《信息安全原理与技术》(第2版)习题答案

9.4简述防火墙的局限性。 答:防火墙的局限性主要表现在以下几个方面:①防火墙不能防范不经由防火墙的攻击和威胁。②不能防御已经授权的访问,以及存在于网络内部系统间的攻击,不能防御合法用户恶意的攻击以及社交攻击等非预期的威胁。③防火墙不能防止感染了病毒的软件或文件的传输。④防火墙不能防止数据驱动式攻击。⑤不能修复脆弱的管理措施和存在问题的安全策略。

9.5怎样通过防火墙进行数据包过滤?

答:在大多数情况下,数据包过滤是用设置了过滤规则的路由器来实现的。当一个数据包到达了一个包过滤路由器,该路由器便从包首部截取特定信息,然后依据过滤规则判定该包是否可通过或丢弃。一般从包首部截取的信息有:源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号、ICMP信息类型、封装协议信息(TCP,UDP,ICMP或IP隧道)等。

9.6代理服务器防火墙是如何实现的? 答:代理服务器在网络应用层提供授权检查及代理服务。当代理服务器得到一个客户的连接意图时,它们将核实客户请求,并经过特定的安全化的Proxy应用程序处理连接请求,将处理后的请求传递到真实的服务器上,然后接受该服务器的应答,并做进一步处理后,将答复交给发出请求的最终客户。

9.7假如一个公司希望实现一个高安全性能的防火墙来隔离用户做出的内部和外部请求,你将推荐哪种体系结构的防火墙? 答:屏蔽子网防火墙在所有不同类型的防火墙结构中能够提供最高级别的安全性能,所以选它。

第10章

10.1什么叫入侵检测? 答:入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。

10.2一个入侵检测系统(IDS)通常由哪几个部分组成?

答:一个入侵检测系统通常由三个部分组成:①提供事件记录流的信息资源;②发现入侵事件的分析引擎;③对分析引擎的输出做出反应的响应组件。

10.3根据数据源的不同,入侵检测系统可分为哪几类?各有何特点?

答:根据数据源的不同,通常可以分为基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统三种。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据,并辅之以主机上的其他信息,例如文件系统属性、进程状态等,在此基础上完成检测攻击行为的任务。基于网络的入侵检测系统是通过监听网络中的数据包来获得必要的数据来源,并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为的。分布式入侵检测系统是能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统。

10.4比较异常检测和误用检测方法的异同。

答:在误用检测中,入侵过程模型及它在被观察系统中留下的踪迹是决策的基础。通过事先定义某些特征的行为是非法的,然后将观察对象与之进行比较以做出判别。误用检测基于己知的系统缺陷和入侵模式,它能够准确地检测到某些特征的攻击,但却过度依赖事先定义好

29

的安全策略,所以无法检测系统未知的攻击行为,从而产生漏报。在异常检测中,观察到的不是己知的入侵行为,而是所研究的通信过程中的异常现象,它通过检测系统的行为或使用情况的变化来完成。通过建立正常轮廓,明确所观察对象的正常情况,然后决定在何种程度上将一个行为标为“异常”,并如何做出具体决策。异常检测可以识别出那些与正常过程有较大偏差的行为,但无法知道具体的入侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,异常检测经常会出现虚警情况,但可以检测到系统未知的攻击行为。

10.5基于数据挖掘的异常检测方法的思想是什么?

答:基于数据挖掘的异常检测以数据为中心,把入侵检测看成一个数据分析过程,利用数据挖掘的方法从审计数据或数据流中提取出感兴趣的知识,这些知识是隐含的、事先未知的潜在有用信息,提取的知识表示为概念、规则、规律、模式等形式,并用这些知识去检测异常入侵和已知的入侵。

10.6 简述入侵检测系统与入侵防御系统的异同。

答:IPS与IDS在检测方面的原理相同,首先由信息采集模块实施信息收集,内容包括系统、网络、数据及用户活动的状态和行为,然后利用模式匹配、协议分析、统计分析和完整性分析等技术手段,由信号分析模块对收集到的有关系统、网络、数据及用户活动的状态和行为等信息进行分析;最后由反应模块对分析结果做出相应的反应。

