第一章習題答案１.1從物理安全和邏輯安全兩個方面描述計算機安全的內容.答：計算機安全的內容包括物理安全和邏輯安全兩方面。物理安全指系統設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全指計算機中信息和數據的安全，它存在于信息系統中從信息的產生、信息的傳輸、信息的存貯直至信息的應用這一全部過程，主要包括軟件的安全、數據的安全和運行的安全。軟件的安全是保護各種軟件及其文檔不被任意篡改、失效和非法復制，數據安全是保護所存貯的數據資源不被非法使用和修改，運行安全是保護信息系統能連續正確地運行。1.2 安全的計算機系統的特征有幾個，它們分別是什么？答：安全的計算機信息系統是指可以信賴的按照期望的方式運行的系統，它必須能夠保護整個系統使其免受任何形式的入侵。它一般應該具有以下幾個特征：● 機密性（confidentiality）：機密性是指數據不會泄漏給非授權的用戶、實體，也不會被非授權用戶使用，只有合法的授權用戶才能對機密的或受限的數據進行存取。● 完整性（Integrity）：完整性是指數據未經授權不能被改變。也就是說，完整性要求保持系統中數據的正確性和一致性。不管在什么情況下，都要保護數據不受破壞或者被篡改。● 可用性（Availability）：計算機資源和系統中的數據信息在系統合法用戶需要使用時，必須是可用的。即對授權用戶，系統應盡量避免系統資源被耗盡或服務被拒絕的情況出現。● 可控性（Controliability）：可控性是指可以控制授權范圍內的信息流向及行為方式，對信息的訪問、傳播以及具體內容具有控制能力。同時它還要求系統審計針對信息的訪問，當計算機中的泄密現象被檢測出后，計算機的安全系統必須能夠保存足夠的信息以追蹤和識別入侵攻擊者，入侵者對此不能夠抵賴。● 正確性（Correctness）：系統要盡量減少由于對事件的不正確判斷所引起的虛警（FalseAlarms）現象，要有較高的可靠性。如果虛警率太高，那么用戶的合法行為就會經常性地被打斷或者被禁止。這樣，不僅使得系統的可用性降低，而且也會使合法用戶對系統失去信心。1.3 描述并解釋Anderson在１９７２年提出的計算機安全模型．答：Anderson在1972年提出了計算機安全模型，如圖1.1所示。圖1.1計算機安全模型其各個模塊的功能如下:安全參考監視器控制主體能否訪問對象。授權數據庫并不是安全參考監視器的一部分，但是安全參考監視器要完成控制功能需要授權數據庫的幫助。識別與認證系統識別主體和對象。審計系統用來記錄系統的活動信息。該模型的實現采用訪問控制機制來保證系統安全。訪問控制機制識別與認證主體身份，根據授權數據庫的記錄決定是否可以允許主體訪問對象。1.4 描述并解釋P2DR模型.P2DR模型(Policy——策略，Protection—防護，Detection——檢測，Response——響應)是一種動態的、安全性高的網絡安全模型，如圖1.3所示。圖1.3P2DR模型它的基本思想是：以安全策略為核心，通過一致的檢查、流量統計、異常分析、模式匹配以及應用、目標、主機、網絡入侵檢查等方法進行安全漏洞檢測，檢測使系統從靜態防護轉化為動態防護，為系統快速響應提供了依據，當發現系統有異常時，根據系統安全策略快速作出響應，從而達到了保護系統安全的目的。防護、檢測和響應組成了一個完整的、動態的安全循環。在安全策略的指導下保證信息系統的安全。1．5傳統的安全技術有幾類，他們分別是什么？傳統的安全技術分為兩類：靜態安全技術和動態安全技術。所謂靜態安全技術，是指通過人工的方法，采用一些外圍設備，主要是用于保護系統抵御外部的攻擊，其代表產品就是我們常見的防火墻。動態安全技術的最大優點在于“主動性”，通過把實時的數據捕獲、實時的數據分析和網絡監視系統相結合，根據特定安全數據庫中的數據，經過分析，迅速發現危險攻擊的特征，進而發出警報，同時也提供一定的保護措施。