入侵与检测习题答案文档格式.docx

1、1.3 描述并解释Anderson在年提出的计算机安全模型Anderson在1972年提出了计算机安全模型，如图1.1所示。图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。授权数据库并不是安全参考监视器的一部分，但是安全参考监视器要完成控制功能需要授权数据库的帮助。识别与认证系统识别主体和对象。审计系统用来记录系统的活动信息。该模型的实现采用访问控制机制来保证系统安全。访问控制机制识别与认证主体身份，根据授权数据库的记录决定是否可以允许主体访问对象。1.4 描述并解释P2DR模型.P2DR模型 （Policy策略，Protection防护，Detection检

2、测，Response响应）是一种动态的、安全性高的网络安全模型，如图1.3所示。 图1.3 P2DR模型它的基本思想是：以安全策略为核心，通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测，检测使系统从静态防护转化为动态防护，为系统快速响应提供了依据，当发现系统有异常时，根据系统安全策略快速作出响应，从而达到了保护系统安全的目的。防护、检测和响应组成了一个完整的、动态的安全循环。在安全策略的指导下保证信息系统的安全。15 传统的安全技术有几类，他们分别是什么？传统的安全技术分为两类：静态安全技术和动态安全技术。所谓静态安全技术，是指通过人工的方

3、法，采用一些外围设备，主要是用于保护系统抵御外部的攻击，其代表产品就是我们常见的防火墙。动态安全技术的最大优点在于“主动性”，通过把实时的数据捕获、实时的数据分析和网络监视系统相结合，根据特定安全数据库中的数据，经过分析，迅速发现危险攻击的特征，进而发出警报，同时也提供一定的保护措施。1.6 请描述传统的安全机制 传统的一些安全机制分不六类，如下： （1）. 数据加密技术. 加密是指将一个信息经过加密钥匙及加密函数转换，变成无意义的密文，接收方则将此密文经过解密函数、解密钥匙还原成明文。 （2）. 访问控制技术. 访问控制技术按照事先确定的规则决定主体对客体的访问是否合法。它要确定合法用户对哪

4、些系统资源享有何种权限、可进行什么类型的访问操作，防止非法用户进入计算机系统和合法用户对系统资源的非法使用。 （3）. 认证技术. 认证就是将特定实体从任意实体的集合中识别出来的行为。它以交换信息的方式来确认实体的身份。 （4）. 数据完整性控制技术. 数据完整性控制技术是指能识别有效数据的一部分或全部信息被篡改的技术。数据完整性控制包括文件系统完整性控制及网络传输信息的完整性。 （5）. 安全漏洞扫描技术. 漏洞是指任意的允许非法用户XX获得访问或提高其访问层次的硬件或软件特征。漏洞就是某种形式的脆弱性。漏洞扫描是自动检测远端或本地主机安全脆弱点的技术，它通过对系统当前的状况进行扫描、分析，

5、找出系统中存在的各种脆弱性，在此基础上进一步考虑脆弱性的修补与消除。 （6）. 防火墙技术. 防火墙是指安装在内部网络与Internet之间或者网络与网络之间的可以限制相互访问的一种的安全保护措施。防火墙是在被保护网络周边建立的、分隔被保护网络与外部网络的系统，它在内部网与外部网之间形成了一道安全保护屏障。17 防火墙技术在网络安全中占有重要的地位，它可分为几种类型？防火墙的优点与不足各是什么？防火墙可通过软件和硬件相结合的方式来实现，当前比较成熟的防火墙实现技术从层次上主要有以下两种：包过滤和应用层网关。包过滤技术主要在IP层实现。它根据包头中所含的信息如源地址、目的地址等来判断其能否通过。

6、与包过滤相比，应用层网关在通信协议栈的更高层操作，提供更为安全的选项。它通常由两部分组成：代理服务器和筛选路由器。这种防火墙技术是目前最通用的一种，它把过滤路由器技术和软件代理技术结合在一起，由过滤路由器负责网络的互联，进行严格的数据选择，应用代理则提供应用层服务的控制，中间转接外部网络向内部网络申请的服务。防火墙具有以下优点：防火墙通过过滤不安全的服务，可以极大地提高网络安全和减少子网中主机的风险；它可以提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机；阻止攻击者获取攻击网络系统的有用信息，如 Finger和 DNS；防火墙可以记录和统计通过它的网络通讯，提供关于网络使

7、用的统计数据，根据统计数据来判断可能的攻击和探测；防火墙提供制定和执行网络安全策略的手段，它可对企业内部网实现集中的安全管理，它定义的安全规则可运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。防火墙的不足:（1）入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙.（2）防火墙完全不能阻止内部攻击, 对于企业内部心怀不满的员工来说防火墙形同虚设.（3）由于性能的限制, 防火墙通常不能提供实时的入侵检测能力.（4）防火墙对于病毒也束手无策的.（5）防火墙无法有效地解决自身的安全问题. （6）防火墙无法做到安全与速度的同步提高, 一旦考虑到安全因素而对网络流量进行深入的决策和分析,

