自考计算机网络安全大纲.doc

《自考计算机网络安全大纲.doc》由会员分享，可在线阅读，更多相关《自考计算机网络安全大纲.doc（18页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络安全考试大纲及试题分析2009年04月考试分析试卷共四大题。第一大题单选题，15道，30分，基本上都很简单，我整理的资料里基本都有。102=20第二大题填空题，10道，20分，95%的题目估计也在我整理的资料里。72=14第三大题简答题，6道，30分，我记得有一道题我没见过，就是说我整理的资料里没有，就是半连接端口扫描技术的原理和工作过程。其余的基本都有，其中还有一道填图题，是148页的入侵检测系统的结构。5+43+0=17第四大题综合题，2道，20分，第1题感觉是比较简单的，类似于244页的图，让填设备名称和连线；最后一道是知道明文，求密文的题，我不会做，考完后就在网上向别人求教，

2、至今还没有结果。最后一题：已明文为computer，可用0-25表示a-z，E（m）=m3+2 mod 26，求密文。10+0=10 所以感觉这科还算是简单的，记住整理的这些资料只需要一周的时间，应该是很好过的61。 第1章 绪论一、识记1、计算机网络系统面临的典型安全威胁答：窃听、重传、伪造、篡改、非授权访问、拒绝服务攻击、行为否认、旁路控制、电磁/射频截获、人员疏忽。2、计算机网络的不安全主要因素答：偶发因素：如电源故障、设备的功能失常及软件开发过程中留下的漏洞或逻辑错误等。自然灾害：各种自然灾害对计算机系统构成严重的威胁。人为因素：人为因素对计算机网络的破坏也称为人对计算机网络的攻击。可

3、分为几个方面：被动攻击主动攻击邻近攻击内部人员攻击分发攻击3、计算机网络安全的定义答：计算机网络安全是指利用管理控制和技术措施，保证在一个网络环境里，信息数据的机密性、完整性及可使用性受到保护。4、计算机网络安全的目标答：保密性；完整性；可用性；不可否认性；可控性。5、PPDR模型答：PPDR模型是一种常用的网络安全模型，包含四个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response（响应）。6、网络安全的主要技术答：物理安全措施；数据传输安全技术；内外网隔离技术；入侵检测技术；访问控制技术；审计技术；安全性检测技术；防病毒技术；备份技术

4、；终端安全技术。二、领会1、OSI安全体系结构P.28答：（1）安全服务。OSI安全体系结构中定义了五大类安全服务，也称为安全防护措施。鉴别服务；访问控制服务；数据机密性服务；数据完整性服务；抗抵赖性服务。（2）安全机制。其基本的安全机制有八种：加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制。2、计算机网络安全管理的主要内容P.26答：计算机网络安全管理的主要内容有以下两方面：网络安全管理的法律法规。网络（信息）安全标准是信息安全保障体系的重要组成部分，是政府进行宏观管理的重要依据。信息安全标准关系到国家安全，是保护国家利益的重要手段

5、，有利于保证产品的可信性，实现产品互联和互操作性，支持系统安全的测试和评估，保障计算机网络系统的安全可靠。计算机网络安全评价标准。计算机网络安全评价标准是一种技术性法规，在信息安全这个特殊领域，没有这种标准，会带来相关立法、执法的偏颇，造成严重后果，因此各国都在积极制定本国的认证标准。概括起来，网络安全包括以下三个重要部分：先进的技术；严格的管理；威严的法律。3、网络安全威胁的发展趋势P.35答：（1）与Internet更加紧密地结合，利用一切可以利用的方式进行传播。（2）所有的病毒都具有混合型特征，集文件传染、蠕虫、木马和黑客程序的特点于一身，破坏性大大增强。（3）其扩散极快，而更加注重欺骗

