04751(确保能过)计算机网络安全复习大纲2945.docx

第1章绪绪论一、识记记1、计算算机网络络系统面面临的典典型安全全威胁答：窃听听、重传传、伪造造、篡改改、非授授权访问问、拒绝绝服务攻攻击、行行为否认认、旁路路控制、电电磁/射射频截获获、人员员疏忽。2、计算算机网络络安全的的定义答：计算算机网络络安全是是指利用用管理控控制和技技术措施施，保证证在一个个网络环环境里，信信息数据据的机密密性、完完整性及及可使用用性受到到保护。3、计算算机网络络安全的的目标答：保保密性；完整性性；可用性性；不可否否认性；可控性性。4、P22DR模模型的结结构答：PPPDR模模型是一一种常用用的网络络安全模模型，包包含四个个主要部部分：PPoliicy（安安全策略略）、PProttecttionn（防护护）、DDeteectiion（检检测）和和Ressponnse（响响应）。5、网络络安全的的主要技技术答：物物理安全全措施；数据传传输安全全技术；内外网网隔离技技术；入侵检检测技术术；访问控控制技术术；审计技技术；安全性性检测技技术；防病毒毒技术；备份技技术；(10)终端安安全技术术。二、领会会1、OSSI安全全体系结结构P.28答：OSSI安全全体系结结构不是是能实现现的标准准，而是是关于如如何设计计标准的的标准。（1）安安全服务务，OSSI安全全体系结结构中定定义了五五大类安安全服务务，也称称为安全全防护措措施。包包括了鉴别服服务；访问控控制服务务；数据机机密性服服务；数据完完整性服服务；抗抵赖赖性服务务。（2）安安全机制制，加密机机制、数字签签名机制制、访问控控制机制制、数据完完整性机机制、鉴别交交换机制制、通信业业务流填填充机制制、路由控控制和公公证机制制。2、计算算机网络络安全管管理的主主要内容容（计算算机网络络安全涉涉及的内内容）PP.266答：网网络安全全体系结结构；网络攻攻击手段段与防范范措施；网络安安全设计计；网络安安全标准准、安全全评测及及认证；网络安安全检测测技术；网络安安全设备备；网络安安全管理理，安全全审计；网络犯犯罪侦查查；网络安安全理论论与政策策；网络安安全教育育；网络安安全法律律。概括起来来，网络络安全包包括以下下三个重重要部分分：先进的的技术；严格的的管理；威严的的法律。3、网络络安全威威胁的发发展趋势势P.335答：（11）与IInteerneet更加加紧密地地结合，利利用一切切可以利利用的方方式进行行传播。（2）所所有的病病毒都具具有混合合型特征征，集文文件传染染、蠕虫虫、木马马和黑客客程序的的特点于于一身，破破坏性增增强。（3）扩扩散极快快，而更更加注重重欺骗性性。（4）利利用系统统漏洞将将成为病病毒有力力的传播播方式。（5）无无线网络络技术的的发展，使使远程网网络攻击击的可能能性加大大。（6）各各种境外外情报、谍谍报人员员将越来来越多地地通过信信息网络络渠道收收集情报报和窃取取资料。（7）各各种病毒毒、蠕虫虫和后门门技术越越来越智智能化，并并出现整整合趋势势，形成成混合性性威胁。（8）各各种攻击击技术的的隐秘性性增强，常常规防范范手段难难以识别别。（9）分分布式计计算机技技术用于于攻击的的趋势增增强，威威胁高强强度密码码的安全全性。（10）一一些政府府部门的的超级计计算机资资源将成成为攻击击者利用用的跳板板。（11）网网络管理理安全问问题日益益突出。4、网络络安全技技术的发发展趋势势（网络络安全主主要实用用技术的的发展）PP.355答：网络络安全技技术的发发展是多多维的、全全方位的的，主要要有以下下几种：物理隔隔离；逻辑隔隔离；防御网络络上的攻击击；防御网网络上的的病毒；身份认认证；加密通通信和虚虚拟专用用网；入侵检检测和主主动防卫卫；网管、审审计和取取证。三、应用用分析给定定网络可可能存在在的安全全威胁第2章物物理安全全一、识记记1、物理理安全包包含的主主要内容容P.441答：机机房环境境安全；通信线线路安全全；设备安安全；电源安安全。2、机房房安全要要求和措措施P.42答答：3、硬件件设备的的使用管管理P.50答：要要根据硬硬件设备备的具体体配置情情况，制制定切实实可行的的硬件设设备操作作使用规规程，并并严格按按操作规规程进行行操作；建立设设备使用用情况日日志，并并严格登登记使用用过程的的情况；建立硬硬件设备备故障情情况登记记表，详详细记录录故障性性质和修修复情况况；坚持对对设备进进行例行行维护和和保养，并并指定专专人负责责。4、电源源对用电电设备安安全的潜潜在威胁胁答：脉动动、噪声声、电磁干干扰。当当电源的的电磁干干扰比较较强时，产产生的电电磁场就就会影响响到硬盘盘等磁性性存储介介质，久久而久之之就会使使存储的的数据受受到损害害。二、领会会1、机房房安全等等级划分分标准PP.411答：A类类：对计计算机机机房的安安全有严严格的要要求，有有完善的的计算机机机房安安全措施施。B类：对对计算机机机房的的安全有有较严格格的要求求，有较较完善的的计算机机机房安安全措施施。C类：对对计算机机机房的的安全有有基本的的要求，有有基本的的计算机机机房安安全措施施。2、通信信线路安安全技术术P.449答： 3、电磁磁辐射的的防护措措施P.51防护措施施主要有有两类：对传导导发射的的防护；对辐射射的防护护，这类类防护措措施又可可以分为为两种：采用各各种电磁磁屏蔽措措施、干扰的的防护措措施。为提高高电子设设备的抗抗干扰能能力，除除在芯片片、部件件上提高高抗干扰扰能力外外，主要要的措施施有屏蔽蔽、隔离离、滤波波、吸波波及接地地等，其其中屏蔽蔽是应用用最多的的方法。4、机房房供电的的要求和和方式PP.533答：一类类供电：需建立立不间断断供电系系统。二类供电电：需建建立带备备用的供供电系统统。三类供电电：按一一般用户户供电考考虑。对机房安安全供电电的要求求P.553三、应用用根据所所需建设设的网络络系统要要求，分分析机房房安全、通通信线路路安全和和供电的的需求第3章信信息加密密与PKKI一、识记记1、明文文、密文文、密钥钥、加密密算法、解解密算法法等基本本概念PP61答：明文文（Pllainntexxt）是是作为加加密输入入的原始始信息，即即消息的的原始形形式，通通常用mm或p表表示。所所有可能能明文的的有限集集称为明明文空间间，通常常用M或或P来表表示。密文（CClippherrtexxt）是是明文经经加密变变换后的的结果，即即消息被被加密处处理后的的形式，通通常用cc表示。所有可能密文的有限集称为密文空间，通常用C表示。密钥（KKey）是是参与密密码变换换的参数数，通常常用k表表示。加密算法法（Enncryyptiion Alggoriithmm）是将将明文变变换为密密文的变变换函数数，相应应的变换换过程称称为加密密，即编编码的过过程，通通常用EE表示，即即c=EEk（pp）。解密算法法（Deecryyptiion Alggoriithmm）是将将密文恢恢复为明明文的变变换函数数，相应应的变换换过程称称为解密密，即解解码的过过程，通通常用DD表示，即即p=DDk（cc）。2、加密密体制的的分类PP.611633答：单单钥或对对称密码码体制。最有影响的是DES算法，另有国际数据加密算法IDEA。单钥密码算法的优点主要体现在其加密、解密处理速度快、保密度高等。双钥或或非对称称密码体体制。最最有名的的是RSSA密码码体制，另另有EllGammal算算法。双钥密码码的优点点是可以以公开加加密密钥钥，适应应网络的的开放性要求，且且仅需保保密解密密密钥，所所以密钥钥管理问问题比较较简单。缺缺点是双双钥密码码算法一一般比较较复杂，加加解密速速度慢。3、认证证技术的的分层模模型P.77答：认证证技术分分为三个个层次： 安全管理理协议。主主要任务务是在安安全体制制的支持持下，建建立、强强化和实实施整个个网络系系统的安安全策略略。典型型的安全全管理协协议有公公用管理理信息协协议（CCMIPP）、简简单网络络管理协协议（SSNMPP）和分分布式安安全管理理协议（DSSM）。认证体体制。在在安全管管理协议议的控制制和密码码体制的的支持下下，完成成各种认认证功能能。典型型的认证证体制有有Kerrberros体体制、XX.5009体制制和Liightt Krrypttoniightt体制。密码体体制。是是认证技技术的基基础，它它为认证证体制提提供数学学方法支支持。典典型的密密码体制制有DEES体制制、RSSA体制制。