入侵检测与防御课程习题-201008
- 格式:pdf
- 大小:578.38 KB
- 文档页数:6
网络入侵检测考试试题一、选择题(每题 2 分,共 40 分)1、以下哪种不属于网络入侵的常见手段?()A 端口扫描B 密码破解C 正常的网络访问D 恶意软件植入2、网络入侵检测系统(IDS)主要基于以下哪种技术?()A 防火墙技术B 加密技术C 模式匹配技术D 数据压缩技术3、在网络入侵检测中,以下哪个不是误用检测的特点?()A 检测准确率高B 能够检测新的攻击C 依赖已知的攻击模式D 误报率较低4、以下哪种类型的入侵检测系统能够检测到来自内部网络的攻击?()A 基于主机的 IDSB 基于网络的 IDSC 混合型 IDSD 以上都可以5、网络入侵检测系统通常不会对以下哪种数据进行分析?()A 网络数据包B 系统日志C 应用程序数据D 视频文件6、以下哪种方法不能提高网络入侵检测系统的性能?()A 优化检测算法B 增加检测规则C 减少系统资源占用D 降低检测灵敏度7、在入侵检测中,以下哪个指标用来衡量检测系统能够正确识别攻击的能力?()A 准确率B 召回率C 误报率D 漏报率8、以下哪种攻击方式可以绕过基于特征的入侵检测系统?()A 零日攻击B SQL 注入攻击C DDoS 攻击D 缓冲区溢出攻击9、对于加密的网络流量,入侵检测系统通常采用以下哪种方法进行处理?()A 直接丢弃B 尝试解密C 基于流量特征进行分析D 通知用户解密10、以下哪个不是网络入侵检测系统面临的挑战?()A 不断变化的攻击手段B 大量的误报C 有限的计算资源D 稳定的网络环境11、入侵检测系统发出警报后,管理员首先应该采取的措施是?()A 立即断开网络连接B 核实警报的真实性C 重启受影响的系统D 通知所有用户更改密码12、以下哪种工具常用于模拟网络入侵进行测试?()A WiresharkB MetasploitC NmapD Nessus13、在一个分布式网络环境中,以下哪种方式可以有效地整合多个入侵检测系统的结果?()A 集中式管理B 分布式计算C 云计算D 区块链技术14、以下哪个不是入侵检测系统与防火墙联动的方式?()A 防火墙根据 IDS 的警报阻止流量B IDS 控制防火墙的规则更新C 防火墙将流量转发给 IDS 进行检测D IDS 代替防火墙进行访问控制15、网络入侵检测系统的安装位置通常不包括以下哪个?()A 网络边界B 服务器内部C 客户端计算机D 骨干网络16、以下哪种技术可以用于减少入侵检测系统的误报?()A 行为分析B 机器学习C 数据清洗D 以上都是17、对于一个实时性要求较高的网络,以下哪种入侵检测系统更适合?()A 基于特征的 IDSB 基于异常的 IDSC 混合式 IDSD 以上都不适合18、以下哪个不是入侵检测系统的发展趋势?()A 智能化B 一体化C 单一化D 云化19、以下哪种攻击手段难以通过网络入侵检测系统进行检测?()A 社会工程学攻击B 网络嗅探C 拒绝服务攻击D 跨站脚本攻击20、以下关于网络入侵检测系统的描述,错误的是?()A 可以完全阻止网络入侵B 是网络安全防护体系的重要组成部分C 需要不断更新和优化D 不能替代其他安全设备二、填空题(每题 2 分,共 20 分)1、网络入侵检测系统的工作模式主要有_____和_____。
老师上课所讲的选择题1、对企图入侵、正在进行入侵者-----,识别到的过程答案:入侵检测2、属于PPDR 模式特点答案:动态性、实时性、基于时间3、BSM 审计记录以()形式进行存储答案:二进制4、WIN2000 以()形式提供数据答案:事件日志机制5、哪个系统管理员可以,普通的不行答案:安全日志6、按照检测方法的分类入侵分为答案:滥用入侵和异常入侵7、主机入侵检测结果信息来源审计数据8、ANDASON 三种用户答案:伪装者违法者秘密活动者9、计算机安全有三的基本目标,不包括()答案:有效性10、ARPOOL 组件中用采集中审计数据池11、TCP/IP协议模型的体系结构包括网络层、应用层、传输层和()答案:网络互联层13、提供应用进程之间传输数据包的基本机制协议是()答案:UDP 协议14、IP无连接数据包网际路由答案:(自己找)15、TCP 协议中的基本传输单元是(答案:段17、基于网络入侵检测工作的基础是()答案:网络数据包的截获19、规则源地址、目标地址p9121、SNORT 系统构架有协议解析器日志…………….答案:规则检测引擎22、检测引擎两大类可编程嵌入式23.分布式入侵检测架构4大部分地分答案:事件生成和存储器状态空间及规则知识推理架构24、以下哪个不是分布入侵检测架构需要解决的问题()答案:内存结构26、GRIDS 系统中所构造的图表,由代表主机的节点和代表主机间链接信息的边构成其中节点和边是以()答案:时间30、下列属于IDES 设计模型的是()答案:以上的都是:1、日志系统领域32、GRIDS 系统对应的设计型的是()答案:树型34、模块控制器必须通过()答案:(自己找)35.软件控制器答案:(自己找)36、基于的代理的分布式入侵检测的精髓在于()答案:代理系统37.轮询38、基于代理系统的分布式入侵检测架构中()的作用在于对数据进行架构中的操作。
答案:过滤器39、AAFID实现三部分答案:(自己找)40、实体的运行模式有:答案:以上都是:1、独立运行2、本地调用3、远程调用41.AAFID 包括42、以下属于AAFIDI 功能模块的是:答案:以上都是:2、收发器功能模块44、负责上式其他实体发送消息对消息解析处理的是:答案:消息处理方法46.过滤器功能核心答案:(自己找)47、CIDF 体系结构不包括:答案:专家系统48、CIDF三大层答案:(自己找)49、CIDF 机制构造的三个模型不包括:答案:通话层50.IDXP 三个部分建立连接、数据传输断开51、对消息进行管理,包括消息类型的定义转换、判断是AAFID :答案:消息管理模块53、判断四处威胁后设计入侵检测技术是:答案:检测功能需求54、网络带宽答案:(自己找)55、入侵检测系统的设计考虑的问题有哪几点:答案:以上都是:1、用户需求分析2、系统安全设计原则3、系统设计的每周调节期56.