8、 那么网络的运行速度势必会受到影响. （7）防火墙是一种静态的安全技术, 需要人工来实施和维护, 不能主动跟踪入侵者. 因此，认为在 Internet的入口处布置防火墙，系统就足够安全的想法是不切实际的。第二章 入侵检测系统答案21入侵检测系统弥补了防火墙的哪些不足？ 防火墙是要保护的网络或系统与外界之间的一道安全屏障。它通过加强网络间的访问控制，防止外部用户非法使用内部网的资源，从而达到保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取的目的。它规定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务，以及哪些外部服务可以被内部人员访问。但防火墙只是一种被动的防御技术，它无法识

9、别和防御来自内部网络的滥用和攻击，比如内部员工恶意破坏、删除数据，越权使用设备，也不能有效防止绕过防火墙的攻击，比如公司的员工将机密数据用便携式存储设备随身带出去造成泄密，员工自己拨号上网造成攻击进入等。入侵检测技术作为一种主动防护技术，可以在攻击发生时记录攻击者的行为，发出报警，必要时还可以追踪攻击者。它既可以独立运行，也可以与防火墙等安全技术协同工作，更好地保护网络。2.2 简述入侵检测系统的发展历史 （1）. 入侵检测的研究最早可追溯到James P. Anderson在1980年的工作。在这一年的4月，他为美国空军做了一份题为计算机安全威胁监控与监视（Computer Security

10、 Threat Monitoring and Surveillance）的技术报告，这份报告被公认为是入侵检测的开山之作。在报告中，他首次提出了入侵检测的概念，给出了入侵尝试 （Intrusion attempt）或威胁（Threat）的定义。 （2）. 1987年，乔治敦大学的Dorothy E. Denning提出了一个实时的入侵检测系统抽象模型IDES（Intrusion Detection Expert System,入侵检测专家系统），首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。 （3）. 1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L

11、. T. Heberlein等人提出了一个新的概念：基于网络的入侵检测NSM（Network Security Monitor）. （4）. 1991年，NADIR（Network Anomaly Detection and Intrusion Reporter）与DIDS（Distribute Intrusion Detection System）提出了收集和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。（5）. 1994年，Mark Crosbie和Gene Spafford建议使用自治代理（autonomous agents）以便提高IDS的可伸缩性、可维护性、效率和容错性，

12、该理念非常符合正在进行的计算机科学其他领域 （如软件代理，software agent）的研究。（6）. 1995年开发了IDES完善后的版本NIDES（Next-Generation Intrusion Detection System） 可以检测多个主机上的入侵。23 叙述基于主机的入侵检测系统的优点.基于主机的入侵检查系统优点包括：（1）能确定攻击是否成功。主机是攻击的目的所在，所以基于主机的IDS使用含有已发生的事件信息，可以比基于网络的IDS更加准确地判断攻击是否成功。就这一方面而言，基于主机的IDS与基于网络的IDS互相补充，网络部分尽早提供针对攻击的警告，而主机部分则可确定攻击是

13、否成功。（2）监控粒度更细。基于主机的IDS，监控的目标明确，视野集中，它可以检测一些基于网络的IDS不能检测的攻击。它可以很容易地监控系统的一些活动，如对敏感文件、目录、程序或端口的存取。例如，基于主机的IDS可以监督所有用户登录及退出登录的情况，以及每位用户在联接.到网络以后的行为。它还可监视通常只有管理员才能实施的非正常行为。针对系统的一些活动，有时并不通过网络传输数据，有时虽然通过网络传输数据但所传输的数据并不能提供足够多的信息，从而使得基于网络的系统检测不到这些行为，或者检测到这个程度非常困难。（3）配置灵活。每一个主机有其自己的基于主机的IDS，用户可根据自己的实际情况对其进行配置

14、。（4）可用于加密的以及交换的环境。加密和交换设备加大了基于网络IDS收集信息的难度，但由于基于主机的IDS安装在要监控的主机上，根本不会受这些因素的影响。（5）对网络流量不敏感。基于主机的IDS一般不会因为网络流量的增加而丢掉对网络行为的监视。（6）不需要额外的硬件。2.4 叙述基于网络的入侵检测系统的优点与缺点.基于网络的入侵检测系统有以下优点：（1）监测速度快。基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。（2）隐蔽性好。一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程

