答: 功能构成包含:事件提取、入侵分析、入侵响应、远程管理 4个部分功能 10 1、网络流量的跟踪与分析功能 2、已知攻击特征的识别功能 3、异常行为的分析、统计与响应功能 4、特征库的在线和离线升级功能 5、数据文件的完整性检查功能 6、自定义的响应功能 7、系统漏洞的预报警功能 8、 IDS 探测器集中管理功能 3 、一个好的 IDS 应该满足哪些基本特征? 答: 1、可以使系统管理员时刻了解网络系统的任何变更 2、能给网络安全策略的制定提供依据 3、它应该管理、配置简单,即使非专业人员也非常容易使用 4、入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变 5、入侵检测系统在发现入侵后会及时做出响应,包括切断网络连接、记录事件和报警。 6 、什么是异常检测,基于异常检测原理的入侵检测方法有哪些? 答: 异常检测技术又称为基于行为的入侵检测技术,用来识别主机或网络中的异常行为。通过收集操作活动的历史数据,建立代表主机、用户或网络连接的正常行为描述,判断是否发生入侵。 1、统计异常检测方法 2、特征选择异常检测方法 3、基于贝叶斯网络异常检测方法 4、基于贝叶斯推理异常检测方法 5、基于模式预测异常检测方法 7 、什么是误用检测,基于误用检测原理的入侵检测方法有哪些? 答: 误用检测技术又称为基于知识的检测技术。它通过对已知的入侵行为和手段进行分析,提取检测特征,构建攻击模式或攻击签名,判断入侵行为。 1、基于条件的概率误用检测方法 2、基于专家系统误用检测方法 3、基于状态迁移分析误用检测方法 4、基于键盘监控误用检测方法 5、基于模型误用检测方法 10 、蜜网和蜜罐的作用是什么,它们在检测入侵方面有什么优势? 蜜罐的作用:1 、把潜在入侵者的注意力从关键系统移开 2 、收集入侵者的动作信息 3、设法让攻击者停留一段时间,使管理员能检测到它并采取相应的措施。
全文预览
