《入侵检测与防御原理及实践（微课版）》-习题 第2章 入侵检测与防御原理 习题

第2章入侵检测与防御原理下面哪种方法无法在交换网络环境下进行数据捕获：A.将数据包捕获程序放在网关或代理服务器上B.给交换机配置端口镜像C.实现ARP欺骗D.给交换机配置VLAN答案：D入侵检测/防御系统在网络安全中的角色是什么？A.防火墙的替代品B.防火墙的必要补充C.不需要防火墙即可独立运行D.与防火墙无关答案：B入侵检测与防御系统能够发现哪种类型的攻击？A.仅外部攻击B.仅内部攻击C.外部和内部攻击D.误操作但无法发现攻击答案：C入侵检测系统的核心功能不包括以下哪项？A.监视用户活动B.识别已知攻击模式C.阻止恶意流量D.评估系统和数据文件的完整性答案：C入侵防御系统（IPS）与入侵检测系统（IDS）的主要区别在于？A.IPS不能检测攻击B.IDS可以阻止攻击C.IPS可以实时阻断攻击D.IPS不能检测异常行为答案：C以下哪项不是入侵检测系统的部署方式？A.基于主机B.基于网络C.串联部署D.旁路部署答案：C在哪个位置部署网络入侵检测系统通常最有效？A.远离攻击源B.远离受保护源C.尽可能靠近攻击源和受保护源D.任意位置答案：C入侵检测系统的功能不包括以下哪项？A.监视和分析用户活动B.阻止网络攻击C.审计系统弱点D.评估操作系统审计追踪答案：B分布式入侵检测系统的优点不包括？A.实时性高B.减少网络通信负担C.提高系统的可扩展性D.避免单点故障答案：BIPS（入侵防御系统）如何防止DDoS攻击？A.通过丢弃或限流恶意流量B.仅通过报警C.无法防止DDoS攻击D.仅通过升级特征库答案：A哪种类型的入侵检测系统依赖于主机的审计记录？A.基于网络的IDSB.基于主机的IDSC.分布式IDSD.串联部署的IPS答案：BDenning模型是哪种类型的入侵检测模型？A.集中式B.层次化C.集成式D.分布式答案：AIPS与防火墙的主要区别不包括？A.IPS可以检测内部攻击B.防火墙是静态防御C.IPS可以阻止所有流量D.IPS是动态防御答案：C以下哪个选项不是IPS的功能？A.入侵防护B.应用保护C.网络架构保护D.数据加密答案：D入侵检测与防御技术的发展趋势不包括？A.分布式入侵检测B.更广泛的信息源C.减少处理能力D.可扩展性问题答案：C哪种模型假设入侵行为可以通过检查系统的审计记录来发现？A.Denning模型B.IDM模型C.SNMP-IDSM模型D.都不对答案：A入侵检测系统的部署要求是？A.直接接入链路B.旁路监听设备C.部署在防火墙之前D.无需任何特殊要求答案：B哪种入侵检测模型强调了智能代理的协同工作？A.Denning模型B.IDM模型C.SNMP-IDSM模型D.都不是答案：B入侵防御系统（IPS）在发现入侵行为时，通常会采取什么措施？A.仅报警B.实时阻断C.忽略D.转发给防火墙答案：B以下哪项不是IPS的优势？A.实时阻断攻击B.深层防护C判断题：入侵检测/防御系统是防火墙的必要补充，为网络安全提供第二道防线。答案：正确判断题：入侵检测/防御系统（IDS/IPS）只能检测外部网络攻击，无法检测内部恶意行为。答案：错误判断题：入侵检测系统（IDS）的功能之一是监视和分析用户及系统活动。答案：正确判断题：所有类型的入侵检测系统（IDS）都需要直接接入网络链路。答案：错误判断题：基于网络的入侵检测系统（NIDS）通常采用旁路部署方式。答案：正确判断题：入侵防御系统（IPS）能够实时识别和拦截黑客攻击，但不能阻止DoS攻击。答案：错误判断题：入侵防御系统（IPS）部署在网络边界时，通常采用串联部署方式。答案：正确判断题：IDS与IPS的主要区别在于IPS具有实时阻断攻击的功能，而IDS只能检测并报警。答案：正确判断题：防火墙是动态安全技术的核心技术之一，能够主动出击寻找潜在的攻击者。答案：错误判断题：IPS的实时性要求高于IDS，因为IPS需要分析实时数据。答案：正确判断题：分布式入侵检测系统相比传统集中式系统，能有效解决信息传输时延开销问题。答案：正确判断题：Denning模型是一个基于主机的入侵检测模型，依赖于对系统审计记录的分析。答案：正确判断题：Denning模型的行为模型不包含任何阈值设置。答案：错误判断题：层次化入侵检测模型（IDM）是StevenSnapp等人提出的，用于设计和开发分布式入侵检测系统。答案：正确判断题：IDS与防火墙都可以阻止所有来自网络的恶意流量。答案：错误判断题：IPS的部署位置一般在防火墙之后，用于二次防御。答案：正确判断题：IPS的并联部署方式等同于IDS，不具备实时阻断功能。答案：正确判断题：IPS的特征库可以定期升级，以应对新型安全威胁。答案：正确判断题：IDS的功能之一是评估重要系统和数据文件的完整性。答案：正确判断题：传统的集中式入侵检测系统不存在任何缺陷，能够完美应对各种安全威胁。答案：错误20道填空题及其标准答案：入侵检测/防御系统是防火墙之后的第____道安全防线。