第6章 入侵检测技术

入侵检测技术Intrusion Detection Technology课程编号：学分： 2学时： 30 （其中：讲课学时：30 实验学时：上机学时：0）先修课程：计算机网络，TCP/IP，Internet安全适用专业：信息安全教材：自编讲义开课学院：计算机科学与通信工程学院一、课程的性质与任务课程的性质：相比于静态安全技术，如防火墙技术、数据加密技术、访问控制技术等，起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。

入侵检测的目的是检测计算机网络系统中用户违反安全策略的行为事件，其主要功能包括：（1）提供事件记录流的信息源；（2）发现入侵迹象的分析引擎；（3）基于分析引擎结果的响应。

误用检测和异常检测是入侵检测常用的方法，前者使用模式匹配技术，检测与已知攻击相匹配的活动模式或与安全策略相冲突的事件，后者则使用统计技术检测不经常发生的事件。

随着网络应用的不断深入，网络安全问题的日显重要，入侵检测系统的事件检测、攻击识别以及自动反应与响应能力等已使其成为现代网络安全技术的重要组成部分。

课程的基本任务：1．了解入侵检测技术的基本概念、发展现状及最新动态；2．掌握入侵检测的原理及系统构成；3．掌握入侵检测的常用方法与技术；4．了解提高入侵检测率对不同用户的要求。

二、课程的基本内容及要求第一章入侵检测技术概述1．基本内容（1）入侵检测的概念（2）入侵检测技术产生的原因（3）入侵检测技术的功能、发展历史及分类（4）入侵检测技术的基本构成和体系结构2．基本要求（1）掌握入侵检测的基本概念（2）掌握入侵检测系统的基本构成（2）了解入侵检测技术的作用和发展历史第二章入侵的方法与手段1．基本内容（1）计算机网络的主要漏洞（2）缓冲区溢出攻击（3）拒绝服务攻击（4）攻击分类2．基本要求（1）掌握缓冲区溢出攻击和拒绝服务攻击的原理（2）了解计算机网络的主要漏洞和攻击分类第三章入侵检测的信息源1．基本内容（1）信息源在入侵系统中的重要地位（2）基于主机的信息源（3）基于网络的信息源（4）基于网络的信息源的获取2．基本要求（1）掌握入侵检测的信息源获取的基本途径（2）了解信息源的作用第四章入侵检测方法1．基本内容（1）入侵检测的基本原理和主要方法（2）基于数据挖掘技术的入侵检测模型（3）基于数据融合技术的入侵检测模型2．基本要求（1）掌握入侵检测的基本原理（2）掌握异常检测与滥用检测常用的检测技术与相应的模型建立（3）掌握基于数据挖掘技术和数据融合技术的入侵检测模型的建立第五章典型的入侵检测系统介绍1．基本内容（1）入侵检测系统原型产品介绍（2）入侵检测系统商业产品介绍（3）免费入侵检测系统产品介绍（4）入侵检测系统产品的选择2．基本要求（1）了解各种入侵检测系统产品第六章入侵检测系统的弱点和局限1．基本内容（1）入侵检测系统的脆弱性分析（2）入侵检测系统体系结构的局限性2．基本要求（1）掌握网络系统脆弱性分析的基本方法（2）了解入侵检测系统的局限性第七章入侵检测系统的评价1．基本内容（1）入侵检测系统的评价标准（2）对入侵检测系统的测试与评估2．基本要求（1）掌握入侵检测系统的评价标准（2）掌握入侵检测系统测试与评估方法第八章入侵检测系统的发展方向1．基本内容（1）未来的信息社会（2）未来的技术趋势（3）未来的安全趋势2．基本要求了解未来信息社会发展对入侵检测技术带来的新的挑战四、大纲说明1、采用多媒体教学；2、为学生提供丰富的参考资料；五、参考书目参考资料主要来源于与入侵检测技术相关的国际学术期刊的学术论文和有关公司的技术报告制定人：韩牟审定人：批准人：日期：2013年5月10日课程简介课程编码：课程名称：入侵检测技术英文名称：Intrusion Detection Technology学分： 2学时： 3 0（其中：讲课学时2 6 实验学时： 0 上机学时：4 ）课程内容：相比于静态安全技术，如防火墙技术、数据加密技术、访问控制技术等，起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。