1.6請描述傳統的安全機制 傳統的一些安全機制分不六類，如下： (1).數據加密技術.加密是指將一個信息經過加密鑰匙及加密函數轉換，變成無意義的密文，接收方則將此密文經過解密函數、解密鑰匙還原成明文。 (2).訪問控制技術.訪問控制技術按照事先確定的規則決定主體對客體的訪問是否合法。它要確定合法用戶對哪些系統資源享有何種權限、可進行什么類型的訪問操作，防止非法用戶進入計算機系統和合法用戶對系統資源的非法使用。 (3).認證技術.認證就是將特定實體從任意實體的集合中識別出來的行為。它以交換信息的方式來確認實體的身份。 (4).數據完整性控制技術.數據完整性控制技術是指能識別有效數據的一部分或全部信息被篡改的技術。數據完整性控制包括文件系統完整性控制及網絡傳輸信息的完整性。 (5).安全漏洞掃描技術.漏洞是指任意的允許非法用戶未經授權獲得訪問或提高其訪問層次的硬件或軟件特征。漏洞就是某種形式的脆弱性。漏洞掃描是自動檢測遠端或本地主機安全脆弱點的技術，它通過對系統當前的狀況進行掃描、分析，找出系統中存在的各種脆弱性，在此基礎上進一步考慮脆弱性的修補與消除。 (6).防火墻技術.防火墻是指安裝在內部網絡與Internet之間或者網絡與網絡之間的可以限制相互訪問的一種的安全保護措施。防火墻是在被保護網絡周邊建立的、分隔被保護網絡與外部網絡的系統，它在內部網與外部網之間形成了一道安全保護屏障。1．7防火墻技術在網絡安全中占有重要的地位，它可分為幾種類型？防火墻的優點與不足各是什么？防火墻可通過軟件和硬件相結合的方式來實現，當前比較成熟的防火墻實現技術從層次上主要有以下兩種：包過濾和應用層網關。包過濾技術主要在IP層實現。它根據包頭中所含的信息如源地址、目的地址等來判斷其能否通過。與包過濾相比，應用層網關在通信協議棧的更高層操作，提供更為安全的選項。它通常由兩部分組成：代理服務器和篩選路由器。這種防火墻技術是目前最通用的一種，它把過濾路由器技術和軟件代理技術結合在一起，由過濾路由器負責網絡的互聯，進行嚴格的數據選擇，應用代理則提供應用層服務的控制，中間轉接外部網絡向內部網絡申請的服務。防火墻具有以下優點：防火墻通過過濾不安全的服務，可以極大地提高網絡安全和減少子網中主機的風險；它可以提供對系統的訪問控制，如允許從外部訪問某些主機，同時禁止訪問另外的主機；阻止攻擊者獲取攻擊網絡系統的有用信息，如Finger和DNS；防火墻可以記錄和統計通過它的網絡通訊，提供關于網絡使用的統計數據，根據統計數據來判斷可能的攻相比，基于主機的系統必須在特定的、沒有遭到破壞的操作系統中才能正常工作，生成有用的結果。（7）可以配置在專門的機器上，不會占用被保護的設備上的任何資源。基于網絡的入侵檢測系統的主要缺點是：只能監視本網段的活動，精確度不高；在交換環境下難以配置；防入侵欺騙的能力較差；難以定位入侵者。2．5根據檢測原理，入侵檢測系統可以分為幾類？其原理分別是什么？根據檢測原理，將入侵檢測分為兩類：異常檢測和誤用檢測。1．異常檢測在異常檢測中，觀察到的不是已知的入侵行為，而是所研究的通信過程中的異常現象，它通過檢測系統的行為或使用情況的變化來完成。在建立該模型之前，首先必須建立統計概率模型，明確所觀察對象的正常情況，然后決定在何種程度上將一個行為標為“異常”，并如何做出具體決策。2．誤用檢測在誤用檢測中，入侵過程模型及它在被觀察系統中留下的蹤跡是決策的基礎。所以，可事先定義某些特征的行為是非法的，然后將觀察對象與之進行比較以做出判別。誤用檢測基于已知的系統缺陷和入侵模式，故又稱特征檢測。它能夠準確地檢測到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測系統未知的攻擊行為，從而產生漏報。