美国国防部高级研究计划局(DARPA)提出的公共入侵检测框架(Common Intrusion Detection Framework, CIDF)由4 个模块组成(如下图所示)。
①事件产生器(Event generators, E-boxes)。负责数据的采集,并将收集到的原始数据转换为事件,向系统的其他模块提供与事件有关的信息。
②事件分析器(EventAnalyzers, A-boxes)。接收事件信息并对其进行分析,判断是否为入侵行为或异常现象。
③事件数据库(EventDataBases,D-boxes)。存放有关事件的各种中间结果和最终数据的地方,可以是面向对象的数据库,也可以是一个文本文件。
④响应单元(Response units, R-boxes)。根据报警信息做出各种反应,强烈的反应就是断开连接、改变文件属性等,简单的反应就是发出系统提示,引起操作人员注意。
在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法中不包括(45)。
(45)A.匹配模式 B.密文分析 C.数据完整性分析 D.统计分析
【答案】B
解析
入侵检测系统由4个模块组成:事件产生器、事件分析器、事件数据库和响应单元。其中,事件分析器负责接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其分析方法有三种:
①模式匹配:将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为。
②统计分析:首先给系统对象(例如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为。
③数据完整性分析:主要关注文件或系统对象的属性是否被修改,这种方法往往用于亊后的审计分析。