可靠原则58、保护机制确立不应该在攻击者对机制—无所知的假设答案:(开放式);59、系统设计的生命周期是:答案:(螺旋式上升过程)60、有利于执行资源的需求操作是答案:(预订操作);61、入侵检测在后台的功能运行、不需要人工干预的操作是:答案:后台操作62、可以减少对外部资源的需求操作是答案:(按需操作);63、要求系统管理员立即64、采取相应的措施答案:(及时行动)65、对整个社会的安全状态…………影响策略的是:答案:全局长期行动67、下列不属于计算机犯罪的是:答案:接收病毒邮件68、计算机犯罪答案:(D)69、被动影响不包括以下哪个类型:答案:改变网络环境配置70、属于主机响应答案:(采取响应手段阻击攻击)71、入侵检测系统的用户不包括以下哪类:答案:网络管理员72、网络安全专家答案:(安全管理员)73、负责对发生的安全事件进行深入调查工作的入侵检测系统用户的是:答案:安全调查员74、对于当前的主机入侵检测技术存在问题不包括答案:(加密)75、对当前的网络入侵检测技术存在的问题不包括:答案:对系统性能影响问题76、对于当前的入侵检测技术的通用问题不包括答案:(加密)77、未来入侵检测的架构设计问题将更加注意:答案:分布式入侵检测架构78、按照数据源分类可分为答案:(分布式入侵和混合入侵)79、进行网络入侵检测的信息来源:答案:网络数据包的获取80、物理地址到IP地址映象服务协议答案:(地址解析);81、提供结报服务的协议是:答案:ICMP 协议83、logtcp an gang→192.168.1.0/500:600其含义是:答案:大于500 小于60084、构建状态转移图的过程答案:(ABCD)85、运用入侵检测系统模型哪些部分答案:(ABCD)86、系统日志以()形式存储:答案:简单文本文体87、IDES在UNIX目标系统所收到的数据类型答案:(ABCD)88、在确定审计数据类型和来源后,主体入侵检测所需要进行的主要工作就是审计数据的处理工作包括:答案:映射、过滤、格式转换89、完整规则声明,起始符号答案:[ ];90、规则表明用来做某种类型的存在性量词的符号是:答案:+91、文件完整性检查的基本思想答案:(ABCD)92、Snort系统中,预处理模块功能答案:(ABCD)93、网络入侵检测存在两种基本的技术型为:答案:特殊分析、协议分析94、构图引擎的具体目标:答案:A、B、C、D95、过滤器中基本实现的功能:答案:A、B、C、D注:1、有些题目老师讲的太快记不完整2、没答案的自己去书上找。
计算机网络入侵检测与防御的知识测试计算机网络安全是当今互联网时代不可忽视的重要问题之一。
网络入侵是指未经授权的第三方人员或程序,通过网络渗透到目标系统中,并利用系统漏洞或其他手段来进行非法操作或信息获取的行为。
为了提高网络安全性,提前发现并防止入侵活动的发生,入侵检测与防御成为了至关重要的工作。
本文将围绕计算机网络入侵检测与防御的知识,进行一系列的测试题目。
通过这些问题的回答,读者可以进一步了解入侵检测与防御的基本理论和实践技术。
请仔细阅读每个问题,并选择正确的答案。
1. 什么是入侵检测系统(IDS)?A. 一种通过监视网络流量来识别潜在入侵活动的安全工具。
B. 一种通过改变网络配置以阻止入侵者访问系统的安全工具。
C. 一种通过加密数据以保护系统免受入侵的安全工具。
D. 一种通过备份数据以便在遭受入侵时恢复系统的安全工具。
2. 入侵检测系统根据工作原理可以分为哪两种类型?A. 主机型IDS和网络型IDS。
B. 感知型IDS和响应型IDS。
C. 知识型IDS和行为型IDS。
D. 预防型IDS和修复型IDS。
3. 哪种类型的入侵检测系统主要基于事先定义的规则进行检测,可以对已知攻击进行准确识别?A. 主机型IDSB. 感知型IDSC. 知识型IDSD. 预防型IDS4. 下面哪种类型的入侵检测系统主要依靠学习和分析网络流量来检测潜在的新型攻击?A. 主机型IDSB. 响应型IDSC. 行为型IDSD. 修复型IDS5. 以下哪种是入侵检测系统的常见工作模式?A. 签名检测和异常检测B. 防火墙和路由器C. 数据备份和恢复D. 加密算法和认证技术6. 入侵防御主要包括哪些方法?A. 防火墙、入侵检测系统和数据加密B. 数据备份和恢复、密码学和认证技术C. 操作系统补丁、安全策略和身份认证D. 病毒扫描和垃圾邮件过滤7. 哪种类型的入侵防御方法主要用于限制网络流量并阻止潜在攻击?A. 防火墙B. 数据加密C. 身份认证D. 病毒扫描8. 在网络入侵检测与防御中,哪个组件主要负责收集和分析网络流量,并发现潜在的攻击行为?A. 入侵检测系统B. 防火墙C. 路由器D. 数据库9. 下面哪种安全措施可以帮助减少网络入侵的发生?A. 定期更新操作系统和应用程序B. 使用强密码和多因素身份认证C. 加密敏感数据和使用安全协议D. 所有以上方法10. 哪个组件负责存储和维护入侵检测系统所使用的规则和日志信息?A. 日志服务器B. 数据库服务器C. 入侵检测系统D. 客户端计算机以上是关于计算机网络入侵检测与防御的知识测试题目,希望读者能通过回答这些问题进一步加强对该领域的理解,并提升自身网络安全意识和技能。
1. 下列哪项不是常见的网络入侵类型?A. 拒绝服务攻击B. 社会工程学攻击C. 病毒感染D. 网络钓鱼2. 什么是DDoS攻击?A. 分布式拒绝服务攻击B. 数据泄露攻击C. 动态数据交换攻击D. 域名系统攻击3. 防火墙的主要功能是什么?A. 防止病毒传播B. 监控网络流量C. 防止非法访问D. 数据加密4. 下列哪项技术可以有效防止SQL注入攻击?A. 使用强密码B. 输入验证C. 定期备份数据D. 使用VPN5. 什么是IDS(入侵检测系统)?A. 一种用于检测网络入侵的硬件设备B. 一种用于防止网络入侵的软件C. 一种用于检测网络入侵的软件D. 一种用于防止网络入侵的硬件设备6. 下列哪项是有效的密码管理策略?A. 使用相同的密码B. 定期更换密码C. 将密码写在纸上D. 使用弱密码7. 什么是零日漏洞?A. 已知且已被修复的漏洞B. 未知且未被修复的漏洞C. 已知但未被修复的漏洞D. 未知但已被修复的漏洞8. 下列哪项措施可以防止内部威胁?A. 加强外部防火墙B. 实施访问控制C. 定期更新操作系统D. 使用反病毒软件9. 什么是APT(高级持续性威胁)?A. 一种快速的网络攻击B. 一种长期的、有目的的网络攻击C. 一种短期的、无目的的网络攻击D. 一种随机的网络攻击10. 下列哪项是VPN的主要功能?A. 防止数据泄露B. 加密网络通信C. 防止病毒传播D. 监控网络流量11. 什么是双因素认证?A. 使用两个不同的密码B. 使用两个相同的密码C. 使用两个不同的认证因素D. 使用两个相同的认证因素12. 下列哪项是有效的数据备份策略?A. 定期备份数据B. 不备份数据C. 备份数据但不定期检查D. 备份数据但不加密13. 什么是Ransomware?A. 一种加密货币B. 一种加密软件C. 一种加密用户数据的恶意软件D. 一种解密软件14. 下列哪项是有效的网络安全培训内容?A. 网络安全基础知识B. 网络安全高级技术C. 网络安全管理D. 网络安全法规15. 什么是Phishing?A. 一种网络钓鱼攻击B. 一种网络钓鱼防御C. 一种网络钓鱼检测D. 一种网络钓鱼预防16. 下列哪项是有效的网络安全政策?A. 禁止使用外部存储设备B. 定期进行网络安全审计C. 禁止使用互联网D. 禁止使用电子邮件17. 什么是WAF(Web应用防火墙)?A. 一种用于防止Web应用攻击的硬件设备B. 一种用于防止Web应用攻击的软件C. 一种用于防止Web应用攻击的硬件和软件D. 一种用于防止Web应用攻击的网络设备18. 下列哪项是有效的网络安全监控策略?A. 定期检查网络日志B. 