答:入侵檢測是用於檢測任何損害或者企圖損害系統的保密性、完整性或可用性的一種網路安全技術。 它通過監視受保護系統的狀態和活動,採用誤用檢測或異常檢測的方式,發現非授權或惡意的系統及網路 行為,為防範入侵行為提供有效的手段。
入侵檢測系統,就是執行入侵檢測任務的硬體或軟體產品。 入侵檢測提供了用於發現入侵攻擊與合法使用者濫用特權的一種方法,其應用前提是:入侵行為和合法 行為是可區分的,也即可以通過提取行為的模式特徵來判斷該行為的性質。
入侵檢測系統需要解決兩個問題:一是如何充分並可靠地提取描述行為特徵的資料,二是如何根據特 徵資料,高效並準確地判定行為的性質。
答:根據任務屬性的不同,入侵檢測系統的功能結構可分為兩個部分:中心檢測平台和**伺服器。
答:分布式入侵檢測的優勢 :①檢測大範圍的攻擊行為;②提高檢測的準確度;③提高檢測效率;④協調響應措施。
分布式入侵檢測的技術難點: ①事件產生及儲存;②狀態空間管理及規則複雜度;③知識庫管理;④推理技術。
**答:①ietf/idwg。idwg 提出了三項建議草案:入侵檢測訊息交換格式(idmef)、入侵檢測交換 協議(idxp)及隧道輪廓(tunnel profile);
②cidf。cidf 的工作集中體現在四個方面:ids 的體系結構、通訊機制、描述語言和應用程式設計介面 api。
答:分析是入侵檢測的核心功能。入侵檢測分析處理過程可分為三個階段:
①第一階段主要進行分析引擎的構造,分析引擎是執行預處理、分類和後處理的核心功能;
②第二階段,入侵分析主要進行現場實際事件流的分析,在這個階段分析器通過分析現場的實際資料, 識別出入侵及其他重要的活動;
③第三階段,與反饋和提煉過程相聯絡的功能是分析引擎的維護及其他如規劃集提煉等功能。誤用檢 測在這個階段的活動主要體現在基於新攻擊資訊對特徵資料庫進行更新,與此同時,一些誤用檢測引擎還 對系統進行優化工作,如定期刪除無用記錄等。對於異常檢測,歷史統計特徵輪廓的定時更新是反饋和提 煉階段的主要工作。**
(1)異常入侵檢測原理
異常檢測原理:是基於乙個假定:使用者的行為是可**的,遵循一致性模式的,且隨著使用者事件的增加,異常檢測會適應使用者行為的變化,使用者行為的的特徵輪廓在異常檢測中是由度量集來描述,度量是特定網路行為的定量表示,通常與某個檢測閾值或某個域相聯絡.
(2)誤用入侵檢測原理
誤用入侵檢測原理:按照預定模式搜尋事件資料的,最適用於對已知模式的可靠檢測,執行誤用檢測,主要依賴於可靠的使用者活動記錄和分析事件的方法.
答:cidf 指公共入侵檢測框架。cidf 在 ides 和nides 的基礎上提出了乙個通用模型,將入侵檢 測系統分為四個基本元件,事件產生器、事件分析器、響應單元和事件資料庫。
在該模型中,事件產生器、事件分析器和響應單元通常以應用程式的形式出現,而事件資料庫則是以 檔案或資料流的形式。cidf 將 ids 需要分析的資料統稱為事件,它可以是網路中的資料報,也可以是從 系統日誌或其他途徑得到的資訊。
以上四個元件只是邏輯實體,乙個元件可能是某台計算機上的乙個程序甚至執行緒,也可能是多個計算 機上的多個程序,它們以gido(統一入侵檢測物件)格式進行資料交換。
計算機網路安全複習 第5章 網路入侵
原理 社會工程學是使用計謀和假情報去獲得密碼和其它敏感資訊的科學 主要攻擊方式 打 請求密碼 偽造e mail 目的 保護一些比較重要的裝置不被接觸 示例 獲得管理員密碼 許可權提公升 原理 窮舉法 存疑 字典攻擊 最常見的暴力攻擊。字典攻擊通過僅僅使用某種具體的密碼來縮小嘗試的範圍,大多數的使用者...
計算機網路安全
第一章 計算機網路概述 第二章 物理層 第三章 資料鏈路層 第四章 網路層 第五章 傳輸層 第六章 傳輸層 第七章 計算機網路安全 計算機安全包括哪些 cain工具 可以破解同乙個網段輸入的賬號密碼和篡改網域名稱解析結果 2.1 對稱加密 加密金鑰和解密金鑰相同 對稱加密檔案不適合在網上傳輸,且維護...
計算機網路 網路安全
物理層 資料鏈路層 網路層運輸層 應用層網路安全 無線網路和流動網路 數字簽名 鑑別實體鑑別 金鑰分配 網際網路使用的安全協議 系統安全 防火牆與入侵檢測 入侵檢測系統ids 1.安全的計算機網路的四個目標 對稱金鑰密碼體制 1.加密金鑰和解密金鑰是相同的 2.比如des,aes 公鑰密碼體制 1....