计算机信息安全技术课后习题答案.docx

1、第一章 计算机信息安全技术概述 1、计算机信息系统安全的威胁因素主要有哪些? (1)人为无意失误 (2)人为恶意攻击 (3)计算机软件的漏洞和后门 2、从技术角度分析引起计算机信息系统安全问题的根本原因。 (1)计算机外部安全 (2)信息在计算机系统存储介质上的安全 (3)信息在传输过程中的安全 3、信息安全的CIA指的是什么? Confidenciality 隐私性,也可称为机密性,是指只有授权的用户才能获取信息Integrity 完整性,是指信息在传输过程中,不被非法授权和破坏,保证数据的一致性 Availability 可用性,是指信息的可靠度 4、简

2、述PPDR安全模型的构成要素及运作方式 PPDR由安全策略,防护,检测和响应构成 运作方式:PPDR模型在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整在一个相对安全的状态。防护,检测和响应构成一个完整的、动态的安全循环。 5、计算机信息安全研究的主要内容有哪些? (1)计算机外部安全 (2)信息在计算机系统存储介质上的安全 (3)信息在传输过程中的安全 6、计算机信息安全的定义是什么? 计算机信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及信息系统实施防护,检测和恢复的科学

3、7、信息安全系统中,人、制度和技术之间的关系如何? 在信息安全系统中,人是核心。任何安全系统的核心都是人。而技术是信息安全系统发展的动力,技术的发展推动着信息安全系统的不断完善。信息安全系统不仅要靠人和技术,还应该建立相应的制度以起到规范的作用。只有三者的完美结合,才有安全的信息安全系统 第二章 密码技术 一、选择题 1．下列（RSA算法 ）算法属于公开密钥算法。 2.下列（ 天书密码 ）算法属于置换密码。 3.DES加密过程中，需要进行（ 16 ）轮交换。 二、填空题 1.给定密钥K=，若明文为P=，则采用异或加密的方法得到的密文为 01011

4、111 。 2.在数据标准加密DES中，需要进行 16 轮相同的交换才能得到64位密文输出。 3.RSA算法的安全性完全取决于 P、Q的保密性 以及 分解大数的难度 。 三、简答题 1.说明研究密码学的意义以及密码学研究内容是什么。 密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律，应用于编制密码以保守通信秘密的，称为编码学；应用于破译密码以获取通信情报的，称为破译学，总称密码学。 密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则，变明文为密文，称为加密变换；变密文为明文，称为脱密变换。密码

5、在早期仅对文字或数码进行加、脱密变换，随着通信技术的发展，对语音、图像、数据等都可实施加、脱密变换。 密码学是在编码与破译的斗争实践中逐步发展起来的，并随着先进科学技术的应用，已成为一门综合性的尖端技术科学。它与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。它的现实研究成果，特别是各国政府现用的密码编制及破译手段都具有高度的机密性。根据我国有关规定，密码学隶属于军事学门类。 2.请比较代替密码中移位密码、单表替代密码和多表替代密码哪种方法安全性好,为什么? 多表替代好。多表代换密码需要猜测更多的字母表，并且频率分布特性也变得平坦，所以使得密码破译更加困难

6、 3.已知仿射密码的加密函数可以表示为：f(a)=(aK1+K0) mod 26，明文字母e、h对应的密文字母是f、w，请计算密钥K1和K0来破译此密码。 K1=11，K0=13 gcb（a.26）=1；1,3,5,7,9,11,15,17,19，21,23，25 F(a)=（a*K1+K0）mod26 得：（4K1+K0）mod 26=5 （7K1+K0）mod 26=22 4.用vigenere 密码加密明文“please keep this message in secret” 其中使用的密钥为“computer” 试求其密文 RZQPMXOVGFWCLQVUGMVYB

