3、它应该管理、配置简单,即使非专业人员也非常容易使用 4、入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变 5、入侵检测系统在发现入侵后会及时做出响应,包括切断网络连接、记录事件和报警。
6、什么是异常检测,基于异常检测原理的入侵检测方法有哪些?
答:异常检测技术又称为基于行为的入侵检测技术,用来识别主机或网络中的异常行为。通过收集操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述,判断是否发生入侵。 1、统计异常检测方法 2、特征选择异常检测方法
3、基于贝叶斯网络异常检测方法 4、基于贝叶斯推理异常检测方法 5、基于模式预测异常检测方法
7、什么是误用检测,基于误用检测原理的入侵检测方法有哪些?
答:误用检测技术又称为基于知识的检测技术。它通过对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。 1、基于条件的概率误用检测方法 2、基于专家系统误用检测方法 3、基于状态迁移分析误用检测方法 4、基于键盘监控误用检测方法 5、基于模型误用检测方法
10、蜜网和蜜罐的作用是什么,它们在检测入侵方面有什么优势?
蜜罐的作用:1、把潜在入侵者的注意力从关键系统移开2、收集入侵者的动作信息3、设法让攻击者停留一段时间,使管理员能检测到它并采取相应的措施。 蜜网的作用:1、蜜网在确保不被入侵者发现诱骗的前提下,尽可能多地捕获攻击行为信息,2、Honeynet向Internet发起的连接进行跟踪,一旦Honeynet达到了规定的向外的连接数,防火墙将阻断任何后续的连接,并且及时向系统管理员发出警告信息3、IDS在数据链路层对蜜网中的网络数据流进行监控,分析和抓取以便将来能够重现攻击行为,同时在发现可疑举动时报警。
蜜罐和蜜网能从现存的各种威胁中提取有用的信息,发现新型的攻击工具,确定攻击模式并研究攻击者的攻击动机,从而确定更好的对策。
第14章 VPN技术
一、填空题
1、根据访问方法的不同,VPN可以分为远程访问VPN和网关-网关VPN两种11 / 22
类型。
2、VNP的关键技术包括 隧道技术 、 加/解密技术 、 密钥管理技术 、 身份认证技术 和 访问控制 等。
3、第2层隧道协议主要有PPTP、L2F 和L2TP 3个协议。 4、第3层隧道协议主要有IPSec 、GRE 和 MPLS 3个协议。 5、IPSec的主要功能是实现加密、认证和密钥交换,这3个功能分别由 AH 、 ESP 和 IKE 3个协议来实现 6、IPSec VPN主要由 管理模块 、密钥分配和生成模块 、 身份认证模块 、 数据加/解密模块 和 数据分组封装/分解模块 5个模块组成。 7、IPSec在OSI参考模型的 C 层提供安全性。 A.应用 B.传输 C.网络 D.数据链路 8、ISAKMP/Oakley与 D 相关。
A.SSL B.SET C.SHTTP D.IPSec 9、IPSec中的加密是由 D 完成的。
A.AH B.TCP/IP C.IKE D.ESP 10、在 A 情况下,IP头才需要加密。
A.信道模式 B.传输模式 C.信道模式和传输模式 D、无模式
第一章 引言
1、网络安全的基本目标:保密性、完整性、可用性、合法使用 2、计算机病毒的发展态势:1)、计算机病毒层出不穷2)、黑客攻势逐年攀升3)、系统存在安全漏洞4)、各国军方加紧信息战研究
3、典型的安全威胁:假冒攻击/冒充攻击、截获、窃听、篡改、消息重发/重放攻击、拒绝服务攻击DOS、DDOS(各定义详见课本)
4、防止重放攻击的方法:时间戳、序号、提问与应答。
5、防范口令攻击的方法、暴力破解、字典攻击:阻止选择低级口令;对口令文件严格保护。要彻底解决口令机制的弊端是使用基于令牌的机制,转而使用基于令牌的机制。如果暂时不能做到,起码要使用一次性口令方案。
7、认证:认证服务与保证通信的真实性有关.在单条消息下,如一条警告或报警信号认证服务是向接收方保证信息来自所声称的发送方.对于正在进行的交互,如终端和主机连接,就设计两个方面的问题:首先,在连接的初始化阶段,认证服务保证两个实体是可信的,也就是说,每个实体都是它们所声称的实体;其次,认证服务必须保证该连接不受第三方的干扰,例如,第三方能够伪装成两个合法实体中的一方,进行非授权的传输或接收.两个特殊的认证服务:同等实体认证、数据源认证.