6、性。（4）利用系统漏洞将成为病毒有力的传播方式。（5）无线网络技术的发展，使远程网络攻击的可能性加大。（6）各种境外情报、谍报人员将越来越多地通过信息网络渠道收集情报和窃取资料。（7）各种病毒、蠕虫和后门技术越来越智能化，并出现整合趋势，形成混合性威胁。（8）各种攻击技术的隐秘性增强，常规防范手段难以识别。（9）分布式计算机技术用于攻击的趋势增强，威胁高强度密码的安全性。（10）一些政府部门的超级计算机资源将成为攻击者利用的跳板。（11）网络管理安全问题日益突出。4、网络安全技术的发展趋势（网络安全主要实用技术的发展）P.35答：网络安全技术的发展是多维的、全方位的，主要有以下几种：物理隔离；

7、逻辑隔离；防御来自网络的攻击；防御网络上的病毒；身份认证；加密通信和虚拟专用网；入侵检测和主动防卫；网管、审计和取证。三、应用分析给定网络可能存在的安全威胁（见“2010.7题33”）第2章 物理安全一、识记1、物理安全的地位及包含的主要内容P.41答：物理安全是整个计算机网络系统安全的前提，在整个网络信息系统安全中占有重要地位，包括：机房环境安全；通信线路安全；设备安全；电源安全。2、机房安全要求和措施P.42答：机房的场地，选址避免靠近公共区域，避免窗户直接邻街，机房布局应使工作区在内，生活辅助区在外；机房不要在底层或顶层。措施：保证所有进出计算机机房的人都必须在管理人员的监控之下，外来人

8、员进入机房，要办理相关手续，并检查随身物品。机房的三度要求（温度（18-22度）、湿度（40%-60%为宜）、洁净度（要求机房尘埃颗粒直径小于0.5m）为使机房内的三度达到规定的要求，空调系统、去湿机和除尘器是必不可少的设备。3、硬件设备的使用管理P.50答：要根据硬件设备的具体配置情况，制定切实可行的硬件设备的操作使用规程，并严格按操作规程进行操作；建立设备使用情况日志，并严格登记使用过程的情况；建立硬件设备故障情况登记表，详细记录故障性质和修复情况；坚持对设备进行例行维护和保养，并指定专人负责。4、电源对用电设备安全的潜在威胁答：脉动、噪声与电磁干扰。当电源的电磁干扰比较强时，产生的电磁场

9、就会影响到硬盘等磁性存储介质，久而久之就会使存储的数据受到损害。二、领会1、机房安全等级划分标准P.41答：机房的安全等级分为A类、B类和C类三个基本类别。A类：对计算机机房的安全有严格的要求，有完善的计算机机房安全措施。B类：对计算机机房的安全有较严格的要求，有较完善的计算机机房安全措施。C类：对计算机机房的安全有基本的要求，有基本的计算机机房安全措施。2、通信线路安全技术P.49答：电缆加压技术对光纤等通信线路的防窃听技术（距离大于最大长度限制的系统之间，不采用光纤线通信；加强复制器的安全，如用加压电缆、警报系统和加强警卫等措施）3、电磁辐射的防护措施P.51防护措施主要有两类：一类是对传

10、导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；另一类是对辐射的防护，这类防护措施又可以分为两种：一种是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；第二种是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。为提高电子设备的抗干扰能力，除在芯片、部件上提高抗干扰能力外，主要的措施有屏蔽、隔离、滤波、吸波及接地等，其中屏蔽是应用最多的方法。4、机房供电的要求和方式P.53答：对机房安全供电的方式分为三

11、类：一类供电：需建立不间断（UPS）供电系统。二类供电：需建立带备用的供电系统。三类供电：按一般用户供电考虑。对机房安全供电的要求P.53三、应用根据所需建设的网络系统要求，分析机房安全、通信线路安全和供电的需求第3章 信息加密与PKI一、识记1、明文、密文、密钥、加密算法、解密算法等基本概念答：明文（Plaintext）是作为加密输入的原始信息，即消息的原始形式，通常用m或p表示。密文（Cliphertext）是明文经加密变换后的结果，即消息被加密处理后的形式，通常用c表示。密钥（Key）是参与密码变换的参数，通常用k表示。加密算法（Encryption Algorithm）是将明文变换为密

