4．SSL的目标是什么，可提供的基本安全服务？

SSL协议的目标是提供两个应用间通信的保密性和可靠性，可在服务器和客户端同时实现支持。可提供的基本安全服务有：信息保密、信息完整性、相互认证

5．SSL握手协议的四个阶段各完成什么工作？

SSL握手协议包含以下四个阶段。

1）发起阶段

客户端发送一个Client-Hello消息并等待，服务器发送一个Server-Hello消息。

2）服务器认证和密钥交换阶段

服务器发送自己的证书，然后发送可选的Server-Key-Exchange消息，接着发送Certificate-Request消息，向客户端请求一个证书，最后服务器发送Server-Hello-Done消息，并等待客户端应答。

3）客户端认证和密钥交换阶段

客户端收到Server-Hello-Done消息后，验证服务器提供的证书，发送客户端证书，然后根据密钥交换的类型发送Client-Key-Exchange消息，最后发送一个包含对前面所有消息签名的Certificate-Verify消息。

4）结束阶段

客户端发送Change-Cipher-Spec消息，告知协商得到的密码算法列表，然后用新的算法和密钥参数发送一个Finished消息，以检验密钥交换和认证过程是否已经成功。服务器同样发送Change-Cipher-Spec和Finished消息。

一、填空题

1、在通用入侵检测模型中，（行为特征）表是整个检测系统的核心，它包含了用于计算用户行为特征的所有变量。

2、根据入侵检测模型，入侵检测系统的原理可分为异常检测原理和（误用检测）原理。

3、第一代入侵检测技术采用（主机日志分析）、（模式匹配）的方法；

4、一个入侵检测系统至少包含（事件提取）、入侵分析、入侵响应和远程管理四部分功能。

5、第三代入侵检测技术引入了协议分析、（行为异常）分析等方法。

6、在通用入侵检测模型中，（事件产生器）可根据具体应用环境而有所不同，一般来自审计记录、网络数据包以及其他可视行为，这些事件构成了入侵检测的基础。

7、在通用入侵检测模型中，（规则模块）可以由系统安全策略、入侵模式等组成，

8、在通用入侵检测模型中，（规则模块）可以为判断是否入侵提供参考机制。

9、根据入侵检测模型，入侵检测系统的原理分为异常检测原理和（误用检测原理）。

10、（异常）检测原理根据假设攻击与正常的（合法的）活动有很大的差异来识别攻击。

二、简答题

1、什么是网络入侵检测？

网络入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制

2、入侵检测技术至今已经历三代：

第一代技术采用主机日志分析、模式匹配的方法；第二代技术出现在20世纪90年代中期，主要包括网络数据包截获、主机网络数据和审计数据分析、基于网络的入侵检测和基于主机的入侵检测等方法；第三代技术出现在2000年前后，引入了协议分析、行为异常分析等方法。

3、基于异常检测原理的入侵检测方法和技术有如下几种方法。

1）统计异常检测方法。

2）特征选择异常检测方法。

3）基于贝叶斯推理的异常检测方法。

4）基于贝叶斯网络的异常检测方法。

5）基于模式预测的异常检测方法。

4、基于误用检测原理的入侵检测方法和技术主要有如下几种。

1）基于条件的概率误用检测方法。

2）基于专家系统的误用检测方法。

3）基于状态迁移分析的误用检测方法。

4）基于键盘监控的误用检测方法。

5）基于模型的误用检测方法。