得分:10/10
第六讲
IDS有哪些主要功能?
网络流量的跟踪与分析功能:跟踪用户进出网络的所有活动,实时检测并分析用户在系统中的活动状态;实时统计网络流量,检测拒绝服务攻击等异常行为。
已知攻击特征的识别功能:识别特定类型的攻击,并向控制台报警,为网络防护提供依据。根据定制的条件过滤重复告警事件,减轻传输与响应的压力。
异常行为的分析、统计与响应功能:分析系统的异常行为模式,统计异常行为,并对异常行为做出响应。
特征库的在线和离线升级功能:提供入侵检测规则的在线和离线升级,实时更新入侵特征库,不断提高IDS的入侵检测能力。
数据文件的完整性检查功能:检查关键数据文件的完整性,识别并报告数据文件的改动情况。
自定义的响应功能:定制实时响应策略;根据用户定义,经过系统过滤,对告警事件及时响应。
系统漏洞的预报警功能:对新发现或新公布的系统漏洞特征进行预报警。
IDS探测器集中管理功能:通过控制台收集探测器的状态和告警信息,控制各个探测器的行为。
简述误用检测和异常检测。
- 误用检测技术又称基于知识或特征的检测技术。它假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,并对已知的入侵行为和手段进行分析,提取入侵特征,构建攻击模式或攻击签名,通过系统当前状态与攻击模式或攻击签名的匹配判断入侵行为。误用检测是最成熟、应用最广泛的技术。
- 异常检测技术又称为基于行为的入侵检测技术,用来检测系统(主机或网络)中的异常行为。
总结NIDS的脆弱性。
- 检测的工作量很大:NIDS需要高效的检测方法和大量的系统资源。容易遭受DoS攻击。
- 检测方法局限性:特征匹配方法有其固有缺陷,难以完全检测入侵行为。
- 网络协议复杂性:NIDS难以精确分析复杂的网络协议。
- 系统实现差异:NIDS难以完全兼容不同系统的实现方式。
简述网络安全态势感知系统。
网络安全态势感知系统可以看成是基于分布式入侵检测系统的综合安全监控系统,具有入侵检测、安全状态可视化展示、安全状态理解及趋势分析预测,以及网络监视和网络控制等功能。
第七讲
简述TCSEC(受信计算机系统评测标准)标准的C2安全级4项关键功能。
安全登录机制 要求系统提供强大的用户身份验证机制,防止未经授权的用户登录系统。
自主访问控制机制 要求系统提供自主访问控制机制,允许系统管理员根据需要对系统资源进行访问控制。
安全审计机制 系统必须提供安全审计机制,以记录系统的关键操作,以便在发生安全事件时进行调查。
对象重用保护机制 对象重用保护机制就是残留信息的处理机制,即:阻止一个用户利用或阅读另一个用户已删除的数据,或访问另一个用户曾经使用并释放的内存。
在哪些情况下可能会发生输入验证攻击。
- 程序无法辨认语法上不正确的输入。
- 模块接受了无关的输入。
- 模块没有能够处理遗漏的输入域。
- 发生了域值相关性错误。
为什么root对其可执行文件设置用户ID许可会带来严重的安全隐患?
因为当某可执行文件是root创建的,如果设置了SUID,而该可执行文件又被赋予了其他普通用户的可执行权限,则该程序被任何用户运行时,对应的进程的euid是root,该进程可以访问任何文件。