入侵检测复习资料..docxVIP

1、入侵答：在入侵检测中指对系统的非授权操作，它可以造成系统数据的丢失和破坏，甚至会造成系统拒绝为合法用户等后果基于状态转移分析的检测模型答：具体采用“状态转移图”来表示具体的入侵攻击过程，将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程。从而使得目标系统从初始状态转移到攻击者所期望的危害状态。数据预处理答：数据预处理指在确定审计数据类型和来源后，主机入侵检测索要进行的工作，包括映射、过滤和格式转换等操作，完成包括数据集成、数据清洗、数据变换、数据简化的功能。数据融合答：数据融合是指利用计算机对按时序获得的若干观测信息，在一定准则下加以自动分析、综合，以完成所需的决策和评估任务而进行的信息处理技术。（来自百度百科，大家可以自己总结或者采取老师的笔记）被动响应答：被动响应是指系统只报告和记录发生的事件。（来自网络，大家也可自己总结）入侵检测答：入侵检测是对企图侵入、正在进行的入侵关系或者已经发生的入侵进行识别的过程。文件完整性检查答：文件完整性检查是指检查主机系统的完整性，及时发现潜在的针对文件系统的无意或恶意的更改。8、系统配置分析技术答：又称静态分析技术，指通过检查系统的当前配置情况，例如系统文件的内容以及相关的数据表等，来判断系统当前的安全状态，是否已经收到入侵活动的侵害或者存在有可能被入侵的危险。人工神经网络答：人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术，它是由大量简单的处理单元（神经元）进行高度互连而形成的复杂网络系统。主动响应答：主动响应是指系统自动地或以用户设置的方式阻断攻击过程或以其他方式影响攻击过程。（来自网络，大家也可自己总结）10、对比基于主机入侵检测系统和基于网络入侵检测系统答：从数据来源来看，入侵检测通常可以分为基于主机入侵检测的基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源，并辅之以主机上的其他信息，在此基础上完成检测攻击的行为。基于网络的入侵检测是通过监听网络中的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计分析等手段发现当前的不当行为。由于采用的数据来源不同，而呈现不同的特点。基于主机的入侵检测能够较为准确的检测到发生在主机系统高层的复杂攻击行为，而许多发生在应用进程级别的攻击行为是无法依靠基于网络的入侵检测来完成。而基于主机的入侵检测依赖于特定的操作系统平台，所以对不同的平台系统无法移植，其次它在保护主机上运行，影响宿主机的运行性能，特别是宿主机当服务器的情况，而且无法对网络环境下发生的大量攻击行为做出反映；基于网络的入侵检测能够实时监控网络中的数据流量，并发现潜在的攻击行为和做出迅速响应，由于其分析对象是网络协议，通常而言是标准化、独立与主机的操作系统类型，一般没有移植性的问题。同时它采取独立主机和被动监听的工作模式丝毫不影响这或服务器的自身运行。基于规则的专家系统的工作过程答：图1 基于规则的专家系统的模型一套完备的专家系统包括知识库、数据库、推理引擎、解释工具和用户界面组成。知识库：包含解决问题用到的领域知识，知识表达成为一序列规则。当满足规则的条件部分时，便激发规则，执行动作部分。数据库：包含一序列事实（一个对象及其取值构成了一个事实），所有的事实都存放在数据库中，用来和知识库中存储的规则的部分相匹配。推理引擎：执行推理，推理引擎连接知识库中的规则和数据库中的事实进行推理。解释工具：用户使用解释工具询问专家系统如何得到某个结论，以及为何需要某些事实。用户界面是用户为寻求问题的解决方案和专家系统沟通的途径，沟通尽可能的有意义并且足够友好专家系统的基本工作流程是，用户通过人机界面回答系统的提问，推理机将用户输入的信息与知识库中各个规则的条件进行匹配，并把被匹配规则的结论存放到综合数据库中。最后，专家系统将得出最终结论呈现给用户。简述检查文件完整性的必要性答：文件完整性检查是指检查主机系统的完整性，及时发现潜在的针对文件系统的无意或恶意的更改，必要性包括：攻击者在入侵成功后，经常在文件系统中安装后门或者木马程序，以方便后继的攻击活动；进一步，攻击者还可能安装非授权的特定程序（如嗅探器），并且替换掉特定的系统程序，以掩盖非授权程序的存在；为了防止攻击活动的痕迹，攻击者还可能删除若干重要系统日志文件的审计记录；最后，入侵者还可能为了达成拒绝服务攻击的目的或者破坏的目的，恶意修改若干重要服务程序的配置文件或者数据库数据，包括系统安全策略的配置信息等。简述先进的入侵检测技术。答：先进的入侵检测是指利用了许多人工智能或者机器学习的算法，试图解决传统的入侵检测技术中存在的若干如虚假警报、缺乏检测未知或变形的能力、扩展性和自适性等问题的新技术的总和，与传统的入侵检测技术既有联系也有区别，通常无