入侵检测习题答案.pdf

第一章习题答案 １.1 从物理安全和逻辑安全两个方面描述计算机安全的内容. 答： 计算机安全的内容包括物理安全和逻辑安全两方面。物理安全指系统设备及相关设施 受到物理保护，免于破坏、丢失等。逻辑安全指计算机中信息和数据的安全，它存在于信息 系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程，主要包括软 件的安全、数据的安全和运行的安全。软件的安全是保护各种软件及其文档不被任意篡改、 失效和非法复制，数据安全是保护所存贮的数据资源不被非法使用和修改，运行安全是保护 信息系统能连续正确地运行。 1.2 安全的计算机系统的特征有几个，它们分别是什么？ 答：安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统，它必须能够保护整 个系统使其免受任何形式的入侵。它一般应该具有以下几个特征： ● 机密性（confidentiality）：机密性是指数据不会泄漏给非授权的用户、实体，也不会被 非授权用户使用，只有合法的授权用户才能对机密的或受限的数据进行存取。 ● 完整性（Integrity ）：完整性是指数据未经授权不能被改变。也就是说，完整性要求保持 系统中数据的正确性和一致性。不管在什么情况下，都要保护数据不受破坏或者被篡改。 ● 可用性（Availability）：计算机资源和系统中的数据信息在系统合法用户需要使用时， 必须是可用的。即对授权用户，系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。 ● 可控性（Controliability）：可控性是指可以控制授权范围内的信息流向及行为方式，对 信息的访问、传播以及具体内容具有控制能力。同时它还要求系统审计针对信息的访问，当 计算机中的泄密现象被检测出后，计算机的安全系统必须能够保存足够的信息以追踪和识别 入侵攻击者，入侵者对此不能够抵赖。 ● 正确性（Correctness ）：系统要尽量减少由于对事件的不正确判断所引起的虚警（False Alarms ）现象，要有较高的可靠性。如果虚警率太高，那么用户的合法行为就会经常性地被 打断或者被禁止。这样，不仅使得系统的可用性降低，而且也会使合法用户对系统失去信心。 1.3 描述并解释Anderson 在１９７２年提出的计算机安全模型． 答： Anderson 在1972 年提出了计算机安全模型，如图1.1 所示。 图1.1 计算机安全模型 其各个模块的功能如下:安全参考监视器控制主体能否访问对象。授权数据库并不是安全参 考监视器的一部分，但是安全参考监视器要完成控制功能需要授权数据库的帮助。识别与认 证系统识别主体和对象。审计系统用来记录系统的活动信息。该模型的实现采用访问控制机 制来保证系统安全。访问控制机制识别与认证主体身份，根据授权数据库的记录决定是否可 以允许主体访问对象。 1.4 描述并解释P2DR 模型. P2DR 模型 (Policy——策略，Protection—防护，Detection——检测，Response——响应)是 一种动态的、安全性高的网络安全模型，如图1.3 所示。 图1.3 P2DR 模型 它的基本思想是：以安全策略为核心，通过一致的检查、流量统计、异常分析、模式匹配以 及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测，检测使系统从静态防护转化 为动态防护，为系统快速响应提供了依据，当发现系统有异常时，根据系统安全策略快速作 出响应，从而达到了保护系统安全的目的。防护、检测和响应组成了一个完整的、动态的安 全循环。在安全策略的指导下保证信息系统的安全。 1．5 传统的安全技术有几类，他们分别是什么？ 传统的安全技术分为两类：静态安全技术和动态安全技术。 所谓静态安全技术，是指通过人工的方法，采用一些外围设备，主要是用于保护系统抵御外 部的攻击，其代表产品就是我们常见的防火墙。动态安全技术的最大优点在于“主动性”， 通过把实时的数据捕获、实时的数据分析和网络监视系统相结合，根据特定安全数据库中的 数据，经过分析，迅速发现危险攻击的特征，进而发出警报，同时也提供一定的保护措施。 1.6 请描述传统的安全机制 传统的一些安全机制分不六类，如下： (1). 数据加密技术. 加密是指将一个信息经过加密钥匙及加密函数转换，变成无意义 的密文，接收方则将此密文经过解密函数、解密钥匙还原成明文。 (2). 访问控制技术. 访问控制技术按照事先确定的规则决定主体对客体的访问是否合 法。它要确定合法用户对哪些系统资源享有何种权限、可进行什么类型的访问操作，防止非 法用户进入计算机系统和合法用户对系统资源的非法使用。 (3). 认证技术. 认证