网络安全防护技能培训教材第1章网络安全基础概念 (4)1.1 网络安全的重要性 (4)1.1.1 个人信息安全 (4)1.1.2 企业信息安全 (4)1.1.3 国家信息安全 (4)1.2 常见网络安全威胁 (4)1.2.1 恶意软件 (4)1.2.2 网络钓鱼 (4)1.2.3 社交工程 (4)1.2.4 DDoS攻击 (4)1.2.5 数据泄露 (5)1.3 安全策略与防护措施 (5)1.3.1 安全策略 (5)1.3.2 防护措施 (5)第2章密码学基础 (5)2.1 密码学概述 (5)2.2 对称加密算法 (5)2.3 非对称加密算法 (6)2.4 哈希算法与数字签名 (6)第3章网络设备与系统安全 (6)3.1 网络设备的安全配置 (6)3.1.1 基本安全配置原则 (6)3.1.2 路由器安全配置 (7)3.1.3 交换机安全配置 (7)3.1.4 无线设备安全配置 (7)3.2 操作系统的安全防护 (7)3.2.1 操作系统安全概述 (7)3.2.2 常见操作系统安全漏洞 (7)3.2.3 操作系统安全防护策略 (7)3.2.4 主机安全防护 (7)3.3 网络安全设备介绍 (7)3.3.1 防火墙 (7)3.3.2 入侵检测系统（IDS）与入侵防御系统（IPS） (7)3.3.3 虚拟专用网络（VPN） (8)3.3.4 安全审计设备 (8)第4章网络攻防技术 (8)4.1 扫描与探测技术 (8)4.1.1 基本概念 (8)4.1.2 常用扫描技术 (8)4.1.3 常用探测工具 (8)4.2 漏洞分析与利用 (8)4.2.2 漏洞挖掘技术 (8)4.2.3 常用漏洞利用工具 (9)4.3 防御策略与应对措施 (9)4.3.1 防御策略 (9)4.3.2 应对措施 (9)第5章恶意代码与病毒防护 (9)5.1 恶意代码概述 (9)5.1.1 恶意代码的定义 (9)5.1.2 恶意代码的类型及特点 (10)5.2 病毒防护技术 (10)5.2.1 病毒防护原理 (10)5.2.2 常见病毒防护技术 (10)5.3 勒索软件防护策略 (10)5.3.1 勒索软件概述 (10)5.3.2 勒索软件防护策略 (11)第6章防火墙与入侵检测系统 (11)6.1 防火墙原理与配置 (11)6.1.1 防火墙概述 (11)6.1.2 防火墙工作原理 (11)6.1.3 防火墙配置 (11)6.2 入侵检测系统原理与应用 (12)6.2.1 入侵检测系统概述 (12)6.2.2 入侵检测系统工作原理 (12)6.2.3 入侵检测系统应用 (12)6.3 防火墙与入侵检测系统的联动 (12)6.3.1 联动原理 (12)6.3.2 联动配置 (12)第7章虚拟专用网络（VPN） (13)7.1 VPN技术概述 (13)7.1.1 VPN的定义与功能 (13)7.1.2 VPN的分类 (13)7.1.3 VPN的典型应用场景 (13)7.2 VPN加密协议 (13)7.2.1 加密技术在VPN中的应用 (13)7.2.2 常见VPN加密协议 (13)7.2.3 加密协议的选择与配置 (13)7.3 VPN设备的配置与管理 (13)7.3.1 VPN设备选型与部署 (13)7.3.2 VPN设备配置基本步骤 (14)7.3.3 VPN设备管理 (14)7.3.4 VPN设备故障排除 (14)第8章无线网络安全 (14)8.1 无线网络安全概述 (14)8.1.2 威胁类型 (14)8.1.3 安全挑战 (14)8.2 无线网络安全协议 (15)8.2.1 WEP (15)8.2.2 WPA (15)8.2.3 WPA2 (15)8.2.4 WPA3 (15)8.3 无线网络安全防护策略 (15)8.3.1 加强无线接入点安全 (15)8.3.2 强化密码策略 (16)8.3.3 网络隔离与访问控制 (16)8.3.4 安全监控与审计 (16)第9章应用层安全 (16)9.1 Web安全防护 (16)9.1.1 概述 (16)9.1.2 Web攻击手段 (16)9.1.3 Web防护策略 (16)9.1.4 Web应用防火墙 (16)9.1.5 与SSL/TLS (17)9.2 数据库安全 (17)9.2.1 数据库安全概述 (17)9.2.2 数据库访问控制 (17)9.2.3 数据库加密技术 (17)9.2.4 数据库防火墙 (17)9.2.5 数据库安全运维 (17)9.3 邮件安全与防护 (17)9.3.1 邮件安全概述 (17)9.3.2 邮件加密技术 (17)9.3.3 邮件认证与签名 (17)9.3.4 邮件过滤与防护 (17)9.3.5 邮件服务器安全配置 (17)第10章安全审计与应急预案 (17)10.1 安全审计概述 (17)10.1.1 安全审计的定义与作用 (17)10.1.2 安全审计的分类与标准 (18)10.1.3 安全审计的实施步骤 (18)10.2 安全事件应急响应 (18)10.2.1 安全事件概述 (18)10.2.2 安全事件应急响应流程 (18)10.2.3 安全事件应急响应团队建设 (18)10.3 安全预案制定与演练 (18)10.3.1 安全预案概述 (18)10.3.2 安全预案的编制方法 (18)10.3.3 安全预案的演练与评估 (18)第1章网络安全基础概念1.1 网络安全的重要性网络安全作为维护国家、企业和个人信息安全的关键环节，日益受到广泛关注。

