②CIDF。
CIDF的工作集中体现在四个方面:IDS的体系结构、
通信机制、 描述语言
应用编程接口API。
5.4.2CIDF的体系结构组成(P169图):
分为四个基本组件:事件产生器、事件分析器、响应单元和事件数据库。事件产生器、事件分析器、响应单元通常以应用程序的形式出现,而事件数据库则是以文件或数据流的形式。
课后题:
1、简述入侵检测系统的基本原理。(5.1.1)
2、简述误用检测技术的实现。(5.2.2)
3、简述异常检测技术的实现。(5.2.3)
4、简述入侵检测技术当前的研究热点。(P164
神经网络、免疫学方法、数据挖掘方法、基因算法、基于代理的检测
5、试指出分布式入侵检测技术的优势和劣势。(5.3.1)
6、你认为入侵检测的标准化工作对于当前入侵检测的研究有什么帮助。
7、上网查找相关资料,整理并分析当前主流入侵检测产品的技术性能指标。
8、简述Snort是如何检测分布式拒绝服务攻击的,并在局域网内进行实验验证。(P171)
9、针对入侵检测在实际应用中面临的困难,提出几种可能的解决方案。(P164)
10、若构建一个基于入侵检测技术和防火墙技术的联动安全系统,你是如何考虑的
21 / 29
第6章 、网络安全检测技术
6.1安全威胁的概念: 安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。
可分为人为安全威胁和非人为安全威胁两大类。 6.1.1网络安全漏洞威胁等级的划分方法
可按风险等级进行归类(P181图)
低、中、高严重度 6.1.2网络安全漏洞的分类:
漏洞的分类方法主要有按漏洞可能对系统造成的直接威胁分类
按漏洞的成因分类两大类。(P182表)
6.1.2漏洞的概念: 漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
6.2.1端口扫描的基本原理:
端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包,并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同,网络通信端口可以分为 TCP端口UDP端口两大类,因此端口扫描技术也可相应地分为TCP端口扫描技术和UDP端口扫描技术。
6.2.2操作系统类型探测的主要方法:
操作系统探测技术主要包括:获取标识信息探测技术、
基于TCP/IP协议栈的操作系统指纹探测技术 ICMP响应分析探测技术。 6.2.3信息型漏洞探测和攻击型漏洞探测技术的原理。 信息型漏洞探测的原理:大部分的网络安全漏洞都与特定的目标状态直接相关,因此只要对目标的此类信息进行准确探测就可以在很大程度上确定目标存在的安全漏洞。 攻击型漏洞探测的原理:模拟攻击是最直接的漏洞探测技术,其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程,对目标系统进行无恶意攻击尝试,若攻击成功则表明相应安全漏洞必然存在。
课后题:
1、 简述网络安全检测对保障计算机网络信息系统安全的作用。(P181)
22 / 29
2、什么是安全漏洞,安全漏洞产生的内在原因是什么?(P182) 漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。漏洞的产生有其必然性,这是因为软件的正确性通常是通过检测来保障的。像操作系统这样的大型软件不可避免的存在着设计上的缺陷,这些缺陷反映在安全功能上便造成了系统的安全脆弱性。
3、网络安全漏洞的分类方法有哪些?漏洞的分类方法主要有按漏洞可能对系统造成的直接威胁分类和按漏洞的成因分类两大类。(P182表)
4、网络安全漏洞检测技术分为几类,其具体作用是什么?