7、RJGQDTN 5. 设英文字母a，b，c，…，z，分别编号为0，1，2，…，25，仿射密码加密转换为c=(3m+5) mod 26，其中m表示明文编号，c表示密文编号。 A.试对明文security进行加密。 (18x3+5)mod 26=7………h (3x3+5)mod 26=14………..n (2x3+5)mod 26=11………………l (20x3+5)mod 26=13…………m (17x3+5)mod 26=4………e

8、 (8x3+5)mod 26=3………..d (19x3+5)mod 26=10……….k (24x3+5)mod 26=25……z B.写出该仿射密码的解密函数。

9、 M=1/3(c-5) mod 26 6.简述序列密码算法与分组密码算法的不同。 广度优先遍历从某个顶点v出发，首先访问这个结点，并将其标记为已访问过； 然后顺序访问结点v的所有未被访问的邻接点{vi,..,vj}，并将其标记为已访问过； 然后将{vi,...,vj}中的每一个节点重复节点v的访问方法，直到所有结点都被访问完为止。 具体代码实现时： 我们可以使用一个辅助队列q，首先将顶点v入队，将其标记为已访问，然后循环检测队列是否为空；

10、 如果队列不为空，则取出队列第一个元素，并将与该元素相关联的所有未被访问的节点入队，将这些节点标记为已访问； 如果队列为空，则说明已经按照广度优先遍历了所有的节点。 7.简述DES算法中S-盒的特点 S-盒是DES算法的核心，其功能是把6bit数据变为4bit数据 8.简述AES和DES之间的相同之处 具有良好的非线性,AES的非线性运算是字节代换对应于DES中唯一非线性运算S-盒。 9.画出RSA算法的流程图 10.使用RSA算法时，选择有关参数应该注意哪些问题？ 11.在一个使用RSA的公开密钥系统中，如果攻击者截获公开密

11、钥pk=5，公开模数n=35，对密文c=10，解出其明文。 因为公钥n为35，所以你可以很简单的知道两个素数为5和7. 所以按公式可以很简单得到私钥d=19，所以M=C^d(mod n) M=10^19(mod 35)就可以得到明文。 12.简述RAS算法的优缺点 1）产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。 2）安全性，RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价，而且密码学界多数人士倾向于因子分解不是NP问题。现今，人们已能分解140多个十进制位的大素数，这就要求使用更长的密钥，速度更慢

12、另外，人们正在积极寻找攻击RSA的方法，如选择密文攻击，一般攻击者是将某一信息作一下伪装（Blind），让拥有私钥的实体签署。然后，经过计算就可得到它所想要的信息。实际上，攻击利用的都是同一个弱点，即存在这样一个事实：乘幂保留了输入的乘法结构： （XM)d = Xd *Md mod n 前面已经提到，这个固有的问题来自于公钥密码系统的最有用的特征--每个人都能使用公钥。但从算法上无法解决这一问题，主要措施有两条：一条是采用好的公钥协议，保证工作过程中实体不对其他实体任意产生的信息解密，不对自己一无所知的信息签名；另一条是决不对陌生人送来的随机文档签名，签名时首先使用One-Way Has

13、h Function对文档作HASH处理，或同时使用不同的签名算法。除了利用公共模数，人们还尝试一些利用解密指数或φ（n）等等攻击. 3）速度太慢，由于RSA 的分组长度太大，为保证安全性，n 至少也要 600 bits以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。SET(Secure Electronic Transaction）协议中要求CA采用2048比特长的密钥，其他实体使用1024比特的密钥。为了速度问题，人们广泛使用单，公钥密码结合使用的方法，优缺点互补：单钥密码加密速度快，人们用它来加密较长

14、的文件，然后用RSA来给文件密钥加密，极好的解决了单钥密码的密钥分发问题。 第三章 信息认证技术 一、选择题 1.身份认证是安全服务中的重要一环，以下关于身份认证的叙述不正确的是（身份认证一般不用提供双向的认证）。 2.数据完整性可以防止以下（ 数据中途被攻击者篡改或破坏 ）攻击。 3.数字签名要预先使用单向Hash函数进行处理的原因是( 缩小签名密文的长度，加快数字签名和验证签名的运算速度） 4.下列运算中，MD5没有使用到的是（ 幂运算 ）。 二、填空题 1.MD5和SHA-1产生的散列值分别是 128 位和 160 位

