“信息安全技术”第四章入侵检测与审计的课后作业1、网络入侵有哪些特点?特点:不受时间和空间的限制;具有较强的隐蔽性;具有复杂性和欺骗性;具有更大的危害性。2、什么是入侵检测?入侵检测:入侵检测(ID:IntrusionDetection)是指对试图破坏计算机和网络资源完整性、机密性和可用性的入侵行为进行识别和响应过程。3、什么是入侵检测系统?入侵检测系统(IDS,IntrusionDetectionSystem)是对防火墙的必要补充。作为重要的网络安全工具,它可以对系统或网络资源进行实时检测,及时发现闯入系统或网络的入侵者,也可预防合法用户对资源的误操作。4、入侵检测的实现是建立在哪两个假设的基础上?一个计算机系统中用户和程序的所有行为都是可以被检测到的;入侵系统所产生的结果与合法操作所产生的有明显的区别。5、试列举三种异常检测方法并简述其原理。1.基于统计的入侵检测技术:根据用户的行为或对计算机使用情况来建立行为特征轮廓(由一组统计参数组成,比如CPU和I/O利用率、文件访问、出错率和网络连接等),由审记系统实时地检测用户对系统地使用情况,根据系统内部保存用户行为概率统计模型进行检测分析。2.基于用户行为的神经网络异常检测技术:用用户的正常行为样本训练神经网络,提取用户的行为特征并创建用户的行为特征轮廓。如果检测到的用户行为与之有较大偏离,将被视为异常行为。3.基于程序行为的神经网络异常检测技术:每一个进程都可以由它的执行轨迹(即从开始到结束期间的系统调用顺序列表)来描述,一个程序的正常行为可以由其执行轨迹的局部模式(短序列)来表征,而偏离这些模式则意味着入侵。所以可以通过监视进程使用的系统调用来实现入侵检测。4.基于免疫的异常检测技术:由Forrest等人提出,将入侵检测看作是区分“自我”和“非自我”的过程。该技术建立网络服务正常操作的行为模型,它首先收集一些参考审计记录构成一个参考表,表明正确的行为模式,并实时检测进程系统的调用序列是否符合正常模式。5.支持向量机(SVM,SupportVectorMachines)是由N.V.Vapnik等人于1992~1995年正式提出的。这一理论在数据分类以及回归估计方面的应用取得了巨大的成功。支持向量机学习算法的优势在于,它建立在一套较为完善的机器学习理论———统计学习理论基础之上的,并具有较好的泛化能力。标准的支持向量机主要是处理两类数据的分类问题,并且具有相当好的结果。实现方法:基于用户行为,基于程序行为6.基于无监督学习的异常检测技术:理论依据:异常行为同正常行为有明显区别;异常行为数量相对于正常行为来说,所占比例较小;常用方法:聚类:将所得到聚类结果中,包含记录最多的类作为正常,而其他作为异常处理孤立点检测”将孤立点作为异常处理特点:对样本要求不象有监督学习异常检测那样苛刻离线检测6、入侵检测技术从设计思想上主要分成哪两种?它们各自的特点是什么?1.异常检测:主要是通过检测用户的异常行为来发现入侵事件。检测方法的原则:任何与已知行为模型不符合的行为都被认为是入侵行为。2.误用检测:又称为滥用检测,它首先对已知的入侵建立入侵特征模型,然后利用用户当前的行为和系统状态与这些入侵模型进行匹配。检测方法的出发点:任何与已知行为模型符合的行为都是入侵行为。7、从数据来源来看,入侵检测系统可以分成哪几种实现方式?它们各自的特点是什么?1.基于主机的入侵检测系统:是根据主机的审计跟踪数据和系统的日志来发现可疑事件。它的目标环境是主机系统,检测的是本系统用户。优点操作简单,而且可针对不同操作系统的特点判定应用层的入侵事件。可以准确评估本地安全状态缺点要占用主机宝贵的资源,成本较高2.基于网络的入侵检测系统是通过连接在网络上的站点对报文进行捕获,并根据网络流量、协议分析等数据来判断入侵是否发生。