15、序，不提供网络服务，可以不响应其他计算机，因此可以做得比较安全。（3）视野更宽。可以检测一些主机检测不到的攻击，如泪滴攻击（Teardrop），基于网络的SYN攻击等。还可以检测不成功的攻击和恶意企图。（4）较少的监测器。由于使用一个监测器就可以保护一个共享的网段，所以你不需要很多的监测器。相反地，如果基于主机，则在每个主机上都需要一个代理，这样的话，花费昂贵，而且难于管理。但是，如果在一个交换环境下，就需要特殊的配置。（5）攻击者不易转移证据。基于网络的IDS使用正在发生的网络通讯进行实时攻击的检测。所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法，而且还包括可识别黑客身份和对其进行起

16、诉的信息。许多黑客都熟知审计记录，他们知道如何操纵这些文件掩盖他们的作案痕迹，如何阻止需要这些信息的基于主机的系统去检测入侵。（6）操作系统无关性。基于网络的IDS作为安全监测资源，与主机的操作系统无关。与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。（7）可以配置在专门的机器上，不会占用被保护的设备上的任何资源。基于网络的入侵检测系统的主要缺点是：只能监视本网段的活动，精确度不高；在交换环境下难以配置；防入侵欺骗的能力较差；难以定位入侵者。25 根据检测原理，入侵检测系统可以分为几类？其原理分别是什么？根据检测原理，将入侵检测分为两类：异常检测和误

17、用检测。1异常检测在异常检测中，观察到的不是已知的入侵行为，而是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化来完成。在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常情况，然后决定在何种程度上将一个行为标为“异常”，并如何做出具体决策。2误用检测在误用检测中，入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。所以，可事先定义某些特征的行为是非法的，然后将观察对象与之进行比较以做出判别。误用检测基于已知的系统缺陷和入侵模式，故又称特征检测。它能够准确地检测到某些特征的攻击，但却过度依赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，从而产生漏报。第三

18、章入侵的方法与手段答案3.1叙述计算机网络的主要漏洞计算机网络的主要漏洞有：（1）缓冲区溢出缓冲区溢出漏洞是很典型的一类漏洞，现有的漏洞很多都可以归为此类。比如最近发现，OpenLDAP存在多个远程缓冲区溢出漏洞。OpenLDAP是一款开放源代码的轻量级目录访问协议（LDAP）实现，用于在网络环境中发布信息，比如X.509证书或登录信息。其源代码被发现存在多个缓冲区边界没有正确检查的问题，远程攻击者可以利用这些漏洞进行缓冲区溢出攻击，并以OpenLDAP进程权限在系统上执行任意命令。（2）拒绝服务攻击漏洞拒绝服务攻击漏洞也是一类典型的漏洞。比如，Microsoft公司开发的HTTP服务器程序I

19、IS。它的“Shtml.dll”组件对包含畸形HOST头字段的HTTP请求处理存在问题，远程攻击者可以发送包含多个“/”字符的HOST头信息给IIS服务器，这样可以导致WEB服务崩溃，停止对合法请求的响应。（3）权限提升漏洞比如Windows WM_TIMER消息处理权限提升漏洞。WM_TIMER消息一般在某一计时器超时时发送，可以用来使进程执行计时回调函数。WM_TIMER消息存在安全问题，本地或者利用终端服务访问的攻击者可以利用这个漏洞使用WM_TIMER消息利用其他高权限进程执行回调函数，造成权限提升，使本地用户可以提升权限至管理用户。（4）远程命令执行漏洞比如，Cobalt RaQ4管

20、理接口远程命令执行漏洞。这个漏洞只存在安装了RaQ4加固安全包之后的RaQ4服务程序中。Cobalt RaQ是一个基于Internet的服务应用程序，由Sun微系统公司发布和维护。Cobalt RaQ WEB管理接口在处理用户提供的Email参数时缺少正确过滤，远程攻击者可以利用这个漏洞以WEB进程权限在系统上执行任意命令。（5）文件泄漏、信息泄漏漏洞比如Kunani FTP文件泄漏漏洞。Kunani FTP server 1.0.10存在一个漏洞，通过一个包含“./”的恶意请求可以对服务器进行目录遍历。远程攻击者可以利用这个漏洞访问系统FTP目录以外任意的文件。（7）其他类型的漏洞除了以上举

21、例说明的几种漏洞外，按照漏洞造成的直接危害，还存在列举出其他一些漏洞，比如脚本执行漏洞、可绕过认证漏洞、远程访问漏洞等，这里就不一一举例。以上举出的漏洞多数已经有补丁发布。3.2根据攻击发生的方式，Anderson将攻击如何分类？Anderson将攻击分为三类:1. 外部渗透：就是非授权用户对计算机系统进行的攻击。2. 内部渗透：系统的合法用户对其访问权限以外的资源造成危害的攻击。3. 不当行为：合法用户对其访问权限之内的数据或者其他资源的误用行为。3.3叙述木马发展的两个阶段。木马的发展大致分为两个阶段。最初网络以UNIX平台为主的时候，木马就产生了，当时的木马程序的功能相对简单，往往是将一