15、 2.基于哈希链的口令认证.用户登陆后将口令表中的(ID,k-1,Hk-1(PW)替换为(ID.K Hk(PW)) 。 3.Denning-Sacco协议中使用时间戳T的目的是 防止重放攻击对密钥安全性的威胁 。 4.Woo-Lam协议中第6.7步使用的随机数N2的作用是使B确认A已经获得正确的会话密钥。 三、简答题 1.弱抗碰撞性和强抗碰撞性有什么区别？ 给定的消息M，要找到另一消息M＇,满足H（M）=H（M＇），在计算上是不可行的，这条性质称为弱抗碰撞性。该性质是保证无法找到一个替代报文，否则就可能破坏使用哈希函数进行封装或者签名的各种协议的安全性。哈希函数的重要

16、之处就是赋予M唯一的“指纹”。 对于任意两个不同的消息M≠M，它们的散列值不可能相同，这条性质被称为强抗碰撞性。强抗碰撞性对于消息的哈希函数安全性要求更高，这条性质保证了对生日攻击的防御能力 2.什么是消息认证码？ 是指使合法的接收方能够检验消息是否真实的过程。消息认证实际上是对消息产生的一个指纹信息——MAC（消息认证），消息认证码是利用密钥对待认证消息产生的新数据块，并对该数据块加密得到的。它对待保护的信息来说是唯一的，因此可以有效地保证消息的完整性，以及实现发送消息方的不可抵赖和不能伪造型 3.比较MD5和SHA-1的抗穷举攻击能力和运算速度。 由于MD5 与SHA-1均

17、是从MD4 发展而来，它们的结构和强度等特性有很多相似之处，表（1）是对MD5 与SHA-1 的结构比较。SHA-1与MD5 的最大区别在于其摘要比MD5 摘要长 32 比特。对于强行攻击，产生任何一个报文使之摘要等于给定报文摘要的难度：MD5 是2128 数量级的操作，SHA-1 是2160 数量级的操作。产生具有相同摘要的两个报文的难度：MD5是 264 是数量级的操作，SHA-1 是280 数量级的操作。因而,SHA-1 对强行攻击的强度更大。但由于SHA-1 的循环步骤比MD5 多（80:64）且要处理的缓存大（160 比特:128 比特），SHA-1 的运行速度比MD5 慢。

18、4.列出MD5和SHA-1的基本逻辑函数。 MD5基本逻辑函数：F(X,Y,Z)=(Z∧Y) ∨((乛X) ∧Z) G(X,Y,Z)=(X∧Z) ∨(Y∧(乛Z)) H(X,Y,Z)=X⊙Y⊙Z G(X,Y,Z)=Y⊙( ∨(X∧(乛Z)) SHA-1基本逻辑函数： f（X,Y,Z） 5.Woo-Lam协议一共7步，可以简化为以下五步： S1：A->B:Ekpb(N1||IDa) S2：B->KDC:IDb||IDa||Ekpk(N1) S3：KDC->B:Eksk(IDa||Kpa)||Ekpb(Eksk(N1||Ks||Idb)) S4：B->A：Ekpa(Eks

19、k(N1||Ks||IDb)||N2) S5：A->B:Eks(N2) 小写和数字均为角标在书写时应将其改为大写的角标 第四章 计算机病毒 一、选择题 1.关于计算机病毒，下面说法正确的是（计算机病毒可以通过读写磁盘和网络等方式传播） 2.与文件型病毒对比，蠕虫病毒不具有的特征是（寄生性） 二、填空题 1.与普通病毒不同，宏病毒不感染EXE文件和COM文件，也不需要通过引导区传播，它只感染文档文件. 2.计算机病毒一般由三个基本模块组成，即引导模块、传染模块和破坏/表现模块 三、简答题 1.简述计算机病毒的定义和基本特征 计算机病毒是一种靠修改其他程序来插入

