文档介绍:选择题在书上,自己看第一章P²DR模型指的就是:安全策略(Policy)、防护(Protection)、检测(Detection)、响应(Reaction)的缩写。2 入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: l 监控、分析用户和系统的活动; l 审计系统的配置和弱点; 评估关键系统和数据文件的完整性; l 识别攻击的活动模式; 对异常活动进行统计分析; 对操作系统进行审计跟踪管理,识别违反政策的用户活动。第二章(1) 一般来说,网络入侵的原理是什么? 答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。利益的驱动使得互联网中的黑客数量激增。  (2) 拒绝服务攻击是如何实施的? 答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限,所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源匮乏,象是无法满足需求。第三章(1) 入侵检测系统有哪些基本模型? 答:在入侵检测系统的发展历程中,大致经历了三个阶段:集中式阶段、层次式阶段和集成式阶段。代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)(3) 入侵检测系统的工作模式可以分为几个步骤,分别是什么? 答:入侵检测系统的工作模式可以分为4个步骤,分别为:从系统的不同环节收集信息;分析该信息,试图寻找入侵活动的特征;自动对检测到的行为作出响应;记录并报告检测过程和结果。(5) 异常入侵检测系统的设计原理是什么? 答:异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。在异常入侵检测中,假定所有入侵行为都是与正常行为不同的,这样,如果建立系统正常行为的轨迹,那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。对于异常阈值与特征的选择是异常入侵检测的关键。比如,通过流量统计分析将异常时间的异常网络流量视为可疑。异常入侵检测的局限是并非所有的入侵都表现为异常,而且系统的轨迹难于计算和更新。第四章(1) 入侵分析的目的是什么? 答:入侵分析的主要目的是提高信息系统的安全性。除了检测入侵行为之外,人们通常还希望达到以下目标:重要的威慑力;安全规划和管理;获取入侵证据。 (4) 联动响应机制的含义是什么? 答:入侵检测的主要作用是通过检查主机日志或网络传输内容,发现潜在的网络攻击,但一般的入侵检测系统只能做简单的响应,如通过发RST包终止可疑的TCP连接。而对于大量的非法访问,如DoS类攻击,仅仅采用入侵检测系统本身去响应是远远不够的。因此,在响应机制中,需要发挥各种不同网络安全技术的特点,从而取得更好的网络安全防范效果。这就需要采用入侵检测系统的联动响应机制。目前,可以与入侵检测系统联动进行响应的安全技术包括