22、段程序嵌入到系统文件中，用跳转指令来执行一些木马的功能，这个时期木马的设计者和使用者大都是些技术人员，必须具备相当的网络和编程知识。WINDOWS平台普及之后，一些基于图形操作的木马程序出现了。由于用户界面的改善，使用者可以不必掌握太多的专业知识就能够熟练的操作木马，相对的木马入侵事件发生率更高了，而且由于这个时期木马的功能已日趋完善，因此对服务端的破坏也更大了。3.4叙述木马的工作原理木马一般又两部分组成：服务器端，客户端。在Windows系统中，木马一般是一个网络服务程序，服务器端运行于感染的机器上监听它的一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）；当该

23、木马相应的客户端程序在此端口上请求连接时，木马的客户端和服务器端就建立一个TCP连接，这样客户端就可以控制感染木马的机器，以达到攻击的目的。3.5木马的隐蔽方式有哪些?木马的隐藏方式: （1）.修改图标 服务器的图标必须能够迷惑目标电脑的主人，如果木马的图标看上去象是系统文件，电脑的主人就不会轻易地删除他。另外在Email的附件中，木马设计者们将木马服务端程序的图标改成HTML、TXT、 ZIP等各种文件的图标,这样就有相当大的迷惑性,现在这种木马很常见。例如BO，它的图标是透明的，并且没有文件名，其后缀名是EXE，由于WINDOWS默认方式下不显示后缀名的，所以在资源管理器中就看不到这个文件

24、。（2）.捆绑文件 为了启动木马，最容易下手的地方是三个，注册表、win.ini、system.ini，电脑启动的时候，需要装载这三个文件。还有替换windows启动程序装载的，例如schoolbus 1.60版本。以上木马的启动方式都属于非捆绑方式，大部分木马是使用这几种方式启动的。但是非捆绑方法会在注册表等位置留下痕迹，很容易发现。如果把木马捆绑到一般的程序上，启动是不确定的，但是要靠电脑主人启动被捆绑的程序，木马才会运行。捆绑方式是一种手动的安装方式，一般捆绑的是非自动方式启动的木马。捆绑方式的木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等，位置的多变使木马具有很强的隐蔽性。木马p

25、hAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上，捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。因此当安装程序运行时,木马就会在用户毫无察觉的情况下进入了系统。有一点要说明的是，被捆绑的文件一般是可执行文件（即EXE,COM一类的文件）。（3） .出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框,错误内容可自由定义,大多会定制成一些诸如“文件已破坏，无法打开！”之类的信息，其实却是启动木马。

26、（4）.定制端口 很多老式的木马端口都是固定的,这使得木马隐蔽性较差，只要查一下特定的端口就知道感染了什么木马,这样就可以很容易的把它删除。像netspy的端口号是7306，冰河的端口号是7626。现在很多新式木马已经可以定制端口,控制端用户可以在1024-65535之间任选一个端口作为木马端口（一般不选1024以下的端口），这样要判断所感染木马的类型就不太容易了。像SUB7默认的端口是1243，如果没有改变，利用SUB7的删除方法很容易就删除了，但是如果把端口改成7626，计算机使用者就会感到混淆。（5）.自我销毁这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木

27、马会将自己拷贝到WINDOWS的系统文件夹中（C:WINDOWS或C:WINDOWSSYSTEM目录下），一般来说原木马文件和系统文件夹中的木马文件的大小是一样的（捆绑文件的木马除外）,那么中了木马的人只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小在系统目录的文件夹查找相同大小的文件, 然后判断哪一个是木马。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，给查找、删除木马带来困难。 （6） 木马文件的文件名、存放位置在windows系统中木马存放的位置一般是c:windows和c:windowssystem中，主要是因为这

28、两个目录下面的文件大都是系统文件，并且文件最多。木马的文件名一般是与一些系统的文件名比较接近，以达到迷惑受害人的目的。比如木马SubSeven1.7版本的服务器文件名是c:windowsKERNEL16.DL，它与windows中的一个系统文件c:windowsKERNEL32.DLL很相近。再例如phAse1.0版本生成的木马文件名是C:windowsMsgsrv32.exe,与windows系统文件C:windowssystemMsgsrv32.exe文件名一样。（7）.隐蔽运行既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏

29、中将窗口隐藏，这个只要把Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。另外还有一些木马运行的时候其进程也是隐藏起来的。3.6木马的触发条件主要有几种？木马的触发条件主要有以下几种：1）.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices主键,有些木马安装在机器上以后，在其中可以寻找到启动木马的键值。2）.WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在windows字段中有启动命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。3）.SYSTEM.INI:C