系统安全第十一次作业题目及答案

一、

1.完整性 机密性 可用性

2. 试图闯入 成功闯入 冒充其他用户 违反安全策略 合法用户的泄露 独占以及恶意使用资源

3.数据集成 数据清理 数据变换 数据简化 数据融合

4.模式匹配 统计分析 完整性分析

二、

1.D

2.ACD

3.ABCD

4.ABC

5.ABCD

三、

1.

答：

优点：

1. 提高信息安全体系中其他部分的完整性
2. 提高系统的监控能力
3. 能够从入口点到出口点跟踪用户的活动
4. 能够识别和汇报文件的变化
5. 能够侦测系统配置错误并纠正
6. 能够识别特殊攻击类型并向系统安全管理员汇报，进行自动防御。

缺点：

1. 无法弥补差的认证机制
2. 不能弥补网络协议的弱点
3. 不能弥补系统服务质量或完整性的缺陷
4. 如果没有人的干预，不能管理攻击调查
5. 不能指导安全策略的内容
6. 不能分析一个堵塞的网络
7. 不能处理有关pack-level攻击。

影响：

1. 信息系统安全设计需要考虑IDS的优缺点，选择合适的IDS系统来保护系统安全。
2. 针对IDS的缺点，信息系统安全设计需要采取其他措施来加强安全保护。
3. 信息系统安全设计需要考虑IDS的误报率，尽量减少误报率，避免给管理员带来不必要的麻烦。

2.

答：

包捕获机制作用：

1. 监控网络流量：包捕获机制可以抓取网络中的数据包并记录其源、目的和其他重要信息，从而监控网络流量并对其进行分析。
2. 分析网络行为：通过分析网络流量，包捕获机制可以识别网络中的异常行为，例如未经授权的访问、恶意软件攻击等。
3. 优化网络性能：包捕获机制可以跟踪网络流量并分析其性能，从而帮助网络管理员优化网络性能。

包捕获机制局限性：

1. 高昂的成本：包捕获机制需要使用专业的硬件和软件，这使得它的实现成本较高。
2. 隐私问题：包捕获机制可以抓取网络中的所有数据包，包括用户的个人信息和敏感数据，因此可能会引发隐私问题。
3. 处理高速网络的挑战：随着网络速度的不断提高，包捕获机制需要能够处理大量的数据包，这对硬件和软件的性能提出了更高的要求。
4. 无法处理加密流量：加密流量无法被包捕获机制分析，因此无法对其进行监控和分析。

3.

答：安全日志是记录系统活动的文本文件，包括登录、文件访问、网络连接等信息，是系统运行过程中产生的，通常由操作系统、应用程序和网络设备生成，可以用于监控系统的活动，帮助检测和识别安全事件，以及进行安全故障排除。

审计数据是指对系统进行的安全审计活动记录，例如对系统配置和访问控制进行审计、进行安全事件调查等。通常是由安全管理员或安全工具生成的，以帮助确保系统的合规性和安全性。可以用于追溯安全事件、识别安全漏洞和弱点，以及进行安全性评估和审计。

安全日志和审计数据虽然都是记录系统活动的信息，但它们的用途和生成方式有所区别：安全日志主要用于监控系统的活动，而审计数据主要用于确保系统的合规性和安全性。

四、

1.

答：基于协议分析的入侵检测系统是利用网络协议的高度规则性快速判断入侵行为。

通过在网上查找资料，总结了一个基于协议分析的入侵检测系统的工作流程：

1. 数据采集：入侵检测系统会收集网络中的所有数据包，包括传输层及以下的协议。
2. 数据解析：入侵检测系统会对数据包进行解析，以便提取出其中的协议信息。
3. 协议分析：入侵检测系统会对数据包中的协议进行分析，检测是否存在异常或恶意的行为。
4. 规则匹配：入侵检测系统会将协议分析的结果与预先设定的规则进行匹配，以便判断是否存在入侵行为。
5. 异常检测：如果入侵检测系统检测到了异常或恶意的行为，它会发出警报并采取相应的措施，如阻止数据包的传输、记录日志等。
6. 统计分析：入侵检测系统会对网络流量的统计数据进行分析，以便在长期监测过程中发现异常的趋势或模式。

2.

答：直接监测获取：从数据的产生或从属的对象直接获得数据。例如：为了监测主机CPU的负荷，可以直接从主机相应内核中获得数据。要监测inetd进程提供的网络服务，可以直接从inetd进程获取相关网络访问的数据。