不检查网络日志C. 定期检查网络流量D. 不检查网络流量19. 什么是Man-in-the-Middle攻击?A. 一种中间人攻击B. 一种中间人防御C. 一种中间人检测D. 一种中间人预防20. 下列哪项是有效的网络安全事件响应策略?A. 立即隔离受影响的系统B. 不采取任何措施C. 等待攻击者联系D. 立即删除受影响的系统21. 什么是Zero Trust Security Model?A. 一种完全信任的安全模型B. 一种完全不信任的安全模型C. 一种部分信任的安全模型D. 一种动态信任的安全模型22. 下列哪项是有效的网络安全风险评估方法?A. 定期进行风险评估B. 不进行风险评估C. 随机进行风险评估D. 仅在发生攻击时进行风险评估23. 什么是SIEM(安全信息和事件管理)?A. 一种用于管理安全信息和事件的硬件设备B. 一种用于管理安全信息和事件的软件C. 一种用于管理安全信息和事件的硬件和软件D. 一种用于管理安全信息和事件的网络设备24. 下列哪项是有效的网络安全漏洞管理策略?A. 定期进行漏洞扫描B. 不进行漏洞扫描C. 随机进行漏洞扫描D. 仅在发生攻击时进行漏洞扫描25. 什么是Botnet?A. 一种网络机器人B. 一种网络机器人网络C. 一种网络机器人防御D. 一种网络机器人检测26. 下列哪项是有效的网络安全意识培训内容?A. 网络安全基础知识B. 网络安全高级技术C. 网络安全管理D. 网络安全法规27. 什么是Social Engineering?A. 一种社会工程学攻击B. 一种社会工程学防御C. 一种社会工程学检测D. 一种社会工程学预防28. 下列哪项是有效的网络安全政策?A. 禁止使用外部存储设备B. 定期进行网络安全审计C. 禁止使用互联网D. 禁止使用电子邮件29. 什么是Firewall?A. 一种用于防止网络入侵的硬件设备B. 一种用于防止网络入侵的软件C. 一种用于防止网络入侵的硬件和软件D. 一种用于防止网络入侵的网络设备30. 下列哪项是有效的网络安全监控策略?A. 定期检查网络日志B. 不检查网络日志C. 定期检查网络流量D. 不检查网络流量31. 什么是IDS(入侵检测系统)?A. 一种用于检测网络入侵的硬件设备B. 一种用于检测网络入侵的软件C. 一种用于检测网络入侵的硬件和软件D. 一种用于检测网络入侵的网络设备32. 下列哪项是有效的网络安全事件响应策略?A. 立即隔离受影响的系统B. 不采取任何措施C. 等待攻击者联系D. 立即删除受影响的系统33. 什么是Zero Trust Security Model?A. 一种完全信任的安全模型B. 一种完全不信任的安全模型C. 一种部分信任的安全模型D. 一种动态信任的安全模型34. 下列哪项是有效的网络安全风险评估方法?A. 定期进行风险评估B. 不进行风险评估C. 随机进行风险评估D. 仅在发生攻击时进行风险评估35. 什么是SIEM(安全信息和事件管理)?A. 一种用于管理安全信息和事件的硬件设备B. 一种用于管理安全信息和事件的软件C. 一种用于管理安全信息和事件的硬件和软件D. 一种用于管理安全信息和事件的网络设备36. 下列哪项是有效的网络安全漏洞管理策略?A. 定期进行漏洞扫描B. 不进行漏洞扫描C. 随机进行漏洞扫描D. 仅在发生攻击时进行漏洞扫描37. 什么是Botnet?A. 一种网络机器人B. 一种网络机器人网络C. 一种网络机器人防御D. 一种网络机器人检测38. 下列哪项是有效的网络安全意识培训内容?A. 网络安全基础知识B. 网络安全高级技术C. 网络安全管理D. 网络安全法规39. 什么是Social Engineering?A. 一种社会工程学攻击B. 一种社会工程学防御C. 一种社会工程学检测D. 一种社会工程学预防40. 下列哪项是有效的网络安全政策?A. 禁止使用外部存储设备B. 定期进行网络安全审计C. 禁止使用互联网D. 禁止使用电子邮件41. 什么是Firewall?A. 一种用于防止网络入侵的硬件设备B. 一种用于防止网络入侵的软件C. 一种用于防止网络入侵的硬件和软件D. 一种用于防止网络入侵的网络设备42. 下列哪项是有效的网络安全监控策略?A. 定期检查网络日志B. 不检查网络日志C. 定期检查网络流量D. 不检查网络流量43. 什么是IDS(入侵检测系统)?A. 一种用于检测网络入侵的硬件设备B. 一种用于检测网络入侵的软件C. 一种用于检测网络入侵的硬件和软件D. 一种用于检测网络入侵的网络设备44. 下列哪项是有效的网络安全事件响应策略?A. 立即隔离受影响的系统B. 不采取任何措施C. 等待攻击者联系D. 立即删除受影响的系统45. 什么是Zero Trust Security Model?A. 一种完全信任的安全模型B. 一种完全不信任的安全模型C. 一种部分信任的安全模型D. 一种动态信任的安全模型46. 下列哪项是有效的网络安全风险评估方法?A. 定期进行风险评估B. 不进行风险评估C. 随机进行风险评估D. 仅在发生攻击时进行风险评估47. 什么是SIEM(安全信息和事件管理)?A. 一种用于管理安全信息和事件的硬件设备B. 一种用于管理安全信息和事件的软件C. 一种用于管理安全信息和事件的硬件和软件D. 一种用于管理安全信息和事件的网络设备48. 下列哪项是有效的网络安全漏洞管理策略?A. 定期进行漏洞扫描B. 不进行漏洞扫描C. 随机进行漏洞扫描D. 仅在发生攻击时进行漏洞扫描49. 什么是Botnet?A. 一种网络机器人B. 一种网络机器人网络C. 一种网络机器人防御D. 一种网络机器人检测50. 下列哪项是有效的网络安全意识培训内容?A. 网络安全基础知识B. 网络安全高级技术C. 网络安全管理D. 网络安全法规51. 什么是Social Engineering?A. 一种社会工程学攻击B. 一种社会工程学防御C. 一种社会工程学检测D. 一种社会工程学预防52. 下列哪项是有效的网络安全政策?A. 禁止使用外部存储设备B. 定期进行网络安全审计C. 禁止使用互联网D. 禁止使用电子邮件53. 什么是Firewall?A. 一种用于防止网络入侵的硬件设备B. 一种用于防止网络入侵的软件C. 一种用于防止网络入侵的硬件和软件D. 一种用于防止网络入侵的网络设备54. 下列哪项是有效的网络安全监控策略?A. 定期检查网络日志B. 不检查网络日志C. 定期检查网络流量D. 不检查网络流量55. 什么是IDS(入侵检测系统)?A. 一种用于检测网络入侵的硬件设备B. 一种用于检测网络入侵的软件C. 一种用于检测网络入侵的硬件和软件D. 一种用于检测网络入侵的网络设备答案1. C2. A3. C4. B5. C6. B7. B8. B9. B10. B11. C12. A13. C14. A15. A16. B17. B18. A19. A20. A21. D22. A23. B24. A25. B26. A27. A28. B29. C30. A31. B32. A33. D34. A35. B36. A37. B38. A39. A40. B41. C42. A43. B44. A45. D46. A47. B48. A49. B50. A51. A52. B53. C54. A55. B。