IPS与IDS主要的不同点有:(1)入侵检测系统的功能是通过监视网络和系统中的数据流,检测是否存在有违反安全策略的行为或企图,若有则发出警报通知管理员采取措施;IPS能够提供主动性的防御,在遇到攻击时能够检测并尝试阻止入侵。(2)IPS串联在网络上,利用了OSI参考模型的所有七层信息,对攻击进行过滤,提供了一种主动的、积极的入侵防范。而IDS只是旁路并联安装,检测入侵行为。(3)IDS使用非确定性的方法从现在和历史的通信流中查找威胁或者潜在的威胁,包括执行通信流、通信模式和异常活动的统计分析。IPS必须是确定性的,它所执行的所有丢弃通信包的行为必须是正确的。

10.7 简述入侵防御系统的工作原理。

答:IPS通过一个网络端口接收来自外部系统的流量,数据流经过IPS处理引擎进行大规模并行深层检测,检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。IPS 数据包处理引擎是专业化定制的集成电路,里面包含许多种类的过滤器,每种过滤器采用并行处理检测和协议重组分析的工作方式,分析相对类型的数据包,深层检查数据包的内容。当数据流进入IPS引擎之后,第1步,首先对每个数据包进行逐一字节地检查,异常的数据包被丢弃,通过检查的数据包依据报头信息,如源IP地址、目的IP地址、端口号和应用域等进行分类,并记录数据流的状态信息。第2步,根据数据包的分类,相关的过滤器进行筛选,若任何数据包符合匹配条件,则标志为命中。第3步,标志为“命中”的数据包会被丢弃,检测安全的数据包可以继续前进。第4步,命中数据包丢弃时,与之相关的流状态信息也会被更新,指示IPS丢弃该流中其余的所有内容。

第11章

11.1计算机病毒的特征有哪些?它基本分为哪些类型?

答:根据分析计算机病毒的产生、传播和破坏行为,可以将它的主要特征概括为:传染性、潜伏性、隐蔽性、多态性和破坏性。基本类型有:感染文件型病毒、感染引导区型病毒、宏病毒、恶作剧电子邮件和变形病毒等。

30

11.2计算机病毒的结构包括哪些模块?各个模块是如何工作的?

答:计算机病毒一般由三个模块构成:引导模块、感染模块和破坏模块。

引导模块是计算机病毒的控制中心,当程序开始工作时将病毒程序从外存引入内存,使病毒的感染模块和破坏模块处于活动状态,当触发条件满足时,病毒会按照设计的程序去调用破坏模块发动攻击。

感染模块是完成计算机病毒的扩散功能。它寻找到感染目标后,判断目标是否已被感染,若目标未感染则完成感染工作。 破坏模块是计算机病毒的核心部分,它完成设计者的破坏初衷。首先判断程序运行过程中是否出现了满足病毒触发条件的情况,若满足则调用破坏程序的功能,比如删除程序,改写磁盘上的文件内容等。

11.3什么是蠕虫病毒?它与一般计算机病毒之间的联系和区别有哪些? 答:蠕虫病毒是自包含的程序(或是一套程序),它通常是经过某种网络连接将自身从一台计算机分发到其他计算机系统中。

蠕虫病毒具有一般计算机病毒的一些共性,如感染性、隐蔽性、破坏性等,都攻击计算机系统。

蠕虫病毒与一般计算机病毒不同的是,它利用计算机系统的漏洞主动攻击网络计算机,传播方式是采用网络连接或电子邮件方式由一台计算机自我复制到另外一台计算机,不感染文件,而一般病毒必须以其他程序文件为宿主文件进行依附感染和传播。

蠕虫和一般病毒之间的区别 存在形式 复制方式 感染方式 感染目标 触发感染 影响重点 用户 防止措施 蠕虫 独立程序 自我复制 主动攻击 网络上其他计算机 程序自身 网络、系统性能 无关 为系统漏洞打补丁 一般病毒 寄生 嵌入到宿主程序(文件)中 宿主程序运行 本地文件 计算机使用者 文件系统 病毒传播的关键环节 从宿主文件中清除 11.4什么是特洛伊木马病毒?它是如何工作的?

