入侵检测习题答案文档格式.docx

入侵检测习题答案文档格式.docx

《入侵检测习题答案文档格式.docx》由会员分享，可在线阅读，更多相关《入侵检测习题答案文档格式.docx（18页珍藏版）》请在冰豆网上搜索。

防火墙是在被保护网络周边建立的、分隔被保护网络与外部网络的系统，它在内部网与外部网之间形成了一道安全保护屏障。

1．7防火墙技术在网络安全中占有重要的地位，它可分为几种类型？

防火墙的优点与不足各是什么？

防火墙可通过软件和硬件相结合的方式来实现，当前比较成熟的防火墙实现技术从层次上主要有以下两种：

包过滤和应用层网关。

包过滤技术主要在IP层实现。

它根据包头中所含的信息如源地址、目的地址等来判断其能否通过。

与包过滤相比，应用层网关在通信协议栈的更高层操作，提供更为安全的选项。

它通常由两部分组成：

代理服务器和筛选路由器。

这种防火墙技术是目前最通用的一种，它把过滤路由器技术和软件代理技术结合在一起，由过滤路由器负责网络的互联，进行严格的数据选择，应用代理则提供应用层服务的控制，中间转接外部网络向内部网络申请的服务。

防火墙具有以下优点：

防火墙通过过滤不安全的服务，可以极大地提高网络安全和减少子网中主机的风险；

它可以提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机；

阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS；

防火墙可以记录和统计通过它的网络通讯，提供关于网络使用的统计数据，根据统计数据来判断可能的攻击和探测；

防火墙提供制定和执行网络安全策略的手段，它可对企业内部网实现集中的安全管理，它定义的安全规则可运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。

防火墙的不足:

（1）入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙.

（2）防火墙完全不能阻止内部攻击,对于企业内部心怀不满的员工来说防火墙形同虚设.

（3）由于性能的限制,防火墙通常不能提供实时的入侵检测能力.

（4）防火墙对于病毒也束手无策的.

（5）防火墙无法有效地解决自身的安全问题.

（6）防火墙无法做到安全与速度的同步提高,一旦考虑到安全因素而对网络流量进行深入的决策和分析,那么网络的运行速度势必会受到影响.

（7）防火墙是一种静态的安全技术,需要人工来实施和维护,不能主动跟踪入侵者.

因此，认为在Internet的入口处布置防火墙，系统就足够安全的想法是不切实际的。

第二章入侵检测系统答案

2．1入侵检测系统弥补了防火墙的哪些不足？

　防火墙是要保护的网络或系统与外界之间的一道安全屏障。

它通过加强网络间的访问控制，防止外部用户非法使用内部网的资源，从而达到保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取的目的。

它规定了哪些内部服务可以被外界访问；

外界的哪些人可以访问内部的服务，以及哪些外部服务可以被内部人员访问。

但防火墙只是一种被动的防御技术，它无法识别和防御来自内部网络的滥用和攻击，比如内部员工恶意破坏、删除数据，越权使用设备，也不能有效防止绕过防火墙的攻击，比如公司的员工将机密数据用便携式存储设备随身带出去造成泄密，员工自己拨号上网造成攻击进入等。

入侵检测技术作为一种主动防护技术，可以在攻击发生时记录攻击者的行为，发出报警，必要时还可以追踪攻击者。

它既可以独立运行，也可以与防火墙等安全技术协同工作，更好地保护网络。

2.2简述入侵检测系统的发展历史

（1）.入侵检测的研究最早可追溯到JamesP.Anderson在1980年的工作。

在这一年的4月，他为美国空军做了一份题为《计算机安全威胁监控与监视》（《ComputerSecurityThreatMonitoringandSurveillance》）的技术报告，这份报告被公认为是入侵检测的开山之作。

在报告中，他首次提出了入侵检测的概念，给出了入侵尝试（Intrusionattempt）或威胁（Threat）的定义。

（2）.1987年，乔治敦大学的DorothyE.Denning提出了一个实时的入侵检测系统抽象模型——IDES（IntrusionDetectionExpertSystem,入侵检测专家系统），首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。

（3）.1990年是入侵检测系统发展史上的一个分水岭。

这一年，加州大学戴维斯分校的L.T.Heberlein等人提出了一个新的概念：

基于网络的入侵检测—NSM（NetworkSecurityMonitor）.

