来源:蜘蛛抓取(WebSpider)
时间:2014-11-18 06:23
标签:
数据收集整理ppt
您现在的位置:&>>&&>>&&>>&&>>&正文
《统计分析软件应用》课后习题
《统计分析软件应用》课后习题
作者/编辑:佚名
[]预览:SPSS统计分析软件概述 1、 SPSS有哪两个主要窗口?它们的作用和特点各是什么? 2、 SPSS有哪三种主要使用方式?各自的特点是什么? 3、 .sav、.spo、.sps分别是SPSS哪类文件的扩展名? 4、 在SPSS的输出窗口中应如何操作才可将不同分析结果保存到不同文件中? 5、 SPSS的数据加工和管理功能主要集中在哪些菜单中?统计绘图和分析功能主要集中在哪些菜单中? 6、 利用SPSS进行数据分析的一般基本步骤是什么? 7、 试利用SPSS的统计教练功能,浏览SPSS的主要统计功能。 SPSS数据文件的建立和管理 1、 SPSS中有哪两种基本的数据组织形式?各自的特点和应用场合是什么? 2、在定义SPSS数据结构时,默认的变量名和变量类型是什么?如果希望增强SPSS统计分析结果的易读性,还需要对数据结构的哪些方面进行必要说明? 3、 你认为SPSS数据窗口与Excel工作表,在基本操作方式和数据组织形式方面有什么异同? 4、现有两个SPSS数据文件,分别名为“学生成绩一.sav”和“学生成绩二.sav”,存放了关于学生学号、性别和若干门课程成绩的数据。请将这两份数据文件以学号为关键变量进行横向合并,形成一个完整的数据文件。 5、 收集到以下关于两种减肥产品试用情况的调查数据,请问在SPSS中应如何组织该份资料? 6、有一份关于居民储蓄调查的模拟数据存储在Excel中,文件名为“居民储蓄调查数据.xls”。该数据的第一行是变量名,格式如下图所示。请将该份数据转换成SPSS数据文件,并在SPSS中指定其变量名标签和变量值标签。(该份数据的具体含义见Excel文件的后半部分) 7、针对当前学校或社会关心的热点问题,以小组形式设计一份调查问卷并进行调查。试在SPSS中录入所获得的调查数据形成一份SPSS数据文件。其中,变量的类型应包括字符型和数字型,变量的计量尺度应包括定距型、定类型和定序型。如果调查资料中存在缺失数据应在SPSS数据文件建立过程中进行必要的定义说明。 SPSS数据的预处理 1、利用习题二第6题数据,采用SPSS数据筛选功能将数据分成两份文件。其中,第一份数据文件存储常住地是“沿海或中心繁华城市”且本次存款金额在之间的调查数据;第二份数据文件是按照简单随机抽样所选取的70%的样本数据。 2、 利用习题二第6题数据,将其按常住地(升序)、收入水平(升序)、存款金额(降序)进行多重排序。 3、 利用习题二第4题的完整数据,对每个学生计算得优课程数和得良课程数,并按得优课程数的降序排序。 4、 利用习题二第4题的完整数据,计算每个学生课程的平均分以及标准差。同时,计算男生和女生各科成绩的平均分。 5、 利用习题二第6题数据,大致浏览存款金额的数据分布状况,并选择恰当的组限和组距进行组距分组。 6、在习题二第6题数据中,如果认为调查中“今年的收入比去年增加”且“预计未来一两年收入仍会增加”的人是对自己收入比较满意和乐观的人,请利用SPSS的计数和数据筛选功能找到这些人。 7、 对习题二第5题数据,选择恰当的加权变量进行加权处理进而还原为原始数据为后续分析做准备。 8、 利用SPSS的变量计算功能,随机生成服从标准正态分布的100个样本数据。 SPSS基本统计分析 1、 利用习题二第6题数据采用SPSS频数分析,分析被调查者的常住地、职业和年龄分布特征,并绘制条形图。 2、利用习题二第6题数据,从数据的集中趋势、离散程度以及分布形状等角度,分析被调查者本次存款金额的基本特征,并与标准正态分布曲线进行对比。进一步,对不同常住地储户存款金额的基本特征进行对比分析。 3、利用习题二第6题数据,如果假设存款金额服从正态分布,能否利用本章所讲解的功能,找到存款金额“与众不同”的样本,并说明理由。 