" name="Keywords">
" name="Description">
免费智能真题库 > 历年试卷 > 系统分析师 > 2013年上半年 系统分析师 上午试卷 综合知识
  第9题      
  知识点:   入侵检测   AR   ARP
  关键词:   模块   入侵检测        章/节:   通信和网络安全       

 
下图为DARPA提出的公共入侵检测框架示意图,该系统由4个模块组成。其中模块①〜④分别是(9)。

 
 
  A.  事件产生器、事件数据库、事件分析器、响应单元
 
  B.  事件分析器、事件产生器、响应单元、事件数据库
 
  C.  事件数据库、响应单元、事件产生器、事件分析器
 
  D.  响应单元、事件分析器、事件数据库、事件产生器
 
 
 

 
  第8题    2014年上半年  
   59%
在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法中不包括(8)。..
  第7题    2014年上半年  
   54%
防火墙的工作层次是决定防火墙效率及安全的主要因素,下面的叙述中正确的是(7)。
  第7题    2010年上半年  
   63%
入侵检测系统的构成不包括(7)。
   知识点讲解    
   · 入侵检测    · AR    · ARP
 
       入侵检测
        入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性的行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
        入侵检测系统要解决的最基本的两个问题是:如何充分并可靠地提取描述行为特征的数据,以及如何根据特征数据,高效并准确地判断行为的性质。由系统的构成来说,通常包括数据源(原始数据)、分析引擎(通过异常检测或误用检测进行分析)、响应(对分析结果采用必要和适当的措施)3个模块。
               入侵检测技术
               入侵检测系统所采用的技术可分为特征检测与异常检测两种:
               (1)特征检测。特征检测也称为误用检测,假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式,使之既能够表达“入侵”现象又不会将正常的活动包含进来。
               (2)异常检测。假设入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
               常用检测方法
               入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。
               (1)特征检测。对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
               (2)统计检测。统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:
               .操作模型。假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击。
               .方差。计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。
               .多元模型。操作模型的扩展,通过同时分析多个参数实现检测。
               .马尔柯夫过程模型。将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件。
               .时间序列分析。将事件计数时间序列分析。将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
               统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而绕过入侵检测系统。
               (3)专家系统。用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
               性能
               仅仅能够检测到各种攻击是不够的,入侵检测系统还必须能够承受高速网络和高性能网络节点所产生的事件流的压力。有两种途径可以用来实时分析庞大的信息量,分别是分割事件流和使用外围网络传感器。
               (1)分割事件流。可以使用一个分割器将事件流切分为更小的可以进行管理的事件流,从而入侵检测传感器就可以对它们进行实时分析。
               (2)使用外围网络传感器。在网络外围并靠近系统必须保护的主机附近使用多个传感器。
 
       AR
        (1)AR的定义。增强现实技术(Augmented Reality,AR),是一种实时地计算摄影机影像的位置及角度并加上相应图像、视频、3D模型的技术,这种技术的目标是在屏幕上把虚拟世界套在现实世界并进行互动。这种技术1990年提出。随着随身电子产品CPU运算能力的提升,预期增强现实的用途将会越来越广。
        (2)AR的特点。
        ①真实世界和虚拟世界的信息集成;
        ②具有实时交互性;
        ③是在三维尺度空间中增添定位虚拟物体。
        (3)AR的营销价值。
        ①虚实结合,震撼体验。借助AR的虚实交互体验,增强产品发布会的趣味性和互动性。另外借助AR技术,可以展示模拟现实条件无法表现的细节和创意,使消费者更直观形象地感知产品,提升对企业品牌形象的理解,尤其适用于工艺复杂、技术含量高、价值相对较高的产品。
        ②体验营销。AR技术实现品牌和消费者零距离接触,在游戏或互动中潜移默化地传达产品内容、活动及促销信息,加深消费者对品牌的认可和了解。AR技术借助手机摄像头可以生动地再现产品使用场景,增强用户的购物体验,解决电子商务当下无法试用、试穿的瓶颈,给我们生活带来极大地便利和乐趣。
        ③与微博、SNS等社交媒体整合。利用AR技术与微博、SNS等社交媒体的融合打通,实现从体验营销到自营销,最终形成消费者对产品和品牌的信任和钟爱,满足了消费者购买咨询、体验和分享的需求,促成消费者形成良好的口碑并促进购买。
 
       ARP
        ARP(Address Resolution Protocol,地址解析协议)是根据IP地址获取物理地址的一个TCP/IP。主机发送信息时会将包含目标IP地址的ARP请求广播到网络中的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。ARP是建立在网络中各个主机互相信任的基础上的,网络中的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性,会直接将其记入本机ARP缓存;因此,攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替ARP。
   题号导航      2013年上半年 系统分析师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第9题    在手机中做本题