认证机制的失效易导致服务器被攻击者欺骗。
被破坏的主机不会进行安全加密,因此对源主机采用密码认证的方式无用。 通过修改认证方案消除其缺陷,完全可以挫败这种类型的攻击。 8、网络安全的模型及说明(详见课本)
12 / 22
第二章 底层协议的安全性
9、IP协议的安全缺陷:1)IP协议不能保证数据就是从数据包中给定的源地址发出的,
你绝对不能靠对源地址的有效性检验来判断数据包的好坏;
2)攻击者可以发送含有伪造返回地址的数据包,这种攻击叫做IP欺骗攻击;
3)当路由器遇到大数据流量的情况下,可能在没有任何提示的情况下丢掉一些数据包; 4)大数据包可能在中间节点上被分拆成小数据包。通过向包过滤器注入大量病态的小数据包,可以对包过滤器造成破坏;
10、ARP功能:以太网发送的是48位以太地址的数据包;IP驱动程序必须将32位IP目标地址转换成48位地址;两类地址存在静态或算法上的影射;ARP用来确定两者之间的影射关系。
ARP欺骗:一台不可信赖的计算机会发出假冒的ARP查询或应答信息,并将所有流向它的数据流转移。这样,它就可以伪装成某台机器,或修改数据流。这种攻击叫做ARP欺骗攻击
11、ICMP泛洪攻击:黑客能够用ICMP对消息进行重定向。只要黑客能够篡改你到达目的地的正确路由,他就有可能攻破你的计算机。一般来说,重定向消息应该仅由主机执行,而不是由路由器来执行。仅当消息直接来自路由器时,才由路由器执行重定向。然而,有时网管员有可能使用ICMP创建通往目的地的新路由。这种非常不谨慎的行为最终会导致非常严重的网络安全问题。
12、TCP连接的三次握手过程:
用三次握手建立 TCP 连接,如图所示:A 的 TCP 向 B 发出连接请求报文段,其首部中的同步位 SYN = 1,并选择序号 seq = x,表明传送数据时的第一个数据字节的序号是 x。B 的 TCP 收到连接请求报文段后,
13 / 22
如同意,则发回确认。 B 在确认报文段中应使 SYN = 1 ,使 ACK = 1 ,其确认号ack = x+1 ,自己选择的序号 seq = y。A 收到此报文段后向 B 给出确认,其 ACK = 1 ,确认号 ack == y+1 。 A 的TCP 通知上层应用进程,连接已经建立。B 的 TCP 收到主机 A 的确认后,也通知其上层应用进程:TCP 连接已经建立。
13、TCP SYN洪泛攻击:攻击者利用TCP连接的半开放状态发动攻击。攻击者使用第一个数据包对服务器进行大流量冲击,使服务器一直处于半开放连接状态,从而无法完成3步握手协议。
14、DHCP、DNS服务器功能:域名DHCP用来分配IP地址,并提供启动计算机(或唤醒一个新网络)的其他信息,它是BOOTP的扩展。域名系统DNS是一个分布式数据库系统,用来实现“域名—IP地址”,或“IP地址—域名”的影射。
15、网络地址转换NAT:NAT的主要作用是解决当前IPv4地址空间缺乏的问题。从概念上讲,NAT非常简单:它们监听使用了所谓专用地址空间的内部接口,并对外出的数据包重写其源地址和端口号。外出数据包的源地址使用了ISP为外部接口分配的Internet静态IP地址。对于返回的数据包,它们执行相反的操作。NAT存在的价值在于IPv4的短缺。协议的复杂性使NAT变得很不可靠。在这种情况下,我们在网络中必须使用真正意义的防火墙,并希望IPv6的应用尽快得到普及。
第二部分 密码学
16、密码体制构成的五个要素:明文空间M、密文空间C、密钥空间K、加密算法E、解密算法D。