入侵检测习题二一、选择题(共20分,每题2分)1、按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDSB.基于主机的IDS和基于域控制器的IDSC.基于服务器的IDS和基于域控制器的IDSD.基于浏览器的IDS和基于网络的IDS2、一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
A.控制单元B.检测单元C.解释单元D.响应单元3、按照技术分类可将入侵检测分为__________。
A.基于标识和基于异常情况B.基于主机和基于域控制器C.服务器和基于域控制器D.基于浏览器和基于网络4、在网络安全中,截取是指未授权的实体得到了资源的访问权。
这是对________。
A.可用性的攻击B.完整性的攻击C.保密性的攻击D.真实性的攻击5、入侵检测的基础是(1),入侵检测的核心是(2)。
(1)(2)A. 信息收集B. 信号分析C. 入侵防护D. 检测方法6、信号分析有模式匹配、统计分析和完整性分析等3种技术手段,其中_______用于事后分析。
A.信息收集B.统计分析C.模式匹配D.完整性分析7、网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的服务,记录目标给予的回答。
A.源主机B.服务器C.目标主机D.以上都不对8、________系统是一种自动检测远程或本地主机安全性弱点的程序。
A.入侵检测B.防火墙C.漏洞扫描D.入侵防护9、下列选项中_________不属于CGI漏洞的危害。
A.缓冲区溢出攻击B.数据验证型溢出攻击C.脚本语言错误D.信息泄漏10、基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的,这种攻击方式称为__________。
A.服务攻击B.拒绝服务攻击C.被动攻击D.非服务攻击习题解析【试题1】按照检测数据的来源可将入侵检测系统(IDS)分为__________。
A.基于主机的IDS和基于网络的IDSB.基于主机的IDS和基于域控制器的IDSC.基于服务器的IDS和基于域控制器的IDSD.基于浏览器的IDS和基于网络的IDS【试题2】一般来说入侵检测系统由3部分组成,分别是事件产生器、事件分析器和________。
网络安全与入侵检测考试(答案见尾页)一、选择题1. 什么是防火墙?它的主要功能是什么?A. 防火墙是一种软件或硬件设备,用于监控和控制网络流量B. 防火墙的主要功能是防止未经授权的访问和数据泄露C. 防火墙主要用于加密和解密数据D. 防火墙可以检测并阻止病毒和恶意软件的传播2. 入侵检测系统(IDS)的主要目的是什么?A. 监控网络流量以检测潜在的安全威胁B. 提供对网络资源的访问控制C. 阻止未经授权的用户访问网络D. 保护网络免受物理攻击3. 什么是DMZ(一个位于内部网络和外部网络之间的网络区域)?它在网络安全中的作用是什么?A. DMZ是一个隔离区,用于放置对外提供服务的服务器,以增加网络的安全性B. DMZ是一个开放区域,用于提供对外提供服务的服务器,以增加网络的安全性C. DMZ是一个安全区,用于放置对外提供服务的服务器,以增加网络的安全性D. DMZ是一个危险区,用于放置对外提供服务的服务器,以增加网络的安全性4. 在网络安全中,什么是社会工程学攻击?它如何影响组织的安全?A. 社会工程学攻击是利用人类的信任和不警惕来获取敏感信息的一种攻击手段B. 社会工程学攻击不会对组织的安全产生影响C. 社会工程学攻击可以通过物理方式实施D. 社会工程学攻击只能通过电子邮件实施5. 什么是加密?为什么它在网络安全中很重要?A. 加密是将数据转换为不可读格式的过程,以防止未授权访问B. 加密是对数据进行编码的过程,以便只有拥有密钥的人才能读取C. 加密是一种安全技术,用于保护数据在传输过程中不被窃取D. 加密是一种安全技术,用于保护数据在存储时不被篡改6. 什么是VPN(虚拟专用网络)?它在网络安全中的作用是什么?A. VPN是一种可以在公共网络上建立加密通道的技术,用于连接不同地理位置的网络B. VPN是一种可以在公共网络上建立加密通道的技术,用于连接同一地理位置的不同网络C. VPN是一种可以在公共网络上建立加密通道的技术,用于连接不同类型的设备D. VPN是一种可以在公共网络上建立加密通道的技术,用于连接同一类型的设备7. 在网络安全中,什么是最小权限原则?它如何应用于数据库系统?A. 最小权限原则是指只授予用户完成其任务所需的最小权限,以减少潜在的安全风险B. 最小权限原则是指只授予用户完成其任务所需的权限,而不是更多C. 最小权限原则仅适用于数据库系统D. 最小权限原则仅适用于操作系统8. 网络安全是指什么?A. 保护网络系统免受未经授权访问的措施B. 提高网络系统的性能C. 增加网络的带宽D. 以上都是9. 下列哪项不是网络安全攻击的类型?A. 分布式拒绝服务攻击(DDoS)B. SQL注入攻击C. 零日漏洞利用D. 网络监听10. 入侵检测系统(IDS)的主要功能是什么?A. 监控网络流量以检测潜在的入侵行为B. 防止未经授权的网络访问C. 限制用户对网络的访问权限D. 修复已发现的漏洞11. 在OSI模型中,哪一层负责在相互通信的系统中建立、管理和终止会话?A. 表示层B. 会话层C. 传输层D. 应用层12. 以下哪种加密算法属于对称加密算法?A. RSAB. AESC. SHA-256D. ElGamal13. 身份验证和授权是哪个安全概念的一部分?A. 访问控制B. 数据加密C. 入侵检测D. 安全审计14. 什么是防火墙?A. 一种软件程序,用于阻止未经授权的用户访问网络资源B. 一种硬件设备,用于监控和控制进出网络的流量C. 一种加密技术,用于保护数据在网络上传输时的安全性D. 一种网络协议,用于确保网络中的所有设备之间的通信是安全和有效的15. 入侵检测系统(IDS)可以分为哪两种主要类型?A. 主动IDS和被动IDSB. 网络IDS和主机IDSC. 版本IDS和增量IDSD. 以上都是16. 在网络安全中,哪种类型的漏洞通常是由于编码错误或设计缺陷导致的?A. 运行时漏洞B. 设计漏洞C. 业务逻辑漏洞D. 社交工程漏洞17. 以下哪个工具不是常用的网络扫描工具?A. NmapB. WiresharkC. Metasploit FrameworkD. Snort18. 入侵检测系统(IDS)的主要类型有哪些?A. 基于网络的IDS(NIDS)B. 基于主机的IDS(HIDS)C. 基于签名的IDSD. 基于行为的IDS19. 