4、 简述SPSS的“Sort”功能与“Split”功能的不同。 5、 利用习题二第6题数据,结合被调查者的常住地或职业或年龄状况,分析储户的收入分布特征。 6、三代同堂的家庭中,婆婆与儿媳妇关系紧张的现象并不少见,为了了解住房条件对婆媳关系的影响,对600户家庭进行了调查并进行了列联分析,如下表: 1) 补充表中第一行和第四行空缺的计算结果。 2) 写出卡方检验的统计量并说明其构造基本原理。 3) 婆媳关系与住房条件有无联系? 7、 利用习题二第5题资料,分析两种减肥产品所产生的效果分布是否一致。 8、下面第一幅图是某班同学对班级体活动满意度调查的部分数据。其中,t4_1、t4_2、t4_3是分别为你最满意的一次活动、你比较满意的一次活动和你认为最不满意一次活动。为分析哪次集体活动受到了同学们的广泛认可和满意,根据所获得的数据,可在SPSS中进行多选项分析。 请问:上面第二幅图所示的窗口是做什么用的?针对上述问题应在该窗口中进行怎样的操作。 9、 说明习题二第6题资料中的多选项问题是按照哪种拆分方式拆分的。利用多选项分析被调查者本次存款的最主要目的是什么。 SPSS的参数检验 1、某公司经理宣称他的雇员英语水平很高,如果按照英语六级考试的话,一般平均得分为75分。现从雇员中随机选出11人参加考试,得分如下: 80, 81, 72, 60, 78, 65, 56, 79, 77,87, 76 请问该经理的宣称是否可信。 2、经济学家认为决策者是对事实做出反应,不是对提出事实的方式做出反应。然而心理学家则倾向于认为提出事实的方式是有关系的。为验证哪种观点更站得住脚,调查者分别以下面两种不同的方式随机访问了足球球迷。 l
方式一:假设你已经买了100元一张的足球票,当你来到足球场门口时,发现票丢了且再也找不到了。球场还有票出售。你会再掏出100元买一张球票吗?(1.买 0.不买)。随机访问了200人,其中:92人回答买; l
方式二:你想看足球赛,100元一张票。当你来到足球场买票时,发现丢了100元钱。你口袋中还有钱,此时你还会付100元买一张球票吗?(1.买 0.不买)。随机访问了183人,其中:161人回答买; 请恰当建立SPSS数据文件,并利用本章所学习的参数检验方法,说明你更倾向于那种观点,为什么? 3、一种植物只开兰花和白花。按照某权威建立的遗传模型,该植物杂交的后代有75%的几率开兰花,25%的几率开白花。现从杂交种子中随机挑选200颗,种植后发现142株开了兰花,请利用SPSS进行分析,说明这与遗传模型是否一致? 4、 给幼鼠喂以不同的饲料,用以下两种方法设计实验: l
方式1:同一鼠喂不同的饲料所测得的体内钙留存量数据如下: l
方式2:甲组有12只喂饲料1,乙组有9只喂饲料2所测得的钙留存量数据如下
请选用恰当方法对上述两种方式所获得的数据进行分析,研究不同饲料是否使幼鼠体内钙的留存量有显著不同。 5、如果将习题二第4题的数据看作是来自总体的样本,试分析男生和女生的课程平均分是否存在显著差异? 6、 如果将习题二第4题的数据看作是来自总体的样本,试分析哪些课程的平均分差异不显著。 7、 以下是对促销人员进行培训前后的促销数据: 试分析该培训是否产生了显著效果。 SPSS的方差分析 1、入户推销有五种方法。某大公司想比较这五种方法有无显著的效果差异,设计了一项实验。从应聘人员中尚无推销经验的人员中随机挑选一部分人,并随机地将他们分为五个组,每组用一种推销方法培训。一段时期后得到他们在一个月内的推销额,如下表所示: 1) 请利用单因素方差分析方法分析这五种推销方式是否存在显著差异。 2) 绘制各组的均值对比图,并利用LSD方法进行多重比较检验。 2、为研究某种降血压药的适用特点,在五类具有不同临床特征的高血压患者中随机挑选了若干志愿者进行对比试验,并获得了服用该降压药后的血压变化数据。现对该数据进行单因素方差分析,所得部分分析结果如下表所示。 