入侵检测技术-课后答案.docVIP

第1章 入侵检测概述 思考题： 分布式入侵检测系统（DIDS）是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的？ 答：分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试，以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响，DIDS用一个6层入侵检测模型提取数据相关性，每层代表了对数据的一次变换结果。 入侵检测作用体现在哪些方面？ 答：一般来说，入侵检测系统的作用体现在以下几个方面： 监控、分析用户和系统的活动； 审计系统的配置和弱点； 评估关键系统和数据文件的完整性； 识别攻击的活动模式； 对异常活动进行统计分析； 对操作系统进行审计跟踪管理，识别违反政策的用户活动。 为什么说研究入侵检测非常必要？ 答：计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力，但是由于连网用户的增加，网上电子商务开辟的广阔前景，越