入侵检测技术-课后答案.pdf

入侵检测技术-课后答案--第1页

入侵检测技术-课后答案

本页仅作为文档页封面，使用时可以删除

Thisdocumentisforreferenceonly-rar21year.March

入侵检测技术-课后答案--第1页

入侵检测技术-课后答案--第2页

入侵检测技术-课后答案

2

入侵检测技术-课后答案--第2页

入侵检测技术-课后答案--第3页

第1章入侵检测概述

思考题：

（1）分布式入侵检测系统（DIDS）是如何把基于主机的入侵

检测方法和基于网络的入侵检测方法集成在一起的？

答：分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成

的第一次尝试，以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络

间的入侵。DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发

报告。

DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络

环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视

的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有

这个能力的入侵检测系统。

DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发

现相关数据或事件。这类信息要求要理解它们对整个网络的影响，DIDS用一

个6层入侵检测模型提取数据相关性，每层代表了对数据的一次变换结果。

（2）入侵检测作用体现在哪些方面？

答：一般来说，入侵检测系统的作用体现在以下几个方面：

监控、分析用户和系统的活动；

审计系统的配置和弱点；

评估关键系统和数据文件的完整性；

识别攻击的活动模式；

1

入侵检测技术-课后答案--第3页

入侵检测技术-课后答案--第4页

对异常活动进行统计分析；

对操作系统进行审计跟踪管理，识别违反政策的用户活动。

（3）为什么说研究入侵检测非常必要？

答：计算机网络安全应提供必威体育官网网址性、完整性以及抵抗拒绝服务的能力，

但是由于连网用户的增加，网上电子商务开辟的广阔前景，越来越多的系统

受到入侵者的攻击。为了对付这些攻击企图，可以要求所有的用户确认并验

证自己的身份，并使用严格的访问控制机制，还可以用各种密码学方法对数

据提供保护，但是这并不完全可行。另一种对付破坏系统企图的理想方法是

建立一个完全安全的系统。但这样的话，就要求所有的用户能识别和认证自

己，还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际

上看，这根本是不可能的。

因此，一个实用的方法是建立比较容易实现的安全系统，同时按照一定

的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统，现

在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状

况而言，系统存在被攻击的可能性。如果系统遭到攻击，只要尽可能地检测

到，甚至是实时地检测到，然后采取适当的处理措施。入侵检测系统一般不

是采取预防的措施以防止入侵事件的发生，入侵检测作为安