12、文的函数，相应的过程称为加密，即编码的过程，通常用E表示，即c=Ek（P）。解密算法（Decryption Algorithm）是将密文恢复为明文的函数，相应的过程称为解密，即解码的过程，通常用D表示，即p=Dk（c）。2、加密体制的分类P.6163答：密码体制从原理上可分为两大类：单钥或对称密码体制。最有影响的是DES算法，另有国际数据加密算法IDEA。单钥密码算法的优点主要体现在其加密、解密处理速度快、保密度高等。缺点是：1）密钥分发过程十分复杂，所花代价高；2）多人通信时密钥组合的数量会出现爆炸性膨胀，使分发更加复杂化；3）通信双方必须协商统一密钥，才能发送保密的信息；4）数字签名困难。

13、双钥或非对称密码体制。最有名的是RSA密码体制，另有ElGamal算法。双钥密码的优点是加密和解密不同，可以公开加密密钥，适应网络的开放性要求，且仅需保密解密密钥，所以密钥管理比较简单，此外，还拥有数字签名等新功能。缺点是双钥密码算法一般比较复杂，加解密速度慢。双钥密码体制的产生主要基于两个原因：一是为了解决常规密钥密码体制的密钥管理与分配的问题；二是为了满足对数字签名的需求。在双钥密码体制中，公开密钥是可以公开的信息，而私有密钥是需要保密的。3、认证技术的分层模型P.77答：认证技术分为三个层次：安全管理协议。主要任务是在安全体制的支持下，建立、强化和实施整个网络系统的安全策略。典型的安全管

14、理协议有公用管理信息协议（CMIP）、简单网络管理协议（SNMP）和分布式安全管理协议（DSM）。认证体制。在安全管理协议的控制和密码体制的支持下，完成各种认证功能。典型的认证体制有Kerberos体制、X.509体制和Light Kryptonight体制。密码体制。是认证技术的基础，它为认证体制提供数学方法支持。典型的密码体制有DES体制、RSA体制。4、常用的数据加密方式P.75答：链路加密；节点加密；端到端加密。5、认证体制应满足的条件P.77答：一个安全的认证体制应该至少满足以下要求意定的接收者能够检验和证实消息的合法性、真实性和完整性。消息的发送者对所发的消息不能抵赖，有时也要求消

15、息的接收者不能否认收到的消息。除了合法的消息发送者外，其他人不能伪造发送消息。6、PKI的基本概念和特点P.83答：PKI是一个用公钥密码算法原理和技术来提供安全服务的通用型基础平台，用户可利用PKI平台提供的安全服务进行安全通信。特点：节省费用、互操作性、开放性、一致的解决方案、可验证性、可选择性。附：1、密码学的发展经历了三个阶段：古代加密方法、古典密码和近代密码。2、加密算法共经历了古典密码、对称密钥密码（单钥密码体制）和公开密钥密码（双钥密码体制）三个发展阶段。3、身份认证常用的方式主要有两种：通行字（口令）方式和持证方式。P.794、PGP和GnuPG是两个常用的公钥加密软件，PGP

16、软件由于采用了专利算法受到美国政府的软件出口限制，GnuPG作为PGP的代替软件，属于开源免费软件，可以自由使用。5、加密技术在其它领域也经常发挥作用，如电子商务和VPN。二、领会1、单钥密码体制与双钥密码体制的区别P.61答：单钥密码体制的加密密钥和解密密钥相同，从一个可以推出另外一个；双钥密码体制的原理是加密密钥与解密密钥不同，从一个难以推出另一个。单钥密码体制基于代替和换位方法；双钥密码算法基于数学问题求解的困难性。单钥密码体制是对称密码体制；双钥密码体制是非对称密码体制。2、DES、IDEA、RSA加密算法的基本原理答：DES即数据加密标准（Date Encryption Standa