习题答案第1章入侵检测概述一、思考题1、分布式入侵检测系统（DIDS）是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的？答：分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试，以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。

DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。

DIDS解决了这样几个问题。

在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。

DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。

DIDS是第一个具有这个能力的入侵检测系统。

DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。

这类信息要求要理解它们对整个网络的影响，DIDS用一个6层入侵检测模型提取数据相关性，每层代表了对数据的一次变换结果。

2、入侵检测作用体现在哪些方面？答：一般来说，入侵检测系统的作用体现在以下几个方面：●监控、分析用户和系统的活动；●审计系统的配置和弱点；●评估关键系统和数据文件的完整性；●识别攻击的活动模式；●对异常活动进行统计分析；●对操作系统进行审计跟踪管理，识别违反政策的用户活动。

3、为什么说研究入侵检测非常必要？答：计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力，但是由于连网用户的增加，网上电子商务开辟的广阔前景，越来越多的系统受到入侵者的攻击。

为了对付这些攻击企图，可以要求所有的用户确认并验证自己的身份，并使用严格的访问控制机制，还可以用各种密码学方法对数据提供保护，但是这并不完全可行。

另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。

但这样的话，就要求所有的用户能识别和认证自己，还要采用各种各样的加密技术和强访问控制策略来保护数据。

而从实际上看，这根本是不可能的。

因此，一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统。

网络安全防护技术要点第1章网络安全基础 (4)1.1 网络安全概念与重要性 (4)1.2 网络安全威胁与攻击手段 (4)1.3 网络安全防护体系架构 (4)第2章数据加密技术 (5)2.1 对称加密算法 (5)2.1.1 DES算法 (5)2.1.2 AES算法 (5)2.1.3 IDEA算法 (6)2.2 非对称加密算法 (6)2.2.1 RSA算法 (6)2.2.2 ECC算法 (6)2.2.3 DSA算法 (6)2.3 混合加密算法 (6)2.3.1 数字信封技术 (6)2.3.2 SSL/TLS协议 (7)2.3.3 SSH协议 (7)第3章认证与授权技术 (7)3.1 身份认证技术 (7)3.1.1 密码学基础 (7)3.1.2 密码技术在实际应用中的身份认证方法 (7)3.1.3 生物识别技术 (7)3.2 认证协议 (8)3.2.1 常见认证协议 (8)3.2.2 认证协议的安全性分析 (8)3.2.3 认证协议的设计原则与优化方法 (8)3.3 授权机制 (8)3.3.1 访问控制模型 (8)3.3.2 授权策略与表达语言 (8)3.3.3 授权机制在实际应用中的实现与优化 (8)第4章网络边界防护技术 (9)4.1 防火墙技术 (9)4.1.1 防火墙概述 (9)4.1.2 防火墙的分类 (9)4.1.3 防火墙的配置与管理 (9)4.2 入侵检测与防御系统 (9)4.2.1 入侵检测与防御系统概述 (9)4.2.2 入侵检测技术 (9)4.2.3 入侵防御技术 (9)4.3 