作為連續(xù)不斷的流顯示在終端上。數(shù)據(jù)包記錄器數(shù)據(jù)包記錄器模式把數(shù)據(jù)包 記錄到硬盤上。網(wǎng)絡(luò)入侵檢測系統(tǒng) Snort 最重要的用途還是作為網(wǎng)絡(luò)入侵檢測系 統(tǒng)，這種工作模式是最復(fù)雜的，而且是可配置的。用戶可以讓 Snort 分析網(wǎng)絡(luò)數(shù)據(jù)流以 匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。2 Snort 所需的底層庫有哪些？答： Snort 所需的底層庫有： Libpcap ： Libpcap 提供的接口函數(shù)主要實(shí)現(xiàn)和封裝 了與數(shù)據(jù)包截獲有關(guān)的過程 Libnet ： Libnet 提供的接口函數(shù)主要實(shí)現(xiàn)和封裝了數(shù)據(jù)包 的構(gòu)造和發(fā)送過程。 NDIS packet cap

27、ture Driver： NDIS packet capture Driver是為了方便用戶在 Win32/9x/NT/2000 環(huán)境下抓取和處理網(wǎng)絡(luò)數(shù)據(jù)包而提供的驅(qū)動程序。 Packet Driver 分為 Windows 9x 、 Windows NT 和 Windows 2000 3 種不同類型。3簡述 Snort 的特點(diǎn)答：Snort 是一個強(qiáng)大的輕量級的網(wǎng)絡(luò)入侵檢測系統(tǒng)，它具有實(shí)時數(shù)據(jù)流量分析和日志 IP 網(wǎng)絡(luò)數(shù)據(jù)包的能力，能夠進(jìn)行協(xié)議分析，對內(nèi)容進(jìn)行搜索 / 匹配；它能夠檢測各種 不同的攻擊方式，對攻擊進(jìn)行實(shí)時報(bào)警；此外， Snort 具有很好的擴(kuò)展性和可移植性。還 有，這個軟件遵

28、循通用公共許可證 GPL，所以只要遵守 GPL任何組織和個人都可以自由使 用。Snort 是一個輕量級的入侵檢測系統(tǒng)。 Snort 雖然功能強(qiáng)大， 但是其代碼極為簡潔、 短小，其源代碼壓縮包只有大約 110KB。 Snort 的跨平臺性能極佳。與大多數(shù)商用入侵 檢測軟件只能支持其中的 1 2 種操作系統(tǒng)，甚至需要特定的操作系統(tǒng)不同的是，Snort具有跨平臺的特點(diǎn)，它支持的操作系統(tǒng)廣泛。 Snort 的功能非常強(qiáng)大。 Snort 具有實(shí)時 流量分析和日志 IP 網(wǎng)絡(luò)數(shù)據(jù)包的能力、 能夠快速地檢測網(wǎng)絡(luò)攻擊， 及時地發(fā)出報(bào)警； Snort 能夠進(jìn)行協(xié)議分析，內(nèi)容的搜索 / 匹配； Snort 的日志

29、格式既可以是 Tcpdump式的二進(jìn)制 格式，也可以解碼成 ASCII 字符形式，更加便于用戶尤其是新手檢查；使用數(shù)據(jù)庫輸出 插件， Snort 可以把日志記入數(shù)據(jù)庫；使用 TCP流插件( Tcpstream )， Snort 可以對 TCP 包進(jìn)行重組、可以對 TCP 包進(jìn)行緩沖， ；使用 SPADE( Statistical Packet Anomaly Detection Engine )插件， Snort 能夠報(bào)告非正常的可疑包，從而對端口掃描進(jìn)行有效的 檢測； Snort 還有很強(qiáng)的系統(tǒng)防護(hù)能力，使用 FlexResp 功能， Snort 能夠主動斷開惡意 連接。擴(kuò)展性能較好，對于新的攻擊威脅反應(yīng)迅速。遵循公共通用許可證GPL，任何企業(yè)、個人、組織都可以免費(fèi)使用它作為自己的NIDS。4簡述 Snort 的入侵檢測流程。答：基于規(guī)則的模式匹配是 Snort 的核心檢測機(jī)