自考04751计算机网络安全-重难点分析5

第5章  入侵检测技术

一、  识记

1、入侵检测的原理P.148

答：入侵检测是用于检测任何损害或者企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。所谓入侵检测系统，就是执行入侵检测任务的硬件或软件产品。

入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法，其应用前提是：入侵行为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。

入侵检测系统需要解决两个问题：一是如何充分并可靠地提取描述行为特征的数据，二是如何根据特征数据，高效并准确地判定行为的性质。

2、入侵检测的系统结构组成P.149

答：根据任务属性的不同，入侵检测系统的功能结构可分为两个部分：中心检测平台和代理服务器。

3、入侵检测系统的分类P.149

答：（1）基于数据源的分类：基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。

（2）基于检测理论的分类：异常检测和误用检测。

（3）基于检测时效的分类：在线检测和离线检测。

4、分布式入侵检测的优势和技术难点P.163

答：分布式入侵检测的优势

①检测大范围的攻击行为；②提高检测的准确度；③提高检测效率；④协调响应措施。

分布式入侵检测的技术难点

①事件产生及存储；②状态空间管理及规则复杂度；③知识库管理；④推理技术。

5、入侵检测系统的主要标准的名称

答：①IETF/IDWG。IDWG提出了三项建议草案：入侵检测消息交换格式（IDMEF）、入侵检测交换协议（IDXP）及隧道轮廓（Tunnel Profile）；

②CIDF。CIDF的工作集中体现在四个方面：IDS的体系结构、通信机制、描述语言和应用编程接口API。

二、领会

1、入侵检测系统的分析模型P.152

答：分析是入侵检测的核心功能。入侵检测分析处理过程可分为三个阶段：

①第一阶段主要进行分析引擎的构造，分析引擎是执行预处理、分类和后处理的核心功能；

②第二阶段，入侵分析主要进行现场实际事件流的分析，在这个阶段分析器通过分析现场的实际数据，识别出入侵及其他重要的活动；

③第三阶段，与反馈和提炼过程相联系的功能是分析引擎的维护及其他如规划集提炼等功能。误用检测在这个阶段的活动主要体现在基于新攻击信息对特征数据库进行更新，与此同时，一些误用检测引擎还对系统进行优化工作，如定期删除无用记录等。对于异常检测，历史统计特征轮廓的定时更新是反馈和提炼阶段的主要工作。

2、误用检测和异常检测的基本原理P.153～156

3、CIDF体系结构组成P.169

答：CIDF指公共入侵检测框架。CIDF在IDES和NIDES的基础上提出了一个通用模型，将入侵检测系统分为四个基本组件，事件产生器、事件分析器、响应单元和事件数据库。

在该模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库则是以文件或数据流的形式。CIDF将IDS需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志或其他途径得到的信息。

以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也可能是多个计算机上的多个进程，它们以GIDO（统一入侵检测对象）格式进行数据交换。