17、rd）于1977年由美国国家标准局公布，是IBM公司研制的一种对二元数据进行加密的分组密码，数据分组长度为64bit，密文分组长度也是64bit，没有数据扩展。密钥长度为64bit，其中有效密钥长度56bit，其余8bit为奇偶校验。DES的整个体制是公开的，系统的安全性主要依赖于密钥的保密，其算法主要由初始置换IP、16轮迭代的乘积变换、逆初始转换IP-1及16个子密钥产生器构成。P.66说明DES加密算法的执行过程：IDEA是International Data Encryption Algorithm的缩写，即国际数据加密算法。它是根据中国学者朱学嘉博士与著名密码学家James Mass

18、ey于1990年联合提出的建议标准算法PES改进而来的。它的明文与密文块都是64bit，密钥长度为128bit，作为单钥体制的密码，其加密与解密过程雷同，只是密钥存在差异，IDEA无论是采用软件还是硬件实现都比较容易，而且加解密的速度很快。P.69RSA体制是由R.L.Rivest和L.Adleman设计的用数论构造双钥的方法，它既可用于加密，也可用于数字签名。RSA算法的安全性建立在数论中“大数分解和素数检测”的理论基础上。P.723、认证的三个目的P.77答：认证技术是防止不法分子对信息系统进行主动攻击的一种重要技术，其目的：一是消息完整性认证，即验证信息在传送或存储过程中是否被篡改；二是

19、身份认证，即验证消息的收发者是否持有正确的身份认证符，如口令、密钥等；三是消息的序号和操作时间（时间性）认证，其目的是防止消息重放或延迟等攻击。4、手写签名与数字签名的区别P.78答：一是手写签名是不变的，而数字签名对不同的消息是不同的，即手写签名因人而异，数字签名因消息而异；二是手写签名是易被模拟的，无论哪种文字的手写签名，伪造者都容易模仿，而数字签名是在密钥控制下产生的，在没有密钥的情况下，模仿者几乎无法模仿出数字签名。5、数字签名与消息认证的区别P.82答：数字签名与消息认证的区别是：消息认证可以帮助接收方验证消息发送者的身份及消息是否被篡改。当收发者之间没有利害冲突时，这种方式对于防止

20、第三者破坏是有效的，但当存在利害冲突时，单纯采用消息认证技术就无法解决纠纷，这时就需要借助于数字签名技术来辅助进行更有效的消息认证。6、PKI认证技术的组成P.84答：公钥基础设施（Public Key Infrastructure，PKI），主要包括CA认证机构。CA作为数字证书签发机构，是PKI的核心，是PKI应用中权威的、可信任的，公正的第三方机构。证书库。是CA颁发证书和撤销证书的集中存放在，是网上的一种公共信息库，供广大用户进行开往式查询。证书撤销。密钥备份和恢复。自动更新密钥。密钥历史档案。交叉认证。不可否认性。时间戳。客户端软件。三、应用将给定的明文按照给定的古典或单钥密码算法变

21、换成密文（例子P.64）凯撒（Caesar）密码是对英文26个字母进行移位代替的密码，其q=26。这种密码之所以称为凯撒密码，是因为凯撒使用过K3（表示密文为该字母后第3个字母）的这种密码。使用凯撒密码，若明文为MCasesar cipher is a shift substitution则密文为CFdvhvdu flskhu lv d vkliw vxevwlwxwlrq教材课后习题P.99题4：选择凯撒（Caesar）密码系统密钥K6。若明文为Caesar，密文是什么？答：密文为IgkygxRSA密钥生成体制（见“RSA密钥生成体制.jpg”）+P72 例子+P99题6二进制明文8位分组异

22、或算法、数据移位（见“2010.4题33”）在本章RSA例子的基础上，试给出m=student的加解密过程。RSA签名方法与RSA加密方法对密钥的使用有什么不同？第4章 防火墙技术一、 识记1、防火墙的基本概念P.103答：防火墙是位于被保护网络（内网）和外部网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，它构成一道屏障，以防止发生对被保护网络的不可预测的、潜在破坏性的侵扰，达到保护内部网络系统安全的目的。2、防火墙的体系结构类型P.106图答：防火墙的体系结构一般有以下几种：双重宿主主机体系结构；屏蔽主机体系结构；屏蔽子网体系结构。3、个人防火墙的特点答：个人防火墙的优点：增加了保