答:木马是一种伪装成正常程序的恶意代码。木马程序表面上看有用或无害,但却包含了为完成特殊任务而编制的代码,比如在系统中提供后门使黑客可以窃取数据、更改系统配置或实施破坏等,这些特殊功能处于隐蔽状态,执行时不为人知。

从过程上看木马入侵大致可分为六步: 1. 配置木马,木马配置程序为了在服务端尽可能的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件等。另外木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址等。2. 传播木马,传播方式主要有两种:一种是通过E-MAIL,另一种是软件下载,打开邮件或者下载后,只要运行这些程序,木马就会自动安装。3. 运行木马,服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。安装后就可以启动木马了。 4. 信息泄露,木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。 5. 建立连接,在服务端已安装了木马程序和控制端,服务端都要在线的情况下,控制端可以通过木马端口与服务端建立连接。 6. 远程控制,木马连接建立后,控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。

31

11.5计算机病毒的防治措施有哪些?蠕虫和木马是如何防治的?

答:计算机病毒的防治技术大致可以分为三个方面:预防病毒、检测病毒和清除病毒。 对于蠕虫的防治可以采用以下主要措施:

(1)修补系统漏洞及时下载系统漏洞补丁程序,并及时升级系统;

(2)设置防火墙:禁止除服务端口外的其它端口,切断蠕虫的传输通道和通信通道; (3)对邮件进行监控,防止带毒邮件进行传播;

(4)建立局域网内部的升级系统包括各种操作系统补丁程序升级、各种常用的应用软件升级、各种杀毒软件病毒库的升级等等;

(5)建立灾难备份系统对于数据库和数据系统,必须采用定期备份、多机备份措施,防止意外灾难下的数据丢失;

(6) 采用入侵检测技术:入侵检测是一种主动防御网络攻击的技术,不仅能主动监控外网的攻击还能监控来自内部的攻击,弥补了防火墙的不足。建立病毒检测系统能够在第一时间内检测到网络异常和蠕虫攻击,对感染蠕虫的机器及时断开;

(7)删除蠕虫要利用的程序:删除或重命名客户端上传程序:如ftp.exe和fftp.exe;删除或重命名命令解释器:如Unix系统下的shell,Windows系统下的cmd.exe和WScript.exe等。

普通木马病毒入侵后手工清除的基本步骤为: (1)断开网络。

(2)检查进程,发现可疑的进程立即杀掉。

(3)检查注册表。在注册表及与系统启动有关的文件里查找木马启动文件,通常木马会在注册表的“RUN”、“RUN SERVER”、“LOAD”等项下加入键值,使其能在系统启动时自动加入。

(4)在系统中找到木马文件,删除文件并删除注册表或系统启动文件中关于木马的信息。

(5)安全处理。更改用户名和密码,包括登录Network的用户名、密码、邮箱和QQ密码等,防止黑客已经在上次入侵过程中知道了你的密码。

第12章

12.1什么是无线网络?根据网络覆盖范围、传输速率和用途的差异,无线网络可以分为哪些类型? 答:无线网络是无线技术与网络技术的结合的产物,既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术。

根据无线网络覆盖范围、传输速率和用途的差异,无线网络大体可分为无线广域网、无线城域网、无线局域网和无线个人区域网。

12.2无线网络面临的独特威胁是什么?

答:无线网络传输是利用电磁波实现的,电磁波在空间中发散,在信号覆盖范围内的所有终端设备都可以接收电磁波所携带的信息。这个特点使得无线网络与有线网络相比,传输的信息更容易被窃取,带来很多安全威胁,包括插入攻击、漫游攻击者、欺诈性接入点、双面恶魔攻击、窃取网络资源和对无线通信的劫持监视等。

12.3为了保障无线局域网的安全,常用的安全措施有哪些?

答:无线局域网常用安全机制有WEP、WPA/WPA2以及我国自主研发的WAPI等加密算法

32

和认证,安装个人防火墙,更改网络接入的用户名和密码,隐藏SSID和MAC地址过滤等。

12.4 简述WPA 协议实现的安全策略。

答:WPA 协议中的TKIP 算法是目前无线局域网中较WEP 更加安全的一个算法,所采用的安全策略可总结如下:

①采用Michael的消息完整性代码MIC来防止篡改攻击。 ②采用新的序号规则(TSC),防止重放攻击。 ③对各数据包采用不同密钥加密,避免弱密钥。 ④采用密钥更新机制,及时提供全新的加密密钥和完整性校验密钥,防止密钥重用带来的安全威胁。

33

联系客服:779662525#qq.com(#替换为@)