1) 请根据表格数据说明以上分析是否满足方差分析的前提要求,为什么? 2) 请填写表中空缺部分的数据结果,并说明该降压药对不同组患者的降压效果是否存在显著差异。 3) 如果该降压药对不同组患者的降压效果存在显著差异,那么该降压药更适合哪组患者? 3、 为研究某商品在不同地区和不同日期的销售差异性,调查收集了以下日平均销售量数据。 1) 选择恰当的数据组织方式建立关于上述数据的SPSS数据文件 2) 利用多因素方差分析方法,分析不同地区和不同日期对该商品的销售是否产生了显著影响 3)地区和日期是否对该商品的销售产生了交互影响。若没有显著的交互影响,则试建立非饱和模型进行分析,并与饱和模型进行对比。 4、下面的表格记录了某公司采用新、旧两种培训方式对新员工进行培训前后的工作能力评分增加情况的数据。现需要比较这两种培训方式的效果有无差别,考虑到加盟公司时间可能也是影响因素,将加盟时间按月进行了纪录。
1)请选择适当的数据组织方式将以上数据录入到SPSS资料编辑窗口,变量名保持不变,并定义各变量的变量值标签,变量Method的变量值标签(1为旧方法,2为新方法)。 2) 按不同的培训方法计算加盟时间、评分增加量的平均数。 3) 在剔除加盟时间影响的前提下,分析两种培训方式的效果有无差别,并说明理由。 SPSS的非参数检验 1、 为分析不同年龄段人群对某商品满意程度的异同,进行随机调查收集到以下数据: 请选择恰当的非参数检验方法,以恰当形式组织上述数据,分析不同年龄段人群对该商品满意程度的分布状况是否一致。 2、利用习题二第6题数据,选择恰当的非参数检验方法,分析本次存款金额的总体分布与正态分布是否存在显著差异。 3、利用习题二第6题数据,选择恰当的非参数检验方法,分析不同常住地人群本次存款金额的总体分布是否存在显著差异。 4、利用习题二第6题数据,选择恰当的非参数检验方法,分析不同收入人群本次存款金额的总体分布是否存在显著差异。 5、选择恰当的非参数检验方法,对“裁判打分.sav”数据随机选取10%的样本,并以恰当形式重新组织数据后,分析不同国家裁判对运动员的打分标准是否一致。 6、为分析大众对牛奶品牌是否具有偏好性,随机挑选超市了收集其周一至周六各天三种品牌牛奶的日销售额数据,如下表: 请选择恰当的非参数检验方法,以恰当形式组织上述数据进行分析,并说明分析结论。
SPSS的相关分析 1、 对15家商业企业进行客户满意度调查,同时聘请相关专家对这15家企业的综合竞争力进行评分,结果如下表。 编号 客户满意度得分 综合竞争力得分 编号 客户满意度得分 综合竞争力得分 1 90 70 9 10 60 2 100 80 10 20 30 3 150 150 11 80 100 4 130 140 12 70 110 5 120 90 13 30 10 6 110 120 14 50 40 7 40 20 15 60 50 8 140 130
请问,这些数据能否说明企业的客户满意度与其综合竞争力存在较强的正相关,为什么? 2、为研究香烟消耗量与肺癌死亡率的关系,收集下表数据。(说明:1930年左右几乎极少的妇女吸烟;采用1950年的肺癌死亡率是考虑到吸烟的效果需要一段时间才可显现)。 国家 1930年人均香烟消耗量 1950年每百万男子中死于肺癌的人数 澳大利亚 480 180 加拿大 500 150 丹麦 380 170 芬兰
荷兰 490 240 冰岛 230 60 挪威 250 90 瑞典 300 110 瑞士 510 250 美国
绘制上述数据的散点图,并计算相关系数,说明香烟消耗量与肺癌死亡率之间是否存在显著的相关关系。 3、 收集到某商品在不同地区的销售额、销售价格以及该地区平均家庭收入的数据,如下表:
1)绘制销售额、销售价格以及家庭收入两两变量间的散点图。如果所绘制的图形不能较清晰地展示变量之间的关系,应对数据如何处理后再绘图。 2) 选择恰当的统计方法分析销售额与销售价格之间的相关关系。 SPSS的线性回归分析 1、利用习题二第4题的数据,任意选择两门课程成绩作为解释变量和被解释变量,利用SPSS提供的绘制散点图功能进行一元线性回归分析。请绘制全部样本以及不同性别下两门课程成绩的散点图,并在图上绘制三条回归直线,其中,第一条针对全体样本,第二和第三条分别针对男生样本和女生样本,并对各回归直线的拟和效果进行评价。 2、 请说明线性回归分析与相关分析的关系是怎样的? 3、 请说明为什么需要对线性回归方程进行统计检验?一般需要对哪些方面进行检验? 4、 请说明SPSS多元线性回归分析中提供了哪几种解释变量筛选策略? 5、先收集到若干年粮食总产量以及播种面积、使用化肥量、农业劳动人数等数据,请利用建立多元线性回归方程,分析影响粮食总产量的主要因素。数据文件名为“粮食总产量.sav”。 6、一家产品销售公司在30个地区设有销售分公司。为研究产品销售量(y)与该公司的销售价格(x1)、各地区的年人均收入(x2)、广告费用(x3)之间的关系,搜集到30个地区的有关数据。进行多元线性回归分析所得的部分分析结果如下: 1) 将第一张表中的所缺数值补齐。 2) 写出销售量与销售价格、年人均收入、广告费用的多元线性回归方程,并解释各回归系数的意义。 3) 检验回归方程的线性关系是否显著? 4) 检验各回归系数是否显著? 5) 计算判定系数,并解释它的实际意义。 6) 计算回归方程的估计标准误差,并解释它的实际意义。 7、试根据“粮食总产量.sav”数据,利用SPSS曲线估计方法选择恰当模型,对样本期外的粮食总产量进行外推预测,并对平均预测误差进行估计。 SPSS的聚类分析 1、 已知我国南方8个少数民族11个生活方式指标的均值数据,进行层次聚类分析,部分结果如下: 1) 结合上述分析结果,说明这8个少数民族依据生活方式的聚类过程。 2) 结合上述分析结果,绘制聚类树形图。 3) 如果将这8个少数民族依生活方式分成三类,哪些少数民族分为了一类? 2、 根据“高校科研研究.sav”数据,利用层次聚类分析对各省市的高校科研情况进行层次聚类分析。要求: 1) 根据凝聚状态表利用碎石图对聚类类数进行研究。 2) 绘制聚类树形图,说明哪些省市聚在一起。 3) 绘制各类的科研指标的均值对比图。 4) 利用方差分析方法分析各类在哪些科研指标上存在显著差异。 3、 试说明当变量存在数量级上的差异,进行层次聚类分析时为什么要对数据进行标准化处理? 4、 试说明变量之间的高度相关性是否会对层次聚类分析结果造成影响?为什么? 5、 试说明K-Mean聚类分析的基本步骤。 SPSS的因子分析 1、 简述因子分析的主要步骤是什么? 2、 下表是对我国1995年固定资产投资数据进行因子分析的结果。 1) 根据表格结果,从变量共同度的角度,计算并写出必要数据对因子分析结果进行评价。 2) 根据表格结果,从因子方差贡献的角度,计算并写出必要数据对因子分析结果进行评价。 3) 你认为本次因子分析的总体效果是否理想。 3、某年在中国学生体质调查中对身高、坐高、体重、胸围、肩宽、骨盆宽六项指针进行了调查。现根据调查数据对上述六个指针进行了因子分析,如下表: 1) 从变量共同度的角度,计算并写出必要数据对因子分析结果进行评价。 2) 从因子方差贡献的角度,计算并写出必要数据对因子分析结果进行评价。 3) 本次因子分析是如何确定因子个数的? 4) 试对因子进行命名解释。 4、 对“基本建设投资分析.sav”数据进行因子分析。要求: 1)利用主成分方法,以特征根大于1为原则提取因子变量,并从变量共同度角度评价因子分析的效果。如果因子分析效果不理想,再重新指定因子个数并进行分析,对两次分析结果进行对比。 2) 对比未旋转的因子载荷矩阵和利用方差极大法进行旋转的因子载荷矩阵,直观理解因子旋转对因子命名可解释性的作用。 《》出处:.cn/s/blog_0spvc.html
《统计分析软件应用》课后习题所属栏目:〖〗
〖〗链接地址:
教育提供的《统计分析软件应用》课后习题由网友原创或转发,若《统计分析软件应用》课后习题侵犯了您的权益,请与本站联系,谢谢!