23、护级别，不需要额外的硬件资源。个人防火墙除了可以抵挡外来攻击的同时，还可以抵挡内部的攻击。个人防火墙是对公共网络中的单个系统提供了保护，能够为用户隐蔽暴露在网络上的信息，如IP地址之类的信息等。个人防火墙的缺点：个人防火墙对公共网络只有一个物理接口，导致个人防火墙本身容易受到威胁。个人防火墙在运行时需要占用个人计算机的内存、CPU时间等资源。个人防火墙只能对单机提供保护，不能保护网络系统。4、防火墙的发展趋势+防火墙的缺陷（不足）“笔记P30-31”答：优良的性能；可扩展的结构和功能；简化的安装与管理；主动过滤；防病毒与防黑客；发展联动技术。附：1、防火墙可以分为网络层防火墙和应用层防火墙，这

24、两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和NAT技术等。二、领会1、防火墙的主要功能P.104答：无论何种类型的防火墙都应具备五大基本功能：（1）过滤进、出网络的数据（2）管理进、出网络的访问行为（3）封堵某些禁止的业务（4）记录通过防火墙的信息内容和活动（5）对网络攻击检测和告警2、防火墙的局限性P.105答：主要体现在以下几个方面：（1）网络的安全性通常是以网络服务的开放性和灵活性为代价防火墙通常会使网络系统的部分功能被削弱。由于防火墙的隔离作用，在保护内部网络的同时使它与外部网络的信息交流受到阻碍；由于在防火墙上附加各种信息服务的代理软件，增大了网络管理开销，

25、减慢了信息传输速率，在大量使用分布式应用的情况下，使用防火墙是不切实际的。（2）防火墙只是整个网络安全防护体系的一部分，而且防火墙并非万无一失只能防范经过其本身的非法访问和攻击，对绕过防火墙的访问和攻击无能为力；不能解决来自内部网络的攻击和安全问题；不能防止受病毒感染的文件的传输；不能防止策略配置不当或错误配置引起的安全威胁；不能防止自然或人为的故意破坏；不能防止本身安全漏洞的威胁。3、数据包过滤技术的工作原理P.110答：包过滤防火墙工作在网络层，通常基于IP数据包的源地址、目的地址、源端口和目的端口进行过滤。它的优点是效率比较高，对用户来说是透明的。缺点是对于大多数服务和协议不能提供安全保

26、障，无法有效地区分同一IP地址的不同用户，并且包过滤防火墙难于配置、监控和管理，不能提供足够的日志和报警。数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表（ACL）。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号和协议状态等因素或它们的组合，来确定是否允许该数据包通过。包过滤技术的缺陷：不能彻底防止地址欺骗；无法执行某些安全策略；安全性较差；一些应用协议不适合于数据包过滤；管理功能弱。4、代理服务技术的工作原理P.116答：代理服务器（Proxy）技术是一种较新型的防火墙技术，它分为应用层网关和电路层网关。所谓代理服务器，是指代表客户处

27、理连接请求的程序。当代理服务器得到一个客户的连接意图时，它将核实客户请求，并用特定的安全化的Proxy应用程序来处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接和隔离内、外部网络的作用，所以又叫代理防火墙（应用层网关防火墙和电路层网关防火墙）。代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层间提供访问控制；而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。代

28、理服务器（Proxy Server）作为内部网络客户端的服务器，拦截住所有请求，也向客户端转发响应。代理客户机（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。代理技术的优点：代理易于配置；代理能生成各项记录；代理能灵活、完全地控制进出流量、内容；代理能过滤数据内容；代理能为用户提供透明的加密机制；代理可以方便地与其它安全手段集成。代理技术的缺点：代理速度较路由器慢；代理对用户不透明；对每项服务代理可能要求不同的服务器；代理服务不能保证免受所有协议弱点的限制；代理不能改进底层协议的安全性。5、状态检测技术的工作原理P.119答：也称为动态包过滤防火

