全部科目 > 嵌入式系统设计师 >
2017年下半年 上午试卷 综合知识
第 10 题
知识点 入侵检测   入侵检测技术  
关键词 入侵检测  
章/节 安全性基本概念  
 
 
(10)不属于入侵检测技术。
 
  A.  专家系统
 
  B.  模型检测
 
  C.  简单匹配
 
  D.  漏洞扫描
 
 




 
 
相关试题     网络安全、信息安全、系统安全等基础知识 

  第8题    2014年下半年  
以下关于拒绝服务攻击的叙述中,不正确的是(8)。

  第7题    2010年下半年  
如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求,这种手段属于(7)攻击。

  第8题    2010年下半年  
ARP攻击造成网络无法跨网段通信的原因是(8)。

 
知识点讲解
· 入侵检测
· 入侵检测技术
 
        入侵检测
        入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性的行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
        入侵检测系统要解决的最基本的两个问题是:如何充分并可靠地提取描述行为特征的数据,以及如何根据特征数据,高效并准确地判断行为的性质。由系统的构成来说,通常包括数据源(原始数据)、分析引擎(通过异常检测或误用检测进行分析)、响应(对分析结果采用必要和适当的措施)3个模块。
               入侵检测技术
               入侵检测系统所采用的技术可分为特征检测与异常检测两种:
               (1)特征检测。特征检测也称为误用检测,假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式,使之既能够表达“入侵”现象又不会将正常的活动包含进来。
               (2)异常检测。假设入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
               常用检测方法
               入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。
               (1)特征检测。对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
               (2)统计检测。统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:
               .操作模型。假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击。
               .方差。计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。
               .多元模型。操作模型的扩展,通过同时分析多个参数实现检测。
               .马尔柯夫过程模型。将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件。
               .时间序列分析。将事件计数时间序列分析。将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
               统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而绕过入侵检测系统。
               (3)专家系统。用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
               性能
               仅仅能够检测到各种攻击是不够的,入侵检测系统还必须能够承受高速网络和高性能网络节点所产生的事件流的压力。有两种途径可以用来实时分析庞大的信息量,分别是分割事件流和使用外围网络传感器。
               (1)分割事件流。可以使用一个分割器将事件流切分为更小的可以进行管理的事件流,从而入侵检测传感器就可以对它们进行实时分析。
               (2)使用外围网络传感器。在网络外围并靠近系统必须保护的主机附近使用多个传感器。
 
        入侵检测技术
        入侵检测技术是指对计算机网络资源的恶意使用行为(包括系统外部的入侵和内部用户的非授权行为)进行识别和相应处理。为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用户检测计算机网络中违反安全策略行为的技术。许多政府机构及大型公司(如花旗集团等)都采用了入侵检测方法。入侵检测方法也能够检测到其他情况,如是否遵守安全规程等。人们经常忽略安全机制(加利福尼亚一架大型航空公司每月发生2万~4万次违规事件),但系统能够检测到这些违规行为,及时改正违规行为。
        从检测方法上,可将检测系统分为基于行为和基于知识两种;从检测系统所分析的原始数据上,可分为来自系统日志和网络数据包两种,前者一般以系统日志、应用程序日志等作为数据源,用以监测系统上正在运行的进程是否合法,后者直接从网络中采集原始数据包,其网络引擎放置在需要保护的网段内,不占用网络资源,对所有本网段内的数据包进行信息收集并判断。通常采用的入侵检测手段如下。
        (1)监视、分析用户及系统活动。
        (2)系统构造和弱点的审计。
        (3)识别反映已知进攻的活动模式并向相关人士报警。
        (4)异常行为模式的统计分析。
        (5)评估重要系统和数据文件的完整性。
        (6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有