史上最全防火墙技术复习题 期末考试题选择题 填空题 简答题 防火墙试题
③ 能够适合加密的环境
④ 网络无关性
57. 简要说明基于主机的入侵检测的缺点有哪些?
① 不具有平台无关性,可移植性差
② 检测手段较多时会影响安装主机的性能
③ 维护和管理工作复杂
④ 无法判断网络的入侵行为
58. 简要说明基于网络的入侵检测的优点有哪些?
① 具有系统平台无关性
② 不影响受保护主机的性能
③ 对攻击者来说是透明的
④ 能够进行较大范围内的网络安全保护
⑤ 监测数据具有很高的真实性
⑥ 可检测基于底层协议的攻击行为
59. 简要说明基于网络的入侵检测的缺点有哪些?
① 不在通信的端点,无法像进行网络通讯的主机那样处理全部网络协议层次的数据
② 对于现在越来越流行的加密传输很难进行处理
③ 对于交换网络的支持不足
④ 面临处理能力的问题
⑤ 容易受到拒绝服务攻击
⑥ 很难进行复杂攻击的检测
60. 简要说明蜜罐技术原理。
蜜罐实际是一种牺牲系统,不包含任何可以利用的有价值的资源。存在的唯一目的就是将攻击的目标转移到蜜罐系统上,诱骗、手机、分析攻击的信息确定攻击行为和入侵者的动机。,设置蜜罐存在安全风险,容易被入侵者控制作为攻击内联网络的跳板。
61. 说明什么是异常入侵检测。
异常入侵检测是根据系统和用户的非正常行为或者对于计算机资源的非正常使用检测出入侵行为的检测技术,异常检测基础是建立在系统正常活动或用户正常行为模式的描述模型。将用户的当前行为模式和系统的当前状态与该正常模式进行比较,如果当前值超出了预设的阈值,则认为存在攻击行为。,对未知的攻击的检测,精确度依赖于正常模型的精确程度。
62. 说明什么是滥用入侵检测。
滥用入侵检测通过对现有的各种攻击手段进行分析,找到能够代表该攻击的行为的特征集合。对当前数据的处理就是与这些特征集合进行匹配,如果成功匹配则说明发生了依次确定的攻击。滥用入侵检测可以实现的基础是现有已知攻击手段,都能够根据近攻击条件、动作排列及相应事件之间的关系变化进行明确描述,即攻击行为的特征能够被提取。每种攻击行为都有明确的特征描述,所以滥用检测的准确度很高。但是,滥用检测系统依赖性较强,平台无关性较差,难于移植。而且对已多种已知攻击模式特征的提取和维护工作量非常大,此外滥用检测只能根据已有的数据进行判断,不能检测新的或变异的攻击行为。最后,滥用检测无法识别内部用户发起的攻击行为。
63. 比较异常检测和滥用检测的区别。
滥用入侵检测根据已知的攻击行为建立异常行为模型,然后将用户行为与之进行匹配,成功意味着又一次确定的攻击行为发生。该技术就有较好的确定解释能力,可以得到较高的检测准确度和较低的误警率。但是,只能检测已知的攻击行为,对已已知攻击的变形或者新型的攻击行为将无法进行检测。
异常入侵检测则是试图建立用户后者系统的正常行为模型,任何超过该模型允许阈值的事件都被认为是可以的。这种技术的好处是能够检测到位置的攻击,攻击可能无法明确指出是何种类型的攻击。但是这种方法往往不能反映计算机系统的复杂的动态本质,很难进行建模操作。
两种方法各自特点决定了他们具有相当的互补性,可以将两种方法结合起来,提高安全性。