网络安全入侵检测系统工程师岗位招聘考试试卷及答案

网络安全入侵检测系统工程师岗位招聘考试试卷及答案试题一、填空题（共10题，每题1分）1.IDS的中文全称是______。2.按检测方式分，IDS可分为异常检测和______检测。3.Snort是开源的______类IDS工具。4.入侵检测中，“特征码”通常用于______检测方法。5.IDS的核心组件包括传感器、______和控制台。6.针对主机的IDS缩写是______。7.网络IDS通常部署在______（如交换机镜像端口）以监听流量。8.常见的入侵事件类型有端口扫描、______、缓冲区溢出等。9.IDS的响应方式分为主动响应和______响应。10.用于检测网络流量中异常行为的统计方法包括阈值检测和______。二、单项选择题（共10题，每题2分）1.以下属于HIDS的是？A.SnortB.OSSECC.NmapD.Wireshark2.误用检测的缺点是？A.能检测未知攻击B.误报率低C.依赖已知特征D.部署简单3.IDS与防火墙的主要区别是？A.能阻断流量B.能检测流量C.部署在边界D.基于规则4.Snort的规则格式中，“alert”表示？A.仅记录B.生成警报C.阻断流量D.忽略5.以下哪种攻击可被NIDS检测？A.本地提权B.恶意进程C.端口扫描D.文件篡改6.异常检测基于？A.已知攻击特征B.正常行为基线C.系统日志D.网络拓扑7.部署NIDS时，交换机需开启？A.VLANB.端口镜像C.NATD.ACL8.OSSEC的主要功能不包括？A.日志分析B.入侵检测C.漏洞扫描D.主机监控9.入侵检测中，“falsepositive”指？A.误报B.漏报C.正确报警D.无响应10.以下属于网络入侵检测系统的是？A.TripwireB.SnortC.ClamAVD.Sysmon三、多项选择题（共10题，每题2分）1.IDS的部署位置包括？A.网络边界B.核心交换机C.服务器所在VLAND.终端主机2.异常检测的方法有？A.阈值检测B.统计分析C.特征匹配D.机器学习3.以下属于入侵事件的是？A.端口扫描B.弱口令尝试C.正常业务访问D.缓冲区溢出4.IDS的响应方式包括？A.记录日志B.发送警报C.阻断流量D.执行脚本5.HIDS的检测范围包括？A.系统日志B.文件完整性C.进程行为D.网络流量6.Snort的工作模式有？A.嗅探模式B.入侵检测模式C.日志模式D.阻断模式7.以下工具可辅助IDS分析的是？A.WiresharkB.NmapC.ELKStackD.Nessus8.IDS的核心功能包括？A.流量采集B.事件分析C.响应处理D.漏洞扫描9.常见的入侵检测协议有？A.IDMEFB.SNMPC.ICMPD.HTTP10.以下属于误用检测的特点是？A.依赖已知特征B.能检测未知攻击C.误报率低D.漏报未知攻击四、判断题（共10题，每题2分）1.IDS可以完全替代防火墙。（）2.HIDS部署在主机上，检测本地行为。（）3.异常检测能检测所有未知攻击。（）4.Snort只能作为NIDS使用。（）5.端口镜像用于NIDS流量采集。（）6.falsenegative是漏报。（）7.OSSEC是开源HIDS工具。（）8.IDS的主动响应就是直接阻断攻击。（）9.网络流量中的所有异常都是入侵行为。（）10.Tripwire主要用于文件完整性检测，属于HIDS范畴。（）五、简答题（共4题，每题5分）1.简述NIDS与HIDS的主要区别。2.简述误用检测与异常检测的优缺点。3.简述IDS的基本工作流程。4.部署NIDS时需要注意哪些事项？六、讨论题（共2题，每题5分）1.如何降低IDS的误报率？请结合实际场景说明。2.当发现IDS报警为“疑似0day攻击”时，应如何响应处理？答案一、填空题1.入侵检测系统2.误用3.网络（或NIDS）4.误用5.分析引擎6.HIDS7.网络关键节点8.SQL注入（或弱口令尝试、恶意代码传输等合理答案）9.被动10.统计分析（或机器学习、基线对比等合理答案）二、单项选择题1.B2.C3.B4.B5.C6.B7.B8.C9.A10.B三、多项选择题1.ABCD2.ABD3.ABD4.ABCD5.ABC6.ABCD7.AC8.ABC9.AB10.ACD四、判断题1.×2.√3.×4.×5.√6.√7.√8.×9.×10.√五、简答题1.NIDS（网络入侵检测系统）部署在网络节点，监听跨主机流量（如端口扫描）；HIDS（主机入侵检测系统）部署在单台主机，监控本地行为（如系统日志、文件篡改）。NIDS对加密流量检测弱，适合网络层攻击；HIDS能检测本地提权，对本地解密后的加密流量可检测。NIDS误报可能高，HIDS误报相对低，互补覆盖不同场景。2.误用检测：优点是误报率低、检测已知攻击准确；缺点是依赖特征库，无法检测未知攻击（0day）。异常检测：优点是能检测未知攻击；缺点是误报率高（正常行为波动易误判）、需训练正常基线、对基线变化敏感。实际常结合两种方法提升覆盖度。3.①流量采集：NIDS通过端口镜像采网络流量，HIDS采主机日志/进程数据；②预处理：过滤冗余数据、格式转换；③事件分析：误用检测匹配特征，异常检测对比基线；④响应处理：被动（记录日志、发警报）或主动（阻断流量、执行脚本）；⑤事后分析：优化规则，提升检测效率。4.①流量采集：确保交换机开启端口镜像，覆盖关键流量；②规则优化：定制业务规则，排除正常IP/端口；③性能：分布式部署避免瓶颈；④加密流量：合规下部署SSL中间人检测；⑤日志存储：安全存储事件日志便于审计；⑥更新：定期更新特征库/规则，应对新攻击。六、讨论题1.降低误报率可：①规则定制：某电商排除内部API批量请求误报；②基线训练：HIDS采集3个月正常进程行为建立基线，减少波动误报；③关联分析：仅端口扫描+SQL注入尝试才报警，避免单事件误报；④白名单：添加信任IP/进程到白名单；⑤人工审计：每周审核误报事件，更新规则库。2.疑似0day响应：①初