上一篇文章: 下一篇文章:
《统计分析软件应用》课后习题相关文章
没有推荐文章收集数据时常用的调查方法有哪些_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
收集数据时常用的调查方法有哪些
普查,抽样调查,现在还有网络调查然后具体看你收集是什么数据信息,现在用的比较广泛的是网络调查,这个是现在比较方便的一直调查方式,而且现在也有比较多的网站都可以帮你。我要调查网站就可以做着个,一般现在最常规的调查就是网络调查了
采纳率:72%
//:整个访谈过程是访谈者与儿童相互影响;////,避免了研究的盲目性和主观性;////// 观察法观察法是研究者通过感官或一定的仪器设备;//,特别是实践中有重要的作用。它的最大特点在于,来收集儿童心理和行为的数据资料的一种研究方法。其特点是标准化程度比较高,了解和收集他们有关的心理与行为特征的数据资料的一种研究方法,也便于定量分析。问卷法问卷法是研究者用统一。因此,观察法是学校心理学研究的最基本、最普遍的一种方法、有计划地观察儿童的心理和行为表现,并由此分析儿童心理和行为特征和规律的一种方法;//、相互作用的过程,有目的。这种方法在学校心理学的研究;////。访谈法访谈法是研究者通过与儿童进行口头交谈;//。儿童的心理活动有突出的外显性,通过观察其外部行为,可以了解他的心理特征;//、严格设计的问卷;//抽样 整群 抽样
//,而且能在较短时间内收集到大量的资料;//
民意调查法,实地调查法,媒体查询法…
抽样调查和全面调查
抽样调查 普查
其他2条回答
为您推荐:
其他类似问题
等待您来回答您的位置:&&推荐的文章
1.什么是误用入侵检测?