第三章入侵的方法與手段答案3.1敘述計算機網絡的主要漏洞計算機網絡的主要漏洞有：(1)緩沖區溢出緩沖區溢出漏洞是很典型的一類漏洞，現有的漏洞很多都可以歸為此類。比如最近發現，OpenLDAP存在多個遠程緩沖區溢出漏洞。OpenLDAP是一款開放源代碼的輕量級目錄訪問協議（LDAP）實現，用于在網絡環境中發布信息，比如X.509證書或登錄信息。其源代碼被發現存在多個緩沖區邊界沒有正確檢查的問題，遠程攻擊者可以利用這些漏洞進行緩沖區溢出攻擊，并以OpenLDAP進程權限在系統上執行任意命令。(2)拒絕服務攻擊漏洞拒絕服務攻擊漏洞也是一類典型的漏洞。比如，Microsoft公司開發的HTTP服務器程序IIS。它的“Shtml.dll”組件對包含畸形HOST頭字段的HTTP請求處理存在問題，遠程攻擊者可以發送包含多個“/”字符的HOST頭信息給IIS服務器，這樣可以導致WEB服務崩潰，停止對合法請求的響應。(3)權限提升漏洞比如WindowsWM_TIMER消息處理權限提升漏洞。WM_TIMER消息一般在某一計時器超時時發送，可以用來使進程執行計時回調函數。WM_TIMER消息存在安全問題，本地或者利用終端服務訪問的攻擊者可以利用這個漏洞使用WM_TIMER消息利用其他高權限進程執行回調函數，造成權限提升，使本地用戶可以提升權限至管理用戶。(4)遠程命令執行漏洞比如，CobaltRaQ4管理接口遠程命令執行漏洞。這個漏洞只存在安裝了RaQ4加固安全包之后的RaQ4服務程序中。CobaltRaQ是一個基于Internet的服務應用程序，由Sun微系統公司發布和維護。CobaltRaQWEB管理接口在處理用戶提供的Email參數時缺少正確過濾，遠程攻擊者可以利用這個漏洞以WEB進程權限在系統上執行任意命令。(5)文件泄漏、信息泄漏漏洞比如KunaniFTP文件泄漏漏洞。KunaniFTPserver1.0.10存在一個漏洞，通過一個包含“../”的惡意請求可以對服務器進行目錄遍歷。遠程攻擊者可以利用這個漏洞訪問系統FTP目錄以外任意的文件。(7)其他類型的漏洞除了以上舉例說明的幾種漏洞外，按照漏洞造成的直接危害，還存在列舉出其他一些漏洞，比如腳本執行漏洞、可繞過認證漏洞、遠程訪問漏洞等，這里就不一一舉例。以上舉出的漏洞多數已經有補丁發布。3.2根據攻擊發生的方式，Anderson將攻擊如何分類？Anderson將攻擊分為三類:1. 外部滲透：就是非授權用戶對計算機系統進行的攻擊。2. 內部滲透：系統的合法用戶對其訪問權限以外的資源造成危害的攻擊。3. 不當行為：合法用戶對其訪問權限之內的數據或者其他資源的誤用行為。3.3敘述木馬發展的兩個階段。木馬的發展大致分為兩個階段。最初網絡以UNIX平臺為主的時候，木馬就產生了，當時的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統文件中，用跳轉指令來執行一些木馬的功能，這個時期木馬的設計者和使用者大都是些技術人員，必須具備相當的網絡和編程知識。WINDOWS平臺普及之后，一些基于圖形操作的木馬程序出現了。由于用戶界面的改善，使用者可以不必掌握太多的專業知識就能夠熟練的操作木馬，相對的木馬入侵事件發生率更高了，而且由于這個時期木馬的功能已日趨完善，因此對服務端的破壞也更大了。3.4敘述木馬的工作原理木馬一般又兩部分組成：服務器端，客戶端。在Windows系統中，木馬一般是一個網絡服務程序，服務器端運行于感染的機器上監聽它的一些特定端口，這個端口號多數比較大（5000以上，但也有部分是5000以下的）；當該木馬相應的客戶端程序在此端口上請求連接時，木馬的客戶端和服務器端就建立一個TCP連接，這樣客戶端就可以控制感染木馬的機器，以達到攻擊的目的。3.5木馬的隱蔽方式有哪些?木馬的隱藏方式:(1).修改圖標服務器的圖標必須能夠迷惑目標電腦的主人，如果木馬的圖標看上去象是系統文件，電腦的主人就不會輕易地刪除他。