入侵检测问答题.docx
名词解析IDES入侵检测专家系统。采取了一组特征量度值来建立系统活动的正常行为模式,之后计算出当前用户行为与先前正常活动模式的偏离程度,并根据偏离程度的大小来判断是否发生了入侵活动。NSM网络安全监控器DIDS分布式入侵检测系统。首次将主机入侵检测和网络入侵检测技术进行集成的一次努力,他具备在目标网络环境下跟踪特定用户异常活动的能力P2DR(Policy策略、Protection防护、DeteCtiOn检测、ReSPonSe响应)动态计算机系统安全理论模型。MIB管理信息库OSI开放系统互连参考模型,包括应用层,表ZK层,会话层,传输层,网络层,数据链路层,物理层。RARP逆地址解析协议。提供从物理地址到IP地址映像服务。ICMP网际控制报文协议。用来提供差错报告服务的协议。必须包含在每个IP协议实现中。TCP传输控制协议。在一对高层协议之间在数据报服务的基础上建立可靠地端对端连接UDP用户数据报协议。提供应用进程之间传送数据报的基本机制ULP高层协议CMIP通用管理信息协议HEG主机事件发生器NID网络用户标识KDD数据库知识发现。指出背景是解决日一整张的数据量与快速分析数据要求之间的矛盾问题,目标是采取各种特定的算法在海量数据中法相有用的课理解的数据模式。ELFF扩展日志文件格式。除了CLF所定义的数据字段外,还扩展包含了其他的附加信息。CLF通用日志格式。从早期NCSA的Web服务器版本书中继承下来的日志、格式简答题1、主机审计:产生、记录并检查按照时间顺序排列的系统事件记录的过程。2、入侵是对信息系统的非授权访问以及(或者)未经许可在信息系统中进行的操作。3、入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。4、P2DR模型是一个动态的计算机系统安全理论模型,特点是动态性和基于时间的特性。入侵检测系统需要根据现有已知的安全策略信息,来更好地配置系统模块参数信息,当发现入侵行为后,入侵检测系统会通过响应模块改变系统的防护措施,改善系统的防护能力,从而实现动态的系统安全模型。因此从技术手段上分析,入侵检测可以看作是实现模型的承前启后的关键环节。5、操作系统的审计记录存在的问题不同的系统在审计事件的选择、审计记录的选择和内容组织等诸多方面都存在着兼容性的问题。另外一个是,操作系统审计机制的设计和开发的初始目标,不是为了满足后来才出现的入侵检测技术的需求目的。6、操作系统审计记录被认为是基于主机入侵检测技术的首选数据源:操作系统的审计系统在设计时,就考虑了审计记录的结构化组织工作以及对审计记录内容的保护机制,因此操作系统审计记录的安全性得到了较好的保护。操作系统审计记录提供了在系统内核级的事件发生情况,反映的是系统底层的活动情况并提供了相关的详尽信息,为发现潜在的异常行为特征奠定了良好的基础。7:Web服务器支持两种日志文件:通用日志格式(ConImonLogFormatCLF)o扩展日志文件格式(ExtendedLogFileFormatELFF)o8、BSM安全审计子系统的主要概念包括审计日志、审计文件、审计记录和审计令牌等,其中审计日志由一个或多个审计文件组成,每个审计文件包含多个审计记录,而每个审计记录则由一组审计令牌(audittoken)构成。9、系统日志的安全性与操作系统的审计记录比较而言,要差一些,其原因如下:产生系统日志的软件通常是在内核外运行的应用程序,因而这些软件容易受到恶意的修改或攻击。系统日志通常是存储在普通的不受保护的文件目录里,容易受到恶意的篡改和删除等操作,而审计记录通常以二进制文件形式存放具备较强的保护机制。10、应用程序日志信息的必要性:系统设计日益复杂,单纯分析从内核底层数据是不够的:底层级别安全数据的规模迅速膨胀,增加了分析难度;入侵攻击行为的目标集中于提供网络服务各种特定应用程序。存在的问题及风险:应用程序的日志信息易遭到恶意的攻击,包括篡改和删除等操作;特定应用程序同样存在是否值得信赖的问题。IK网络数据源的优势:采用被动监听方式不影响目标监控系统的运行性能,且无须改变原有网络结构和工作方式;嗅探器模块可以采用对网络用户透明的模式,降低了其自身被入侵者攻击的概率;网络数据信息源可发现主机数据源无法发现的攻击手段。相对于主机数据源网络数据包标准化程度更高,有利于在不同系统平台环境下的移植。12、(其他数据来源)1、其他安全产品:其他独立运行的安全产品;2、网络设备的数据:网络管理系统、路由器或交换机提供的数据信息;3、带外数据源是指由人工方式提供的数据信息。包括系统管理员对入侵检测系统所进行的各种管理控制操作,包括策略设定、系统配置、结果反馈等。13、信息源的选择问题:根据入侵检测系统设计的检测目标来选择。如果要求检测主机用户的异常活动,或特定应用程序的运行情况等,采用主机数据源;如需发现通过网络协议发动的入侵攻击就网络数据的输入信息。如要求监控整个目标系统内的总体安全状况等,就需同时采用来自主机和网络的数据源;在分布式的环境下,或许还要考虑到包括带外数据在内的其他类型数据源。14、从数据来源看,入侵检测通常可以分为两类:基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源,并辅之以主机上的其他信息,在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源,并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。15、从数据分析手段看,入侵检测通常可以分为滥用(misuse)入侵检测和异常(anomaly)入侵检测。滥用入侵检测利用这些特征集合或者是对应的规则集合,对当前的数据来源进行各种处理后,再进行特征匹配或者规则匹配工作,如果发现满足条件的匹配,则指示发生了一次攻击行为。异常入侵检测的假设条件是对攻击行为的检测可以通过观察当前活动与系统历史正常活动情况之间的差异来实现入侵检测的其他分类标准,例如实时和非实时处理系统:非实时的检测系统通常在事后收集的审计日志文件基础上,进行离线分析处理,并找出可能的攻击行为踪迹,目的是进行系统配置的修补工作,防范以后的攻击。实时处理系统实时监控,并在出现异常活动时及时做出反应。实时的概念是一个根据用户需求而定的变量,当系统分析和处理的速度处于用户需求范围内时,就可以称为实时入侵检测系统。16、审计数据的获取是主机入侵检测技术的重要基石,是进行主机入侵检测的信息来源。审计数据的获取质量和数量,决定了主机入侵检测工作的有效程度。审计数据的获取工作主要需要考虑下列问题。确定审计数据的来源和类型。审计数据的预处理工作,其中包括记录标准格式的设计、过滤和映射操作等。审疝数据的获取方式,包括审计数据获取模块的结构设计和传输协议等。17、IDES在SunUNIX目标系统环境下所收集到的审计数据,主要分为4个典型类型。文件访问:包括对文件和目录进行的操作,如读取、写入、创建、删除和访问控制列表的修改。系统访问:包括登录、退出、调用以及终止超级用户权限等。资源消耗:包括CPU、I/O和内存的使用情况。进程创建命令的调用:指示一个进程的创建。18、主机入侵检测所要进行的主要工作就是审计数据的预处理工作,包括映射、过滤和格式转换等操作。16、STAT系统的标准审计记录格式由3个部分定义组成:(Subject,Action,Object)Snort的系统架构分为3大部分:协议解析器、规则检测引擎和日志/警报系统。19、预处理工作的必要性体现在以下几个方面。有利于系统在不同目标平台间的移植;便于后继处理模块进行检测工作。需对审计记录流进行必要的映射和过滤等。20、审计数据获取模块的主要作用是获取目标系统的审计数据,并经过预处理工作后,最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流,供其使用。21、负责入侵检测工作的处理模块位于目标监控主机系统之外的特定控制台上,而所监控目标主机系统的数目又并非单台主机的情况(通常是一组经过网络环境连接起来的主机系统)。此时需要考虑的设计问题主要包括:在各目标主机系统和中央分析控制台之间处理负荷的平衡问题。采用何种传输协议的问题。如何将从多个目标主机处获得的审计数据多路复用成为一条单一审计记录数据流的问题。如何处理诸如网络传输过程中可能出现的延时、遗漏等问题。22、邻域接口包括两个主要部件:目标系统组件(Agen)和IDES组件(Arpool)0Agen是留驻在目标系统上的组件,通常Agen以离散的时间间隔对每一个审计文件进行轮询,以确定目标主机是否已经加入了新的审计数据。ArPoOl是留驻在邻域接口的服务器端,即它的目的是接收从多个目标机器发来的IDES格式的审计记录,并将它们序列化成一个单独的记录流,然后再对数据做进一步的处理。23、Denning提出4种可以用于入侵检测的统计模型。(1)操作模型(2)均值与标准偏差模型(3)多元模型(4)马尔可夫过程模型24、基于状态转移分析的检测模型,将攻击者的入侵行为描绘为一系列的特征操作及其所引起的系列系统状态转换过程,从而使得目标系统从初始状态转移到攻击者所期望的危害状态。它所具有的优点如下:直接采用审计记录序列来表示攻击行为的方法不具备直观性。