4、常用用的数据据加密方方式P.75答：链链路加密密；节点加加密；端到端端加密。5、认证证体制应应满足的条条件P.77答：意意定的接接收者能能够检验验和证实实消息的的合法性性、真实实性和完完整性。消息的发送者对所发的消息不能抵赖，有时也要求消息的接收者不能否认收到的消息。除了合法的消息发送者外，其他人不能伪造发送消息。6、PKKI(公钥基基础设施施)的基本本概念和和特点PP.833答：PKKI是一一个使用公钥钥密码算算法原理理和技术术来提供供安全服服务的通通用型基基础平台台，用户户可利用用PKII平台提提供的安安全服务务进行安安全通信信。特点点：（11）节省省费用（22）互操操作性（33）开放放性（44）一致致的解决决方案（55）可验验证性（66）可选选择性附：1、密码码学的发发展经历历了三个个阶段：古代加加密方法法、古典典密码、近代密码。2、身份份认证常常用的方方式主要要有两种种：通行行字（口口令）方方式和持持证方式式。P.79二、领会会1、单钥钥密码体体制与双双钥密码码体制的的区别PP.611答：单单钥密码码体制的的加密密密钥和解解密密钥钥相同，从从一个可可以推出出另外一一个；双双钥密码码体制的的加密密密钥与解解密密钥钥不同，从从一个难难以推出出另一个个。单钥密密码体制制基于代代替和换换位方法法；双钥钥密码算算法基于于数学问问题求解解的困难难性。单钥密密码体制制是对称称密码体体制；双双钥密码码体制是是非对称称密码体体制。2、DEES、IIDEAA、RSSA加密密算法的的基本原原理P665-773答：DEES即数数据加密密标准，于1977年由美国国家标准局公布，是IBM公司研制的一种对二元数据进行加密的分组密码，数据分组长度为64bit，密文分组长度也是64bit，没有数据扩展。密钥长度为64bit，其中有效密钥长度56bit，其余8bit为奇偶校验。DES的整个体制是公开的，系统的安全性主要依赖于密钥的保密，其算法主要由初始置换IP、16轮迭代的乘积变换、逆初始转换IP-1及16个子密钥产生器构成。P.66IDEAA即国际际数据加加密算法法。它是是根据中中国学者者朱学嘉嘉博士与与著名密密码学家家Jammes Massseyy于19990年年联合提提出的建建议，从从标准算算法PEES改进进而来的的。它的的明文与与密文块块都是664biit，密密钥长度度为1228biit，作作为单钥钥体制的的密码，其其加密与与解密过过程雷同同，只是是密钥存存在差异异。IDDEA无无论是采采用软件件还是硬硬件实现现都比较较容易，而而且加解解密的速速度很快快。P.69RSA体体制是由由R.LL.Riivesst和LL.Addlemman设设计的，使使用数论论构造双双钥的方方法，它它既可用用于加密密，也可可用于数数字签名名。RSSA算法法的安全全性建立立在数论论中“大数分分解和素素数检测测”的理论论基础上上。P.723、认证证技术及及其认证证的三个个目的PP.777答：认证证技术是是防止不不法分子子对信息息系统进进行主动动攻击的的一种重重要技术术，其目目的：一是消息息完整性性认证，即即验证信信息在传传送或存存储过程程中是否否被篡改改；二是身份份认证，即即验证消消息的收收发者是是否持有有正确的的身份认认证符，如如口令、密密钥等；三是消息息的序号号和操作作时间（时时间性）等等的认证证，其目目的是防防止消息息重放、延迟等等攻击。4、手写写签名与与数字签签名的区区别P.78答：一是是手写签签名是不不变的，而而数字签签名对不不同的消消息是不不同的；二是手写写签名是是易被模模拟的，而数字签名是在密钥控制下产生的，在没有密钥的情况下，模仿者几乎无法模仿出数字签名。5、数字字签名与与消息认认证的区区别P.82答：消息息认证可可以帮助助接收方方验证消消息发送送者的身身份及消消息是否否被篡改改。当收收发者之之间没有有利害冲冲突时，这这种方式式对于防防止第三三者破坏坏是有效效的，但但当存在在利害冲冲突时，单单纯采用用消息认认证技术术就无法法解决纠纠纷，这这时就需需要借助助于数字字签名技技术来辅辅助进行行更有效效的消息息认证。