另外在Email的附件中，木馬設計者們將木馬服務端程序的圖標改成HTML、TXT、ZIP等各種文件的圖標,這樣就有相當大的迷惑性,現在這種木馬很常見。例如BO，它的圖標是透明的，并且沒有文件名，其后綴名是EXE，由于WINDOWS默認方式下不顯示后綴名的，所以在資源管理器中就看不到這個文件。(2).捆綁文件為了啟動木馬，最容易下手的地方是三個，注冊表、win.ini、system.ini，電腦啟動的時候，需要裝載這三個文件。還有替換windows啟動程序裝載的，例如schoolbus1.60版本。以上木馬的啟動方式都屬于非捆綁方式，大部分木馬是使用這幾種方式啟動的。但是非捆綁方法會在注冊表等位置留下痕跡，很容易發現。如果把木馬捆綁到一般的程序上，啟動是不確定的，但是要靠電腦主人啟動被捆綁的程序，木馬才會運行。捆綁方式是一種手動的安裝方式，一般捆綁的是非自動方式啟動的木馬。捆綁方式的木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等，位置的多變使木馬具有很強的隱蔽性。木馬phAse1.0版本和NetBus1.53版本就可以以捆綁方式裝到目標電腦上，捆綁到啟動程序上，也可以捆綁到一般程序的常用程序上。因此當安裝程序運行時,木馬就會在用戶毫無察覺的情況下進入了系統。有一點要說明的是，被捆綁的文件一般是可執行文件(即EXE,COM一類的文件)。(3).出錯顯示有一定木馬知識的人都知道,如果打開一個文件,沒有任何反應,這很可能就是個木馬程序,木馬的設計者也意識到了這個缺陷,所以已經有木馬提供了一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時,會彈出一個錯誤提示框,錯誤內容可自由定義,大多會定制成一些諸如“文件已破壞，無法打開！”之類的信息，其實卻是啟動木馬。(4).定制端口很多老式的木馬端口都是固定的,這使得木馬隱蔽性較差，只要查一下特定的端口就知道感染了什么木馬,這樣就可以很容易的把它刪除。像netspy的端口號是7306，冰河的端口號是7626。現在很多新式木馬已經可以定制端口,控制端用戶可以在1024---65535之間任選一個端口作為木馬端口(一般不選1024以下的端口)，這樣要判斷所感染木馬的類型就不太容易了。像SUB7默認的端口是1243，如果沒有改變，利用SUB7的刪除方法很容易就刪除了，但是如果把端口改成7626，計算機使用者就會感到混淆。(5).自我銷毀這項功能是為了彌補木馬的一個缺陷。我們知道當服務端用戶打開含有木馬的文件后，木馬會將自己拷貝到WINDOWS的系統文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下)，一般來說原木馬文件和系統文件夾中的木馬文件的大小是一樣的(捆綁文件的木馬除外),那么中了木馬的人只要在近來收到的信件和下載的軟件中找到原木馬文件,然后根據原木馬的大小在系統目錄的文件夾查找相同大小的文件,然后判斷哪一個是木馬。而木馬的自我銷毀功能是指安裝完木馬后，原木馬文件將自動銷毀，這樣服務端用戶就很難找到木馬的來源，給查找、刪除木馬帶來困難。(6)木馬文件的文件名、存放位置在windows系統中木馬存放的位置一般是c:\windows和c:\windows\system中，主要是因為這兩個目錄下面的文件大都是系統文件，并且文件最多。木馬的文件名一般是與一些系統的文件名比較接近，以達到迷惑受害人的目的。比如木馬SubSeven1.7版本的服務器文件名是c:\windows\KERNEL16.DL，它與windows中的一個系統文件c:\windows\KERNEL32.DLL很相近。