第9章入侵检测系统
1单项选择题
1B2D3D4C5A6D
2、简答题
（1）什么叫入侵检测，入侵检测系统有哪些功能？入侵检测系统（简称“IDS”）就是依照一定的，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。入侵检测系统功能主要有：
识别黑客常用入侵与攻击手段
监控网络异常通信
鉴别对系统漏洞及后门的利用
完善网络安全管理
（2）根据检测对象的不同，入侵检测系统可分哪几种？根据检测对象的不同，入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合，它为前两种方案提供了互补，还提供了入侵检测的集中管理，采用这种技术能实现对入侵行为的全方位检测。（3）常用的入侵检测系统的技术有哪几种？其原理分别是什么？常用的入侵检测系统的技术有两种，一种基于误用检测（A
omalDetectio
），另一种基于异常检测（MisuseDetectio
）。对于基于误用的检测技术来说，首先要定义违背安全策略事件的特征，检测主要判别这类特征是否在所收集到的数据中出现，如果检测到该行为在入侵特征库中，说明是入侵行为，此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。基于异常的检测技术则是先定义一组系统正常情况的数值，如CPU利用率、内存利用率、文件校
f验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较大偏差的行为，无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。
（4）入侵检测系统弥补了防火墙的哪些不足？网络防火墙是指的是隔离在本地网络与外界网络之间的一道防御系统。防火墙也存在以下不足之处：防火墙可以阻断攻击，但不能消灭攻击源。入侵者可以寻找防火墙背后可能敞开的后门而绕
过防火墙；防火墙不能抵抗最新的未设置策略的攻击r