免费智能真题库 > 历年试卷 > 信息安全工程师 > 2017年上半年 信息安全工程师 上午试卷 综合知识
  第63题      
  知识点:   蜜罐主机技术   入侵检测   入侵检测技术   主动防御技术
  关键词:   蜜罐   入侵检测   网络   主动防御        章/节:   网络攻击陷阱技术与应用       

 
网络蜜罐技术是一种主动防御技术,是入侵检测技术的一个重要发展方向,以下有关蜜罐说法不正确的是()。
 
 
  A.  蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或者多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标
 
  B.  使用蜜罐技术,可以使目标系统得以保护,便于研究入侵者的攻击行为
 
  C.  如果没人攻击,蜜罐系统就变得毫无意义
 
  D.  蜜罐系统会直接提高计算机网络安全等级,是其他安全策略不可替代的
 
 
 

 
  第25题    2020年下半年  
   25%
蜜罐技术是一种主动防御技术,是入侵检测技术的一个重要发展方向。蜜罐有四种的不同的配置方式:诱骗服务、弱化系统、强化系统和..
  第25题    2019年上半年  
   63%
蜜罐是一种在互联网上运行的计算机系统,是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的。以下关于蜜罐的描述中..
  第13题    2018年上半年  
   59%
网络安全技术可以分为主动防御技术和被动防御技术两大类,以下属于主动防技术的是( )。
   知识点讲解    
   · 蜜罐主机技术    · 入侵检测    · 入侵检测技术    · 主动防御技术
 
       蜜罐主机技术
        蜜罐主机技术包括空系统、镜像系统、虚拟系统等。
        .空系统。空系统是标准的机器,上面运行着真实完整的操作系统及应用程序。在空系统中可以找到真实系统中存在的各种漏洞,与真实系统没有实质区别,没有刻意地模拟某种环境或者故意地使系统不安全。任何欺骗系统做得再逼真,也绝不可能与原系统完全一样,利用空系统做蜜罐是一种简单的选择。
        .镜像系统。攻击者要攻击的往往是那些对外提供服务的主机,当攻击者被诱导到空系统或模拟系统的时候,会很快发现这些系统并不是他们期望攻击的目标。因此,更有效的做法是,建立一些提供敌手感兴趣的服务的服务器镜像系统,这些系统上安装的操作系统、应用软件以及具体的配置与真实的服务器基本一致。镜像系统对攻击者有较强的欺骗性,并且,通过分析攻击者对镜像系统所采用的攻击方法,有利于我们加强真实系统的安全。
        .虚拟系统。虚拟系统是指在一台真实的物理机上运行一些仿真软件,通过仿真软件对计算机硬件进行模拟,使得在仿真平台上可以运行多个不同的操作系统,这样一台真实的机器就变成了多台主机(称为虚拟机)。通常将在真实的机器上安装的操作系统称为宿主操作系统,将在仿真平台上安装的操作系统称为客户操作系统,仿真软件在宿主操作系统上安装。VMware是典型的仿真软件,它在宿主操作系统和客户操作系统之间建立了一个虚拟的硬件仿真平台,客户操作系统可以基于相同的硬件平台模拟多台虚拟主机。另外,在因特网上,还有一个专用的虚拟蜜罐系统构建软件Honeyd,它可以用来虚拟构造出多种主机,并且在虚拟主机上,还可以配置运行不同的服务和操作系统,模拟多种系统脆弱性。Honeyd的应用环境如下图所示。
        
        Honeyd虚拟系统示意图
 
       入侵检测
        入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性的行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
        入侵检测系统要解决的最基本的两个问题是:如何充分并可靠地提取描述行为特征的数据,以及如何根据特征数据,高效并准确地判断行为的性质。由系统的构成来说,通常包括数据源(原始数据)、分析引擎(通过异常检测或误用检测进行分析)、响应(对分析结果采用必要和适当的措施)3个模块。
               入侵检测技术
               入侵检测系统所采用的技术可分为特征检测与异常检测两种:
               (1)特征检测。特征检测也称为误用检测,假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式,使之既能够表达“入侵”现象又不会将正常的活动包含进来。
               (2)异常检测。假设入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
               常用检测方法
               入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。
               (1)特征检测。对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
               (2)统计检测。统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:
               .操作模型。假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击。
               .方差。计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。
               .多元模型。操作模型的扩展,通过同时分析多个参数实现检测。
               .马尔柯夫过程模型。将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件。
               .时间序列分析。将事件计数时间序列分析。将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
               统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而绕过入侵检测系统。
               (3)专家系统。用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
               性能
               仅仅能够检测到各种攻击是不够的,入侵检测系统还必须能够承受高速网络和高性能网络节点所产生的事件流的压力。有两种途径可以用来实时分析庞大的信息量,分别是分割事件流和使用外围网络传感器。
               (1)分割事件流。可以使用一个分割器将事件流切分为更小的可以进行管理的事件流,从而入侵检测传感器就可以对它们进行实时分析。
               (2)使用外围网络传感器。在网络外围并靠近系统必须保护的主机附近使用多个传感器。
 
       入侵检测技术
        入侵检测技术是指对计算机网络资源的恶意使用行为(包括系统外部的入侵和内部用户的非授权行为)进行识别和相应处理。为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用户检测计算机网络中违反安全策略行为的技术。许多政府机构及大型公司(如花旗集团等)都采用了入侵检测方法。入侵检测方法也能够检测到其他情况,如是否遵守安全规程等。人们经常忽略安全机制(加利福尼亚一架大型航空公司每月发生2万~4万次违规事件),但系统能够检测到这些违规行为,及时改正违规行为。
        从检测方法上,可将检测系统分为基于行为和基于知识两种;从检测系统所分析的原始数据上,可分为来自系统日志和网络数据包两种,前者一般以系统日志、应用程序日志等作为数据源,用以监测系统上正在运行的进程是否合法,后者直接从网络中采集原始数据包,其网络引擎放置在需要保护的网段内,不占用网络资源,对所有本网段内的数据包进行信息收集并判断。通常采用的入侵检测手段如下。
        (1)监视、分析用户及系统活动。
        (2)系统构造和弱点的审计。
        (3)识别反映已知进攻的活动模式并向相关人士报警。
        (4)异常行为模式的统计分析。
        (5)评估重要系统和数据文件的完整性。
        (6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
 
       主动防御技术
        主动防御技术是指以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御。
        主动防御是一种阻止恶意程序执行的技术。它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。
        主动防御技术并不是一项全新的技术,从某种程度上说,其集成了启发式扫描技术和行为监控及行为阻断等技术。
   题号导航      2017年上半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第63题    在手机中做本题