信息安全第8章习题答案

3.在本章，我们讨论了访问控制列表（ACL）和访问能力列表（C-list）。a.请给出访问能力列表相对于访问控制列表的两个优势。解：1.方便权限回收2.比较容易判断出主体对客体有何种访问权限b.请给出访问控制列表相对于访问能力列表的两个优势。解：1.方便权限传递2.方便查询某个主体的所有授权访问26.在这一章，我们讨论了三种类型的防火墙：包括过滤防火墙、基于状态检测的包过滤防火墙以及应用代理防火墙。a.请问，上述三种防火墙都分别工作在IP网络协议栈中的哪个层次上？解：1.包过滤防火墙：网络层2.基于状态检测的包过滤防火墙：传输层，网络层3.应用代理防火墙：应用层b.请问，上述三种防火墙分别能够获得哪些信息？解：1.包过滤防火墙：源IP地址、目的IP地址、源端口、目的端口以及TCP标志位2.基于状态检测的包过滤防火墙：信息包括源IP地址、目的IP地址、源端口、目的端口以及TCP标志位3.应用代理防火墙：七层数据c.针对上述三种防火墙，请分别简要地讨论一个它们所面临的实际攻击的例子。解：1.包过滤防火墙：ip欺骗攻击，木马攻击2.基于状态检测的包过滤防火墙：协议隧道攻击，反弹木马攻击3.应用代理防火墙：非授权web访问，非授权Telnet访问36.从广义上讲，有两种不同类型的入侵检测系统，即基于特征的和基于异常行为的。a.请列举出基于特征的入侵检测系统相对于基于异常的入侵检测系统的若干优势。解：1.简单、高效(只要特征的数量不是太多)以及优秀的检测已知攻击的能力。2.能够发出比较明确具体的报警，因为这些特征都是与一些特定模式的攻击相匹配。b.请列举出基于异常的入侵检测系统相对于基于特征的入侵检测系统的若干优势。解：1.可以检测未知攻击2.可以检测到新的攻击3.对操作系统的依赖性小4.在不知道很多安全知识的情况下依然能检测出攻击行为答：可能检测出未知的攻击；如果特征文件较大的时候，基于异常的检测技术要好一点。c.请问，相比基于特征的入侵检测系统，为什么实现一个有效的基于异常的入侵检测系统天然地就更具有挑战性呢？解:1.我们必须要先确定对于系统来说正常的行为都包括什么，而当系统正常运行时这些行为一定会发生。2.随着系统使用方法的变化和系统自身的演化发展，这些正常行为的定义必须能够相应做出调整。3.还有涉及统计门限设定的难题。答：一个持续演进的异常检测系统意味着有可能给Trudy留出可乘之机。即使检测到了异常行为引发的报警可能也提供不了任何对系统管理员有用的具体信息，会让我们很难确定应该采取何种实质性的反应。40.假设根据表8.8中时间间隔的统计结果，Alice的文件使用统计情况为：A0=0.05，A1=0.25，A2=0.25，A3=0.45。a.请问，这是Alice的正常行为吗？解：s=(0.05-0.1)^2+(0.25-0.38)^2+(0.25-0.364)^2+(0.45-0.156)^2=0.11832;我们将s0.1的情况定义为正常，则在这个例子中s=0.11832,因为s0.1，所以Alice的访问不正常。b.请计算从H0到H3的更新值。解：H[0]:0.090000H[1]:0.354000H[2]:0.341200H[3]:0.214800