而STAT采用高层的状态转移表示方法来表示攻击过程,避免这一问题。对于同一种攻击行为可能对应着不同的审计记录序列,这些不同审计记录序列可能仅仅因为一些细微的差别而无法被采用直接匹配技术的检测系统察觉,而STAT可以较好地处理这种情况。STAT能够检测到由多个攻击者所共同发起的协同攻击,以及跨越多个进程的攻击行为。另外,STAT的一大特色就是具备在某种攻击行为尚未造成实质危害时,就及时检测到并采取某种响应措施的能力。25、网络数据包的截获是基于网络的入侵检测技术的工作基石。检测引擎的设计是基于网络入侵检测的核心问题。26、语句-Itr和-se将tr和Se类型的事实从知识库中删除。这样做有3个原因:可避免规则因同样的满足条件而循环点火。将不需要的事实从知识库中删除,有助于提高系统运行速度。节约内存。27、构建一个输入接口的必要步骤:为用户所需要加入到知识库中的事实做出对应的PtyPe类型声明。编写一个C语言函数,来调用正确的assert_<ptypename)()函数。编写一全规则,在其前提或者结论语句中加入对此C语言函数的调用。28、构建状态转移图的过程大致分为如下步骤:分析具体的攻击行为,理解内在机理。确定攻击过程中的关键行为点。确定初始状态和最终状态。从最终状态出发,逐步确定所需的各个中间状态及其应该满足的状态断言组。29、检查文件系统完整性的必要性包括如下几个方面:攻击者在入侵成功后,经常在文件系统中安装后门或者木马程序,以方便后继的攻击活动。攻击者还可能安装非授权的特定程序,并且替换掉特定的系统程序,以掩盖非授权程序的存在。为了防止攻击活动的痕迹,攻击者还可能删除若干重要系统日志文件中的审计记录。入侵者还可能为了达成拒绝服务攻击目的或者破坏目的,恶意修改若干重要服务程序的配置文件或者数据库数据,包括系统安全策略的配置信息等。30>配置分析技术的基本原理:一次成功的入侵活动可能会在系统中留下痕迹,可通过检查系统当前状态来发现;系统管理员和用户经常会错误地配置系统,从而给攻击者以入侵的可乘之机。31、CoPS系统检查的系统安全范围包括:检查文件、目录和设备的访问权限模式。脆弱的口令设置。检查口令文件和组用户文件的安全性、格式和内容。检查在etcrc*目录和cron中指定运行的文件和程序。具有rootSUID属性的文件,检查它们是否可写,以及是否脚本程序。(6)对重要的二进制文件和其他文件计算CRC校验和,检查是否发生更改。检查用户主目录下文件是否可写。(8)是否具有匿名FTP登录服务账户。是否存在TFTP服务、Sendmail中别名情况以及在inetd.conf文件中隐藏的启动脚本程序等。(10)各种类型的根权限检查。5)按照CERT安全报告的发布日期,检查关键文件是否已经及时进行了升级或打上了补丁。32、采用镜像端口常碰到两个问题:随着交换带宽的不断增长,并非所有网络流量都会反映在镜像端口上。并非所有的交换设备都提供类似的镜像端口。很多的IDS系统会选择挂接在流量通常最大的上下行端口上,用来截获进出内外网的数据流量。33、DIDS中央控制台组件能够解决两个关键的问题:网络环境下对特定用户和系统对象(例如文件)的跟踪问题。为此,DIDS提出了网络用户标识(NID)的概念,目的是惟一标识在目标网络环境中多台主机间不断移动的用户。不同层次的入侵数据抽象问题。DIDS系统提出了一个6层的入侵检测模型,并以此模型为基础和指导,构造了专家系统的检测规则集合。34、混合型入侵检测技术包括:第一种是指采用多种信息输入源的入侵检测技术,第二种则强调采用多种不同类型的入侵检测方法。35、Dn)S系统主要包括3种类型的组件i主机监控器(hostmonitor)、局域网监控器(LANmonitor)和中央控制台(director)。36、入侵检测专家系统(IntrusionDetectionExpertSystem,IDES);它模型分为:目标系统域、邻域接口、处理引擎和用户接口。而实际由以下功能组件构成:邻域接口、统计异常检测器、专家系统异常检测器和用户接口CNIDES系统包括3种服务器:SOUI服务器、Analysis服务器和ArPool服务器。37、数据挖掘(DataMining)是所谓“数据库知识发现”(KnowledgeDiscoveryinDatabase,KDD)技术中一个关键步骤,其提出背景是解决日益增长的数据量与快速分析数据要求之间矛盾问题,目标是采用各种特定的算法在海量数据中发现有用的可理解的数据模式。38常用的分类算法包括:RIPPER、C4.5、NearestNeighbOr等。主流的关联分析算法有:Apriori算法、AprioriTid算法等。