虚拟私人网络（VPN） (9)4.3.1 VPN概述 (9)4.3.3 VPN的部署与运维 (10)第5章网络入侵检测技术 (10)5.1 网络流量分析 (10)5.1.1 流量捕获与预处理 (10)5.1.2 流量统计与分析 (10)5.1.3 异常检测算法 (10)5.2 入侵检测方法 (10)5.2.1 基于特征的入侵检测 (10)5.2.2 基于行为的入侵检测 (10)5.2.3 基于机器学习的入侵检测 (11)5.3 入侵容忍技术 (11)5.3.1 容错技术 (11)5.3.2 安全协议 (11)5.3.3 安全存储 (11)5.3.4 安全模型与策略 (11)第6章恶意代码防范技术 (11)6.1 计算机病毒防护 (11)6.1.1 病毒定义与特征 (11)6.1.2 病毒防护策略 (11)6.1.3 病毒防护技术 (11)6.2 木马检测与清除 (12)6.2.1 木马概述 (12)6.2.2 木马检测技术 (12)6.2.3 木马清除技术 (12)6.3 勒索软件防护 (12)6.3.1 勒索软件概述 (12)6.3.2 勒索软件防护策略 (12)6.3.3 勒索软件防护技术 (12)第7章应用层安全防护 (13)7.1 Web安全 (13)7.1.1 SQL注入防护 (13)7.1.2 跨站脚本攻击（XSS）防护 (13)7.1.3 跨站请求伪造（CSRF）防护 (13)7.1.4 远程代码执行（RCE）防护 (13)7.2 数据库安全 (13)7.2.1 访问控制 (13)7.2.2 数据加密 (13)7.2.3 备份与恢复 (13)7.2.4 数据库防火墙 (13)7.3 应用程序安全 (14)7.3.1 安全开发 (14)7.3.2 安全测试 (14)7.3.3 安全更新与维护 (14)第8章无线网络安全防护 (14)8.1 无线网络安全概述 (14)8.1.1 无线网络安全基本概念 (14)8.1.2 无线网络安全威胁 (14)8.1.3 无线网络安全防护措施 (14)8.2 无线网络安全协议 (15)8.2.1 WEP协议 (15)8.2.2 WPA协议 (15)8.2.3 WPA2协议 (15)8.2.4 WPA3协议 (15)8.3 无线网络安全技术 (15)8.3.1 加密技术 (15)8.3.2 认证技术 (15)8.3.3 访问控制技术 (15)8.3.4 入侵检测技术 (15)8.3.5 VPN技术 (16)8.3.6 安全配置与管理 (16)第9章网络安全漏洞管理 (16)9.1 漏洞扫描技术 (16)9.1.1 常见漏洞扫描方法 (16)9.1.2 漏洞扫描器的选型与部署 (16)9.1.3 漏洞扫描实施与优化 (16)9.2 漏洞评估与修复 (16)9.2.1 漏洞风险评估 (16)9.2.2 漏洞修复策略 (16)9.2.3 漏洞修复实施与跟踪 (16)9.3 安全配置管理 (17)9.3.1 安全配置检查 (17)9.3.2 安全配置基线制定 (17)9.3.3 安全配置自动化管理 (17)9.3.4 安全配置变更控制 (17)第10章网络安全运维与应急响应 (17)10.1 安全运维管理体系 (17)10.1.1 安全运维管理概述 (17)10.1.2 安全运维组织架构 (17)10.1.3 安全运维管理制度 (17)10.1.4 安全运维技术手段 (17)10.2 安全事件监控与预警 (17)10.2.1 安全事件监控 (17)10.2.2 预警体系构建 (18)10.2.3 安全态势感知 (18)10.2.4 预警信息处理与响应 (18)10.3 应急响应流程与措施 (18)10.3.2 应急响应流程 (18)10.3.3 应急响应措施 (18)10.3.4 应急响应团队建设 (18)10.3.5 应急响应技术支持 (18)10.3.6 应急响应案例解析 (18)第1章网络安全基础1.1 网络安全概念与重要性网络安全是指在网络环境下，采取各种安全措施，保证网络系统正常运行，数据完整、保密和可用性得到保障的状态。

