① 入侵檢測系統一般不能檢測出哪些內容.拒絕服務攻擊.網路線路物理中斷
1. 入侵者進入我們的系統主要有三種方式: 物理入侵 、系統入侵、遠程入侵。
2. 入侵檢測系統是進行入侵檢測的軟體與硬體的組合。
3. 入侵檢測系統由三個功能部分組成,它們分別是感應器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵檢測系統根據其監測的對象是主機還是網路分為基於主機的入侵檢測系統和
基於網路的入侵檢測系統。
5. 入侵檢測系統根據工作方式分為在線檢測系統和離線檢測系統。
6. 通用入侵檢測模型由主體、客體、審計記錄、活動參數、異常記錄、活動規則六部分組成。
二、選擇題
1. IDS產品相關的等級主要有(BCD)等三個等級:
A: EAL0 B: EAL1 C: EAL2 D: EAL3
2. IDS處理過程分為(ABCD )等四個階段。
A: 數據採集階段 B: 數據處理及過濾階段 C: 入侵分析及檢測階段 D: 報告以及響應階段
3. 入侵檢測系統的主要功能有(ABCD ):
A: 監測並分析系統和用戶的活動
B: 核查系統配置和漏洞
C: 評估系統關鍵資源和數據文件的完整性。
D: 識別已知和未知的攻擊行為
4. IDS產品性能指標有(ABCD ):
A: 每秒數據流量
B: 每秒抓包數
C: 每秒能監控的網路連接數
D: 每秒能夠處理的事件數
5. 入侵檢測產品所面臨的挑戰主要有(ABCD ):
A: 黑客的入侵手段多樣化
B: 大量的誤報和漏報
C: 惡意信息採用加密的方法傳輸
D: 客觀的評估與測試信息的缺乏
三、判斷題
1. 有了入侵檢測系統以後,我們可以徹底獲得網路的安全。(F )
2. 最早關於入侵檢測的研究是James Anderson在1980年的一份報告中提出的。( T )
3. 基於網路的入侵檢測系統比基於主機的入侵檢測系統性能優秀一些。( F )
4. 現在市場上比較多的入侵檢測產品是基於網路的入侵檢測系統。( T )
四、簡答題
1. 什麼是入侵檢測系統?簡述入侵檢測系統的作用?
答:入侵檢測系統(Intrusion Detection System,簡稱IDS)是進行入侵檢測的軟體與硬體的組合,事實上入侵檢測系統就是「計算機和網路為防止網路小偷安裝的警報系統」。 入侵檢測系統的作用主要是通過監控網路、系統的狀態,來檢測系統用戶的越權行為和系統外部的入侵者對系統的攻擊企圖。
2. 比較一下入侵檢測系統與防火牆的作用。
答:防火牆在網路安全中起到大門警衛的作用,對進出的數據依照預先設定的規則進行匹配,符合規則的就予以放行,起訪問控制的作用,是網路安全的第一道關卡。IDS是並聯在網路中,通過旁路監聽的方式實時地監視網路中的流量,對網路的運行和性能無任何影響,同時判斷其中是否含有攻擊的企圖,通過各種手段向管理員報警,不但可以發現從外部的攻擊,也可以發現內部的惡意行為。所以說,IDS是網路安全的第二道關卡,是防火牆的必要補充。
3. 簡述基於主機的入侵檢測系統的優缺點?
答:優點:①准確定位入侵②可以監視特定的系統活動③適用於被加密和交換的環境
④成本低
缺點:①它在一定程度上依靠系統的可靠性,要求系統本身具有基本的安全功能,才能提取入侵信息。②主機入侵檢測系統除了檢測自身的主機之外,根本不檢測網路上的情況
4. 簡述基於網路的入侵檢測系統的優缺點?
答:優點:①擁有成本較低②實時檢測和響應③收集更多的信息以檢測未成功的攻擊和不良企圖④不依靠操作系統⑤可以檢測基於主機的系統漏掉的攻擊
缺點:①網路入侵檢測系統只能檢查它直接連接的網段的通信,不能檢測在不同網段的網路包。②網路入侵檢測系統通常採用特徵檢測的方法,只可以檢測出普通的一些攻擊,而對一些復雜的需要計算和分析的攻擊檢測難度會大一些。③網路入侵檢測系統只能監控明文格式數據流,處理加密的會話過程比較困難。
5. 為什麼要對入侵檢測系統進行測試和評估?