常见的序列分析算法包括:ArPiOriAIl算法、DynamiCSOIne算法和AprioriSomc算法等。39、进化计算的主要算法包括以下5种类型:遗传算法(GeneticAlgorithm,GA)、进化规划(EvolutionaryProgramming,EP)、进化策略(EvolutionaryStrategies,ES)、分类器系统(ClassifierSystemsCFS)和遗传规划(GenetiCProgramming,GP)。40、需求定义或者需求分析是进行系统设计的第一步,同时也是对后继过程产生最重要影响的阶段。1.检测功能需求2.响应需求3.操作需求4.平台范围需求5.数据来源需求6.检测性能需求7.可伸缩性需求8.取证和诉讼需求9.其他需求系统安全设计原则:1.机制的经济性原则2.可靠默认原则3.完全调节原则4.开放设计原则5.特权分割原则6.最小权限原则7.最小通用原则8.心理接受原则41、按照响应发生的时间和紧急程度可分为,紧急行动、及时行动、本地的长期行动和全局的长期行动。响应类型:主动响应和被动响应。被动响应指的是入侵检测系统仅仅报告和记录所检测到的异常活动信息。42、通常的“电子证据”是指在计算机或计算机系统运行过程中产生的以其记录的内容作为证明案件事实的电磁记录物。43、人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,它是由大量简单的处理单元(神经元)进行高度互联而成的复杂网络系统。从本质上讲,人工神经网络实现的是一种从输入到输出的映射关系,其输出值由输入样本、神经元间的互联权值以及传递函数所决定。通过训练和学习过程来修改网络互联权值,神经网络就可以完成所需的输入-输出映射。44、神经网络技术应用于入侵检测领域优势:神经网络具有概括和抽象能力,对不完整输入信息具有一定程度的容错处理能力。神经网络具备高度的学习和自适应能力。神经网络所独有的内在并行计算和存储特性。缺陷和不足:(1)需要解决神经网络对大容量入侵行为类型的学习能力问题。(2)需要解决神经网络的解释能力不足的问题。(3)执行速度问题。要解决这个问题,或许需要设计专门的神经网络计算芯片或者计算机。45、KDD技术通常包括以下步骤:理解应用背景。首先要充分了解数据集合的特性,然后要明确知识发现的任务目标。数据准备。包括创建进行知识发现的目标数据集合,消除数据集合中的噪声数据以及定义对应的变量集合等。数据挖掘。首先要确定对数据进行处理后最终需要获得的模型类型,例如分类模型、聚类模型或者摘要模型等,然后应用各种特定的算法生成对应的分类规则或者分类树结构、关联模式和常见序列模式等。结果解析。对产生的数据模式进行理解分析,还可以用不同的配置信息来重复以上步骤获取不同的数据模式,并进行对比分析,去除冗余和不重要的模式,并将最后的有用模式提交给用户。使用所发现的知识。包括将新发现的知识结合到已有的系统模块中,或者直接提交到其他感兴趣的相关实体。46、与现有的计算机安全系统相比较,生物免疫系统具备如下重要的特征:多层次保护机制。高度分布式的检测和记忆系统。多样化的个体检测能力。识别未知异体的能力。47、入侵检测系统在设计时所需要考虑的实际问题:系统设计的最初阶段要注意对用户的实际需求进行分析,从而能够具备明确的设计目标。必须在系统设计时遵循若干基本的安全设计原则,保障系统自身的安全性能。简要回顾入侵检测系统的设计生命周期过程。48、基于主机的入侵检查系统优点包括:(1)能确定攻击是否成功。主机是攻击的目的所在,所以基于主机的WS使用含有已发生的事件信息,可以比基于网络的IDS更加准确地判断攻击是否成功。就这一方面而言,基于主机的IDS与基于网络的IDS互相补充,网络部分尽早提供针对攻击的警告,而主机部分则可确定攻击是否成功。(2)监控粒度更细。基于主机的IDS,监控的目标明确,视野集中,它可以检测一些基于网络的IDS不能检测的攻击。它可以很容易地监控系统的一些活动,如对敏感文件、目录、程序或端口的存取。例如,基于主机的IDS可以监督所有用户登录及退出登录的情况,以及每位用户在联接.到网络以后的行为。它还可监视通常只有管理员才能实施的非正常行为。针对系统的一些活动,有时并不通过网络传输数据,有时虽然通过网络传输数据但所传输的数据并不能提供足够多的信息,从而使得基于网络的系统检测不到这些行为,或者检测到这个程度非常困难。(3)配置灵活。每一个主机有其自己的基于主机的IDS,用户可根据自己的实际情况对其进行配置。(4)可用于加密的以及交换的环境。