什么是DMZ(非军事区)?它在网络安全中的作用是什么?A. DMZ是一个隔离的网络区域,用于将外部用户与内部网络分开B. DMZ是一个包含多个服务器的公共网络区域,用于提供额外的安全层C. DMZ是一个用于存储敏感信息的区域,用于在紧急情况下进行恢复D. DMZ是一个用于测试网络设备和系统的虚拟网络20. 什么是SQL注入攻击?如何防止它?A. SQL注入攻击是利用SQL查询中的漏洞,向数据库中插入恶意代码B. 防止SQL注入攻击的最佳方法是使用参数化查询或预编译语句C. SQL注入攻击只能通过避免使用错误或不安全的编程实践来预防D. SQL注入攻击只能通过使用防火墙来预防21. 什么是跨站脚本攻击(XSS)?它如何利用Web应用程序?A. XSS是一种攻击,通过在Web页面中插入恶意脚本,从而在用户浏览器中执行B. XSS利用Web应用程序中的漏洞,通过电子邮件或其他方式传播C. XSS只能在本地计算机上运行D. XSS只能通过使用杀毒软件来预防22. 什么是数字签名?它如何用于验证数据的完整性?A. 数字签名是一种使用私钥对消息进行加密的过程,以证明消息的来源和完整性B. 数字签名是一种使用公钥对消息进行解密的过程,以验证消息的来源和完整性C. 数字签名是一种使用私钥对消息进行哈希处理的过程,以证明消息的来源和完整性D. 数字签名是一种使用公钥对消息进行哈希处理的过程,以验证消息的来源和完整性23. 什么是中间人攻击(MITM)?它如何可能导致敏感信息的泄露?A. MITM是一种攻击,攻击者拦截并篡改网络通信B. MITM攻击可能导致敏感信息泄露,因为它允许攻击者窃取用户的凭据和数据C. MITM攻击通常发生在公共Wi-Fi网络上D. MITM攻击可以通过使用VPN来避免24. 什么是社会工程学?它在网络安全中如何应用?A. 社会工程学是一种利用心理学技巧和欺骗手段获取敏感信息的行为B. 社会工程学在网络安全中的应用包括识别和防范钓鱼攻击、社交工程攻击等C. 社会工程学可以完全替代其他安全措施D. 社会工程学只能通过避免与陌生人交流来预防25. 在构建安全的网络架构时,以下哪个选项不是最佳实践?A. 使用防火墙限制不必要的网络访问B. 使用尽可能多的加密技术C. 定期更新和打补丁操作系统和应用程序D. 将敏感数据存储在本地计算机上26. 在网络安全中,哪种类型的攻击旨在使网络服务或资源不可用?A. DDoS攻击B. SQL注入攻击C. 社交工程攻击D. 中间人攻击27. 以下哪个工具不是用于网络扫描和漏洞评估的?A. NmapB. NessusC. Metasploit FrameworkD. Wireshark28. 在网络防御中,哪种技术可以防止攻击者在网络设备上安装恶意软件?A. 防火墙B. 虚拟专用网络(VPN)C. 补丁管理D. 入侵检测系统(IDS)29. 以下哪种加密算法是用于保护数据的机密性的?A. RSAB. SHA-256C. AESD. MD530. 在SQL注入攻击中,攻击者通常会利用哪些类型的输入来执行恶意查询?A. 数值型B. 字符串型C. 布尔型D. 数组型31. 下列哪种协议是用于在网络设备之间传输加密数据的?A. TCPB. UDPC. SSLD. IPsec32. 在网络安全策略中,哪种策略通常用于防止未经授权的用户访问敏感数据?A. 访问控制列表(ACL)B. 防火墙规则C. 加密策略D. 身份验证和授权33. 在进行网络渗透测试时,攻击者通常会使用哪种技术来获取目标网络的详细信息?A. 漏洞扫描B. 空中网络广告(Wi-Fi热点)C. 社交工程D. 暴力破解34. 下列哪种方法可以有效地检测到网络中的重放攻击?A. 使用数字签名B. 实施时间戳验证C. 应用加密算法D. 进行端口扫描35. 下列哪种技术不是用于检测网络中的恶意软件?A. 驱动级防御B. 行为分析C. 基于签名的检测D. 病毒扫描36. 在评估网络漏洞时,应首先进行哪种类型的扫描?A. 黑盒扫描B. 白盒扫描C. 绿盒扫描D. 红盒扫描37. 入侵响应计划应包括哪些关键步骤?A. 记录和跟踪所有事件B. 隔离受影响的系统C. 评估安全风险并制定缓解措施D. 所有上述步骤38. 下列哪种协议不用于安全通信?A. SSH(安全外壳协议)B. HTTPS(超文本传输安全协议)C. SMTP(简单邮件传输协议)D. FTP(文件传输协议)39. 在防火墙中,哪种类型的规则用于控制进出网络的流量?A. 允许规则B. 拒绝规则C. 限制规则D. 强制规则40. 入侵检测系统的类型有哪些?A. 基于网络的IDS(NIDS)B. 基于主机的IDS(HIDS)C. 基于行为的IDS(BIDS)D. 基于云的IDS41. 在网络安全中,什么是“最小权限原则”?A. 只授予用户完成任务所需的最小权限B. 尽可能多地为员工分配权限C. 用户可以访问任何系统资源D. 限制对敏感数据的访问42. 下列哪种工具不是用于发现网络漏洞的工具?A. NessusB. MetasploitC. WiresharkD. nmap二、问答题1. 什么是数据库注入攻击?请举例说明其工作原理。
入侵检测技术-课后答案第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在–– 1系–– 2–– 1–– 1到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段选择题:(1) B.(2) B思考题:(1)一般来说,黑客攻击的原理是什–– 1么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
入侵检测复习题及答案一、填空【试题16】从网络高层协议角度看,网络攻击可以分为__________。
A.主动攻击与被动攻击B.服务攻击与非服务攻击C.病毒攻击与主机攻击D.侵入攻击与植入攻击【试题17】在网络安全中,中断指攻击者破坏网络系统的资源,使之变成无效的或无用的。
这是对_________。
A.可用性的攻击B.保密性的攻击C.完整性的攻击D.真实性的攻击【试题18】对网络的威胁包括:Ⅰ. 假冒Ⅱ. 特洛伊木马Ⅲ. 旁路控制Ⅳ. 陷井Ⅴ. 授权侵犯在这些威胁中,属于渗入威胁的为__________。
A.Ⅰ、Ⅲ和ⅤB. Ⅲ和ⅣC.Ⅱ和ⅣD. Ⅰ、Ⅱ、Ⅲ和Ⅳ【试题19】如果使用大量的连接请求攻击计算机,使得所有可用的系统资源都被消耗殆尽,最终计算机无法再处理合法的用户的请求,这种手段属于_________攻击。
A.拒绝服务B.口令入侵C.网络监听D.IP哄骗【试题20】有一种攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统显影减慢甚至瘫痪。
它影响正常用户的使用,甚至使合法用户被排斥而不能得到服务。
这种攻击叫做__________攻击。