6、PKKI认证证技术的的组成PP.844答：公钥钥基础设设施，主主要包括括认证机机构CAA：CAA作为数数字证书书签发机机构，是是PKII的核心心，是PPKI应应用中权权威的、可可信任的的，公正正的第三三方机构构。证书库库：是CCA颁发发证书和和撤销证证书的集集中存放放地，是网网上的一一种公共共信息库库，供广广大用户户进行开开往式查查询。证书撤撤销。密钥备备份和恢恢复。自动更更新密钥钥。密钥历历史档案案。交叉认认证。不可否否认性。时间戳。客户端软件。三、应用用将给定的的明文按按照给定定的古典典或单钥钥密码算算法变换换成密文文P.664答：教材材中例子子P.664凯撒（CCaessar）密密码是对对英文226个字字母进行行移位代代替的密密码，其其q=226。这这种密码码之所以以称为凯凯撒密码码，是因因为凯撒撒使用过过K33(表示示密文为为该字母母后第33个字母母)的这这种密码码。使用用凯撒密密码，若若明文为为MCaasessar cippherr iss a shiift subbstiituttionn则密文为为CFddvhvvdu flsskhuu lvv d vklliw vxeevwllwxwwlrqq教材中课课后习题题P.999第44题：选择凯撒撒（Caaesaar）密密码系统统的密钥钥K66。若明明文为CCaessar，密密文是什什么。答答：密文文为Iggkyggx第4章防防火墙技技术一、识记记1、防火火墙的基基本概念念P.1103答：防火火墙是位位于被保保护网络络和外部部网络之之间执行行访问控控制策略略的一个个或一组组系统，包包括硬件件和软件件，它构构成一道道屏障，以以防止发发生对被被保护网网络的不不可预测测的、潜潜在破坏坏性的侵侵扰。2、防火火墙的体体系结构构类型PP.1006答：防火火墙的体体系结构构一般有有以下几几种：双重宿宿主主机机体系结结构；屏蔽主主机体系系结构；屏蔽子子网体系系结构。3、个人人防火墙墙的特点点P1336答：个人人防火墙墙的优点点： 增加了保保护级别别，不需需要额外外的硬件件资源。 个人防火火墙除了了可以抵抵挡外来来攻击的的同时，还还可以抵抵挡内部部的攻击击。 个人防火火墙是对对公共网网络中的的单个系系统提供供了保护护，能够够为用户户隐蔽暴暴露在网网络上的的信息，如如IP地地址之类类的信息息等。个人防火火墙的缺缺点： 个人防火火墙对公公共网络络只有一一个物理理接口，从而导致个人防火墙本身容易受到威胁。 个人防火火墙在运运行时需需要占用用个人计计算机的的内存、CCPU时时间等资资源。 个人防火火墙只能能对单机机提供保保护，不不能保护护网络系系统。4、防火火墙的发发展趋势势P1442答：优优良的性性能；可扩展展的结构构和功能能；简化的的安装与与管理；主动过过滤；防病毒毒与防黑黑客；发展联联动技术术。二、领会会1、防火火墙的主主要功能能P.1104答：（11）过滤滤进、出出网络的的数据（2）管管理进、出出网络的的访问行行为（3）封封堵某些些禁止的的业务（4）记记录通过过防火墙墙的信息息内容和和活动（5）对对网络攻攻击的检测和和告警2、防火火墙的局局限性PP.1005答：主要要体现在在以下几几个方面面（1）网网络的安安全性通通常是以以网络服服务的开开放性和和灵活性性为代价价。防火墙通通常会使使网络系系统的部部分功能能被削弱弱：由于防防火墙的的隔离作作用，在在保护内内部网络络的同时时使它与与外部网网络的信信息交流流受到阻阻碍；由于在在防火墙墙上附加加各种信信息服务务的代理理软件，增增大了网网络管理理开销，减减慢了信信息传输输速率；在大量量使用分分布式应应用的情情况下，使使用防火火墙是不不切实际际的。（2）防防火墙只只是整个个网络安安全防护护体系的的一部分分，而且且防火墙墙并非万万无一失失。只能防防范经过过其本身身的非法法访问和和攻击，对对绕过防防火墙的的访问和和攻击无无能为力力；不能解解决来自自内部网网络的攻攻击和安安全问题题；不能防止止受病毒毒感染的的文件的的传输；不能防止止策略配配置不当当或错误误配置引引起的安安全威胁胁；不能防止止自然或或人为的的故意破破坏；不能防防止本身身安全漏漏洞的威威胁。3、各类类防火墙墙的特点点4、数据据包过滤滤技术的的工作原原理P.1100答：数据据包过滤滤技术是是在网络络层对数数据包进进行选择择，选择择的依据据是系统统内设置置的过滤滤逻辑，被被称为访访问控制制列表。