台计算机,但它仍然是病毒,因为它需要人工干预完成传播。蠕虫会自动寻找更多的计算机并对其进行感染,那些被感染的机器又会作为感染源,以进一步感染其它机器。Р网络蠕虫和计算机病毒都是恶意程序,都很难防御。网络蠕虫和计算机病毒都有四个阶段:潜伏阶段、传染阶段、触发阶段和发作阶段。Р7.宏病毒的概念?Р答:宏病毒利用了Word和其它办公软件的一个特点,即“宏”。宏病毒不依赖于单一的平台;宏病毒只感染文档文件,不感染程序文件;宏病毒很容易传播。Р8.入侵检测的概念?列出入侵检测系统的三种基本结构并进行比较。Р答:入侵检测通常是指:对入侵行为的发觉或发现,通过从计算机网络或系统中某些检测点(关键位置)收集到的信息进行分析比较,从中发现网络或系统运行是否有异常现象和违反安全策略的行为发生。具体来说,入侵检测就是对网络系统的运行状态进行监视,检测发现各种攻击企图、攻击行为或攻击结果,以保证系统资源的机密性、完整性和可用性。Р入侵检测的三种基本结构是: 基于主机型的体系结构、基于网络型的体系结构和基于分布式的体系结构。基于主机型的体系结构检测目标是主机系统和本地用户,该模型的缺陷是:若入侵者逃避审计则主机检测就失效;主机审计记录无法检测类似端口扫描的网络攻击;只适用于特定的用户、应用程序动作和日志等检测;将影响服务器的性能。基于网络型的入侵检测系统的优点是:配置简单,只需一个普通的网络访问接口即可;系统结构独立性好,进行通信流量监视时,不影响诸如服务器平台的变化和更新;监视对象多,可监视包括协议攻击和特定环境攻击的类型。除了自动检测,还能自动响应并及时报告。基于分布式的体系结构将探测器分布到网络中的每台计算机上。探测器可以检测到不同位置上流经它的网络分组,然后各探测器与管理模块相互通信,主控制台将不同探测点发出的所有告警信号收集在一起,通过关联分析,来检测入侵行为,主要用于高速网络的入侵检测。
全文预览