A.可用性攻击B.拒绝性攻击C.保密性攻击D.真实性攻击二、名词解释1、IP:网际协议ICMP:因特网控制报文协议ARP:地址解析协议RARP:反向地址解析协议TCP:传输控制协议UDP:用户数据报协议三、简答1、什么是P2DR模型?答:P2DR模型是可适应网络安全理论或称为动态信息安全理论的主要模型。
P2DR模型是TCSEC模型的发展,也是目前被普遍采用的安全模型。
P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response (响应)。
防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。
网络安全防范体系应该是动态变化的。
安全防护是一个动态的过程,P2DR是安氏推崇的基于时间的动态安全体系。
同济大学计算机系《入侵检测与防御》课程习题2010年08月1.入侵检测的作用体现在哪些方面?2.简述网络入侵的一般流程。
3.比较端口扫描器与漏洞扫描器的不同之处,并简述漏洞扫描的两种不同扫描策略。
4.拒绝服务攻击是如何实施的?5.入侵检测系统的工作模式可以分为几个步骤?分别是什么?6.根据目标系统的类型可以把入侵检测系统分为哪几类?并指出其各类间的区别。
7.根据入侵检测分析方法的不同可以把入侵检测系统分为哪几类?并简述其各自原理。
8.入侵检测的过程包括哪几个阶段?9.简述系统安全审计记录的优缺点。
10.简述用网络数据包作为数据源的优缺点。
11.数据获取划分为直接监测和间接监测,试比较这两种方法的不同。
12.试举例至少3种典型入侵行为特征及其识别。
13.入侵检测系统的响应可以分为哪几类?并加以描述。
14.联动响应机制的含义是什么?15.基于安全性检查的IDS结构的基本思想是什么?又有何局限性?16.简述基于主机的入侵检测技术的优缺点。
17.简述异常检测模型的工作原理。
18.入侵检测框架(CIDF)标准化工作的主要思想是什么?19.入侵检测工作组(IDWG)的主要工作是什么?20.评价入侵检测系统性能的3个因素是什么?分别表示什么含义?21.简述协议分析的原理。
22.简述防火墙的特性及主要功能,并简述防火墙的局限性。
23.Snort的工作模式有几种?分别是什么?24.你认为Snort的优缺点分别是什么?分别列出三条。
25.在入侵检测系统的构建实验中,试根据以下安全策略定制自己的检测规则:(1)内部网络192.168.1.0/24不允许从外网访问。
(2)内部web服务器192.168.1.0不允许从外网访问。
26.认真阅读以下关于网络病毒与安全扫描技术的说明,回答下列问题。
【说明】“熊猫烧香”病毒是一种感染型病毒,它能感染系统中exe、com、pif、src、html、asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
网络入侵检测复习题一、网络入侵检测的基本概念网络入侵检测,顾名思义,是对网络中可能存在的入侵行为进行监测和识别的一种技术手段。
它就像是网络世界中的“保安”,时刻保持警惕,守护着网络的安全。
网络入侵可以包括多种形式,比如未经授权的访问、恶意软件的植入、数据的窃取或篡改等。
而入侵检测系统(IDS)则通过对网络流量、系统日志等信息的收集和分析,来发现这些异常活动。
二、网络入侵检测的工作原理要理解网络入侵检测,就得先搞清楚它是怎么工作的。
一般来说,它主要有以下几个步骤:首先是数据采集。
IDS 会从网络中的各种来源收集数据,这些来源可能包括网络数据包、服务器日志、应用程序日志等。
然后是数据分析。
收集到的数据会被进行深入分析,通过与已知的入侵模式、异常行为特征等进行比对,来判断是否存在入侵的迹象。
接着是警报生成。
如果发现了可疑的活动,IDS 就会发出警报,通知管理员或相关人员。
最后是响应处理。
收到警报后,相关人员会采取相应的措施,比如阻止可疑的连接、隔离受感染的系统等,以防止进一步的损害。
三、网络入侵检测的方法1、基于特征的检测这种方法是通过将收集到的数据与已知的入侵特征进行匹配来发现入侵。
就好像拿着一份“坏人名单”,对照着看有没有符合的。
优点是检测速度快,准确性高,对于已知的入侵类型能够有效地检测出来。
缺点是对于新出现的、未知的入侵类型可能无法识别,因为它依赖于事先定义好的特征库。
2、基于异常的检测这种方法是通过建立正常的网络活动模型,然后将实际的网络活动与这个模型进行比较,如果偏差超过一定的阈值,就认为是入侵。
优点是能够发现未知的入侵类型,对于新型的攻击有较好的检测能力。
缺点是容易产生误报,因为一些正常的但不常见的活动也可能被误判为异常。
四、网络入侵检测系统的组成一个完整的网络入侵检测系统通常包括以下几个部分:1、传感器负责收集网络中的数据,就像是人的眼睛和耳朵,感知周围的情况。
2、分析器对收集到的数据进行分析和处理,判断是否存在入侵。
一、选择题(共 20 分,每题 2 分)1、按照检测数据的来源可将入侵检测系统( IDS)分为__________。
A.基于主机的 IDS 和基于网络的 IDSB .基于主机的 IDS 和基于域控制器的 IDSC .基于服务器的 IDS 和基于域控制器的 IDSD .基于浏览器的 IDS 和基于网络的 IDS2、一般来说入侵检测系统由 3 部分组成,分别是事件产生器、事件分析器和________。
A .控制单元B .检测单元 C.解释单元 D .响应单元3、按照技术分类可将入侵检测分为 __________。
A .基于标识和基于异常情况B .基于主机和基于域控制器C .服务器和基于域控制器D .基于浏览器和基于网络4、在网络安全中,截取是指未授权的实体得到了资源的访问权。
这是对 ________。
A .可用性的攻击B .完整性的攻击C .保密性的攻击D .真实性的攻击5、入侵检测的基础是 ( 1 ),入侵检测的核心是 ( 2 )。
( 1 )( 2 )A. 信息收集B. 信号分析C. 入侵防护D. 检测方法6、信号分析有模式匹配、统计分析和完整性分析等 3 种技术手段,其中_______用于事后分析。
A .信息收集B .统计分析 C.模式匹配 D .完整性分析7、网络漏洞扫描系统通过远程检测 __________TCP/IP 不同端口的服务,记录目标给予的回答。
A.源主机 B.服务器 C .目标主机 D .以上都不对8、________系统是一种自动检测远程或本地主机安全性弱点的程序。
A .入侵检测B .防火墙C .漏洞扫描D .入侵防护9、下列选项中 _________不属于 CGI 漏洞的危害。
A.缓冲区溢出攻击 B .数据验证型溢出攻击C .脚本语言错误D .信息泄漏10、基于网络低层协议,利用协议或操作系统实现时的漏洞来达到攻击目的,这种攻击方式称为__________。
A .服务攻击B .拒绝服务攻击C .被动攻击D .非服务攻击【试题 1】按照检测数据的来源可将入侵检测系统( IDS ) 分为__________。