再例如phAse1.0版本生成的木馬文件名是C:\windows\Msgsrv32.exe,與windows系統文件C:\windows\system\Msgsrv32.exe文件名一樣。(7).隱蔽運行既然是木馬，當然不會那么容易讓你看出破綻，對于程序設計人員來說，要隱藏自己所設計的窗口程序，主要途徑有：在任務欄中將窗口隱藏，這個只要把Form的Visible屬性調整為False，ShowInTaskBar也設為False。那么程序運行時就不會出現在任務欄中了。如果要在任務管理器中隱身，只要將程序調整為系統服務程序就可以了。另外還有一些木馬運行的時候其進程也是隱藏起來的。3.6木馬的觸發條件主要有幾種？木馬的觸發條件主要有以下幾種：1).注冊表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五個以Run和RunServices主鍵,有些木馬安裝在機器上以后，在其中可以尋找到啟動木馬的鍵值。2).WIN.INI:C:\WINDOWS目錄下有一個配置文件win.ini，用文本方式打開，在[windows]字段中有啟動命令load=和run=,在一般情況下是空白的,如果有啟動程序,可能是木馬。3).SYSTEM.INI:C:\WINDOWS目錄下有個配置文件system.ini，用文本方式打開，在[386Enh],[mic]，[drivers32]中有命令行,在其中尋找木馬的啟動命令。4).Autoexec.bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務端建立連接后，將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行。5).*.INI:即應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件，6).注冊表:打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵,查看其鍵值。舉個例子,國產木馬“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值,將“C:\WINDOWS\NOTEPAD.EXE%1”改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%1”。如果雙擊一個TXT文件后，原本是應用NOTEPAD打開文件的，現在卻變成啟動木馬程序了。另外通過修改HTML，EXE，ZIP等文件的啟動命令的鍵值都可以啟動木馬，不同之處只在于“文件類型”這個主鍵的差別.7).捆綁文件:實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應用程序捆綁在一起，然后上傳到服務端覆蓋原文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。8).啟動菜單.3.7木馬的破解方法有哪些？1. 端口掃描端口掃描是檢查遠程機器有無木馬的最好辦法,端口掃描的原理非常簡單,掃描程序嘗試連接某個端口,因為B機裝有木馬程序，所以它的木馬端口7626是處于開放狀態的，如果成功,則說明端口開放,如果失敗或超過某個特定的時間(超時),則說明端口關閉。2. 檢查注冊表3. 查找文件4. 殺病毒軟件第四章 入侵檢測的信息源答案4.1 基于主機的IDS和基于網絡的IDS各有哪些優缺點？基于主機的IDS優點:基于主機的IDS分析來自單個的計算機系統的系統審計跡和系統日志來檢測攻擊，它主要是用來保護網絡中比較重要的主機;基于主機的IDS分析的信息來自于單個的計算機系統，因此視野比較集中，這個優點使得它能夠相對精確、相對可靠地分析入侵活動，確定是否存在針對某臺主機的攻擊，是誰進行的攻擊。4.2 信息源如何分類？每一類信息源又包括哪些？