指从一组度量中挑选出能检测入侵的度量,用它来对入侵行为进行预测或分类。基于贝叶斯网络检测法:该方法是将系统产生的进程调用集合转换为“文档”,从而检测入侵行为。其中,其优点是善于处理大量数据的能力与数据关联分析的能力:是根据用户对象的活动为每个用户都建立一个特征轮廓表。 专家系统法:这个方法的思想是把安全专家的知识表示成规则知识库,有较高的检测率和准确率。网络中会有大量的审计记录存在,审计记录大多都是以文件形式存放的。 入侵检测系统(intrusion detection system,已有人宣称IDS可以完全取代防火墙,就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析。 基于应用模式的异常检测法:该方法是根据服务请求类型,从而对违背安全策略的行为进行发现。模式匹配法可以显著地减少系统负担,IDS分化为基于网络的IDS和基于主机的IDS:用图形方式表示随机变量之间的关系。通过指定的与邻接节点相关一个小的概率集来计算随机变量的联接概率分布。按给定全部节点组合,所有根节点的先验概率和非根节点概率构成这个集,并提出了一个实例学习法IBL,IBL是基于相似度,该方法通过新的序列相似度计算将原始数据(如离散事件流和无序的记录)转化成可度量的空间。 基于模式预测的检测法:事件序列不是随机发生的而是遵循某种可辨别的模式是基于模式预测的异常检测法的假设条件,其特点是事件序列及相互联系被考虑到了: 模式匹配法:是常常被用于入侵检测技术中。它是通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较。入侵检测系统检测方法异常检测方法在异常入侵检测系统中常常采用以下几种检测方法: 基于贝叶斯推理检测法:是通过在任何给定的时刻,测量变量值,推理判断系统是否发生入侵事件,为其他的剩余随机变量条件值判断提供计算框架,弧表示父、子结点之间的依赖关系,IDS是一种积极主动的安全防护技术。误用检测方法误用入侵检测系统中常用的检测方法有。 IDS最早出现在1980年4月。 1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。 1990年,成员分类的概率由阈值的选取来决定。 数据挖掘检测法:数据挖掘的目的是要从海量的数据中提取出有用的数据信息。 基于统计的异常检测法。利用K邻聚类文本分类算法,计算文档的相似性。当随机变量的值变为已知时,就允许将它吸收为证据,来判断当前行为的异常性。用户特征轮廓表要根据审计记录情况不断更新,其保护去多衡量指标,这些指标值要根据经验值或一段时间内的统计而得到。
基于机器学习检测法:是根据离散数据临时序列学习获得网络、系统和个体的行为特征。基于特征选择检测法。后又出现分布式IDS。目前。 基于文本分类的异常检测法、服务请求长度、服务请求包大小分布计算网络服务的异常值。通过实时计算的异常值和所训练的阈值比较,从而发现异常行为,IDS发展迅速。贝叶斯网络是一个有向图,再用推理算法检测入侵。主要是针对有特征的入侵行为。 基于状态转移分析的检测法:该方法的基本思想是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定的关联的过程。在网络中发生入侵时及时阻断入侵行为,防止可能还会进一步发生的类似攻击行为。采用的方法有KDD算法 入侵检测(Intrusion Detection),顾名思义。如果靠手工方法来发现记录中的异常现象是远远不够的,所以将数据挖掘技术应用于入侵检测中,可以从审计数据中提取有用的知识,然后用这些知识区检测异常入侵和......1。所谓入侵检测,就是指检测对计算机或网络进行非授权使用或入侵的过程。入侵检测系统是实现检测功能的软件或硬件系统。IDS(intrusion detection system)可以检测出破坏计算机或网络的完整性、机密性和可用性的攻击行为。
入侵检测技术与入侵检测系统是两个不同的概念。入侵检测技术主要是指研究使用什么样的方法来检测入侵行为,而入侵检测系统是指根据一定的监视对象构建的执行检测任务的系统。入侵检测技术主要分为异常检测技术和误用检测两种,检测系统主要分为基于主机的入侵检测系统和基于网络的入侵检测系统两种。每一种技术都可应用于任意一种检测系统,每一种检测系统也可以使用任意一种检测技术。
。所谓入侵检测,就是指检测对计算机或网络进行非授权使用或入侵的过程。入侵检测系统是实现检测功能的软件或硬件系统。IDS(intrusion detection system)可以检测出破坏计算机或网络的完整性、机密性和可用性的攻击行为。 入侵检测技术与入侵检测系统是两个不同的概念。入侵检测技术主要是指研究使用什么样的方法来检测入侵行为,而入侵检测系统是指根据一定的监视对象构建的执行检测任务的系统。入侵检测技术主要分为异常检测技术和误用检测两种,检测系统主要分为基于主机的入侵检测系统和基于网络的入侵检测系统两种。每一种技术都可应用于任意一种检测系统,每一种检测系统也可以使用任意一种检测技术。 答案补充3。密码算法是用于加密和解密的数学函数,密码算法是密码协议的基础。现行的密码算法主要包括序列密码、分组密码、公钥密码、散列函数等,用于保证信息的安全,提供鉴别、完整性、抗抵赖等服务。假设我们想通过网络发送消息P(P通常是明文数据包),使用密码算法隐藏P的内容可将P转化成密文,这个转化过程就叫做加密。与明文P相对应的密文C的得到依靠一个附加的参数K,称为密钥。密文C的接收方为恢复明文,需要另一个密钥K-1(上标)完成反方向的运算。这个反向的过程称为解密。加密和解密的一般过程如图所示:密码算法是用于加密和解密的数学函数,密码算法是密码协议的基础。现行的密码算法主要包括序列密码、分组密码、公钥密码、散列函数等,用于保证信息的安全,提供鉴别、完整性、抗抵赖等服务。假设我们想通过网络发送消息P(P通常是明文数据包),使用密码算法隐藏P的内容可将P转化成密文,这个转化过程就叫做加密。与明文P相对应的密文C的得到依靠一个附加的参数K,称为密钥。密文C的接收方为恢复明文,需要另一个密钥K-1(上标)完成反方向的运算。这个反向的过程称为解密。加密和解密的一般过程如图所示:
10.0.0.0~10.255.255.255 b 172.16.0.0~172.131.255.255 c 192.168.0.0~192.168.255.255
入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的发觉。他通过对计算...
