5、目前，先进的入侵检测系统的实现方法有哪些？

基于概率统计模型的检测、基于神经网络的检测、基于专家系统的检测、基于模型推理的检测和基于免疫的检测等技术。

一、填空题

1、（误用）检测原理是指根据已经知道的入侵方式来检测入侵。

2、当实际使用检测系统时，首先面临的问题就是决定应该在系统的什么位置安装检测和分析入侵行为用的（感应器Sensor或检测引擎Engine）。

3、基于概率统计的检测技术优越性在于它应用了成熟的（概率统计理论）。

4、在入侵检测系统中，（数据分析）是入侵检测的核心。

5、数据分析有模式匹配、统计分析和完整性分析三种手段，其中（完整性分析）则用于事后分析。

6、入侵检测系统中（事件提取）功能负责提取与被保护系统相关的运行数据或记录，并负责对数据进行简单的过滤。

7、入侵检测系统中（入侵分析）的任务就是在提取到的运行数据中找出入侵的痕迹，将授权的正常访问行为和非授权的不正常访问行为区分开，分析出入侵行为并对入侵者进行定位。

8、入侵检测系统中入侵响应功能在（分析出入侵行为）后被触发。

9、从数据来源角度分类，入侵检测系统有三种基本结构：基于网络、基于主机和（分布式）入侵检测系统。

10、基于网络的入侵检测系统数据来源于（网络上）的数据流。

二、简答题

1、什么是基于概率统计的检测技术，有什么优缺点？

是对用户历史行为建立模型。根据该模型，当发现有可疑的用户行为发生时保持跟踪，并监视和记录该用户的行为。这种方法的优越性在于它应用了成熟的概率统计理论；缺点是由于用户的行为非常复杂，因而要想准确地匹配一个用户的历史行为非常困难，易造成系统误报、错报和漏报；定义入侵阈值比较困难，阈值高则误检率增高，阈值低则漏检率增高。

2、入侵检测系统执行的主要任务有哪些？

包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。

3、入侵检测中信息收集的内容都有哪些，这些信息的来源一般有哪些？

包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息四个方面。

4、在入侵检测系统中，数据分析是如何工作的，有哪些手段？

它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析三种手段进行。

5、什么是基于网络的入侵检测系统，有什么优缺点？

其优点是侦测速度快、隐蔽性好，不容易受到攻击、对主机资源消耗较少；缺点是有些攻击是由服务器的键盘发出的，不经过网络，因而无法识别，误报率较高。

相关推荐

一、填空题

1、基于主机的入侵检测系统检测分析所需数据来源于主机系统，通常是(系统日志和审计记录)。

2、从检测的策略角度分类，入侵检测模型主要有三种：滥用检测、异常检测和(完整性分析)。

3、基于(网络)的IDS允许部署在一个或多个关键访问点来检查所有经过的网络通信，因此并不需要在各种各样的主机上进行安装。

4、基于专家系统的攻击检测技术，即根据安全专家对(可疑行为)的分析经验来形成一套推理规则，然后在此基础上设计出相应的专家系统。由此专家系统自动进行对所涉及的攻击操作的分析工作。

5、(基于免疫)的检测技术是运用自然免疫系统的某些特性到网络安全系统中，使整个系统具有适应性、自我调节性和可扩展性。

6、基于神经网络的检测技术的基本思想是用一系列信息单元训练神经单元，在给出一定的输入后，就可能预测出(输出)。

7、基于神经网络的检测技术是对(基于概率统计)的检测技术的改进，主要克服了传统的统计分析技术的一些问题。

8、基于概率统计的检测定义判断入侵的阈值太高则(误检率)增高。

9、在具体实现过程中，专家系统主要面临问题是全面性问题和（效率问题）。

10、相比基于网络、基于主机的入侵检测系统，（分布式）入侵检测系统能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统。

二、简答题

1、什么是基于主机的入侵检测系统，有什么优缺点？

优点是针对不同操作系统特点捕获应用层入侵，误报少；缺点是依赖于主机及其审计子系统，实时性差。

2、什么是滥用检测方法，有什么优缺点？