1、绘出Denning入侵检测系统模型图,并对这一模型图进行简要的文字说明。
答:
在如图所示的通用入侵检测模型中,事件生成器从给定的数据来源中,生成入侵检测事件,并分别送入到活动档案计算模块和规则库检测模块中。活动档案模块根据新生成的事件,自动更新系统行为的活动档案;规则库根据当前系统活动档案和当前事件的情况,发现异常活动情况,并可以按照一定的时间规则自动地删减规则库中的规则集合。
2、P2DR模型的内容有哪些?
答:具体而言,P2DR模型的内容包括如下。
⑴策略:P2DR模型的核心内容。具体实施过程中,策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。
⑵防护:具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。
⑶检测:在采取各种安全措施后,根据系统运行情况的变化,对系统安全状态进行实时的动态监控。
⑷响应:当发现了入侵活动或入侵结果后,需要系统作出及时的反应并采取措施,其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。
3、可用于入侵检测的的统计模型有哪些?
答:4种可以用于入侵检测的统计模型是:
(1)操作模型
(2)均值与标准偏差模型
(3)多元模型
(4)马尔可夫过程模型
4、PBEST系统包括哪些部份?各部份具体的内容是什么?
答:PBEST系统包括一个规则翻译器pbcc、一个运行时例程库和一组垃圾收集例程。规则翻译器接收一组规则(rule)和事实(fact)的定义后,生成一组C语言的例程,用来“断言”(assert)事实和处理规则。运行时例程库中包含了所有专家系统中的共享代码,并且包括支持交互式专家系统引擎的例程。这些交互式的环境将能够帮助用户查看程序的运行情况、设置和清除断点、删除和“断言”事实以及观察规则点火的影响轨迹等。
5、