20、或进行自身拷贝，从而感染其他程序的一段程序。 基本特征：传染性、破坏性、隐蔽性、寄生性、可触发性 2.计算机病毒分为哪几种类型？ 按病毒寄生方式分为：网络病毒、文件病毒、引导型病毒、混合型病毒。 按传播媒介分类：单机病毒、网络病毒 按病毒破坏性分类：良性病毒、恶性病毒 按计算机连接方式分类：源码型病毒、嵌入型病毒、外壳型病毒、译码型病毒、操作系统型病毒 按病毒攻击的操作系统分类：DOS病毒、WINDIWS病毒、其他系统病毒 3.简述计算机病毒的一般构成。 计算机病毒一般由三个基本模块组成，即安装模块，传染模块、破坏模块。 4.计算机病毒的制作技术有哪些？ 采用自加密技

21、术、特殊隐形技术、对抗计算机病毒防范系统、反跟踪技术 5.目前使用的查杀病毒的技术有哪些 特征代码法、校验和法、行为监测法、软件模拟法 6.什么是特洛伊木马？特洛伊木马一般由那几部分组成？ 木马的全称是特洛伊木马，实际上是一种典型的黑客程序，他是一种基于远程控制的黑客工具。 木马系统程序一般由两个部分组成：一个是服务器端程序，另一个是客户机程序。 第五章 网络攻击与防范技术 一、选择题 1.（ 拒绝服务攻击 ）是使计算机疲于响应这些经过伪装的不可到达客户的请求，从而使计算机不能响应正常的客户请求等，达到切断正常连接的目的。 2.（IP地址和端口扫描 ）

22、就是要确定你的IP地址是否可以到达，运行哪些操作系统，运行哪些服务器程序，是否有后门存在。 3.分布式拒绝服务（DDoS）攻击分为三层：（ 攻击者 ）、主控端、代理端，三者在攻击中扮演着不同的角色。 4.有一种称为嗅探器（ Sniffer ）的软件，它是通过捕获网络上传送的数据包来收集敏感数据，这些数据可能是用户的账号和密码，或者是一些机密数据。 5.攻击者在攻击之前的首要任务就是要明确攻击目标，这个过程通常称为（ 目标探测 ）。 6.从技术上说，网络容易受到攻击的原因主要是由于网络软件不完善和（ 网络协议 ）本身存在安全缺陷造成的。 7.每当新的操作系统、服务器程

23、序等软件发布后，黑客就会利用（ 各种软件漏洞攻击程序）寻找软件漏洞，从而达到导致计算机泄密、被非法使用，甚至崩溃等目的。 8.（ 分布式拒绝服务 ）攻击是指借助于客户机/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务工具的威力。 9.（ 包攻击 ）是一种破坏网络服务的技术，其根本目的是使受害者主机或网络失去即是接受处理外界请求，或及时回应外界请求的能力。 二、简答题 1.什么是目标探测？目标探测的方法有哪些？ 目标探测是通过自动或人工查询的方法获得与目标网络相关的物理和逻辑参数.方法:确定目标范围;分析目标网络路由

24、 2.从整个信息安全角度来看，目前扫描器主要有哪几种类型？ 主机扫描、端口扫描、漏洞扫描 3.如何有效防止端口扫描？ 关闭闲置和有潜在危险的端口、利用网络防火墙软件 4.网络监听主要原理是什么？ 将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收 5.如何检测网络监听？如何防范网络监听？ 对可能存在的网络监听的检测 　　（1）对于怀疑运行监听程序的计算机，用正确的IP地址和错误的物理地址Ping，运