29、墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施检测。它将抽取的状态信息动态地保存起来作为以后执行安全策略的参考。检测引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现某个连接的参数有意外变化，则立即将其终止。状态检测防火墙监视和跟踪每一个有效连接的状态，并根据这些信息决定是否允许网络数据包通过防火墙。它在协议栈底层截取数据包，然后分析这些数据包的当前状态，并将其与前一时刻相应的状态信息进行对比，从而得到对该数据包的控制信息。6、NAT技术的工作原理P.12

30、1答：网络地址转换（Network Address Translation，NAT），允许一个整体机构以一个公用IP地址出现在互联网上，这是一种把内部私有IP地址翻译成合法网络IP地址的技术。NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通信时，就在网关处将内部地址替换成公用地址，从而在外部公网上正常使用。NAT可以使多台计算机共享互联网连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入互联网中。这时，NAT屏蔽了内部网络，所有内部网络计算机对于公共网络来说是不可见的，而内部网络计算机用户通常不会意识

31、到NAT的存在。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。7、个人防火墙的主要功能P.135答：IP数据包过滤功能；安全规划的修订功能；对特定网络攻击数据包的拦截功能；应用程序网络访问控制功能；网络快速切断/恢复功能；日志记录功能；网络攻击的报警功能；产品自身安全功能。三、应用防火墙的典型应用P.128+屏蔽子网体系结构图的应用、各组件功能（见“2009.04题32”、“2010.04题32”、“2011.04题33”）附：从工作原理角度看，防火墙主要可以分为网络层防火墙和应用层防火墙。这两类防火墙的具体实现技术主要有包过滤技术、代理服务技术、状态检测技术和N

32、AT技术等。第5章 入侵检测技术一、 识记1、入侵检测的原理（P.148图）答：入侵检测是用于检测任何损害或者企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效的手段。所谓入侵检测系统，就是执行入侵检测任务的硬件或软件产品。入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法，其应用前提是：入侵行为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。入侵检测系统需要解决两个问题：一是如何充分并可靠地提取描述行为特征的数据，二是如何根据特征数据，

33、高效并准确地判定行为的性质。2、入侵检测的系统结构组成（P.148图）答：从系统构成上看，入侵检测系统应包括数据提取、入侵分析、响应处理和远程管理四大部分。另外还可能包括安全知识库和数据存储等功能模块。3、入侵检测系统的分类P.149答：（1）基于数据源的分类：基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统及文件完整性检查系统。（2）基于检测理论的分类：异常检测和误用检测。（3）基于检测时效的分类：在线检测（实时检测）和离线检测（采取批处理方式）。4、分布式入侵检测的优势和技术难点P.163答：分布式入侵检测由于采用了非集中的系统结构和处理方式，相对于传统的单机IDS具有一些明显的优

34、势：检测大范围的攻击行为；提高检测的准确度；提高检测效率；协调响应措施。分布式入侵检测的技术难点：事件产生及存储；状态空间管理及规则复杂度；知识库管理；推理技术。5、入侵检测系统的主要标准的名称答：IETF/IDWG。IDWG提出了三项建议草案：入侵检测消息交换格式（IDMEF）、入侵检测交换协议（IDXP）及隧道轮廓（Tunnel Profile）；CIDF。CIDF的工作集中体现在四个方面：IDS的体系结构、通信机制、描述语言和应用编程接口API。附：1、分布式入侵检测对信息对信息的处理方法可以分为两种：分布式信息收集、集中式处理；分布式信息收集、分布式处理。2、在入侵检测中，比较事件记录

35、与知识库属于数据分析过程。（构建过程/分析过程）二、领会1、入侵检测系统的分析模型P.152答：分析是入侵检测的核心功能。入侵检测分析处理过程可分为三个阶段：第一阶段主要进行分析引擎的构造，分析引擎是执行预处理、分类和后处理的核心功能；第二阶段，入侵分析主要进行现场实际事件流的分析，在这个阶段分析器通过分析现场的实际数据，识别出入侵及其他重要的活动；第三阶段，与反馈和提炼过程相联系的功能是分析引擎的维护及其他如规划集提炼等功能。误用检测在这个阶段的活动主要体现在基于新攻击信息对特征数据库进行更新，与此同时，一些误用检测引擎还对系统进行优化工作，如定期删除无用记录等。对于异常检测，历史统计特征轮