17、双钥密码体制的基本概念及各自的密钥的功能和作用:基本概念是公钥密码技术又称非对称密码技术或双钥密码技术,其加密和解密数据使用不同的密钥。公开密钥(public-key),可以被任何人知道,用于加密或验证签名。私钥( private-key),只能被消息的接收者或签名者知道,用于解密或签名。
18、数字签名的基本概念:收方能够确认或证实发方的签名,但不能伪造,简记为R1-条件;发方发出签名的消息给收方后,就不能再否认他所签发的消息,简记为S-条件;收方对已收到的签名消息不能否认,即有收报认证,简记为R2-条件;第三者可以确认收发双方之间的消息传送,但不能伪造这一过程,简记为T-条件。
第九章 公钥基础设施
19、PKI定义及主要任务
1)定义:PKI公钥基础设施,是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施。其目的是解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题,为网络应用提供可靠的安全服务。
14 / 22
2)主要任务:确立可信任的数字身份。
20、PKI体系组成部分:证书机构、注册机构、证书发布库、密钥备份与恢复、证书撤销、PKI应用接口
21、CA系统功能:证书生成、证书颁布、证书撤销、证书更新、证书归档、CA自身管理、日志审计、密钥恢复。
22、RA系统功能:填写用户注册信息、提交用户注册信息、审核、发送生成证书申请、发放证书、登记黑名单、证书撤销列表管理、日志审计、自身安全保证.
23、证书发布库的作用:用于集中存放CA颁发证书和证书撤销列表;支持分布式存放,以提高查询效率;LDAP目录服务支持分布式存放,是大规模PKI系统成功实施的关键,也是创建高效的认证机构的关键技术 24、PKI提供的主要服务:认证服务、数据完整性服务、数据保密性服务、不可否认服务、、公证服务。
25、数字证书的典型内容:证书拥有者的姓名、证书拥有者的公钥、公钥的有限期、颁发数字证书的单位、颁发数字证书单位的数字签名、数字证书的序列号 26、SSL工作层次、协议构成及功能:(详见课件“PKI补充材料.PPT”) 1)工作层次:介于TCP/IP模型应用层与传输层之间 2)协议分成两部分:
SSL握手协议:通信双方互相验证身份、以及安全协商会话密钥 SSL记录协议:定义了传输的格式,对上层传来的数据加密后传输. 3)功能:
a鉴别机制:确保网站的合法性;b保护隐私:采用加密机制;c信息完整性:确保传输的信息不被篡改. 27、数字证书的验证方法
RA验证用户材料,以明确是否接受用户注册。 检查私钥的拥有证明(POP,Proof of possession)。 RA要求用户采用私钥对证书签名请求进行数字签名。
RA生成随机数挑战信息,用该用户公钥加密,并将加密后的挑战值发送给用户。若用 户能用其私钥解密,则验证通过。
RA将数字证书采用用户公钥加密后,发送给用户。用户需要用与公钥匹配的私钥解密 方可取得明文证书。
28、数字证书撤销的原因及方法
1)原因:a)数字证书持有者报告该证书中指定公钥对应的私钥被破解(被盗);b)CA发现签发数字证书时出错;c)证书持有者离职,而证书为其在职期间签发的。
2)方法:发生第一种情形需由证书持有者进行证书撤销申请;发生第二种情形时,CA启动证书撤销;发生第三种情形时需由组织提出证书撤销申请。 29、PMI的定义、PMI与PKI的关系
定义:权限管理基础设施或授权管理基础设施,是属性证书、属性权威、属性证书框架等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。
15 / 22
网络安全技术与实践第二版课后答案