通通过检查查数据流流中每个个数据包包的源地地址、目目的地址址、所用用的端口口号和协协议状态态等因素素或它们们的组合合，来确确定是否否允许该该数据包包通过。包过滤防火墙工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。它的优点是（1）效率比较高，对用户来说是透明的、（2）逻辑简单，价格便宜，易于安装和使用、（3）网络性能和透明性好，通常安装在路由器上。缺点是（1）对于大多数服务和协议不能提供安全保障，无法有效地区分同一IP地址的不同用户，并且包过滤防火墙难于配置、监控和管理，不能提供足够的日志和报警；（2）非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；（3）数据包的源地址、目的地址及IP的端口号都在数据包的头部，很有可能被窃听或假冒。5、代理理服务技技术的工工作原理理P.1116答：代理理服务器器（Prroxyy）技术术是一种种较新型型的防火火墙技术术，它分分为应用用层网关关和电路路层网关关。所谓谓代理服服务器，是是指代表表客户处处理连接接请求的的程序。当当代理服服务器得得到一个个客户的的连接意意图时，它它将核实实客户请请求，并并用特定定的安全全化的PProxxy应用用程序来来处理连连接请求求，将处处理后的的请求传传递到真真实的服服务器上上，然后后接受服服务器应应答，并并进一步步处理后后，将答答复交给给发出请请求的最最终客户户。【代理服服务器在在外部网网络向内内部网络络申请服服务时发发挥了中中间转接接和隔离离内、外外部网络络的作用用，所以以又叫代代理防火火墙。代代理防火火墙工作作于应用用层，且且针对特特定的应应用层协协议。代代理防火火墙通过过编程来来弄清用用户应用用层的流流量，并并能在用用户层和和应用协协议层间间提供访访问控制制；而且且，还可可用来保保持一个个所有应应用程序序使用的的记录。记记录和控控制所有有进出流流量的能能力是应应用层网网关的主主要优点点之一。代代理服务务器（PProxxy SServver）作作为内部部网络客客户端的的服务器器，拦截截住所有有请求，也也向客户户端转发发响应。代代理客户户机（PProxxy CClieent）负负责代表表内部客客户端向向外部服服务器发发出请求求，当然然也向代代理服务务器转发发响应。】6、状态态检测技技术的工工作原理理P.1119答：基于于状态检检测技术术的防火火墙是由由Cheeck Poiint软软件技术术有限公公司率先先提出的的，也称称为动态态包过滤滤防火墙墙。基于于状态检检测技术术的防火火墙通过过一个在在网关处处执行网网络安全全策略的的检测引引擎而获获得非常常好的安安全特性性。（11）检测测引擎在在不影响响网络正正常运行行的前提提下，采采用抽取取有关数数据的方方法对网网络通信信的各层层实施检检测，它它将抽取取的状态态信息动动态地保保存起来来作为以以后执行行安全策策略的参参考。检检测引擎擎维护一一个动态态的状态态信息表表并对后后续的数数据包进进行检查查，一旦旦发现某某个连接接的参数数有意外外变化，则则立即将将其终止止。（22）状态态检测防防火墙监监视和跟跟踪每一一个有效效连接的的状态，并并根据这这些信息息决定是是否允许许网络数数据包通通过防火火墙。它它在协议议栈底层层截取数数据包，然然后分析析这些数数据包的的当前状状态，并并将其与与前一时时刻相应应的状态态信息进进行对比比，从而而得到对对该数据据包的控控制信息息。【检测引引擎支持持多种协协议和应应用程序序，并可可以方便便地实现现应用和和服务的的扩充。当当用户访访问请求求到达网网关操作作系统前前，检测测引擎通通过状态态监视器器要收集集有关状状态信息息，结合合网络配配置和安安全规则则做出接接纳、拒拒绝、身身份认证证及报警警等处理理动作。一一旦有某某个访问问违反了了安全规规则，该该访问就就会被拒拒绝，记记录并报报告有关关状态信信息。】7、NAAT技术术的工作作原理PP.1221答：网络地地址转换换（NAAT），是一一个Innterrnett工程任任务组（IIETFF）的标标准，允允许一个个整体机机构以一一个公用用IP地地址出现现在互联联网上，是一种把内部私有IP地址翻译成合法网络IP地址的技术。NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用。附：从工工作原理理角度看看，防火火墙主要要可以分分为网络络层防火火墙和应应用层防防火墙。这这两类防防火墙的的具体实实现技术术主要有有包过滤滤技术、代代理服务务技术、状状态检测测技术和和NATT技术等等。NAT技技术的类类型分类类：（11）静态态NATT（2）动动态NAAT（33）网络络地址端端口转换换NAPPT。【NATT可以使使多台计计算机共共享互联联网连接接，这一一功能很很好地解解决了公公共IPP地址紧紧缺的问问题。通通过这种种方法，可可以只申申请一个个合法IIP地址址，就把把整个局局域网中中的计算算机接入入互联网网中。这这时，NNAT屏屏蔽了内内部网络络，所有有内部网网络计算算机对于于公共网网络来说说是不可可见的，而而内部网网络计算算机用户户通常不不会意识识到NAAT的存存在。NNAT功功能通常常被集成成到路由由器、防防火墙、IISDNN路由器器或者单单独的NNAT设设备中。】8、个人人防火墙墙的主要要功能PP.1335答：IIP数据据包过滤滤功能；安全规规划的修修订功能能；对特定定网络攻攻击数据据包的拦拦截功能能；应用程程序网络络访问控控制功能能；网络快快速切断断/恢复复功能；日志记记录功能能；网络攻攻击的报报警功能能；产品自自身安全全功能三、应用用防火墙的的典型应应用P.1288第5章入入侵检测测技术一、识记记1、入侵侵检测的的原理PP.1448答：入侵侵检测是是用于检检测任何何损害或或者企图图损害系系统的保保密性、完完整性或或可用性性的一种种网络安安全技术术。它通通过监视视受保护护系统的的状态和和活动，采采用误用用检测或或异常检检测的方方式，发发现非授授权或恶恶意的系系统及网网络行为为，为防防范入侵侵行为提提供有效效的手段段。所谓谓入侵检检测系统统，就是是执行入入侵检测测任务的的硬件或或软件产产品。【入侵检检测提供供了用于于发现入入侵攻击击与合法法用户滥滥用特权权的一种种方法，其其应用前前提是：入侵行行为和合合法行为为是可区区分的，也也即可以以通过提提取行为为的模式式特征来来判断该该行为的的性质。入入侵检测测系统需需要解决决两个问问题：一一是如何何充分并并可靠地地提取描描述行为为特征的的数据，二二是如何何根据特特征数据据，高效效并准确确地判定定行为的的性质。】2、入侵侵检测的的系统结结构组成成P.1149答：根据据任务属属性的不不同，入入侵检测测系统的的功能结结构可分分为两个个部分：中心检检测平台台和代理理服务器器。3、入侵侵检测系系统的分分类P.1499答：（11）基于于数据源源的分类类：基于于主机、基基于网络络、混合合入侵检检测、基基于网关关的入侵侵检测系系统及文文件完整整性检查查系统。（22）基于于检测理理论的分分类：异异常检测测和误用用检测。（33）基于于检测时时效的分分类：在在线检测测和离线线检测。4、分布布式入侵侵检测的的优势和和技术难难点P.1633答：优势势：检测大大范围的的攻击行行为；提高检检测的准准确度；提高检检测效率率；协调响响应措施施。难点：事件产产生及存存储；状态空空间管理理及规则则复杂度度；知识库库管理；推理技技术。5、入侵侵检测系系统的主主要标准准的名称称P1666答：IIETFF/IDDWG。IIDWGG提出了了三项建建议草案案：入侵侵检测消消息交换换格式（IIDMEEF）、入入侵检测测交换协协议（IIDXPP）及隧隧道轮廓廓（Tuunneel PProffilee）；CIDDF。CCIDFF的工作作集中体体现在四四个方面面：IDDS的体体系结构构、通信信机制、描描述语言言和应用用编程接接口APPI。二、领会会1、入侵侵检测系系统的分分析模型型P.1152答：分析析是入侵侵检测的的核心功功能。入入侵检测测分析处处理过程程可分为为三个阶阶段：第一阶段段，主要进进行分析析引擎的的构造，分分析引擎擎是执行行预处理理、分类类和后处处理的核核心功能能；第二阶段段，入侵侵分析主主要进行行现场实实际事件件流的分分析，在在这个阶阶段分析析器通过过分析现现场的实实际数据据，识别别出入侵侵及其他他重要的的活动；第三阶段段，与反反馈和提提炼过程程相联系系的功能能是分析析引擎的的维护及及其他如如规划集集提炼等等功能。