25、行监听程序的计算机都会有响应。这是因为正常的计算机不接收错误的物理地址，处理监听状态的计算机能接收，但如果对方的Ipstack不再次反向检查的话，就会响应。（2）向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该计算机性能加以判断，这种方法难度比较大。（3）使用反监听工具如Antisniffer等进行检测。 　　对网络监听的防范措施 　　（1）从逻辑或物理上对网络分段 （2）以交换式集线器代替共享式集线器 （3）使用加密技术 　　（4）划分VLAN 　　 6.举例说明缓冲区溢出攻击的原理。 通过往程序的

26、缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。例如下面程序： 　　void function(char *str) { 　　char buffer[16]; strcpy(buffer,str); 　　} 　　上面的strcpy（）将直接把str中的内容copy到buffer中。这样只要str的长度大于16，就会造成buffer的溢出，使程序运行出错。存在像strcpy这样的问题的标准函数还有strcat（）、sprintf（）、vsprintf（）、gets（）、scanf（）

27、等。 　　当然，随便往缓冲区中填东西造成它溢出一般只会出现分段错误（Segmentation fault），而不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其它命令。如果该程序属于root且有suid权限的话，攻击者就获得了一个有root权限的shell，可以对系统进行任意操作了。 　　缓冲区溢出攻击之所以成为一种常见安全攻击手段其原因在于缓冲区溢出漏洞太普遍了，并且易于实现。而且，缓冲区溢出成为远程攻击的主要手段其原因在于缓冲区溢出漏洞给予了攻击者他所想要的一切：植入并且执行攻击代码。被植入的攻击代码以一定的权限运行有缓冲区溢出漏洞的程

28、序，从而得到被攻击主机的控制权。 7.如何防范缓冲区溢出攻击？ 编写正确的代码，及时安装漏洞补丁，借助于防火墙阻止缓冲区溢出 8.指出下列程序段存在的问题，并修改它。 char str[10]; char bigstr[20]; … while(scanf(“%20s”,bigstr)!=null) { bigstr[20]=’\0’; strcpy(str,bigstr,sizeof(str)); … } 存在数据溢出，因为bigstr数组的长度为20，而str数组长度为10，当把bigstr数组复制到str数组时，数据溢出。 10.什么是拒绝服务（D

29、OS）攻击？什么是分布式拒绝服务（DDOS）攻击 DOS攻击是一种既简单又有效的攻击方式，他是针对系统的可用性发起的攻击，通过某些手段使得目标系统或者网络不能提供正常的服务。 DDOS不仅仅是一台机器，而是多台机器合作，同时向一个目标发起攻击 11.如何有效防范DDoS攻击？ 及早发现系统存在的漏洞，提高网络系统的安全性； 经常检查系统的物理环境，禁止不必要的网络服务； 充分利用防火墙等网络安全设备，加固网络的安全性，配置好它们的安全规则，过滤掉所有可能伪造的数据包 12.什么是欺骗攻击？简述欺骗攻击的原理。 欺骗攻击是利用TCP/IP协议等本身的漏洞而进行的攻击行为。

30、 欺骗实质上就是一种冒充他人身份通过计算机认证骗取计算机信任的攻击方式。攻击者对认证机制的缺陷，将自己伪装成可信任方，从而与受害者进行交流，最终窃取信息或展开进一步的攻击。 第六章 防火墙技术 一、选择题 1.关于防火墙，以下（ 防火墙能阻止来自内部的威胁 ）说法是错误的。 2.防火墙是确保网络安全的重要之一,如下各项中可以由防火墙解决的一项网络安全问题是（从外部网伪装为内部网 ) 3.包过滤防火墙工作在OSI的（ 网络层 ）。 4.防火墙对数据包进行状态检测时，不进行检测过滤的是（ 数据包中的内容 ）。 二、填

