免费智能真题库 > 历年试卷 > 软件设计师 > 2017年下半年 软件设计师 上午试卷 综合知识
  第11题      
  知识点:   网络安全   入侵检测   入侵检测技术
  关键词:   入侵检测        章/节:   网络与信息安全知识       

 
( )不属于入侵检测技术。
 
 
  A.  专家系统
 
  B.  模型检测
 
  C.  简单匹配
 
  D.  漏洞扫描
 
 
 

 
  第8题    2011年下半年  
   23%
通过内部发起连接与外部主机建立联系,由外部主机控制并盗取用户信息的恶意代码为(8)。
  第50题    2024年上半年  
   100%
下列措施中,()可以保证数据的可靠性。
  第8题    2014年上半年  
   30%
防火墙的工作层次是决定防火墙效率及安全的主要因素,以下叙述中,正确的是(8)。
   知识点讲解    
   · 网络安全    · 入侵检测    · 入侵检测技术
 
       网络安全
               网络安全概述
               计算机网络安全是指计算机、网络系统的硬件、软件以及系统中的数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、泄露,确保系统能连续和可靠地运行,使网络服务不中断。广义地说,凡是涉及网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
               (1)网络安全涉及的主要内容包括运行系统安全、信息系统安全、信息传播安全和信息内容安全。
               (2)信息系统对安全的基本需求有保密性、完整性、可用性、可控性和可核查性。
               (3)网络安全威胁类别有物理威胁、网络攻击、身份鉴别、编码威胁和系统漏洞。
               网络的信息安全
                      信息的存储安全
                      信息的存储安全包括以下内容。
                      (1)用户的标识与验证:限制访问系统的人员。
                      (2)用户存取权限限制:限制进入系统的用户所能做的操作。
                      (3)系统安全监控:建立一套安全监控系统,全面监控系统的活动。
                      (4)病毒防治:网络服务器必须加装网络病毒自动检测系统。
                      由于计算机病毒具有隐蔽性、传染性、潜伏性、触发性和破坏性等特点,所以需要建立计算机病毒防治管理制度。
                      ①经常从软件供应商网站下载、安装安全补丁程序和升级杀毒软件。
                      ②定期检查敏感文件。对系统的一些敏感文件定期进行检查,保证及时发现已感染的病毒和黑客程序。
                      ③使用高强度的口令。尽量选择难以猜测的口令,对不同的账号选用不同的口令。
                      ④经常备份重要数据,要做到每天坚持备份。
                      ⑤选择、安装经过公安部认证的防病毒软件,定期对整个硬盘进行病毒检测、清除工作。
                      ⑥可以在计算机和因特网之间安装使用防火墙,提高系统的安全性。
                      ⑦当计算机不使用时,不要接入因特网,一定要断掉连接。
                      ⑧重要的计算机系统和网络一定要严格与因特网物理隔离。
                      ⑨不要打开陌生人发来的电子邮件,无论它们有多么诱人的标题或者附件。同时也要小心处理来自熟人的邮件附件。
                      ⑩正确配置系统和使用病毒防治产品。正确配置系统,充分利用系统提供的安全机制,提高系统防范病毒的能力,减少病毒侵害事件。了解所选用防病毒产品的技术特点,正确配置以保护自身系统的安全。
                      (5)数据的加密:防止非法窃取或调用。
                      (6)计算机网络安全:通过采用安全防火墙系统、安全代理服务器、安全加密网关等实现网络信息安全的最外一层防线。
                      信息的传输安全
                      信息的传输加密是面向线路的加密措施,有以下3种。
                      (1)链路加密。只对两个节点之间的通信信道线路上所传输的信息进行加密保护。
                      (2)节点加密。加、解密都在节点中进行,即每个节点里装有加、解密的保护装置,用于完成一个密钥向另一个密钥的转换。
                      (3)端一端加密。为系统网络提供从信息源到目的地传送的数据的加密保护,可以是从主机到主机、终端到终端、终端到主机或到处理进程,或从数据的处理进程到处理进程,而不管数据在传送过程中经过了多少中间节点,数据均不会被解密。
               防火墙技术
               防火墙(Firewall)是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的数据包进出被保护的内部网络,通过边界控制强化内部网络的安全策略。
                      防火墙的分类
                      通常可对防火墙进行以下分类。
                      (1)包过滤型防火墙。工作在网络层,对数据包的源IP及目的IP具有识别和控制作用,对于传输层,它只能识别数据包是TCP还是UDP及所用的端口信息。优点是:对每条传入和传出网络的包实行低水平控制;每个IP包的字段都被检查;可以识别和丢弃带欺骗性源IP地址的包;是两个网络之间访问的唯一通道;通常被包含在路由器数据包中,不必用额外的系统来处理这个特征。缺点是:不能防范黑客攻击;不支持应用层协议;访问控制粒度太粗糙。
                      (2)应用代理网关防火墙。彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。优点是:可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。缺点是:难以配置,处理速度慢。
                      (3)状态检测技术防火墙。结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。
                      典型防火墙的体系结构
                      一个防火墙系统通常是由过滤路由器和代理服务器组成的。典型防火墙的体系结构包括包过滤路由器、双宿主主机、被屏蔽主机网关、被屏蔽子网等。
                      (1)包过滤路由器。又称屏蔽路由器,它是最简单也是最常用的防火墙。它一般作用在网络层,对进出内部网络的所有信息进行分析,并按照一定的安全策略对进出内部网络的信息进行限制。包过滤的核心就是安全策略即包过滤算法的设计。优点在于速度快,实现方便;缺点是安全性差,兼容性差,没有或只有较少的日志记录能力。
                      (2)双宿主主机。它是围绕着至少具有两个网络接口的双宿主主机构成的,每一个接口都连接在物理和逻辑上分离的不同的网段,代理服务器软件在双宿主主机上运行。优点是:堡垒主机运行的系统软件可用于维护系统日志、硬件复制日志、远程日志等,有利于网络管理员的日后检查。缺点是:由于内部网和外部网之间只有一道屏障,双宿主主机首先禁止网络层的路由功能,两个网络之间的通信通过应用代理层来完成,如果一旦黑客侵入堡垒主机并使其具有路由功能,防火墙会变得无用,需要具有强大的身份认证系统,尽量减少防火墙上用户的账户数目,以免堡垒主机被攻破。
                      (3)被屏蔽主机网关。由过滤路由器和应用网关组成。过滤路由器的作用是进行包过滤;应用网关的作用是代理服务,即在内部网络和外部网络之间建立两道安全屏障。优点是安全等级较高,缺点是配置工作复杂。
                      (4)被屏蔽子网。由两个包过滤路由器和一个应用网关组成。优点是:入侵者必须突破3个不同的设备才能侵袭内部网络;由于外部路由器只能向Internet通告DMZ网络的存在,Internet上的系统不需要有路由器与内部网络相对;内部网络上的用户必须通过驻留在堡垒主机上的代理服务才能访问Internet等。
 