答:①有助於更好地描述IDS的特徵。②通過測試評估,可更好地認識理解IDS的處理方法、所需資源及環境;建立比較IDS的基準。對IDS的各項性能進行評估,確定IDS的性能級別及其對運行環境的影響。③利用測試和評估結果,可做出一些預測,推斷IDS發展的趨勢,估計風險,制定可實現的IDS質量目標(比如,可靠性、可用性、速度、精確度)、花費以及開發進度。④根據測試和評估結果,對IDS進行改善。
6. 簡述IDS的發展趨勢?
答:①分布式②智能化③防火牆聯動功能以及全面的安全防禦方案④標准化方向
② 網路安全和黑客攻防有什麼區別
網路安全覆蓋的范圍更廣,可以說黑客攻擊是網路安全的一類,一般電腦裝個360安全衛士足夠防護的了
③ 24、 [單選題] 入侵檢測和防火牆一樣,也是一種被動式防禦工具
入侵檢測和防火牆一樣,也是一種被動式防禦工具,這句話錯誤。
入侵檢測是一種對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於,入侵檢測是一種積極主動的安全防護技術。
入侵檢測從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測是防火牆的合理補充,能夠幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。
因此,入侵檢測被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
(3)入侵檢測與網路安全ppt百度文庫擴展閱讀:
入侵檢測是網路安全設備的一種,除此之外,網路安全設備還包括IP協議密碼機、安全路由器、線路密碼機、防火牆等。
一個入侵檢測系統分為以下四個組件:
1、事件產生器,它的目的是從整個計算環境中獲得事件,並向系統的其他部分提供此事件。
2、事件分析器,它經過分析得到數據,並產生分析結果。
3、響應單元,它是對分析結果作出反應的功能單元,它可以作出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。
4、事件資料庫,事件資料庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的資料庫,也可以是簡單的文本文件。
④ 入侵檢測系統在網路安全中的應用
你寫的提綱裡面就是沒有應用
你寫的是入侵檢測中發現的問題
如何防範及預防 這些你都沒有做到
肯定不行
應用就是如何解決發現的問題
光有問題 沒有解決辦法 任何人都沒有興趣
呵呵
你可以網上搜索下相關的資料
呵呵 祝你的論文有個好成績
順利通過
呵呵
⑤ 入侵檢測系統的基本功能是什麼
入侵檢測系統的基本功能是對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施。它與其他網路安全設備的不同之處便在於,IDS是一種積極主動的安全防護技術。
在如今的網路拓撲中,已經很難找到以前的HUB式的共享介質沖突域的網路,絕大部分的網路區域都已經全面升級到交換式的網路結構。因此,IDS在交換式網路中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護資源的位置。
入侵檢測系統根據入侵檢測的行為分為兩種模式:異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型,凡是訪問者不符合這個模型的行為將被斷定為入侵;後者則相反,先要將所有可能發生的不利的不可接受的行為歸納建立一個模型,凡是訪問者符合這個模型的行為將被斷定為入侵。
(5)入侵檢測與網路安全ppt百度文庫擴展閱讀:
入侵檢測系統主為兩種技術一種是異常檢測,另一種是特徵檢測。
異常檢測:異常檢測的假設是入侵者活動異常於正常主體的活動,建立正常活動的「活動簡檔」,當前主體的活動違反其統計規律時,認為可能是「入侵」行為。通過檢測系統的行為或使用情況的變化來完成
特徵檢測:特徵檢測假設入侵者活動可以用一種模式來表示,然後將觀察對象與之進行比較,判別是否符合這些模式。
⑥ 什麼是入侵檢測
入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
檢測步驟
(1)信息收集。入侵檢測的第一步是信息收集,內容包括系統、網路、數據及用戶活動的狀態和行為。
而且,需要在計算機網路系統中的若干不同關鍵點(不同網段和不同主機)收集信息,這除了盡可能擴大檢測范圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的昂好標識。
當然,入侵檢測很大程度上依賴於收集信息的可靠性和正確性,因此,很有必要只昶用所知道的真正的和精確的軟體來報告這些信息。因為黑客經常替換軟體以搞混和移走這些信息,例如替換被程序調用的子程序、庫和其他工具。
黑客對系統的修改可能使系統功能失常並看起來跟正常的一樣,而實際上不是。例如,UNIX系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同於指定文件的文件(票客隱藏了初始文件並用另一版本代替)。
這需要保證用來檢測網路系統的軟體的完整性,特別是入侵檢測系統軟體本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息。
(2)信號分析。對上述四類收集到的有關系統、網路、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配、統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測,而完整性分析則用於事後分析。
⑦ 簡述入侵檢測常用的四種方法
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
1、特徵檢測
特徵檢測(Signature-based detection) 又稱Misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。
它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。
2、異常檢測
異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。
異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。
(7)入侵檢測與網路安全ppt百度文庫擴展閱讀