信息源可以分為基于主機的信息源和基于網絡的信息源。基于主機的信息源主要包括操作系統審計跡（operatingsystemaudittrail）、系統日志文件和其他應用程序的日志文件，基于網絡的數據源主要是指網絡數據包。4.3 操作系統審計跡與系統日志有哪些不同之處？操作系統審計跡一般是由操作系統的內核產生，它比系統日志保護得更好，更加詳細。系統日志則比較簡單明了，比較容易理解。許多基于主機的IDS被設計成一種支持集中式IDS的管理和報告基礎結構，這種基礎結構允許一個管理控制臺跟蹤多個主機。第五章入侵檢測方法與應用答案5.1請描述數據挖掘技術在入侵檢測方面的應用.數據挖掘是數據庫中的一項技術，它的作用就是從大型數據集中抽取知識。對于入侵檢測系統來說，也需要從大量的數據中提取出入侵的特征。因此就有學者將數據挖掘技術引入到入侵檢測系統中，通過數據挖掘程序處理搜集到的審計數據，為各種入侵行為和正常操作建立精確的行為模式，這是一個自動的過程。數據挖掘方法的關鍵點在于算法的選取和建立一個正確的體系結構。5.2請描述基于數據挖掘的用戶鍵盤及鼠標異常檢測模塊的實現思想. 基本思想如下：擊鍵韻律最先是由RickJoyce和GopalGupta作為認證手段提出的，并取得了一定的成果。實驗數據表明，不同用戶之間擊鍵韻律存在可以進行鑒別的差別，同理，不同用戶對鼠標的使用也有各自的特征。本文著眼于用戶鍵盤和鼠標的行為特征，將其作為分析對象，應用數據挖掘技術進行異常檢測。從對用戶正常行為活動的描述方面開辟了新的方法，同時針對于這種數據，對Apriori關聯規則算法進行了改進，還將分類算法和漏桶算法相結合進行實時檢測。5.3請對基于數據融合的入侵檢測系統做簡單的描述.當前入侵檢測系統中存在的誤報率、漏報率過高的問題，基于數據融合技術的入侵檢測技術從總體上考慮入侵檢測，具有靈活、易實現、易擴展的特點。多傳感器數據融合的思想就是通過處理IDS報警數據，從而改進報警的質量。在IDS系統中采用數據融合技術，可以聯合使用多種不同類型的IDS，通過對不同類型IDS產生的報警進行融合處理，并對聯合的數據進行推理，可以生成報警的多層位置攻擊描述抽象，這樣在一定程度上解決了誤報率問題。數據融合的步驟主要有以下向步：檢測，數據校準發，相關（關聯），狀態估計，目標識別，行為估計等。數據融合的關鍵問題是：數據轉換、數據相關、數據庫、融合推理和融合損失等：5.4對于一個面向企業網的分布式IDS系統,請描述其總體設計結構(1).系統總體組成系統的總體組成包括在自頂向下設計系統的過程中，處在最上層的那部分組件，我們稱為“一級組件”，包括：一級管理中心（TopManager）、二級管理中心（localManager）、網絡檢測代理（Network-basedAgent）、服務器代理（ServerAgent）、出口檢測代理（AccessAgent）。(2).總體結構描述本體系采用了多種的代理（agent）分類策略，在兩級（管理中心）的控制之下聯合協作，檢測發生在企業網之內的入侵事件，并及時做出反應措施。這個體系可以抽象成是一種“代理－管理中心”結構，一部分是各個功能不同的代理，另一部分是兩級管理中心。本結構的一個重要的特點是采用樹形、分級的檢測管理的策略來實現體系結構。所謂樹形，就是根節點是“一級管理中心”，“一級管理中心”下屬節點是“二級管理中心”，葉節點是受管理的具有各種功能的代理（Agent）。“一級管理中心”直接和控制“二級管理中心”，同時“二級管理中心”只控制和自己直接相連的下一級節點。5.5請描述可入侵容忍的分布式協同入侵檢測系統體系結構.分布式入侵檢測體系結構具有一定的入侵容忍能力，可進行一些協同操作。其體系結構如下圖所示：圖5.1可入侵容忍的分布式協同入侵檢測系統體系結構該體系結構包括相互補充的功能模塊來提供更強大、更全面的檢測能力。