       入侵检测
        入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性的行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
        入侵检测系统要解决的最基本的两个问题是:如何充分并可靠地提取描述行为特征的数据,以及如何根据特征数据,高效并准确地判断行为的性质。由系统的构成来说,通常包括数据源(原始数据)、分析引擎(通过异常检测或误用检测进行分析)、响应(对分析结果采用必要和适当的措施)3个模块。
               入侵检测技术
               入侵检测系统所采用的技术可分为特征检测与异常检测两种:
               (1)特征检测。特征检测也称为误用检测,假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式,使之既能够表达“入侵”现象又不会将正常的活动包含进来。
               (2)异常检测。假设入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
               常用检测方法
               入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。
               (1)特征检测。对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
               (2)统计检测。统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:
               .操作模型。假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击。
               .方差。计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。
               .多元模型。操作模型的扩展,通过同时分析多个参数实现检测。
               .马尔柯夫过程模型。将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件。
               .时间序列分析。将事件计数时间序列分析。将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
               统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而绕过入侵检测系统。
               (3)专家系统。用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
               性能
               仅仅能够检测到各种攻击是不够的,入侵检测系统还必须能够承受高速网络和高性能网络节点所产生的事件流的压力。有两种途径可以用来实时分析庞大的信息量,分别是分割事件流和使用外围网络传感器。
               (1)分割事件流。可以使用一个分割器将事件流切分为更小的可以进行管理的事件流,从而入侵检测传感器就可以对它们进行实时分析。
               (2)使用外围网络传感器。在网络外围并靠近系统必须保护的主机附近使用多个传感器。
 
       入侵检测技术
        入侵检测技术是指对计算机网络资源的恶意使用行为(包括系统外部的入侵和内部用户的非授权行为)进行识别和相应处理。为了保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用户检测计算机网络中违反安全策略行为的技术。许多政府机构及大型公司(如花旗集团等)都采用了入侵检测方法。入侵检测方法也能够检测到其他情况,如是否遵守安全规程等。人们经常忽略安全机制(加利福尼亚一架大型航空公司每月发生2万~4万次违规事件),但系统能够检测到这些违规行为,及时改正违规行为。
        从检测方法上,可将检测系统分为基于行为和基于知识两种;从检测系统所分析的原始数据上,可分为来自系统日志和网络数据包两种,前者一般以系统日志、应用程序日志等作为数据源,用以监测系统上正在运行的进程是否合法,后者直接从网络中采集原始数据包,其网络引擎放置在需要保护的网段内,不占用网络资源,对所有本网段内的数据包进行信息收集并判断。通常采用的入侵检测手段如下。
        (1)监视、分析用户及系统活动。
        (2)系统构造和弱点的审计。
        (3)识别反映已知进攻的活动模式并向相关人士报警。
        (4)异常行为模式的统计分析。
        (5)评估重要系统和数据文件的完整性。
        (6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
   题号导航      2017年下半年 软件设计师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第11题    在手机中做本题