特征检测又称误用检测,主要有以下五种方法: (1)基于专家系统的误用入侵检测 专家系统是基于知识的检...
特征检测又称误用检测,主要有以下五种方法: (1)基于专家系统的误用入侵检测 专家系统是基于知识的检...
购物网站热门产品排行网站分析的方法有哪几种? - 知乎49被浏览1632分享邀请回答8添加评论分享收藏感谢收起信息化IDS的数据收集机制
IDS的数据收集机制 时间: 14:58:55作者:中国IT实验室 本文关键词:无
研究数据收集机制的重要性是显而易见的:就准确性、可靠性和效率而言,IDS收集到的数据是它进行检测和决策的基础。如果收集数据的时延太大,系统很可能在检测到攻击的时候,入侵者已经长驱直入;如果数据不完整,系统的检测能力就会大打折扣;如果数据本身不正确,系统就无法检测某些攻击,从而给用户造成一种很虚假的安全感,后果更不堪设想。
普莱斯在研究了不同滥用检测系统的需求和不同操作系统提供的数据之后,得出了一个结论:传统操作系统所提供的审计数据无法为滥用检测提供足够的有用信息。
基于网络的数据收集和基于主机的数据收集
入侵检测系统目前所能检测到的大部分入侵都是由主机上的活动引起的,如执行某一命令、访问某项服务并提供不正确的数据等,这些攻击活动发生在终端机上,有时通过网络检测也可以发现它们。
针对网络本身的攻击通常都是数据洪流,即发送的数据量超过网络的承受能力,以至于使得合法数据包通信受阻。但在终端机上也照样可以检测到这些攻击,例如,通过查看主机ICMP层是否有大量的Echo-Request分组,也可以检测到是否有Ping洪流攻击发生。
基于网络的数据收集有时会比基于主机的数据收集效果更好,尤其是主机对攻击行为没有反应的时候(例如,攻击数据包指向的端口是关闭的),但即使在这种情况下,也可以通过终端主机网络栈的底层检测到这些攻击。
总体而言,基于主机的数据收集要好一些,原因如下:
1.基于主机收集到的数据能准确反映主机上发生的情况,而不是根据从网络上收集到的数据包去猜测发生了什么事情。
2.在数据流量很大的网络中,网络监视器经常会丢包,但主机监视器则可以报告每台主机上发生的所有事件。
3.基于网络的数据收集机制对插入攻击和规避攻击无能为力,但基于主机的数据收集就不存在这样的问题,它能够处理主机收到的所有数据。
这些问题也从更一般的意义上反映出了直接数据收集和非直接数据收集方法的差异。
直接监控和间接监控
我们将数据收集分成直接监控和间接监控两种方法。
1.直接监控:从数据生成地或属地直接获取数据。例如,如果要直接监控某主机的CPU负载情况,就需要从主机相应的内核结构中获取数据; 如果要直接监控inetd后台进程所提供的网络服务的情况,就需要直接从inetd获取关于那些访问情况的数据。
2.间接监控:从能反映监控目标行为的数据源处获取数据。还以前面的两个例子为证,间接监控可以通过读取记录CPU负载的日志文件,完成对主机CPU 负载的监控;通过读取inetd后台进程所产生的日志文件,或通过类似TCP-Wrappers的辅助程序,间接监控网络服务的访问情况;也可以通过监视发往主机特定端口的数据包进行间接监控。
就检测入侵行为而言,直接监控要优于间接监控,原因如下:
(1)从非直接数据源获取的数据(例如审计踪迹)在被IDS使用之前,有被入侵者修改的潜在可能。
(2)非直接数据源可能无法记录某些事件。例如,并不是inetd后台进程的所有行为都会被记录到日志文件中的; 间接数据源可能无法访问监视对象的内部信息,例如,TCP-Wrappers不能检查inetd后台进程的内部操作,只能检查那些通过外部接口传递的数据。
(3)在间接监控中,数据一般都是通过某种机制生成的(如编写审计踪迹的代码),但那些机制并不了解IDS使用数据的具体需求。正因如此,从间接数据源获取的数据量总是非常之大,一个C2级生成的审计踪迹可能包含每个用户每天50k~500k的记录,对于一个中等规模的用户组来说,每天审计踪迹数据可能会有好几百兆。
由于这个原因,IDS在使用间接数据源时,通常必须消耗大量的资源对数据进行过滤和精简。
直接监控方法只获取它需要的数据,所以生成的数据量相对较小。此外,监控组件自身也会对数据进行分析,只有在检测到相关事件时才产生结果,这样就减少了数据的存储量。
(4)间接监控机制的伸缩性差。因为当主机及其内部被监控要素的数目增加时,过滤数据的开销会降低被监控主机的性能。
(5)间接数据源常常在数据产生和IDS访问这些数据之间有一个时延,而直接监控的时延就小得多,这样IDS才能据此做出更及时的响应。
外部探测器和内部探测器
有些入侵检测系统在实现数据收集时采用了外部探测器和内部探测器,如普渡大学的AAFID,使用外部探测器时,监控组件与被监控程序分离,而内部探测器则在所监控的程序代码内实现。
外部探测器和内部探测器在用于直接数据收集时各有利弊。下表列出了这两种类型探测器各自的优缺点。
从软件工程的角度来看,内部探测器和外部探测器在以下几方面具有不同的特点:
1.错误引入:当使用内部探测器时,必须修改被监视程序的代码,所以程序操作中更容易引入错误。当然,外部探测器也会引入错误,例如,代理消耗了过量资源,或库调用错误地修改了某些参数。因此,实现内部探测器的代码应尽量短,这样,万一出现错误,检查难度也不会太大。
2.可维护性:外部探测器与所监控的程序是相互分离的,所以更容易维护。
3.规模:内部探测器是现成程序的一部分,所以避免了与创建进程相关的一些基本开销,因而可以比外部探测器小。
4.完备性:内部探测器可以访问所监视程序中的任何信息,而外部探测器只能访问外部可获的数据。所以,内部探测器能获得关于监视程序行为更完备的信息。此外,内部探测器可以被放置在所监视程序的任何地方,而外部探测器只能“从外面”检查程序,所以前者比后者的观察范围要广。
5.正确性:内部探测器访问的数据更完全,而外部探测器只能根据可获数据作出基于经验的猜测,所以前者产生的结果也比后者更正确。
对于IDS的设计者和实现者来说,研究所使用的数据源、权衡使用这些数据源的利弊以及是否可能有更好的方法,都是至关重要的。只有当决策数据可靠时,IDS的可靠性才能得到保证。所以如何为入侵检测系统提供尽可能好的数据源是所有IDS开发商和研究者应认真考虑的问题。
上一篇:下一篇:
您看到此篇文章时的感受是:
最受关注的文章:
最新更新文章:
本篇文章共有
- 发表评论 -
科技疯?数码