教学内容第6章 入侵检测技术教材章节5教学周次教学课时9授课对象网络工程专业教学环境多媒体教室教学目标理解入侵检测系统的基本概念；了解检测的基本方法以及入侵检测的步骤；掌握一种入侵检测工具。

教学内容1.入侵检测的基本知识（包括：概念、与防火墙的关系、与扫描器的关系、入侵检测步骤等）。

2.入侵检测技术(包括:基本结构、类型、主要方法)。

3.入侵检测系统解决方案。

4.入侵检测系统主要产品。

教学重点1.入侵检测的基本概念。

2.入侵检测系统的工作原理。

3.入侵检测系统的布署。

教学难点入侵检测方法；入侵检测系统的布署。

教学过程本章分3次讲述，共9学时，讲授思路和过程如下：第1次：1.分析防火墙、扫描器等的应用范围，分析其局限性，引出入侵检测技术。

2.介绍入侵检测的概念、作用，分析与防火墙、扫描器的关系。

3.介绍入侵检测的步骤等。

第2次：1.介绍IDS基本结构，强调其控制台的作用。

2.介绍IDS的类型。

3.介绍IDS基本检测入侵的主要方法，重点介绍误用和异常两种方法。

4.通过实例介绍IDS的布署思路和方法。

5.简单介绍目前常用的比较有效的IDS产品。

6.分析使用状况，提出目前IDS的主要问题，研究发展趋势。

《网络安全技术》教案（第6章）作业与要求作业内容：1.分析入侵检测与防火墙的区别。

2.进行实验。

要求：1.记录实验过程和结果。

2.熟练使用IDS设备。

备注本提交文档内容与次序与实际讲课内容与次序有不一致的地方。

第6章入侵检测技术前面介绍了防火墙技术，事实上防火墙只是对网络上某个单一点起作用，而且也只能检查每个进出网络用户的合法性。

一旦攻击者攻破了防火墙，那么他就可以在网络内随意通行。

所以，防火墙技术是静态的安全防御技术，它不能解决动态的安全问题。

入侵检测技术是动态安全技术最核心的技术之一，本章将详细讨论入侵检测技术。

（以防火墙的局限性来说明单一产品的缺陷，引出安全防御措施需要不同产品的配合，最终引出入侵检测技术）6.1 入侵检测的基本知识安全是网络界一个永恒的话题，随着Internet的普及，网络的安全问题越来越突出。

计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中，属于主动攻击的是（）（分数：2分）A. 数据窃听B.数据流分析D.非法访问标准答案是：C。

2、数据完整性指的是（）（分数：2 分）A.保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密B.防止因数据被截获而造成泄密C.确保数据是由合法实体发出的D.防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是：D。

