(4)下面哪一项不属于误用检测技术的特点?( )
A.发现一些位置的入侵行为 B.误报率低,准备率高
C.对系统依赖性较强 D.对一些具体的行为进行判断和推理 (5)下列哪一项不是基于主机的IDS的特点?( )
A.占用主机资源 B.对网络流量不敏感 C.依赖于主机的固有的日志和监控能力 D.实时检测和响应 (6)下面有关被动响应的陈述,哪一种是正确的?( ) A.被动响应是入侵检测时最不常用的方法 B.网络的重新配置是被动响应的一个实例 C.被动响应通常采取收集信息的形式 D.被动响应通常采取主动报复的形式
2.选择合适的答案填入空白处。
(1)CIDF提出了一个通用模型,将入侵检测系统分为四个基本组件: 事件产生器_、_事件分析器_、_响应单元_、_事件数据库_ (2) 模式匹配 的含义是:通过某种方式预先定义入侵行为,然后件事系统的运行,并找出符合预先定义规则的入侵行为。
(3)直接影响攻击者行为的IDS响应是 主动响应 。
(4)面对当今用户呼吁采取主动防御,早先的IDS体现了自身的缺陷,于是出现了 IPS , 提供了主动性的防护。
(5)实际无害的事件却被IDS检测为攻击事件称为 误报 。
(6)Snort的体系结构由三个主要的部分组成,分别为 包解码_、_探测引擎_、_日志记录(告警系统) 。
3.简要回答下列问题。
(1)基于主机的入侵检测和基于网络的入侵检测有什么区别? 答:
基于主机的入侵检测主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。
基于网络的入侵检测系统使用原始网络包作为数据源。通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。 基于主机的入侵检测系统(HIDS)优点: ⑴ 确定攻击是否成功 ⑵ 监视特定的系统活动
⑶ 能够检查到基于网络的系统检查不出的攻击 ⑷ 适用被加密的和交换的环境 ⑸ 近于实时的检测和响应 ⑹ 不要求额外的硬件设备 ⑺ 记录花费更加低廉
基于网络的入侵检测系统(NIDS)优点: ⑴ 拥有成本较低
⑵ 检测基于主机的系统漏掉的攻击 ⑶ 攻击者不易转移证据 ⑷ 实时检测和响应
⑸ 检测未成功的攻击和不良意图 ⑹ 操作系统无关性
(2)基于异常的入侵检测技术和基于误用的入侵检测技术有什么区别? 答:
A. 异常入侵检测指的是根据非正常行为(系统或用户)和非正常情况使用计算机资源检测
出的入侵行为。
a) 异常检测(Anomaly Detection):基于统计分析原理。首先总结正常操作应该具
有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。
b) 异常的入侵检测的特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频
率;不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
B. 误用入侵检测是指根据已知的入侵模式来检测入侵。
a) 误用检测(Misuse Detection):基于模式匹配原理。收集非正常操作的行为特征,
建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
b) 特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。攻击特征
的细微变化,会使得误用检测无能为力。
第八章
1、 每题有且只有一个最佳答案,请把正确答案的编号填在每题后面的括号中。 (1)、计算机及网络病毒通常是( )进入系统的。 A.作为一个系统文件 B.作为一段应用数据 C.作为一组用户文件 D.作为一段可运行的程序
(2)、计算机及网络病毒感染系统时,一般是( )感染系统的。 A.病毒程序都会在屏幕上提示,待操作者确认之后 B.是在操作者不觉察的情况下
C.病毒程序会要求操作者指定存储的磁盘和文件夹之后 D.在操作者为病毒指定存储的文件名之后
(3)、网络病毒不能够做的事情是( )。
A.自我复制 B.影响网络使用
C.保护版权 D.破坏网络通信或者毁坏数据
(4)以下说法正确的是( )。
A.木马不像病毒那样有破坏性 B.木马不像病毒那样能够自我复制 C.木马不像病毒那样是独立运行的程序 D.木马与病毒都是独立运行的程序
(5)、使用防病毒软件时,一般要求用户每隔两周进行升级,这样做的目的是( )。 A.对付最新的病毒,因此需要下载最新的程序
B.程序中有错误,所以要不断升级,消除程序中的BUG
C.新的病毒在不断出现,因此需要用及时更新病毒的特征码资料库 D.以上说法都不对
(6)、下面可执行代码中属于有害程序的是( )。
A.宏 B.脚本 C.黑客工具软件 D.插件
2、选择合适的答案填入空白处。 (1)、计算机病毒的结构一般由___引导部分___、___传播部分__、__表现(破坏)部分__三部分组成。 (2)、计算机病毒的特点包括__隐藏性_、_潜伏性_、_危害性_、_可传染性_、_可激活性_。 (3)、计算机病毒一般可以分成__操作系统型病毒__、_ 文件型病毒_、__ 源码型病毒__、_ 入侵型病毒__四种主要类别。 (4)、网络病毒除了具有计算机病毒的特点之外,还有__传染方式多__、_传播速度快__、__清除难度大和破坏性强_等特点。 (5)、网络反病毒技术的三个特点是_____安全度取决于“木桶理论”______、_____网络病毒实时监测技术应符合“最小占用”原理_______、_______兼容性是网络防毒的重点和难点_______。 (6)、网络病毒的来源主要有两种:一种威胁是来自__文件下载___;另一种主要威胁来自于___电子邮件____. 3、简要回答下列问题。 (1)、什么是网络病毒? 答:
A. 狭义的网络病毒:即网络病毒应该是充分利用网络的协议以及网络的体系结构作为其传
播的途径或机制,同时网络病毒的破坏对象也应是针对网络的。
广义的网络病毒:只要能够在网络上传播并能对网络产生破坏的病毒,不论它破坏的是网络还是联网计算机,就可称为网络病毒。 (3)、简述怎样识别病毒。 答:
A. 识别计算机病毒的方法有多种多样,下面我是以计算机病毒的前缀来判断是什么病毒。 B. 现在世界上有那么多病毒,而反病毒公司为了方便管理,则根据病毒的特性,将病毒进
行分类命名。一般格式:<病毒前缀>.<病毒名>.<病毒后缀> C. 格式的解释:
a) 病毒的前缀是指一个病毒的种类,用来区分病毒的种族。
b) 病毒名是指一个病毒的家族特性,是用来区别和标识病毒家族。
c) 病毒后缀是指一个病毒的变种特性,是用来区分具体某个家族病毒的某个变种。 D. 一般病毒的前缀说明:
a) 系统病毒的前缀一般为:Win32、PE、win95、W32、W95等。这些病毒的公有特性
是可以感染Windows操作系统的exe和dll文件,并通过这些文件传输。
b) 蠕虫病毒的前缀一般为:Worm。这些病毒的公有特性是通过网络或者系统漏洞进行
传播,一般的蠕虫病毒都是向外发送带病毒邮件,阻塞网络的流通性。 c) 木马病毒的前缀一般为:Trojan。这些病毒的公有特性是通过网络或者系统漏洞进
入用户的系统并隐藏,然后向外界泄露用户信息。 d) 黑客病毒的前缀一般为:Hack。这些病毒的公有特性是能够对用户电脑进行远程控
制。
e) 脚本病毒的前缀一般为:VBS、JS。这些病毒的公有特性是使用脚本语言编写,通
过网页进行的传播的病毒。 (5)、简要说明如何防范计算机网络病毒? 答:
A. 打开杀毒软件实时监控并及时杀毒软件进行升级 B. 对系统打补丁并禁用非必需的服务和关闭文件共享 C. 留意带病毒的网站和提高自身的辨别能力 D. 检查本地账号和设置足够强的密码 E. 对重要数据进行备份和加密 (6)、简要说明如何清除计算机网络病毒? 答:
A. 软件杀毒:用杀毒软件进行杀毒,如:瑞星、毒霸等 B. 手工杀毒:(一般步骤)
a) 关闭相应应用程序或结束相关进程 b) 清理病毒启动项 c) 删除病毒程序
d) 恢复损坏的程序或文件 e) 打好系统补丁消除安全隐患
C. 系统还原:用一键还原、还原卡等快速还原系统 D. 重装系统:如果其他方法无效,只能重装系统
练习题二
1 计算机病毒的特征不包括以下哪项: A非授权可执行性 B 潜伏性 C 可触发性 D 良性
2.病毒入侵系统不可能凭空产生,那么,一般有几种常见的方法或者途径,请列举,需要举出例子。
答:一般病毒入侵系统主要的攻击分为四大型式:ARP攻击、内外IP欺骗、内网攻击、外网流量攻击。 例如:(ARP攻击)
ARP攻击是伪装网关IP,转发信息盗取用户名和密码,不会造成掉线。
3 .什么是防毒、查毒和解毒?
防毒: 根据系统特性,采取相应的系统安全措施预防病毒入侵计算机。防毒能力是指预防病毒侵入计算机系统的能力。通过采取防毒措施,可以准确、实时地检测经由光盘、软盘、硬盘等不同目录之间以及网之间其他文件下载等多种方式进行的传播。能够在病毒侵入系统时发出警报,记录携带病毒的文件,及时清除其中的病毒。对网络而言,能够向网络管理人员发送关于病毒入侵的消息,记录病毒入侵的工作站,必要时还能够注销工作站,隔离病毒源。
查毒: 对于确定的环境,包括内存、文件、引导区/主引导区、网络等能够准确地报出病毒名称。查毒能力是指发现和最总病毒来源的能力。通过查毒,应该能够准确地判断计算机系统是否感染病毒,能准确地找出病毒的来源,并能给出统计报告;查解病毒的能力应由查毒率和误报率来评断。
解毒:是指根据不同类型病毒对感染对象的修改,并按照病毒的感染特征所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括:内存、引导区/主引导区、可执行文件、文档文件、网络等。解毒能力是指从感染对象中清除病毒,恢复被病毒感染前的原始信息的能力;解毒能力应该用解毒率来评判。
4.预防计算机病毒有哪些基本的方法? 答:
A. 打开杀毒软件实时监控并及时杀毒软件进行升级 B. 对系统打补丁并禁用非必需的服务和关闭文件共享 C. 留意带病毒的网站和提高自身的辨别能力 D. 检查本地账号和设置足够强的密码 E. 对重要数据进行备份和加密
5计算机感染病毒后应该采取适当的措施阻止病毒的进一步感染,下面的操作中无效的是 A. 对硬盘重新格式化
B. 下载并安装操作系统的安全补丁 C. 删除感染病毒的文件
D. 将机器关闭一段时间后再打开
6为了保证数据在遭到破坏后能及时恢复,必须定期进行 A、数据维护 B、数据备份 C、病毒检测 D、数据加密 7.什么是计算机病毒?防火墙能防范病毒吗? 答:
A. 病毒:是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒。具有破坏性,复制性和传染性。与医学上的“病毒”不同,计算机病毒不是天然存在的,是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏,所谓的病毒就是人为造成的,对其他用户的危害性很大。 B. 防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了,并且有太多的不同的结构和病毒,因此不可能查找所有的病毒。换句话说,防火墙不可能将安全意识(security-consciosness)交给用户一方。总之,防火墙不能防止数据驱动的攻击:即通过将某种东西邮寄或拷贝到内部主机中,然后它再在内部主机中运行的攻击。