（4）.1991年，NADIR（NetworkAnomalyDetectionandIntrusionReporter）与DIDS（DistributeIntrusionDetectionSystem）提出了收集和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。

（5）.1994年，MarkCrosbie和GeneSpafford建议使用自治代理（autonomousagents）以便提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合正在进行的计算机科学其他领域（如软件代理，softwareagent）的研究。

（6）.1995年开发了IDES完善后的版本—NIDES（Next-GenerationIntrusionDetectionSystem）可以检测多个主机上的入侵。

2．3叙述基于主机的入侵检测系统的优点.

　基于主机的入侵检查系统优点包括：

（1）能确定攻击是否成功。

主机是攻击的目的所在，所以基于主机的IDS使用含有已发生的事件信息，可以比基于网络的IDS更加准确地判断攻击是否成功。

就这一方面而言，基于主机的IDS与基于网络的IDS互相补充，网络部分尽早提供针对攻击的警告，而主机部分则可确定攻击是否成功。

（2）监控粒度更细。

基于主机的IDS，监控的目标明确，视野集中，它可以检测一些基于网络的IDS不能检测的攻击。

它可以很容易地监控系统的一些活动，如对敏感文件、目录、程序或端口的存取。

例如，基于主机的IDS可以监督所有用户登录及退出登录的情况，以及每位用户在联接.到网络以后的行为。

它还可监视通常只有管理员才能实施的非正常行为。

针对系统的一些活动，有时并不通过网络传输数据，有时虽然通过网络传输数据但所传输的数据并不能提供足够多的信息，从而使得基于网络的系统检测不到这些行为，或者检测到这个程度非常困难。

（3）配置灵活。

每一个主机有其自己的基于主机的IDS，用户可根据自己的实际情况对其进行配置。

（4）可用于加密的以及交换的环境。

加密和交换设备加大了基于网络IDS收集信息的难度，但由于基于主机的IDS安装在要监控的主机上，根本不会受这些因素的影响。

（5）对网络流量不敏感。

基于主机的IDS一般不会因为网络流量的增加而丢掉对网络行为的监视。

（6）不需要额外的硬件。

2.4叙述基于网络的入侵检测系统的优点与缺点.

基于网络的入侵检测系统有以下优点：

（1）监测速度快。

基于网络的监测器通常能在微秒或秒级发现问题。

而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。

（2）隐蔽性好。

一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容易遭受攻击。

基于网络的监视器不运行其他的应用程序，不提供网络服务，可以不响应其他计算机，因此可以做得比较安全。

（3）视野更宽。

可以检测一些主机检测不到的攻击，如泪滴攻击（Teardrop），基于网络的SYN攻击等。

还可以检测不成功的攻击和恶意企图。

（4）较少的监测器。

由于使用一个监测器就可以保护一个共享的网段，所以你不需要很多的监测器。

相反地，如果基于主机，则在每个主机上都需要一个代理，这样的话，花费昂贵，而且难于管理。

但是，如果在一个交换环境下，就需要特殊的配置。

（5）攻击者不易转移证据。

基于网络的IDS使用正在发生的网络通讯进行实时攻击的检测。

所以攻击者无法转移证据。

被捕获的数据不仅包括攻击的方法，而且还包括可识别黑客身份和对其进行起诉的信息。

许多黑客都熟知审计记录，他们知道如何操纵这些文件掩盖他们的作案痕迹，如何阻止需要这些信息的基于主机的系统去检测入侵。

（6）操作系统无关性。

基于网络的IDS作为安全监测资源，与主机的操作系统无关。

与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。

（7）可以配置在专门的机器上，不会占用被保护的设备上的任何资源。

基于网络的入侵检测系统的主要缺点是：

只能监视本网段的活动，精确度不高；

在交换环境下难以配置；

防入侵欺骗的能力较差；

难以定位入侵者。

2．5根据检测原理，入侵检测系统可以分为几类？

其原理分别是什么？

根据检测原理，将入侵检测分为两类：

异常检测和误用检测。

1．异常检测

在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。

在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常”，并如何做出具体决策。

2．误用检测

在误用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。

所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比较以做出判别。

误用检测基于已知的系统缺陷和入侵模式，故又称特征检测。

它能够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，从而产生漏报。

第三章　入侵的方法与手段答案

3.1叙述计算机网络的主要漏洞

计算机网络的主要漏洞有：

（1）缓冲区溢出

缓冲区溢出漏洞是很典型的一类漏洞，现有的漏洞很多都可以归为此类。

比如最近发现，OpenLDAP存在多个远程缓冲区溢出漏洞。

OpenLDAP是一款开放源代码的轻量级目录访问协议（LDAP）实现，用于在网络环境中发布信息，比如X.509证书或登录信息。

其源代码被发现存在多个缓冲区边界没有正确检查的问题，远程攻击者可以利用这些漏洞进行缓冲区溢出攻击，并以OpenLDAP进程权限在系统上执行任意命令。

（2）拒绝服务攻击漏洞

拒绝服务攻击漏洞也是一类典型的漏洞。

比如，Microsoft公司开发的HTTP服务器程序IIS。

它的“Shtml.dll”组件对包含畸形HOST头字段的HTTP请求处理存在问题，远程攻击者可以发送包含多个“/”字符的HOST头信息给IIS服务器，这样可以导致WEB服务崩溃，停止对合法请求的响应。