优点实时响应,操作代价低,安装使用简单方便。缺点对加密通讯的检测分析能力不强、易受到拒绝服务攻击。3.多源型入侵检测系统基于网络和基于主机的入侵检测系统在实际应用中都有各自的优点和缺点,两者在检测范围和能力上具有一定的互补性。联合使用基于主机和基于网络这两种方式能够达到更好的检测效果8、试分析集中式入侵检测系统的优点和不足。优点:a)可以检测到系统内部所发生的攻击行为和可疑活动b)可管理性好c)简单,易实现缺点:a)网络负荷重b)扩展性和鲁棒性差9、为实现对分布式入侵的检测,要求入侵检测系统应满足哪两个基本要求?a)一个计算机系统中用户和程序的所有行为都是可以被检测到的;b)入侵系统所产生的结果与合法操作所产生的有明显的区别;10、把数据挖掘引入到入侵检测中的目的是什么?1.提取入侵特征,产生用于误用检测的检测规则和模型;2.提取用户和程序行为特征,构造异常检测的正常模式;11、基于数据融合的入侵检测主要实现方式有哪两种?请简述其原理。a)数据层面的融合b)决策层面的融合12、在信息安全课程中,IDS、HIDS、NIDS、IPS、HONEYPOT、ITS、TCSEC,它们各自中文含义是什么?IDS(IntrusionDetectionSystem):入侵检测系统HIDS(Host-basedIntrusionDetectionSystem):基于主机的入侵检测系统NIDS(NetworkIntrusionDetectionSystem):基于网络的入侵检测系统IPS(IntrusionPreventionSystem):入侵防御系统HONEYPOT:蜜罐系统ITS(IntrusionTolerantSystems):入侵容忍系统TCSEC(TrustedComputerSystemEvaluationCriteria):TCSEC准则,俗称橙皮书,是美国国防部发布的一个准则,用于评估自动信息数据处理系统产品的安全措施的有效性。TCSEC通常被用来评估操作系统或软件平台的安全性。13、什么是蜜罐系统?它的主要作用是什么?Honeypot和Honeynet就是一个设计用来观测黑客如何探测并最终进行入侵的一个系统,该系统从表面看来象一台普通的机器(或网络环境)但同时通过一些特殊配置来引诱潜在的黑客并捕获他们的踪迹。a)它包含一些并不威胁公司机密的数据或应用程序同时对于黑客来说又具有很大的诱惑力;b)对黑客进行秘密地跟踪和检测目的:不是使用它来抓获黑客,仅仅想知道他们在并不知道自己被观测的情况下如何工作,从而帮助我们更好的保护我们的系统和网络14、TCSEC准则中关于安全审计的定义。审计信息必须被有选择地保留和保护,与安全有关的活动能够被追溯到负责方,系统应能够选择那些与安全有关的信息并被记录,以便将审计的开销降低到最小,从而可以进行有效的分析。15、试分析网络设备及防火墙日志、操作系统日志和侦听类工具是否满足安全审计的要求?如果不满足,请简要分析原因。1.网络设备及防火墙日志a)通常具备一定的日志功能b)存在的不足i.受网络设备和防火墙分析能力的限制,目前只能记录自身运转情况和一些简单的违规信息,不能提供具体有价值的网络操作信息;ii.往往采用内存记录日志,空间有限,有用信息容易被覆盖,而且信息不能做永久保存2.操作系统日志c)一般都提供日志功能,记录一些零碎信息d)存在的问题i.无法理解用户具体操作行为,难以获得整个入侵过程的完整信息;ii.对分布式入侵分析效率不高;iii.无法对发生的攻击采取及时的响应,一旦日志文件被篡改,日志文件中信息的准确性不能保证3.侦听类工具e)能够获得网络上流过的数据包信息,能够观察到网络用户的操作和传输的数据,有利于对违规时间的检测f)存在的问题i.分析能力不足ii.不具备关联分析能力iii.缺乏报警响应能力iv.大量无用的冗余信息