答案：二入侵检测与防御是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中____或异常现象的技术。答案：未授权入侵检测系统的建立依赖于____的发展。答案：入侵检测技术入侵检测系统的核心功能之一是监视、分析____及系统活动。答案：用户入侵检测系统（IDS）的功能之一是____反映已知进攻的活动模式并报警。答案：识别入侵检测系统的部署方案根据类型和应用环境的不同而有所____。答案：差别基于____的入侵检测系统一般用于保护关键主机或服务器。答案：主机IPS是一种发现入侵行为时能____的入侵检测系统。答案：实时阻断IPS能够保护各种应用系统，如Web服务器、____系统等。答案：数据库IPS的性能保护功能可以阻断或限制应用程序占用____或系统资源。答案：网络IPS的部署方式主要有____部署和并联部署两种。答案：串联IPS的____防护功能使其能够识别和拦截各种恶意流量。答案：入侵IPS与防火墙的主要区别在于，IPS可以发现____的恶意行为。答案：内部分布式入侵检测系统的优势在于可以有效避免信息传输的____开销。答案：时延Denning模型是一个基于____的入侵检测模型。答案：主机Denning模型中，____是指系统操作的主动发起者。答案：主体在Denning模型中，____是用来保存主体正常活动的有关信息。答案：行为模型IDM是____的入侵检测模型的简称。答案：层次化入侵检测技术的发展趋势之一是分布式入侵检测，这可以有效解决集中式体系结构的____问题。答案：瓶颈IPS的____功能使其能够对入侵活动和攻击性网络流量进行拦截。答案：实时阻断这些填空题覆盖了文件中关于入侵检测与防御系统的基本概念、功能、部署、类型以及发展趋势等多个方面。以下是基于上传文件《第2章入侵检测与防御原理.docx》的10道简答题及其标准答案：1.简述入侵检测与防御系统的基本概念。标准答案：入侵检测与防御系统（IDS/IPS）是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它可以检测计算机网络中违反安全策略的行为，是一种积极主动的安全防御技术，帮助系统对付网络攻击，扩展系统管理员的安全管理能力。2.入侵检测系统与入侵防御系统的主要区别是什么？标准答案：（1）功能不同：IDS侧重于检测恶意行为并报警，而IPS可以实时阻断恶意行为。（2）实时性要求不同：IPS需要分析实时数据，IDS可以基于历史数据做事后分析。（3）部署方式不同：IDS一般通过端口镜像进行旁路部署，IPS一般串联部署在防火墙和网络设备之间。（4）检测攻击的方法不同：IPS能实施深层防御安全策略，在应用层检测并阻断攻击。3.入侵检测系统的基本功能有哪些？标准答案：（1）监视、分析用户及系统活动。（2）系统构造的审计和系统弱点的审计。（3）识别反映已知进攻的活动模式并报警。（4）对异常行为模式进行统计分析。（5）对重要系统和数据文件的完整性进行评估。（6）对操作系统的审计追踪管理。（7）识别用户违反安全策略的行为。4.简述入侵防御系统的部署方式及其特点。标准答案：入侵防御系统（IPS）主要有串联部署和并联部署两种方式：串联部署：直接串联接入网络，如部署在网络边界，能实时监控所有传输数据，实时阻断攻击，但一旦死机可能需要硬件Bypass开启网络全通功能。并联部署：以旁路部署方式并联接入网络中的交换机，此时IPS功能等同于IDS，不会对网络传输形成瓶颈，一旦设备死机不会造成网络中断。5.入侵检测系统的部署位置有哪些常见选择？标准答案：（1）基于主机的入侵检测系统通常部署在关键主机或服务器中。（2）基于网络的入侵检测系统通常部署在服务器区域的交换机、Internet接入路由器之后的第一台交换机、重点保护网段的局域网交换机上，需要开启交换机的端口镜像功能。6.简述入侵检测与防御技术的发展趋势。标准答案：（1）分布式入侵检测：通过智能代理技术实现多个代理协同工作，提升入侵检测能力。（2）更广泛的信息源：收集更全面的系统、网络和应用信息，提升检测的准确性。（3）更快速的处理能力：改进硬件体系、软件结构和处理算法，提升入侵检测系统的运行速度和工作效率。（4）可扩展性问题：解决时间和空间上的可扩展性，应对复杂攻击。（5）综合的安全态势感知：提升从海量数据中检测潜在威胁的能力，准确预测网络的安全态势。7.Denning模型的基本组成部分有哪些？标准答案：Denning模型由主体（Subject）、对象（Object）、审计记录（AuditRecord）、行为模型（ActivityProfile）、异常记录（AnomalyRecord）和活动规则（ActivityRules）六个主要部分组成。8.什么是IDS的旁路部署方式？标准答案：IDS的旁路部署方式是指IDS不直接接入任何链路，而是通过端口镜像等技术获取所有关注流量的数据进行分析，不会对网络流量产生任何影响，主要用于监测和分析。9.简述IPS如何保护Web安全？标准答案：IPS通过基于互联网Web站点的挂马检测结果