【误用检检测在这这个阶段段的活动动主要体体现在基基于新攻攻击信息息对特征征数据库库进行更更新，与与此同时时，一些些误用检检测引擎擎还对系系统进行行优化工工作，如如定期删删除无用用记录等等。对于于异常检检测，历历史统计计特征轮轮廓的定定时更新新是反馈馈和提炼炼阶段的的主要工工作。】2、误用用检测和和异常检检测的基基本原理理P.115315663、CIIDF体体系结构构组成PP.1669图55-155答：CIIDF指指公共入入侵检测测框架。CCIDFF在IDDES和和NIDDES的的基础上上提出了了一个通通用模型型，将入入侵检测测系统分分为四个个基本组组件，事事件产生生器、事事件分析析器、响响应单元元和事件件数据库库。在该该模型中中，事件件产生器器、事件件分析器器和响应应单元通通常以应应用程序序的形式式出现，而而事件数数据库则则是以文文件或数数据流的的形式。CCIDFF将IDDS需要要分析的的数据统统称为事事件，它它可以是是网络中中的数据据包，也也可以是是从系统统日志或或其他途途径得到到的信息息。以上上四个组组件只是是逻辑实实体，一一个组件件可能是是某台计计算机上上的一个个进程甚甚至线程程，也可可能是多多个计算算机上的的多个进进程，它它们以GGIDOO（统一一入侵检检测对象象）格式式进行数数据交换换。第6章网网络安全全检测技技术一、识记记1、安全全威胁的的概念PP.1881答：安全全威胁是是指所有有能够对对计算机机网络信信息系统统的网络络服务和和网络信信息的机机密性、可可用性和和完整性性产生阻阻碍、破破坏或中中断的各各种因素素。2、安全全漏洞的的概念PP.1882答：安全全漏洞是是在硬件件、软件件和协议议的具体体实现或或系统安安全策略略上存在在的缺陷陷，从而而可以使使攻击者者能够在在未授权权的情况况下访问问或破坏坏系统。3、端口口扫描的的基本原原理P.1844答：端端口扫描描的原理理是向目目标主机机的TCCP/IIP端口口发送探探测数据据包，并并记录目目标主机机的响应应。通过过分析响响应来判判断端口口是打开开还是关关闭等状状态信息息。根据据所使用用通信协协议的不不同，网网络通信信端口可可以分为为TCPP端口和和UDPP端口两两大类，因因此端口口扫描技技术也可可以相应应地分为为TCPP端口扫扫描技术术和UDDP端口口扫描技技术。二、领会会1、网络络安全漏漏洞威胁胁等级的的划分方方法P.18112、网络络安全漏漏洞的分分类方法法P.1182答：漏洞洞的分类类方法主主要有按漏洞洞可能对对系统造造成的直直接威胁胁分类；按漏洞洞的成因因分类两两大类。3、操作作系统类类型探测测的主要要方法PP.1885答：由于于操作系系统的漏漏洞信息息总是与与操作系系统的类类型和版版本相联联系的，因因此操作作系统类类型信息息是网络络安全检检测的一一个重要要内容。操操作系统统探测技技术主要要包括：获取标标识信息息探测技技术；基于TTCP/IP协协议栈的的操作系系统指纹纹探测技技术；ICMMP响应应分析探探测技术术。4、信息息型漏洞洞探测和和攻击型型漏洞探探测技术术的原理理P.1186答答：（11）信息息型漏洞洞探测原原理：大大部分的的网络安安全漏洞洞都与特特定的目目标状态态直接相相关，因因此只要要对目标标的此类类信息进进行准确确探测就就可以在在很大程程度上确确定目标标存在的的安全漏漏洞。【该技术术具有实实现方便便、对目目标不产产生破坏坏性影响响的特点点，广泛泛应用于于各类网网络安全全漏洞扫扫描软件件中。其其不足之之处是对对于具体体某个漏漏洞存在在与否，难难以做出出确定性性的结论论。这主主要是因因为该技技术在本本质上是是一种间间接探测测技术，探探测过程程中某些些不确定定因素的的影响无无法完全全消除。】为提高漏漏洞探测测的准确确率和效效率，引引进如下下两种改改进措施施：顺序扫描描技术【可以将将收集到到的漏洞洞和信息息用于另另一个扫扫描过程程以进行行更深层层次的扫扫描即以并并行方式式收集漏漏洞信息息，然后后在多个个组件之之间共享享这些信信息。】