《入侵檢測(cè)與防御原理及實(shí)踐（微課版）》-習(xí)題 第2章 入侵檢測(cè)與防御原理 習(xí)題

第2章入侵檢測(cè)與防御原理下面哪種方法無法在交換網(wǎng)絡(luò)環(huán)境下進(jìn)行數(shù)據(jù)捕獲：A.將數(shù)據(jù)包捕獲程序放在網(wǎng)關(guān)或代理服務(wù)器上B.給交換機(jī)配置端口鏡像C.實(shí)現(xiàn)ARP欺騙D.給交換機(jī)配置VLAN答案：D入侵檢測(cè)/防御系統(tǒng)在網(wǎng)絡(luò)安全中的角色是什么？A.防火墻的替代品B.防火墻的必要補(bǔ)充C.不需要防火墻即可獨(dú)立運(yùn)行D.與防火墻無關(guān)答案：B入侵檢測(cè)與防御系統(tǒng)能夠發(fā)現(xiàn)哪種類型的攻擊？A.僅外部攻擊B.僅內(nèi)部攻擊C.外部和內(nèi)部攻擊D.誤操作但無法發(fā)現(xiàn)攻擊答案：C入侵檢測(cè)系統(tǒng)的核心功能不包括以下哪項(xiàng)？A.監(jiān)視用戶活動(dòng)B.識(shí)別已知攻擊模式C.阻止惡意流量D.評(píng)估系統(tǒng)和數(shù)據(jù)文件的完整性答案：C入侵防御系統(tǒng)（IPS）與入侵檢測(cè)系統(tǒng)（IDS）的主要區(qū)別在于？A.IPS不能檢測(cè)攻擊B.IDS可以阻止攻擊C.IPS可以實(shí)時(shí)阻斷攻擊D.IPS不能檢測(cè)異常行為答案：C以下哪項(xiàng)不是入侵檢測(cè)系統(tǒng)的部署方式？A.基于主機(jī)B.基于網(wǎng)絡(luò)C.串聯(lián)部署D.旁路部署答案：C在哪個(gè)位置部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通常最有效？A.遠(yuǎn)離攻擊源B.遠(yuǎn)離受保護(hù)源C.盡可能靠近攻擊源和受保護(hù)源D.任意位置答案：C入侵檢測(cè)系統(tǒng)的功能不包括以下哪項(xiàng)？A.監(jiān)視和分析用戶活動(dòng)B.阻止網(wǎng)絡(luò)攻擊C.審計(jì)系統(tǒng)弱點(diǎn)D.評(píng)估操作系統(tǒng)審計(jì)追蹤答案：B分布式入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)不包括？A.實(shí)時(shí)性高B.減少網(wǎng)絡(luò)通信負(fù)擔(dān)C.提高系統(tǒng)的可擴(kuò)展性D.避免單點(diǎn)故障答案：BIPS（入侵防御系統(tǒng)）如何防止DDoS攻擊？A.通過丟棄或限流惡意流量B.僅通過報(bào)警C.無法防止DDoS攻擊D.僅通過升級(jí)特征庫(kù)答案：A哪種類型的入侵檢測(cè)系統(tǒng)依賴于主機(jī)的審計(jì)記錄？A.基于網(wǎng)絡(luò)的IDSB.基于主機(jī)的IDSC.分布式IDSD.串聯(lián)部署的IPS答案：BDenning模型是哪種類型的入侵檢測(cè)模型？A.集中式B.層次化C.集成式D.分布式答案：AIPS與防火墻的主要區(qū)別不包括？A.IPS可以檢測(cè)內(nèi)部攻擊B.防火墻是靜態(tài)防御C.IPS可以阻止所有流量D.IPS是動(dòng)態(tài)防御答案：C以下哪個(gè)選項(xiàng)不是IPS的功能？A.入侵防護(hù)B.應(yīng)用保護(hù)C.網(wǎng)絡(luò)架構(gòu)保護(hù)D.數(shù)據(jù)加密答案：D入侵檢測(cè)與防御技術(shù)的發(fā)展趨勢(shì)不包括？A.分布式入侵檢測(cè)B.更廣泛的信息源C.減少處理能力D.可擴(kuò)展性問題答案：C哪種模型假設(shè)入侵行為可以通過檢查系統(tǒng)的審計(jì)記錄來發(fā)現(xiàn)？A.Denning模型B.IDM模型C.SNMP-IDSM模型D.都不對(duì)答案：A入侵檢測(cè)系統(tǒng)的部署要求是？A.直接接入鏈路B.旁路監(jiān)聽設(shè)備C.部署在防火墻之前D.