入侵分類:
1、基於主機
一般主要使用操作系統的審計、跟蹤日誌作為數據源,某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。
這種類型的檢測系統不需要額外的硬體.對網路流量不敏感,效率高,能准確定位入侵並及時進行反應,但是佔用主機資源,依賴於主機的可靠性,所能檢測的攻擊類型受限。不能檢測網路攻擊。
2、基於網路
通過被動地監聽網路上傳輸的原始流量,對獲取的網路數據進行處理,從中提取有用的信息,再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。
此類檢測系統不依賴操作系統作為檢測資源,可應用於不同的操作系統平台;配置簡單,不需要任何特殊的審計和登錄機制;可檢測協議攻擊、特定環境的攻擊等多種攻擊。
但它只能監視經過本網段的活動,無法得到主機系統的實時狀態,精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。
3、分布式
這種入侵檢測系統一般為分布式結構,由多個部件組成,在關鍵主機上採用主機入侵檢測,在網路關鍵節點上採用網路入侵檢測,同時分析來自主機系統的審計日誌和來自網路的數據流,判斷被保護系統是否受到攻擊。
⑧ 入侵檢測,和防火牆在功能上有哪些區別
所謂入侵檢測其實就是指試圖監視和盡可能阻止有害信息的入侵,或者其他能夠對用戶的系統和網路資源產生危害的行為.入侵檢測分為三種:1.基於網路的入侵檢測系統2.基於主機的入侵檢測系統3.基於漏洞的入侵檢測系統.
所謂防火牆指的是一個有軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使Internet與Intranet之間建立起一個安全網關(Security
Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成,
防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。
防火牆的功能
防火牆對流經它的網路通信進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信,封鎖特洛伊木馬。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
為什麼使用防火牆
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務,如視頻流等,但至少這是你自己的保護選擇。
防火牆的類型
防火牆有不同類型。一個防火牆可以是硬體自身的一部分,你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行,該機器作為它背後網路中所有計算機的代理和防火牆。最後,直接連在網際網路的機器可以使用個人防火牆。
防火牆的概念
當然,既然打算由淺入深的來了解,就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中,利用防火牆把乘客和引擎隔開,以便汽車引擎一旦著火,防火牆不但能保護乘客安全,而同時還能讓司機繼續控制引擎。再電腦術語中,當然就不是這個意思了,我們可以類比來理解,在網路中,所謂「防火牆」,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度,它能允許你「同意」的人和數據進入你的網路,同時將你「不同意」的人和數據拒之門外,最大限度地阻止網路中的黑客來訪問你的網路。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火牆的功能
防火牆是網路安全的屏障:
一個防火牆(作為阻塞點、控制點)能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆,所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路,這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊,如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
防火牆可以強化網路安全策略:
通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比,防火牆的集中安全管理更經濟。例如在網路訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火牆一身上。
對網路存取和訪問進行監控審計:
如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並作出日誌記錄,同時也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。另外,收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊,並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
⑨ 什麼是入侵檢測
入侵檢測(Intrusion Detection),顧名思義,就是對入侵行為的發覺。他通過對計算機網路或計算機系統中若干關鍵點收集信息並對其進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。
⑩ 網路安全題目:入侵檢測的目的是( )
入侵檢測的目的是(B、提供實時的檢測及採取相應的防護手段,阻止黑客的入侵)。
入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,看看網路中是否有違反安全策略的行為和遭到襲擊的跡象。
入侵檢測被認為是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
(10)入侵檢測與網路安全ppt百度文庫擴展閱讀:
構築異常檢測原理的入侵檢測系統,首先要建立系統或用戶的正常行為模式庫,不屬於該庫的行為被視為異常行為。但是,入侵性活動並不總是與異常活動相符合,而是存在下列4種可能性:入侵性非異常;非入侵性且異常;非入侵性非異常;入侵性且異常。
另外,設置異常的門檻值不當,往往會導致IDS許多誤報警或者漏檢的現象。IDS給安全管理員造成了系統安全假象,漏檢對於重要的安全系統來說是相當危險的。