31、空题 1.常见防火墙按采用的技术分类主要有静态包过滤防火墙、 动态包过滤防火墙 和 应用代理型防火墙 。 2. 双宿主主机 是防火墙体系的基本形态 3.应用层网关型防火墙的核心技术是代理服务器技术 。 三、简答题 1.什么是防火墙？古代防火墙与网络安全中的防火墙有何联系和区别？ 防火墙是一种隔离设备，是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，他是不同网络安全域之间通信流的唯一通道，能根据用户设置的安全策略控制进出网络的访问行为。 古代防火墙是人们在寓所之间砌起的一道砖墙，一旦火灾发生，能防止火灾蔓延到别的寓所。而网络安全中的防火墙是在网络和

32、Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部网络对本地网络的威胁和入侵，提供扼守本网络的安全和审计的唯一关卡，他的作用和古时候的防火砖墙有类似之处，因此把这个屏障叫做“防火墙”。 2.分析防火墙的局限性。 人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。有以下不足： 传统的防火墙在工作时，入侵者可以伪造数据绕过防火墙或者找到防火墙中可能开启的后门 防火墙不能防止来自网络内部的袭击 由于防火墙性能上的限制，通常它不具备实时监控入侵行为的能力 防火墙不能防御所有新的威胁 3.简述包过滤型防火墙的工作机制和包过滤类型 包过

33、滤型防火墙的工作在OSI网络参考模型的网络层和传输层。原理在于根据数据包头源地址。目标地址、端口号、和协议类型确定是否允许通过，只要满足过滤条件的数据包才被转发到响应的目的地，其余的数据包则被从数据流丢弃。第一代静态包过滤型防火墙以及第二代动态包过滤型防火墙。　 4.简述包过滤型防火墙的工作过程及特点 包过滤型防火墙工作在OSI网络参考模型中的网络层和传输层。它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许通过。 包过滤方式的优点是不用改动客户机和主机上的应用程序；缺点是很容易受到“地址欺骗型攻击” 5.简述代理防火墙的工作原理及特点。 代理防火墙也

34、叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用 应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。 特点：具有较强的安全性 。 9.状态检测防火墙的技术特点是什么？ 状态检测是比包过滤更为有效的安全控制方法。对新建的应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在

35、内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高 第七章 入侵检测技术 一、选择题 1.下列（检测和监视已成功的安全突破）功能是入侵检测实现的。 2.有一种攻击是不断对网络服务系统进行干预，改变其正常的作业流程，执行无关程序使系统响

36、应减慢甚至瘫痪。这种工具叫做（拒绝服务攻击）。 3.入侵检测系统的第一步是（ 信息采集 ）。 4.以下（ 捕捉可疑的网络活动 ）不属于入侵检测系统的功能。 二、填空题 1.根据信息的来源将入侵检测系统分为基于主机 的IDS，基于 网络 的IDS 2.PPDR模型包括策略、响应、防护和检测。 3.入侵检测技术分为异常检测和误用探测两大类。 三、简答题 1.什么是入侵检测系统？ 是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。 4.简述基于主机入侵检测系统的工作原理。 基于主机的IDS的输入数据来源于系统的审计日志

37、即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。它在重要的系统服务器工作站或用户机器上运行、监听操作系统或系统事件级别的可以活动，此系统需要定义清楚哪些不是合法的活动，然后把这种安全策略转换或入侵检测规则。 5.简述基于网络入侵检测系统的工作原理。 基于网络的IDS的输入数据来源于网络的信息流，该类系统一般被动的在网络上监听整个网段上的信息流，通过捕获网络数据包进行分析，能够检测该网段上发生的网络入侵。 6.简述误用检测的技术实现。 (1)基于专家系统的误用入侵检测 (2)基于模型推理的误用入侵检测 (3)基于状态转换分析的误用入侵检测 (4)基于条件概率的误用入侵检测 (5)基于键盘监控的误用入侵检测 7.简述异常检测的技术实现。 异常检测的技术实现方法 1、量化分析 2、统计分析 3、神经网络