無需任何特殊要求答案：B哪種入侵檢測(cè)模型強(qiáng)調(diào)了智能代理的協(xié)同工作？A.Denning模型B.IDM模型C.SNMP-IDSM模型D.都不是答案：B入侵防御系統(tǒng)（IPS）在發(fā)現(xiàn)入侵行為時(shí)，通常會(huì)采取什么措施？A.僅報(bào)警B.實(shí)時(shí)阻斷C.忽略D.轉(zhuǎn)發(fā)給防火墻答案：B以下哪項(xiàng)不是IPS的優(yōu)勢(shì)？A.實(shí)時(shí)阻斷攻擊B.深層防護(hù)C判斷題：入侵檢測(cè)/防御系統(tǒng)是防火墻的必要補(bǔ)充，為網(wǎng)絡(luò)安全提供第二道防線。答案：正確判斷題：入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）只能檢測(cè)外部網(wǎng)絡(luò)攻擊，無法檢測(cè)內(nèi)部惡意行為。答案：錯(cuò)誤判斷題：入侵檢測(cè)系統(tǒng)（IDS）的功能之一是監(jiān)視和分析用戶及系統(tǒng)活動(dòng)。答案：正確判斷題：所有類型的入侵檢測(cè)系統(tǒng)（IDS）都需要直接接入網(wǎng)絡(luò)鏈路。答案：錯(cuò)誤判斷題：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）通常采用旁路部署方式。答案：正確判斷題：入侵防御系統(tǒng)（IPS）能夠?qū)崟r(shí)識(shí)別和攔截黑客攻擊，但不能阻止DoS攻擊。答案：錯(cuò)誤判斷題：入侵防御系統(tǒng)（IPS）部署在網(wǎng)絡(luò)邊界時(shí)，通常采用串聯(lián)部署方式。答案：正確判斷題：IDS與IPS的主要區(qū)別在于IPS具有實(shí)時(shí)阻斷攻擊的功能，而IDS只能檢測(cè)并報(bào)警。答案：正確判斷題：防火墻是動(dòng)態(tài)安全技術(shù)的核心技術(shù)之一，能夠主動(dòng)出擊尋找潛在的攻擊者。答案：錯(cuò)誤判斷題：IPS的實(shí)時(shí)性要求高于IDS，因?yàn)镮PS需要分析實(shí)時(shí)數(shù)據(jù)。答案：正確判斷題：分布式入侵檢測(cè)系統(tǒng)相比傳統(tǒng)集中式系統(tǒng)，能有效解決信息傳輸時(shí)延開銷問題。答案：正確判斷題：Denning模型是一個(gè)基于主機(jī)的入侵檢測(cè)模型，依賴于對(duì)系統(tǒng)審計(jì)記錄的分析。答案：正確判斷題：Denning模型的行為模型不包含任何閾值設(shè)置。答案：錯(cuò)誤判斷題：層次化入侵檢測(cè)模型（IDM）是StevenSnapp等人提出的，用于設(shè)計(jì)和開發(fā)分布式入侵檢測(cè)系統(tǒng)。答案：正確判斷題：IDS與防火墻都可以阻止所有來自網(wǎng)絡(luò)的惡意流量。答案：錯(cuò)誤判斷題：IPS的部署位置一般在防火墻之后，用于二次防御。答案：正確判斷題：IPS的并聯(lián)部署方式等同于IDS，不具備實(shí)時(shí)阻斷功能。答案：正確判斷題：IPS的特征庫(kù)可以定期升級(jí)，以應(yīng)對(duì)新型安全威脅。答案：正確判斷題：IDS的功能之一是評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。答案：正確判斷題：傳統(tǒng)的集中式入侵檢測(cè)系統(tǒng)不存在任何缺陷，能夠完美應(yīng)對(duì)各種安全威脅。答案：錯(cuò)誤20道填空題及其標(biāo)準(zhǔn)答案：入侵檢測(cè)/防御系統(tǒng)是防火墻之后的第____道安全防線。答案：二入侵檢測(cè)與防御是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中____或異常現(xiàn)象的技術(shù)。答案：未授權(quán)入侵檢測(cè)系統(tǒng)的建立依賴于____的發(fā)展。答案：入侵檢測(cè)技術(shù)入侵檢測(cè)系統(tǒng)的核心功能之一是監(jiān)視、分析____及系統(tǒng)活動(dòng)。