(第4次作业第5小组.docVIP

信息安全第4次作业 小组编号：5 本次作业负责人: 万涛同学(X2013232455) 1-5题答案： 本题分工：马锐同学（X2013232426） 网络入侵有哪些特点？ 网络入侵是指任何试图破坏资源完整性、机密性和可用性的行为，包括用户对系统资源的误用。特点：不受时间和空间的限制，具有较强的隐蔽性，具有复杂性和欺骗性，具有更大的危害性。 什么是入侵检测？ （ID：Intrusion Detection）是指对试图破坏计算机和网络资源完整性、机密性和可用性的入侵行为进行识别和响应过程。 什么是入侵检测系统？ (IDS，Intrusion Detection System)是对防火墙的必要补充。作为重要的网络安全工具，它可以对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者，也可预防合法用户对资源的误操作。 入侵检测的实现是建立在哪两个假设的基础上？ 一个计算机系统中用户和程序的所有行为都是可以被检测到的； 入侵系统所产生的结果与合法操作所产生的有明显的区别； 试列举三种异常检测方法并简述其原理。 统计方法、预测模式生成法、神经网络。 统计方法：基于统计的入侵检测技术根据用户的行为或对计算机使用情况来建立行为特征轮廓（由一组统计参数组成，比如CPU和I/O利用率、文件访问、出错率和网络连接等），由审记系统实时地检测用户对系统地使用情况，根据系统内部保存用户行为概率统计模型进行检测分析。 预测模式生成法: 分析基础：审计事件的序列不是随机的，而是符合可识别模式的。检测方法：首先根据已有的事件集合按时间顺序归纳出一系列规则，在归纳过程中，随着新事件的加入，它可以不断改变规则集合，最终得到的规则能够准确地预测下一步要发生的事件。在实际检测时，如果新发生的事件同预测存在较大差距，则认为出现异常。 神经网络: 基于程序行为的神经网络异常检测技术：每一个进程都可以由它的执行轨迹（即从开始到结束期间的系统调用顺序列表）来描述，一个程序的正常行为可以由其执行轨迹的局部模式（短序列）来表征，而偏离这些模式则意味着入侵。所以可以通过监视进程使用的系统调用来实现入侵检测。 6-10题答案： 本题分工：万涛同学（X2013232455） 入侵检测技术从设计思想上主要分成哪两种？它们各自的特点是什么？ 特征检测与异常检测。特征检测(Signature-based detection) 又称Misuse detection ，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 从数据来源来看，入侵检测系统可以分成哪几种实现方式？它们各自的特点是什么？ 基于主机的入侵检测，基于网络的入侵检测，多源型入侵检测。基于主机的入侵检测系统是根据主机的审计跟踪数据和系统的日志来发现可疑事件。它的目标环境是主机系统，检测的是本系统用户。 具有代表性的系统。最初的Haystack模型，MIDAS系统、IDES系统以及现在的CSM（Cooperating Security Manager）协作安全管理员和USTAT等。 优点是操作简单，而且可针对不同操作系统的特点判定应用层的入侵事件。可以准确评估本地安全状态。缺点是要占用主机宝贵的资源，成本较高。 基于网络的入侵检测系统是通过连接在网络上的站点对报文进行捕获，并根据网络流量、协议分析等数据来判断入侵是否发生。 具有代表性的系统有NSM、DIDS、Snort、Bro、EMERALD和GrIDS等。基于网络的入侵检测系统的特点。优点是实时响应，操作代价低，安装使用简单方便。缺点是对加密通讯的检测分析能力不强、易受到拒绝服务攻击。 基于网络和基于主机的入侵检测系统在实际应用中都有各自的优点和缺点，两者在检测范围和能力上具有一定的互补性。 联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。 试分析集中式入侵检测系统的优点和不足。 优点是可以检测到系统内部所发生的攻击行为和可疑活动,可管理性好,简单，易实现。缺点是网络负荷重,扩展性和鲁棒性差。代表性系统：IDES和NADIR。 为实现对分布式入侵的检测，要求入侵检测系统应满足哪两个基本要求？ 数据采集分布式，数据处理集中式。