在與其它安全系統協同時還可集成標準的網絡管理功能以便于以后的自動響應。該體系結構包括本地檢測子系統、協同分析器、監控器以及總控制管理器。每部分都包括一個收發器，不過為了便于顯示，只在本地檢測子系統中給出了收發器。本地收發器完成基本的檢測，并向上發送經過篩選的標準化格式的數據，接收控制管理器的管理。協同分析器關聯分析來自多個本地檢測子系統的數據，完成更復雜的檢測功能。在實現中可能會包含多級協同分析器。運行監控器監控關鍵組件的運行（具體是哪些組件可進行配置），一旦出現問題就采取相應的安全措施。控制管理器是整個體系結構的核心，完成對安全策略的實現以及對各組件的管理和控制。第六章典型的入侵檢測系統介紹答案6.1 在入侵檢測系統中引入代理和移動代理技術的優缺點？使用移動代理有如下優點：(1).移動代理可以自主執行，動態適應移動代理具備一定的自主性和智能性，它提供一種靈活多樣的運行機制，使得自身可以比較“聰明”地適應所處的環境，對環境的變化做出反應，比如移動代理可以移動到負載較重的地方，協助處理數據以實現負載的平衡。同時移動代理也可以方便地被系統中負責管理移動代理的協調模塊進行克隆、分派、掛起、回收（或殺死）。(2).使用移動代理可以減輕網絡負載和減少網絡延時，減少系統內部通信量由于移動代理可以移動到事發地進行現場處理，因此使用移動代理可以有效減輕和平衡網絡負載，有利于提高網絡的使用效率，減小網絡延時。需要在網絡中傳輸的數據少了，系統內部的通信量也就減少了。(3).移動代理可以運行于多種平臺之上，或說代理的運行是與平臺無關的由于移動代理可以從一種平臺移動到另一種平臺，移動后仍能正常運行，因此移動代理的運行是與平臺無關的。移動代理的這種性能對于系統及時采取響應很有好處，因為入侵和對入侵的響應隨處都可能存在和發生。(4).使用移動代理可以實時就地采取響應措施這是移動代理最大的優點和潛力。由于入侵是不可預知的，而響應又需要及時作出，再加之移動代理可以跨平臺運行，因此采用移動代理對于加強和完善大規模分布式入侵檢測系統的響應機制很有幫助。使用移動代理可以從攻擊的目標主機進行響應，從發動攻擊的源主機進行響應，可以及時切斷源主機和目標主機的連接。另外，使用移動代理還可以實現對入侵者的追蹤。(5).移動代理的使用有利于大規模分布式入侵檢測系統的分布式結構和模塊化設計的實現第七章對入侵檢測系統的評價及發展方向答案7.1 評價一個入侵檢測系統的優劣，從技術角度看主要從哪幾方面來考察？從技術的角度看，一個好的入侵檢測系統，應該具有以下特點：(1).檢測效率高.一個好的入侵檢測系統，應該有比較高的效率，也就是它可以快速處理數據包，不會出現漏包、丟包或網絡擁塞現象。(2).資源占用率小.一個好的入侵檢測系統應該盡量少地占用系統的資源，比如內存、對于CPU的使用等。(3).開放性.一個好的入侵檢測系統應該是開放式結構，允許第三方和用戶對系統進行擴展和維護.(4).完備性.一個好的入侵檢測系統，應該具備自學習、事后推理、策略反饋等能力，以使得入侵檢測系統具有一定的智能，從而能較好地識別未知攻擊。(5).安全性.一個好的入侵檢測系統，應該保證自身的安全，使自己不會輕易被攻破。7.2 對入侵檢測系統進行測試和評估有哪些作用？對入侵檢測進行測試和評估，具有以下作用：(1).有助于更好的顯現入侵檢測系統的特征。通過測試評估，可更好的認識理解入侵檢測的處理方法、所需資源及測試環境；建立比較入侵檢測系統的基準；領會各檢測方法之間的關系；(2).對入侵檢測系統的各項性能進行評估。確定入侵檢測系統的性能級別及其對運行環境的影響；(3).利用測試和評估結果，可作出一些預測。推斷入侵檢測系統發展的趨勢，估計風險，制定可實現的入侵檢測系統質量目標（比如，可靠性、可用性、速度、精確度）、花費以及開發進度；(4).根據測試和評估結果，對入侵檢測系統進行改善。也就是發現系統中存在的問題并