答案：用戶入侵檢測(cè)系統(tǒng)（IDS）的功能之一是____反映已知進(jìn)攻的活動(dòng)模式并報(bào)警。答案：識(shí)別入侵檢測(cè)系統(tǒng)的部署方案根據(jù)類型和應(yīng)用環(huán)境的不同而有所____。答案：差別基于____的入侵檢測(cè)系統(tǒng)一般用于保護(hù)關(guān)鍵主機(jī)或服務(wù)器。答案：主機(jī)IPS是一種發(fā)現(xiàn)入侵行為時(shí)能____的入侵檢測(cè)系統(tǒng)。答案：實(shí)時(shí)阻斷IPS能夠保護(hù)各種應(yīng)用系統(tǒng)，如Web服務(wù)器、____系統(tǒng)等。答案：數(shù)據(jù)庫(kù)IPS的性能保護(hù)功能可以阻斷或限制應(yīng)用程序占用____或系統(tǒng)資源。答案：網(wǎng)絡(luò)IPS的部署方式主要有____部署和并聯(lián)部署兩種。答案：串聯(lián)IPS的____防護(hù)功能使其能夠識(shí)別和攔截各種惡意流量。答案：入侵IPS與防火墻的主要區(qū)別在于，IPS可以發(fā)現(xiàn)____的惡意行為。答案：內(nèi)部分布式入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)在于可以有效避免信息傳輸?shù)腳___開銷。答案：時(shí)延Denning模型是一個(gè)基于____的入侵檢測(cè)模型。答案：主機(jī)Denning模型中，____是指系統(tǒng)操作的主動(dòng)發(fā)起者。答案：主體在Denning模型中，____是用來保存主體正?；顒?dòng)的有關(guān)信息。答案：行為模型IDM是____的入侵檢測(cè)模型的簡(jiǎn)稱。答案：層次化入侵檢測(cè)技術(shù)的發(fā)展趨勢(shì)之一是分布式入侵檢測(cè)，這可以有效解決集中式體系結(jié)構(gòu)的____問題。答案：瓶頸IPS的____功能使其能夠?qū)θ肭只顒?dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截。答案：實(shí)時(shí)阻斷這些填空題覆蓋了文件中關(guān)于入侵檢測(cè)與防御系統(tǒng)的基本概念、功能、部署、類型以及發(fā)展趨勢(shì)等多個(gè)方面。以下是基于上傳文件《第2章入侵檢測(cè)與防御原理.docx》的10道簡(jiǎn)答題及其標(biāo)準(zhǔn)答案：1.簡(jiǎn)述入侵檢測(cè)與防御系統(tǒng)的基本概念。標(biāo)準(zhǔn)答案：入侵檢測(cè)與防御系統(tǒng)（IDS/IPS）是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)。它可以檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略的行為，是一種積極主動(dòng)的安全防御技術(shù)，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力。2.入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)的主要區(qū)別是什么？標(biāo)準(zhǔn)答案：（1）功能不同：IDS側(cè)重于檢測(cè)惡意行為并報(bào)警，而IPS可以實(shí)時(shí)阻斷惡意行為。（2）實(shí)時(shí)性要求不同：IPS需要分析實(shí)時(shí)數(shù)據(jù)，IDS可以基于歷史數(shù)據(jù)做事后分析。（3）部署方式不同：IDS一般通過端口鏡像進(jìn)行旁路部署，IPS一般串聯(lián)部署在防火墻和網(wǎng)絡(luò)設(shè)備之間。（4）檢測(cè)攻擊的方法不同：IPS能實(shí)施深層防御安全策略，在應(yīng)用層檢測(cè)并阻斷攻擊。3.入侵檢測(cè)系統(tǒng)的基本功能有哪些？標(biāo)準(zhǔn)答案：（1）監(jiān)視、分析用戶及系統(tǒng)活動(dòng)。