加密和交换设备加大了基于网络IDS收集信息的难度,但由于基于主机的IDS安装在要监控的主机上,根本不会受这些因素的影响。(5)对网络流量不敏感。基于主机的IDS一般不会因为网络流量的增加而丢掉对网络行为的监视。(6)不需要额外的硬件。49、基于网络的入侵检利系统的优点与缺点:基于网络的入侵检测系统有以下优点:1)监测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。2)隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易被存取,因而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序,不提供网络服务,可以不响应其他计算机,因此可以做得比较安全。3)视野更宽。可以检测一些主机检测不到的攻击,如泪滴攻击(Teardrop),基于网络的SYN攻击等。还可以检测不成功的攻击和恶意企图。4)较少的监测器。由于使用一个监测器就可以保护一个共享的网段,所以你不需要很多的监测器。相反地,如果基于主机,则在每个主机上都需要一个代理,这样的话,花费昂贵,而且难于管理。但是,如果在一个交换环境下,就需要特殊的配置。5)攻击者不易转移证据。基于网络的IDS使用正在发生的网络通讯进行实时攻击的检测。所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法,而且还包括可识别黑客身份和对其进行起诉的信息。许多黑客都熟知审计记录,他们知道如何操纵这些文件掩盖他们的作案痕迹,如何阻止需要这些信息的基于主机的系统去检测入侵。6)操作系统无关性。基于网络的IDS作为安全监测资源,与主机的操作系统无关。与之相比,基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作,生成有用的结果。7)可以配置在专门的机器上,不会占用被保护的设备上的任何资源。主要缺点是:只能监视本网段的活动,精确度不高;在交换环境下难以配置;防入侵欺骗的能力较差;难以定位入侵者。50、根据检测原理,将入侵检测分为两类:异常检测和误用检测。1 .异常检测在异常检测中,观察到的不是已知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前,首先必须建立统计概率模型,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”,并如何做出具体决策。2 .误用检测在误用检测中,入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。所以,可事先定义某些特征的行为是非法的,然后将观察对象与之进行比较以做出判别。误用检测基于已知的系统缺陷和入侵模式,故又称特征检测。它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好的安全策略,所以无法检测系统未知的攻击行为,从而产生漏报。51.用户需求分析L检测功能需求2.响应需求3.操作需求4.平台范围需求5.数据来源需求6.检测性能需求7.可伸缩性需求8.取证和诉讼需求9.其他需求52系统安全设计原则1.机制的经济性原则2.可靠默认原则3.完全调节原则4.开放设计原则5.特权分割原则6.最小权限原则7.最小通用原则8.心理可接受原则53网络数据包的截获优缺点:网络数据包的截获是基于网络的入侵检测技术的工作基石。根据网络类型的不同,网络数据截获可以通过两种方法实现:一种是利用以太网络的广播特性,另种是通过设置路由器的监听端口或者是镜像端口来实现。以太网数据传输通过广播传输媒体实现。但是在系统正常工作时,应用程序只能接收到以本主机为目标主机的数据包,其他数据包将被丢弃不作处理。要截获到流经网卡的不属于自己主机的数据,必须绕过系统正常工作的处理机制,直接访问网络底层,首先将网卡工作模式置于混杂(promiscuous)模式,使之可以接收目标MAC地址不是本机MC地址的数据包,然后直接访问数据链路层,截获相关数据,由应用程序而非上层协议如IP和TCP协议对数据进行过滤处理,这样就可以截获到流经网卡的所有数据。54.IDES入侵检测专家系统(IntrusionDetectionExpertSystem,IDES);它模型分为:目标系统域、邻域接口、处理引擎和用户接口。而实际由以下功能组件构成:邻域接口、统计异常检测器、专家系统异常检测器和用户接口。NlDES系统包括3种服务器:SOUl服务器、Analysis服务器和ArPool服务器。