3、以下算法中属于非对称算法的是（）（分数：2分）A.DESD.三重DES标准答案是：B。

4、以下不属于代理服务技术优点的是（）（分数：2 分）A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据驱动侵袭标准答案是：D。

5、下列不属于主动攻击的是（）（分数：2 分）A.修改传输中的数据B.重放C.会话拦截D.利用病毒标准答案是：D。

6、下列不属于被动攻击的是（）（分数：2 分）A.监视明文B.解密通信数据C.口令嗅探D.利用恶意代码标准答案是：D。

7、网络安全主要实用技术不包括（）（分数：2分）A.数字认证B.身份认证C. 物理隔离D.逻辑隔离标准答案是：A。

8、网络安全不包括哪些重要组成部分（）（分数：2 分）A.先进的技术B.严格的管理C.威严的法律D.以上都不是标准答案是：D。

9、不是计算机网络安全的目标的是（）（分数：2分）A. 保密性D.不可否认性标准答案是：C。

10、计算机网络安全是一门涉及多学科的综合性学科，以下不属于此学科的是（）（分数：2 分）A. 网络技术D.信息论标准答案是：C。

第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位，下列不属于物理安全的是B.机房环境安全C. 通信线路安全D.设备安全标准答案是：A。

C.5D.6标准答案是：A。

3、为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要措施有（）（分数：2 分）C.隔离D.接地标准答案是：B。

计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中，属于主动攻击的是（）（分数：2 分）A. 数据窃听B. 数据流分析C. 数据篡改及破坏D. 非法访问标准答案是：C。

2、数据完整性指的是（）（分数：2 分）A. 保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密B. 防止因数据被截获而造成泄密C. 确保数据是由合法实体发出的D. 防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是：D。

3、以下算法中属于非对称算法的是（）（分数：2 分）A. DESB. RSA算法C. IDEAD. 三重DES标准答案是：B。

4、以下不属于代理服务技术优点的是（）（分数：2 分）A. 可以实现身份认证B. 内部地址的屏蔽和转换功能C. 可以实现访问控制D. 可以防范数据驱动侵袭标准答案是：D。

5、下列不属于主动攻击的是（）（分数：2 分）A. 修改传输中的数据B. 重放C. 会话拦截D. 利用病毒标准答案是：D。

6、下列不属于被动攻击的是（）（分数：2 分）A. 监视明文B. 解密通信数据C. 口令嗅探D. 利用恶意代码标准答案是：D。

7、网络安全主要实用技术不包括（）（分数：2 分）A. 数字认证B. 身份认证C. 物理隔离D. 逻辑隔离标准答案是：A。

8、网络安全不包括哪些重要组成部分（）（分数：2 分）A. 先进的技术B. 严格的管理C. 威严的法律D. 以上都不是标准答案是：D。

9、不是计算机网络安全的目标的是（）（分数：2 分）A. 保密性B. 完整性C. 不可用性D. 不可否认性标准答案是：C。

10、计算机网络安全是一门涉及多学科的综合性学科，以下不属于此学科的是（）（分数：2 分）A. 网络技术B. 通信技术C. 操作系统D. 信息论标准答案是：C。

第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位，下列不属于物理安全的是（）（分数：2 分）A. 安全管理B. 机房环境安全C. 通信线路安全D. 设备安全标准答案是：A。

您的本次作业分数为：99分单选题1.【第11、12章】在目前的信息网络中，(____)病毒是最主要的病毒类型。

∙ A 引导型∙ B 文件型∙ C 网络蠕虫∙ D 木马型单选题2.【第11、12章】传统的文件型病毒以计算机操作系统作为攻击对象，而现在越来越多的网络蠕虫病毒将攻击范围扩大到了(____)等重要网络资源。

∙ A 网络带宽∙ B 数据包∙ C 防火墙∙ D LINUX单选题3.【第11、12章】相对于现有杀毒软件在终端系统中提供保护不同，(____)在内外网络边界处提供更加主动和积极的病毒保护。