36、廓的定时更新是反馈和提炼阶段的主要工作。2、误用检测和异常检测的基本原理P.153156误用检测（P153）：这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。即按照预定模式搜寻事件数据的，最适用于对已知模式的可靠检测。分为条件概率预测法产生式/专家系统状态转换方法用于批模式分析的信息检索技术Keystroke Monitor和基于模型的方法。异常检测（P156）：异常检测基于一个假定：用户的行为是可预测的、遵循一致性模式的，且随着用户事件的增加，异常检测会适应用户行为的变化。用户行为的特征轮廓在异常检测中是由度量集来描述的。分为Denning的原始模型量化

37、分析统计度量非参数统计度量基于规则的方法。3、CIDF体系结构组成（P.169图）答：CIDF指公共入侵检测框架。CIDF在IDES和NIDES的基础上提出了一个通用模型，将入侵检测系统分为四个基本组件，事件产生器、事件分析器、响应单元和事件数据库。在该模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库则是以文件或数据流的形式。CIDF将IDS需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志或其他途径得到的信息。第6章 网络安全检测技术一、识记1、安全威胁的概念P.181答：安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可

38、用性和完整性产生阻碍、破坏或中断的各种因素。安全威胁与安全漏洞密切相关，安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识。2、安全漏洞的概念P.182答：安全漏洞是在硬件、软件和协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。3、端口扫描的基本原理及端口扫描技术的分类P.184答：端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同，网络通信端口可以分为TCP端口和UDP端口两大类，因此端口扫描技术也可相应地分为TCP端口扫描技术和

39、UDP端口扫描技术。二、领会1、网络安全漏洞威胁等级的划分方法P.181答：可按风险等级进行归类（P181图）2、网络安全漏洞的分类方法P.182答：漏洞的分类方法主要有按漏洞可能对系统造成的直接威胁分类；按漏洞的成因分类两大类。3、操作系统类型探测的主要方法P.185答：由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的，因此操作系统类型信息是网络安全检测的一个重要内容。操作系统探测技术主要包括：获取标识信息探测技术；基于TCP/IP协议栈的操作系统指纹探测技术；ICMP响应分析探测技术。4、信息型漏洞探测和攻击型漏洞探测技术的原理P.186答：（1）信息型漏洞探测原理：大部分的网络安

40、全漏洞都与特定的目标状态直接相关，因此只要对目标的此类信息进行准确探测就可以在很大程度上确定目标存在的安全漏洞。该技术具有实现方便、对目标不产生破坏性影响的特点，广泛应用于各类网络安全漏洞扫描软件中。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。这主要是因为该技术在本质上是一种间接探测技术，探测过程中某些不确定因素的影响无法完全消除。为提高漏洞探测的准确率和效率，引进如下两种改进措施：顺序扫描技术，可以将收集到的漏洞和信息用于另一个扫描过程以进行更深层次的扫描即以并行方式收集漏洞信息，然后在多个组件之间共享这些信息。多重服务检测技术，即不按照RFC所指定的端口号来区分目标主机所运

41、行的服务，而是按照服务本身的真实响应来识别服务类型。（2）攻击型漏洞探测原理：模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。模拟攻击技术也有其局限性，首先，模拟攻击行为难以做到面面俱到，因此就有可能存在一些漏洞无法探测到；其次，模拟攻击过程不可能做到完全没有破坏性，对目标系统不可避免地会带来一定的负面影响。模拟攻击主要通过专用攻击脚本语言、通用程序设计语言和成形的攻击工具来进行。附：1、按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为信息型漏洞探测和攻击型漏