入侵检测习题答案————————————————————————————————作者:————————————————————————————————日期:2第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。
软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。
1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。
它一般应该具有以下几个特征:●机密性(confidentiality):机密性是指数据不会泄漏给非授权的用户、实体,也不会被非授权用户使用,只有合法的授权用户才能对机密的或受限的数据进行存取。
●完整性(Integrity):完整性是指数据未经授权不能被改变。
也就是说,完整性要求保持系统中数据的正确性和一致性。
不管在什么情况下,都要保护数据不受破坏或者被篡改。
●可用性(Availability):计算机资源和系统中的数据信息在系统合法用户需要使用时,必须是可用的。
即对授权用户,系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。
●可控性(Controliability):可控性是指可以控制授权范围内的信息流向及行为方式,对信息的访问、传播以及具体内容具有控制能力。
同时它还要求系统审计针对信息的访问,当计算机中的泄密现象被检测出后,计算机的安全系统必须能够保存足够的信息以追踪和识别入侵攻击者,入侵者对此不能够抵赖。
入侵检测习题答案第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。
软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。
1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。
它一般应该具有以下几个特征:●机密性(confidentiality):机密性是指数据不会泄漏给非授权的用户、实体,也不会被非授权用户使用,只有合法的授权用户才能对机密的或受限的数据进行存取。
●完整性(Integrity):完整性是指数据未经授权不能被改变。
也就是说,完整性要求保持系统中数据的正确性和一致性。
不管在什么情况下,都要保护数据不受破坏或者被篡改。
●可用性(Availability):计算机资源和系统中的数据信息在系统合法用户需要使用时,必须是可用的。
即对授权用户,系统应尽量避免系统资源被耗尽或服务被拒绝的情况出现。
●可控性(Controliability):可控性是指可以控制授权范围内的信息流向及行为方式,对信息的访问、传播以及具体内容具有控制能力。
同时它还要求系统审计针对信息的访问,当计算机中的泄密现象被检测出后,计算机的安全系统必须能够保存足够的信息以追踪和识别入侵攻击者,入侵者对此不能够抵赖。
●正确性(Correctness):系统要尽量减少由于对事件的不正确判断所引起的虚警(False Alarms)现象,要有较高的可靠性。
第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS )是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
(2)入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:监控、分析用户和系统的活动;审计系统的配置和弱点;评估关键系统和数据文件的完整性;识别攻击的活动模式;对异常活动进行统计分析;对操作系统进行审计跟踪管理,识别违反政策的用户活动。
(3)为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
1.一般来说,网络入侵者入侵的步骤不包括下列哪个阶段( B)A 信息收集B 信息分析C 漏洞挖掘D 实施攻击2.Ip 地址欺骗的素质是(B)A.Ip 地质的隐藏 B.信任关系的破坏 C.TCP 序列号的重置 D Ip 地址的验证3.在通用入侵检测模型的活动简档中未定义的随机变量是( D)A 事件计数器B 间隔计时器C 资源计量器D 告警响应计时器4.异常入侵检测依靠的假定是( D)A 一切网络入侵行为都是异常的 D 正常行为和异常行为可以根据一定的阀值来加以区分B 用户表现为可预测的、一致的系统使用模式C 只有异常行为才有可能是入侵攻击行为5.入侵检测的过程不包括下列哪个阶段( C)A 信息收集B 信息分析C 消息融合D 告警与响应6.在入侵分析模型中,第一阶段的任务是( A)A 构造分析引擎B 进行数据分析C 反馈D 提炼7.以下属于数据预处理功能的是(ABCD)A 数据机成B 数据清理C 数据变换D 数据简化8.IDF 定义了 IDS 系统和应急系统之间的交换数据方式,CIDF 互操作主要有下面 3 类(ABC)A 配置互操作B 语义互操作C 语法互操作D 通信互操作9 .在CIDF 中,IDS 各组件间通过(C)来进行入侵和告警等信息内容的通信。
A.IDF B. SID C.CISL D.Matchmaker10.在 IDWG 的标准中,目前已制定出来有关入侵检测消息的数据模型有哪两类( BD)A 语义数据模型B 面向对象数据模型C 基于数据挖掘的数据模型D 基于Xml 的数据模型11.IDMEF 使用(B)解决数据的传输问题A.XMLB.TLSC.IAPD.RFC251012.影响入侵检测性能的参数主要有( ABC)A.检测率 B. 信息可靠度C.虚警率 D 分析效率13.误用检测失效的原因有 3 方面(ABC)A.系统活动记录未能为IDS 提供足够的信息用来检测入侵 D 入侵攻击签名不详细B.入侵签名数据库中没有某种入侵攻击签名C.模式匹配算法不能从系统中识别出入侵签名14.性能测试与功能有所不同,因而测试的网络环境以( B)为主,这样可以尽最大可能的产生大的网络流量,避免路由器等设备对网络流量的约束。
同济大学计算机系《入侵检测与防御》课程习题
2010年08月
1.入侵检测的作用体现在哪些方面?
2.简述网络入侵的一般流程。
3.比较端口扫描器与漏洞扫描器的不同之处,并简述漏洞扫描的两种不同扫描策略。
4.拒绝服务攻击是如何实施的?
5.入侵检测系统的工作模式可以分为几个步骤?分别是什么?
6.根据目标系统的类型可以把入侵检测系统分为哪几类?并指出其各类间的区别。
7.根据入侵检测分析方法的不同可以把入侵检测系统分为哪几类?并简述其各自原理。
8.入侵检测的过程包括哪几个阶段?
9.简述系统安全审计记录的优缺点。
10.简述用网络数据包作为数据源的优缺点。
11.数据获取划分为直接监测和间接监测,试比较这两种方法的不同。
12.试举例至少3种典型入侵行为特征及其识别。
13.入侵检测系统的响应可以分为哪几类?并加以描述。
14.联动响应机制的含义是什么?