（2）系統(tǒng)構(gòu)造的審計(jì)和系統(tǒng)弱點(diǎn)的審計(jì)。（3）識(shí)別反映已知進(jìn)攻的活動(dòng)模式并報(bào)警。（4）對(duì)異常行為模式進(jìn)行統(tǒng)計(jì)分析。（5）對(duì)重要系統(tǒng)和數(shù)據(jù)文件的完整性進(jìn)行評(píng)估。（6）對(duì)操作系統(tǒng)的審計(jì)追蹤管理。（7）識(shí)別用戶違反安全策略的行為。4.簡(jiǎn)述入侵防御系統(tǒng)的部署方式及其特點(diǎn)。標(biāo)準(zhǔn)答案：入侵防御系統(tǒng)（IPS）主要有串聯(lián)部署和并聯(lián)部署兩種方式：串聯(lián)部署：直接串聯(lián)接入網(wǎng)絡(luò)，如部署在網(wǎng)絡(luò)邊界，能實(shí)時(shí)監(jiān)控所有傳輸數(shù)據(jù)，實(shí)時(shí)阻斷攻擊，但一旦死機(jī)可能需要硬件Bypass開啟網(wǎng)絡(luò)全通功能。并聯(lián)部署：以旁路部署方式并聯(lián)接入網(wǎng)絡(luò)中的交換機(jī)，此時(shí)IPS功能等同于IDS，不會(huì)對(duì)網(wǎng)絡(luò)傳輸形成瓶頸，一旦設(shè)備死機(jī)不會(huì)造成網(wǎng)絡(luò)中斷。5.入侵檢測(cè)系統(tǒng)的部署位置有哪些常見選擇？標(biāo)準(zhǔn)答案：（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)通常部署在關(guān)鍵主機(jī)或服務(wù)器中。（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通常部署在服務(wù)器區(qū)域的交換機(jī)、Internet接入路由器之后的第一臺(tái)交換機(jī)、重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上，需要開啟交換機(jī)的端口鏡像功能。6.簡(jiǎn)述入侵檢測(cè)與防御技術(shù)的發(fā)展趨勢(shì)。標(biāo)準(zhǔn)答案：（1）分布式入侵檢測(cè)：通過智能代理技術(shù)實(shí)現(xiàn)多個(gè)代理協(xié)同工作，提升入侵檢測(cè)能力。（2）更廣泛的信息源：收集更全面的系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用信息，提升檢測(cè)的準(zhǔn)確性。（3）更快速的處理能力：改進(jìn)硬件體系、軟件結(jié)構(gòu)和處理算法，提升入侵檢測(cè)系統(tǒng)的運(yùn)行速度和工作效率。（4）可擴(kuò)展性問題：解決時(shí)間和空間上的可擴(kuò)展性，應(yīng)對(duì)復(fù)雜攻擊。（5）綜合的安全態(tài)勢(shì)感知：提升從海量數(shù)據(jù)中檢測(cè)潛在威脅的能力，準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)的安全態(tài)勢(shì)。7.Denning模型的基本組成部分有哪些？標(biāo)準(zhǔn)答案：Denning模型由主體（Subject）、對(duì)象（Object）、審計(jì)記錄（AuditRecord）、行為模型（ActivityProfile）、異常記錄（AnomalyRecord）和活動(dòng)規(guī)則（ActivityRules）六個(gè)主要部分組成。8.什么是IDS的旁路部署方式？標(biāo)準(zhǔn)答案：IDS的旁路部署方式是指IDS不直接接入任何鏈路，而是通過端口鏡像等技術(shù)獲取所有關(guān)注流量的數(shù)據(jù)進(jìn)行分析，不會(huì)對(duì)網(wǎng)絡(luò)流量產(chǎn)生任何影響，主要用于監(jiān)測(cè)和分析。9.簡(jiǎn)述IPS如何保護(hù)Web安全？標(biāo)準(zhǔn)答案：IPS通過基于互聯(lián)網(wǎng)Web站點(diǎn)的掛馬檢測(cè)結(jié)果