∙ A 防火墙∙ B 病毒网关∙ C IPS∙ D IDS单选题4.【第11、12章】不能防止计算机感染病毒的措施是(____)。

∙ A 定时备份重要文件∙ B 经常更新操作系统∙ C 除非确切知道附件内容，否则不要打开电子邮件附件∙ D 重要部门的计算机尽量专机专用，与外界隔绝单选题5.【第11、12章】计算机病毒最重要的特征是(____)。

∙ A 隐蔽性∙ B 传染性∙ C 潜伏性∙ D 表现性单选题6.【第11、12章】通常为保证信息处理对象的认证性采用的手段是(____)。

∙ A 信息加密和解密∙ B 信息隐匿∙ C 数字签名和身份认证技术∙ D 数字水印单选题7.【第11、12章】安全扫描可以(____)。

∙ A 弥补由于认证机制薄弱带来的问题∙ B 弥补由于协议本身而产生的问题∙ C 弥补防火墙对内网安全威胁检测不足的问题∙ D 扫描检测所有的数据包攻击，分析所有的数据流单选题8.【第11、12章】计算机病毒的实时监控属于(____)类的技术措施。

∙ A 保护∙ B 检测∙ C 响应∙ D 恢复单选题9.【第11、12章】某病毒利用RPCDCOM缓冲区溢出漏洞进行传播，病毒运行后，在%System%文件夹下生成自身的拷贝nvchip4、exe，添加注册表项，使得自身能够在系统启动时自动运行。

⼊侵检测技术考点第⼀章、⼊侵检测概述⼊侵检测定义：⼊侵是指在⾮授权得情况下，试图存取信息、处理信息或破坏以使系统不可靠、不可⽤的故意⾏为。

⼊侵检测的基本原理：主要分为四个阶段：1、数据收集：数据收集是⼊侵检测的基础，采⽤不同的⽅法进⾏分析。

2、数据处理：从原始数据中除去冗余、杂声，并且进⾏格式化以及标准化处理。

3、数据分析：检查数据是否正常，或者显⽰是否存在⼊侵。

4、响应处理：发现⼊侵，采取措施进⾏保护，保留⼊侵证据并且通知管理员。

1.4 ⼊侵检测的分类按照⼊侵检测技术：误⽤⼊侵检测，异常⼊侵检测和协议分析三种按照数据来源分类：基于主机的⼊侵检测系统、基于⽹络的⼊侵检测系统、混合式⼊侵检测系统、⽂件完整性检查式⼊侵检测系统1.5 常⽤的⼊侵检测⽅法： 1、误⽤⼊侵检测 2、异常检测第⼆章、常见的⼊侵⽅法和⼿段2.1 漏洞的⼏个⽅⾯：1、存储介质不安全2、数据的可访问性3、信息的聚⽣性4、保密的困难性5、介质的剩磁效应6、电磁的泄露性7、通信⽹络的脆弱性8、软件的漏洞2.2 信息系统⾯临的威胁：（简答题 6分 8个回答任意6个）1、计算机病毒2、⿊客⼊侵3、信号截取4、介质失密5、系统漏洞6、⾮法访问7、⼈为因素8、遥控设备2.3 攻击概述：攻击主要分为主动攻击和被动攻击（填空攻击类别 2分）攻击的⼀般流程：（填空 4分）1、隐藏⾃⼰2、踩点或与攻击探测3、采取攻击⾏为4、清楚痕迹主动攻击和被动攻击的区别：主动攻击：主动攻击会造成⽹络系统状态和服务的改编。

它以各种⽅式有选择的破坏信息的有效性和完整性，是纯粹的破坏⾏为。

这样的⽹络侵犯者被称为积极侵犯着。

积极侵犯着截取⽹上的信息包，并对其进⾏更改使他失效，或者股已添加⼀些有利于⾃⼰的信息，起到信息误导的作⽤，或者登陆进⼊系统使⽤并占⽤⼤量⽹络资源，造成资源的消耗，损害合法⽤户的利益。

积极侵犯者的破坏作⽤最⼤。

被动攻击：被动攻击不直接改编⽹络的状态和服务。