（3）权限提升漏洞

比如WindowsWM_TIMER消息处理权限提升漏洞。

WM_TIMER消息一般在某一计时器超时时发送，可以用来使进程执行计时回调函数。

WM_TIMER消息存在安全问题，本地或者利用终端服务访问的攻击者可以利用这个漏洞使用WM_TIMER消息利用其他高权限进程执行回调函数，造成权限提升，使本地用户可以提升权限至管理用户。

（4）远程命令执行漏洞

比如，CobaltRaQ4管理接口远程命令执行漏洞。

这个漏洞只存在安装了RaQ4加固安全包之后的RaQ4服务程序中。

CobaltRaQ是一个基于Internet的服务应用程序，由Sun微系统公司发布和维护。

CobaltRaQWEB管理接口在处理用户提供的Email参数时缺少正确过滤，远程攻击者可以利用这个漏洞以WEB进程权限在系统上执行任意命令。

（5）文件泄漏、信息泄漏漏洞

比如KunaniFTP文件泄漏漏洞。

KunaniFTPserver1.0.10存在一个漏洞，通过一个包含“../”的恶意请求可以对服务器进行目录遍历。

远程攻击者可以利用这个漏洞访问系统FTP目录以外任意的文件。

（7）其他类型的漏洞

除了以上举例说明的几种漏洞外，按照漏洞造成的直接危害，还存在列举出其他一些漏洞，比如脚本执行漏洞、可绕过认证漏洞、远程访问漏洞等，这里就不一一举例。

以上举出的漏洞多数已经有补丁发布。

3.2根据攻击发生的方式，Anderson将攻击如何分类？

Anderson将攻击分为三类:

1.外部渗透：

就是非授权用户对计算机系统进行的攻击。

2.内部渗透：

系统的合法用户对其访问权限以外的资源造成危害的攻击。

3.不当行为：

合法用户对其访问权限之内的数据或者其他资源的误用行为。

3.3叙述木马发展的两个阶段。

木马的发展大致分为两个阶段。

最初网络以UNIX平台为主的时候，木马就产生了，当时的木马程序的功能相对简单，往往是将一段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。

WINDOWS平台普及之后，一些基于图形操作的木马程序出现了。

由于用户界面的改善，使用者可以不必掌握太多的专业知识就能够熟练的操作木马，相对的木马入侵事件发生率更高了，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。

3.4叙述木马的工作原理

木马一般又两部分组成：

服务器端，客户端。

在Windows系统中，木马一般是一个网络服务程序，服务器端运行于感染的机器上监听它的一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）；

当该木马相应的客户端程序在此端口上请求连接时，木马的客户端和服务器端就建立一个TCP连接，这样客户端就可以控制感染木马的机器，以达到攻击的目的。

3.5木马的隐蔽方式有哪些?

木马的隐藏方式:

（1）.修改图标

服务器的图标必须能够迷惑目标电脑的主人，如果木马的图标看上去象是系统文件，电脑的主人就不会轻易地删除他。

另外在Email的附件中，木马设计者们将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标,这样就有相当大的迷惑性,现在这种木马很常见。

例如BO，它的图标是透明的，并且没有文件名，其后缀名是EXE，由于WINDOWS默认方式下不显示后缀名的，所以在资源管理器中就看不到这个文件。

（2）.捆绑文件

为了启动木马，最容易下手的地方是三个，注册表、win.ini、system.ini，电脑启动的时候，需要装载这三个文件。

还有替换windows启动程序装载的，例如schoolbus1.60版本。

以上木马的启动方式都属于非捆绑方式，大部分木马是使用这几种方式启动的。

但是非捆绑方法会在注册表等位置留下痕迹，很容易发现。

如果把木马捆绑到一般的程序上，启动是不确定的，但是要靠电脑主人启动被捆绑的程序，木马才会运行。

捆绑方式是一种手动的安装方式，一般捆绑的是非自动方式启动的木马。

捆绑方式的木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等，位置的多变使木马具有很强的隐蔽性。

木马phAse1.0版本和NetBus1.53版本就可以以捆绑方式装到目标电脑上，捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。