多重服务务检测技技术【即不按按照RFFC所指指定的端端口号来来区分目目标主机机所运行行的服务务，而是是按照服服务本身身的真实实响应来来识别服服务类型型。】（2）攻攻击型漏漏洞探测测原理：模拟攻攻击是最最直接的的漏洞探探测技术术，其探探测结果果的准确确率也是是最高的的。该探探测技术术的主要要思想是是模拟网网络入侵侵的一般般过程，对对目标系系统进行行无恶意意攻击尝尝试，若若攻击成成功则表表明相应应安全漏漏洞必然然存在。】【模拟攻攻击技术术也有其其局限性性，首先先，模拟拟攻击行行为难以以做到面面面俱到到，因此此就有可可能存在在一些漏漏洞无法法探测到到；其次次，模拟拟攻击过过程不可可能做到到完全没没有破坏坏性，对对目标系系统不可可避免地地会带来来一定的的负面影影响。模模拟攻击击主要通通过专用用攻击脚脚本语言言、通用用程序设设计语言言和成形形的攻击击工具来来进行。】附：按照照网络安安全漏洞洞的可利利用方式式来划分分，漏洞洞探测技技术可以以分为信信息型漏漏洞探测测和攻击击型漏洞洞探测。PP.1886按照漏洞洞探测的的技术特特征，又又可以划划分为基基于应用用的探测测技术、基基于主机机的探测测技术、基基于目标标的探测测技术和和基于网网络的探探测技术术等P.1866第7章计计算机病病毒与恶恶意代码码一、识记记1、计算算机病毒毒的定义义P.1199答：计算算机病毒毒是指编编制或者者在计算算机程序序中插入入的破坏坏计算机机功能或或者毁坏坏数据，影影响计算算机使用用，并能能自我复复制的一一组计算算机指令令或者程程序代码码。2、计算算机病毒毒的主要要危害PP.2002答：直直接破坏坏计算机机数据信信息；占用磁磁盘空间间和对信信息的破破坏；抢占系系统资源源；影响计计算机运运行速度度；计算机机病毒错错误与不不可预见见的危害害；计算机机病毒的的兼容性性对系统统运行的的影响；给用户户造成严严重的心心理压力力。3、计算算机病毒毒的防范范手段PP.2116答：特特征代码码法；检验和和法；行为监监测法；软件模模拟法。4、恶意意代码的的特征与与分类PP.2222答：特征征：恶意的的目的；本身是是程序；通过执执行发生生作用。分类：木马、网络蠕虫、移动代码、复合型病毒。5、恶意意代码的的防范措措施P.2288答：及及时更新新系统，修修补安全全漏洞；设置安安全策略略，限制制脚本程程序的运运行；启用防防火墙，过过滤不必必要的服服务和系系统信息息；养成良良好的上上网习惯惯。二、领会会1、计算算机病毒毒的特征征P.2201答：根据据计算机机病毒的的产生、传传染和破破坏行为为的分析析，计算算机病毒毒一般具具有以下下特征：非授权权可执行行性；隐蔽性性；传染性性；潜伏性性；表现性性或破坏坏性；可触发发性。2、计算算机病毒毒的分类类P.2208答：（11）按照照病毒攻攻击的系系统分类类：攻击DDOS系系统的病病毒；攻击WWinddowss系统的的病毒；攻击UUNIXX系统的的病毒；攻击OOS/22系统的的病毒。（2）按按照病毒毒的攻击击机型分分类：攻击微微型计算算机的病病毒；攻击小小型机的的计算机机病毒；攻击工工作站的的计算机机病毒。（3）按按照病毒毒的链接接方式分分类：源码型型病毒；嵌入型型病毒；外壳型型病毒；操作系系统型病病毒。（4）按按照病毒毒的破坏坏情况分分类：良性计计算机病病毒；恶性计计算机病病毒。（5）按按照病毒毒的寄生生方式分分类：引导型型病毒；文件型型病毒；复合型型病毒。（6）按按照病毒毒的传播播媒介分分类：单机病病毒；网络病病毒。3、常用用计算机机病毒检检测手段段的基本本原理PP.2116答：（11）特征征代码法法。实现现步骤：采集已已知病毒毒样本；在病毒毒样本中中，抽取取特征代代码。打开被被检测文文件，在在文件中中搜索，检检查文件件中是否否有病毒毒数据库库中的病病毒特征征代码。特特征代码码法的特特点：速度慢慢；误报警警率低；不能检检查多形形性病毒毒；不能对对付隐蔽蔽性病毒毒。（2）检检验和法法。将正正常文件件的内容容，计算算其校验验和，将将该检验验和写入入文件中中或写入入别的文文件中保保存。在在文件使使用过程程中，定定期地或或每次使使用前，检检查文件件现在内内容