15.基于安全性检查的IDS结构的基本思想是什么?又有何局限性?
16.简述基于主机的入侵检测技术的优缺点。
17.简述异常检测模型的工作原理。
18.入侵检测框架(CIDF)标准化工作的主要思想是什么?
19.入侵检测工作组(IDWG)的主要工作是什么?
20.评价入侵检测系统性能的3个因素是什么?分别表示什么含义?
21.简述协议分析的原理。
22.简述防火墙的特性及主要功能,并简述防火墙的局限性。
23.Snort的工作模式有几种?分别是什么?
24.你认为Snort的优缺点分别是什么?分别列出三条。
25.在入侵检测系统的构建实验中,试根据以下安全策略定制自己的检测规则:
(1)内部网络192.168.1.0/24不允许从外网访问。
(2)内部web服务器192.168.1.0不允许从外网访问。
26.认真阅读以下关于网络病毒与安全扫描技术的说明,回答下列问题。
【说明】“熊猫烧香”病毒是一种感染型病毒,它能感染系统中exe、com、pif、src、html、asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。
该病毒的某些变种可以通过局域网进行传播,进而感染局域网内其他存在相应漏洞的计算机系统,导致整个局域网瘫痪。
如果发现连接在网络上的计算机遭到该病毒攻击,则应采用相应的策略进行处理。
【问题1】根据“熊猫烧香”的病毒特征可知,它是一个感染型的(1)。
(1)A.木马病毒 B.蠕虫病毒 C.引导区病毒 D.冲击波病毒
【问题2】通常处理“熊猫烧香”病毒时,首先要把入侵的计算机从局域网断开。
为什么?【问题3】病毒扫描仅能够检测、标识或清除操作系统中的病毒程序,而安全扫描能够及时发现安全漏洞。
扫描器通过选用远程TCP/IP不同端口的服务,并记录目标主机给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息(例如,是否能用匿名登录,是否有可写的FTP目录等)。
那么,一个扫描器应该具有哪几项基本功能?
27.阅读下列说明,回答问题1至问题4。
【说明】特洛伊木马是一种基于客户机/服务器模式的远程控制程序,黑客可以利用木马程序入侵用户的计算机系统。
木马的工作模式如图所示。
【问题1】对于传统的木马程序,侵入被攻击主机的入侵程序属于(1)。
攻击者一旦获取入侵程序的(2),便与它连接起来。
(1) A.客户程序 B.服务程序 C.代理程序 D.系统程序
(2) A.用户名和口令 B.密钥 C.访问权限 D.地址和端口号
【问题2】以下(3)和(4)属于计算机感染特洛伊木马后的典型现象。
(3)、(4)A.程序堆栈溢出 B.有未知程序试图建立网络连接
C.邮箱被莫名邮件填满
D.系统中有可疑的进程在运行
【问题3】安装了防火墙软件的主机可以利用防火墙的(5)功能有效地址防止外部非法连接来拦截木马。
(5)A.身份认证B.地址转换 C.日志记录 D.包过滤
【问题4】以下措施中能有效防治木马入侵的有(6)和(7)。
(6)、(7)A.不随意下载来历不明的软件
B.仅开放非系统端口
C.实行加密数据传输
D.实行实时网络连接监控程序
28.阅读以下说明,回答问题1至问题3。
【说明】某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如下图所示。
【问题1】防火墙包过滤规则的默认策略为拒绝,下表给出防火墙的包过滤规则配置界面。
若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表
中(1)-(4)空缺处选择正确答案。
(1)A.允许 B.拒绝
(2)A.192.168.1.0/24B.211.156.169.6/30C.202.117.118.23/24
(3)A.TCP B.UDP C.ICMP
(4)A.E3->E2B.E1->E3C.E1->E2
【问题2】内部网络经由防火墙采用NAT方式与外部网络通信,为图中(5)-(7)空
缺处选择正确答案。
(5)A.192.168.1.0/24 B.any C.202.117.118.23/24
(6)A.E1 B.E2 C.E3
(7)A.192.168.1.1 B.210.156.169.6 C.211.156.169.6
【问题3】图中__(8)__适合设置为DMZ区。
(8)A.区域A B.区域B C.区域C
29.请认真阅读下列有关网络中计算机安全的说明,回答问题1至问题3。
【说明】"震荡波"病毒对网络中计算机系统的攻击方式是:以本地IP地址为基础,开辟128
个扫描线程,每个线程随机选取一个IP地址作为攻击目标,疯狂地试探连接目标主机的445端口,试图造成Windows的缓冲区溢出错误。
一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播。
如果你发现连接在网络上的计算机遭到该病毒攻击,则应采用相应的处理。
根据对入侵的处理对策及系统恢复过程请回答问题1至问题4。
【问题1】为什么一般处理"震荡波"病毒时,首先要把被侵入的计算机系统从网络上断开?【问题2】为了解决"震荡波"病毒利用Windows缓冲区溢出漏洞攻击计算机系统问题,我们采用某防火墙建立一个"关闭445端口"的规则。
请给出下列规则配置参数(防火墙规则配置界面如图26-1所示):
图26-1防火墙规则配置界面
数据包方向(从下列选项中选择):___(1)___;
A.接收B.发送C.双向
对方IP地址(从下列选项中选择):___(2)___;
A.网络IP地址B.指定IP地址C.任意IP地址
数据包协议类型:___(3)___;
已授权程序开放的端口:从___(4)___到___(5)___;
当满足上述条件时(从下列选中选择):___(6)___。
A.通过B.拦截C.继续下一规则
【问题3】日前防火墙主要分为哪四种基本类型?根据防火墙的实现原理,该防火墙属于哪一类?
30.阅读以下说明,回答问题1至问题5。
说明:某企业的网络安装防火墙后其拓扑结构如图所示。
【问题1】为图中(1)处选择合适的名称。
(1)A.服务区 B.DMZ区 C.堡垒区 D.安全区
【问题2】为图中(2)处选择合适的设备。
(2)A.远程访问服务器 B.以太网交换机 C.调制解调器
【问题3】以下哪一项属于配置该防火墙的目的?(3)
(3)A.防止未授权的通信进出内部网络 B.进行域名解析
C.对IP包进行协议转换
D.对进出内部网络的数据包进行加解密
【问题4】参照下图所示界面,添加以下访问控制规则,以禁止PC3访问地址为210.156.169.8的Web服务器。
(4)A.允许 B.禁止
(5)A.192.168.0.1 B.192.168.0.5 C.210.156.169.6 D.210.156.169.8
(6)A.192.168.0.1 B.192.168.0.5 C.210.156.169.6 D.210.156.169.8
(7)A.TCP B.UDP
WWW服务时,能够隐藏内部主机的源地址。
(9)A.192.168.0.5 B.210.156.169.6 C.202.117.12.37 D.ANY。