因此当安装程序运行时,木马就会在用户毫无察觉的情况下进入了系统。

有一点要说明的是，被捆绑的文件一般是可执行文件（即EXE,COM一类的文件）。

（3）.出错显示

有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。

当服务端用户打开木马程序时,会弹出一个错误提示框,错误内容可自由定义,大多会定制成一些诸如“文件已破坏，无法打开！

”之类的信息，其实却是启动木马。

（4）.定制端口

很多老式的木马端口都是固定的,这使得木马隐蔽性较差，只要查一下特定的端口就知道感染了什么木马,这样就可以很容易的把它删除。

像netspy的端口号是7306，冰河的端口号是7626。

现在很多新式木马已经可以定制端口,控制端用户可以在1024---65535之间任选一个端口作为木马端口（一般不选1024以下的端口），这样要判断所感染木马的类型就不太容易了。

像SUB7默认的端口是1243，如果没有改变，利用SUB7的删除方法很容易就删除了，但是如果把端口改成7626，计算机使用者就会感到混淆。

（5）.自我销毁　　

这项功能是为了弥补木马的一个缺陷。

我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中（C:

\WINDOWS或C:

\WINDOWS\SYSTEM目录下），一般来说原木马文件和系统文件夹中的木马文件的大小是一样的（捆绑文件的木马除外）,那么中了木马的人只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小在系统目录的文件夹查找相同大小的文件,然后判断哪一个是木马。

而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，给查找、删除木马带来困难。

（6）木马文件的文件名、存放位置

在windows系统中木马存放的位置一般是c:

\windows和c:

\windows\system中，主要是因为这两个目录下面的文件大都是系统文件，并且文件最多。

木马的文件名一般是与一些系统的文件名比较接近，以达到迷惑受害人的目的。

比如木马SubSeven1.7版本的服务器文件名是c:

\windows\KERNEL16.DL，它与windows中的一个系统文件c:

\windows\KERNEL32.DLL很相近。

再例如phAse1.0版本生成的木马文件名是C:

\windows\Msgsrv32.exe,与windows系统文件C:

\windows\system\Msgsrv32.exe文件名一样。

（7）.隐蔽运行

既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：

在任务栏中将窗口隐藏，这个只要把Form的Visible属性调整为False，ShowInTaskBar也设为False。

那么程序运行时就不会出现在任务栏中了。

如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。

另外还有一些木马运行的时候其进程也是隐藏起来的。

3.6木马的触发条件主要有几种？

木马的触发条件主要有以下几种：

1）.注册表:

打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run和RunServices主键,有些木马安装在机器上以后，在其中可以寻找到启动木马的键值。

2）.WIN.INI:

C:

\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在[windows]字段中有启动命令load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。

3）.SYSTEM.INI:

\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在[386Enh],[mic]，[drivers32]中有命令行,在其中寻找木马的启动命令。

4）.Autoexec.bat和Config.sys:

在C盘根目录下的这两个文件也可以启动木马。

但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

5）.*.INI:

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，

6）.注册表:

打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。

举个例子,国产木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“C:

\WINDOWS\NOTEPAD.EXE%1”改为“C:

\WINDOWS\SYSTEM\SYSEXPLR.EXE%1”。

如果双击一个TXT文件后，原本是应用NOTEPAD打开文件的，现在却变成启动木马程序了。

另外通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别.

7）.捆绑文件:

实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

8）.启动菜单.

3.7木马的破解方法有哪些？

1.端口扫描端口扫描是检查远程机器有无木马的最好办法,端口扫描的原理非常简单,扫描程序尝试连接某个端口,因为B机装有木马程序，所以它的木马端口7626是处于开放状态的，如果成功,则说明端口开放,如果失败或超过某个特定的时间（超时）,则说明端口关闭。

2.检查注册表

3.查找文件

4.杀病毒软件

第四章入侵检测的信息源答案

4.1基于主机的IDS和基于网络的IDS各有哪些优缺点？

基于主机的IDS优点:

基于主机的IDS分析来自单个的计算机系统的系统审计迹和系统日志来检测攻击，它主要是用来保护网络中比较重要的主机;

基于主机的IDS分析的信息来自于单个的计算机系统，因此视野比较集中，这个优点使得它能够相对精确、相对可靠地分析入侵活动，确定是否存在针对某台主机的攻击，是谁进行的攻击。

4.2信息源如何分类？

每一类信息源又包括哪些？

信息源可以分为基于主机的信息源和基于网络的信息源。

基于主机的信息源主要包括操作系统审计迹（oper