42、洞探测。P.1862、按照漏洞探测的技术特征，又可以划分为基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。P.1863、半连接（SYN）端口扫描的原理和工作过程：半连接端口扫描不建立完整的TCP连接，而是只发送一个SYN数据包。一个SYN|ACK的响应包表示目标端口是监听（开放）的，而一个RST响应包表示目标端口未被监听（关闭）。若收到SYN|ACK的响应包，系统将随即发送一个RST包来中断连接。4、端口扫描技术既可以作为攻击工具，也可以作为防御工具。5、采用模拟攻击漏洞探测技术的好处是探测结果准确率高。6、网络安全漏洞检测主要包括端口扫描、操作系统探测和安全

43、漏洞探测。第7章 计算机病毒与恶意代码一、识记1、计算机病毒的定义P.199答：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒是一个程序，具有传染性，传染方式是修改其他程序，把自身复制嵌入其他程序中实现。2、计算机病毒的主要危害P.202答：直接破坏计算机数据信息；占用磁盘空间和对信息的破坏；抢占系统资源；影响计算机运行速度；计算机病毒错误与不可预见的危害；计算机病毒的兼容性对系统运行的影响；给用户造成严重的心理压力。3、计算机病毒的防范手段P.216答：防范计算机病毒主要从管理和技术两方面着手：严格的

44、管理。制定相应的管理制度，避免蓄意制造、传播病毒的事件发生；有效的技术。4、恶意代码的特征与分类P.222答：特征：恶意的目的；本身是程序；通过执行发生作用。分类：按恶意代码的工作原理和传输方式区分，恶意代码可分为普通病毒、木马、网络蠕虫、移动代码和复合型病毒等类型。5、恶意代码的防范措施P.228答：及时更新系统，修补安全漏洞；设置安全策略，限制脚本程序的运行；启用防火墙，过滤不必要的服务和系统信息；养成良好的上网习惯。附：1、计算机病毒的发展趋势。P221变形病毒成为下一代病毒首要的特点；与Internet和Intranet更加紧密的结合，利用一切可以利用的方式进行传播；病毒往往具有混合性

45、特征，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏笥大大增强，获取经济复兴开始成为编写病毒的主要目的；因为其扩散极快，不再追求隐藏性，而更加注重欺骗性；利用系统和应用程序漏洞将成为病毒有力的传播方式。2、什么是恶意代码？P221恶意代码是一种程序，通常在人们没有察觉的情况下把代码寄宿到另一段程序中，从而达到破坏被感染计算机的数据，运行具有入侵性或破坏性的程序，破坏被感染系统数据的安全性和完整性的目的。二、领会1、计算机病毒的特征P.201答：非授权可执行性；隐蔽性；传染性；潜伏性；表现性或破坏性；可触发性。2、计算机病毒的分类P.208答：（1）按病毒攻击的系统分类：攻击DOS系统的病毒

46、；攻击Windows系统的病毒；攻击UNIX系统的病毒；攻击OS/2系统的病毒。（2）按病毒的攻击机型分类：攻击微型计算机的病毒；攻击小型机的计算机病毒；攻击工作站的计算机病毒。（3）按病毒的链接方式分类：源码型病毒；嵌入型病毒；外壳型病毒；操作系统型病毒。（4）按病毒的破坏情况分类：良性计算机病毒；恶性计算机病毒。（5）按病毒的寄生方式分类：引导型病毒；文件型病毒；复合型病毒。（6）按病毒的传播媒介分类：单机病毒；网络病毒。3、常用计算机病毒检测手段的基本原理P.216答：（1）特征代码法（可识别病毒名称）。是检测已知病毒的最简单、开销最小的方法。实现步骤：采集已知病毒样本；在病毒样本中，抽取特征代码；打开被检测文件，在文件中搜索，检查文件中是否有病毒数据库中的病毒特征代码。特征代码法的特点：速度慢；误报警率低；不能检查多形性病毒；不能对付隐蔽性病毒。（2）检验和法。将正常文件的内容，计算其校验和，将该检验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用前，检查文件现在内容算出的校验和与原来保存的校验和是否一