网络安全漏洞检测技术主要包括端口扫描、操作系统探测和安全漏洞探测三类。通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些服务;通过操作系统探测可以掌握操作系统的类型信息;通过安全漏洞探测可以发现系统中可能存在的安全漏洞。
5、端口扫描的原理是什么,根据通信协议的不同可以分为几类?(6.2.1)
6、操作系统探测技术分为几类?(6.2.2)
7、安全漏洞探测技术有哪些分类?(P186)
按照网络安全漏洞的可利用方式来划分,漏洞探测技术 可分为信息型漏洞探测
和攻击型漏洞探测两种。 按照漏洞探测的技术特征,又可以划分为 基于应用的探测技术、 基于主机的探测技术、 基于目标的探测技术和 基于网络的探测技术等。
8、上网查找相关资料,整理并分析当前主流网络安全检测评估系统的技术性能指标。
23 / 29
第7章、 计算机病毒与恶意代码防范技术
7.1.1计算机病毒的定义:
计算机病毒是指编制或者在计算机程序中插入的 破坏计算机功能或者毁坏数据, 影响计算机使用, 并能自我复制的
一组计算机指令或者程序代码。
7.1.3计算机病毒的特征:
①非授权可执行性 ②隐蔽性 ③传染性 ④潜伏性 ⑤破坏性 ⑥触发性
7.1.4计算机病毒的主要危害(P202):
1、直接破坏计算机数据信息
2、占用磁盘空间和对信息的破坏 3、抢占系统资源
4、影响计算机运行速度
5、计算机病毒错误与不可预见的危害 6、计算机病毒的兼容性对系统运行的影响 7、给用户造成严重的心理压力
7.2.2计算机病毒的分类(P208):
按病毒攻击的系统分类:
①?? 攻击DOS系统的病毒 ②?? 攻击windows系统的病毒 ③?? 攻击UNIX系统的病毒 ④?? 攻击OS/2系统的病毒。 按病毒的攻击机型分类: ①?? 攻击微型计算机的病毒 ②?? 攻击小型机的计算机病毒 ③?? 攻击工作部的计算机病毒。 按病毒的链接方式分类: ①?? 源码型病毒 ②?? 嵌入型病毒 ③?? 外壳型病毒 ④?? 操作系统型病毒。
按病毒的破坏情况分类: ①?? 良性计算机病毒 ②?? 恶性计算机病毒。
按病毒的寄生方式分类:
24 / 29
①?? 引导型病毒 ②?? 文件型病毒 ③?? 复合型病毒。
按病毒的传播媒介分类: ①?? 单机病毒 ②?? 网络病毒。
7.3.1常用计算机病毒检测手段的基本原理(P216)
①特征代码法 ②校验和法 ③行为监测法 ④软件模拟法
7.3.2计算机病毒的防范手段(P216):
防范计算机病毒主要从管理和技术两方面着手:
1、严格的管理。制定相应的管理制度,避免蓄意制造、传播病毒的事件发生。 2、有效的技术。
1)将大量的消毒/杀毒软件汇集一体,检查是否存在已知病毒。
2)检测一些病毒经常要改变的系统信息,以确定是否存在病毒行为; 3)监测写盘操作,对引导区或主引导区的写操作报警。
4)对计算机系统中的文件形成一个密码检验码和实现对程序完整性的验证,在程序执行前或定期对程序进行密码校验,如有不匹配现象即报警。
5)智能判断型:设计病毒行为过程判定知识库,应用人工智能技术,有效区别正常程序与病毒程序的行为。
6)智能监察型:设计病毒特征库,病毒行为知识库,受保护程序存取行为知识库等多个知识库及相应的可变推理机。
7.4.1恶意代码的特征与分类:
特征:①恶意的目的 ②本身是程序
③通过执行发生作用。
分类:按恶意代码的工作原理和传输方式区分,恶意代码可分为普通病毒、木马、网络蠕虫、移动代码和复合型病毒等类型。
7.4.2恶意代码的关键技术(P222):
生存技术(反跟踪、加密、模糊变换、自动生产)、
攻击技术(进程注入、三线程、端口复用、对抗检测、端口反向连接技术、缓冲区溢出攻击)、
隐藏技术(本地隐藏、通信隐藏)。
7.4.5恶意代码的防范措施(P228):
1、及时更新系统,修补安全漏洞
2、设置安全策略,限制脚本程序的运行
3、开启防火墙,过滤不必要的服务和系统信息; 4、养成良好的上网习惯。
25 / 29
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库自学考试计算机网络安全整理资料 - 图文(5)在线全文阅读。
相关推荐: