入侵检测系统工程师考试试卷及答案

入侵检测系统工程师考试试卷及答案一、填空题（每题1分，共10分）1.入侵检测系统按检测范围分为网络型IDS和______型IDS。2.基于______的检测方法依赖已知攻击特征库识别入侵。3.IDS中收集网络流量的核心组件称为______。4.Windows主机入侵检测常用的日志类型是______日志。5.IDS响应方式分为主动响应和______响应。6.Snort规则中“alert”字段表示______。7.主机型IDS（HIDS）通常部署在______。8.异常检测的常见方法包括统计异常和______异常检测。9.常见网络入侵检测工具Snort默认监听______（流量）。10.IDS的核心功能包括检测、分析和______。二、单项选择题（每题2分，共20分）1.以下属于网络型IDS（NIDS）的是？A.OSSECB.SnortC.TripwireD.WindowsDefender2.基于误用检测的IDS无法检测______。A.已知病毒B.新变种攻击C.端口扫描D.密码破解3.IDS主动响应不包括？A.阻断连接B.发送报警邮件C.重置TCP会话D.隔离主机4.IDS的核心组件是？A.防火墙B.传感器C.路由器D.交换机5.Snort规则中“content:”字段作用是？A.匹配协议B.匹配内容C.匹配端口D.匹配IP6.HIDS主要检测______。A.网络流量B.主机文件变化C.路由器配置D.交换机状态7.异常检测可识别______。A.已知缓冲区溢出B.未知SQL注入C.已知端口扫描D.已知病毒8.IDS与防火墙的区别是？A.IDS能阻断流量B.防火墙仅检测C.IDS以检测为主D.功能完全相同9.常见HIDS工具是？A.NmapB.WiresharkC.OSSECD.Nessus10.IDS日志分析不包含______。A.攻击时间B.源IPC.攻击类型D.用户密码三、多项选择题（每题2分，共20分）1.IDS类型包括______。A.NIDSB.HIDSC.分布式IDSD.防火墙2.异常检测优点是______。A.检测未知攻击B.误报率低C.依赖特征库D.发现新变种3.IDS响应方式有______。A.主动响应B.被动响应C.日志记录D.阻断流量4.Snort规则关键字包括______。A.alertB.contentC.portD.ip5.HIDS检测内容包括______。A.文件完整性B.进程行为C.系统日志D.网络流量6.IDS部署位置包括______。A.网络边界B.核心交换机旁C.重要服务器D.防火墙内部7.常见攻击检测类型包括______。A.端口扫描B.缓冲区溢出C.SQL注入D.DDoS8.IDS核心功能包括______。A.检测入侵B.分析入侵C.响应入侵D.修复入侵9.被动响应包括______。A.发送报警B.记录日志C.阻断连接D.通知管理员10.分布式IDS组成包括______。A.本地传感器B.中央控制台C.分析引擎D.防火墙四、判断题（每题2分，共20分）1.IDS只能检测已知攻击。（）2.HIDS部署在网络边界。（）3.误用检测依赖已知攻击特征库。（）4.Snort是常见网络IDS工具。（）5.主动响应包括阻断攻击连接。（）6.异常检测能发现未知新攻击。（）7.防火墙与IDS功能完全相同。（）8.HIDS检测主机文件变化。（）9.IDS日志无需定期分析。（）10.分布式IDS比单机IDS覆盖更广。（）五、简答题（每题5分，共20分）1.简述NIDS与HIDS的区别。2.误用检测与异常检测的优缺点是什么？3.简述IDS响应流程。4.如何提升IDS检测准确率？六、讨论题（每题5分，共10分）1.讨论分布式IDS在大规模网络中的优势与挑战。2.讨论加密流量对IDS的影响及应对策略。---参考答案一、填空题1.主机2.误用3.传感器（嗅探器）4.安全5.被动6.报警7.受保护主机8.基于行为9.所有端口流量10.响应（报警）二、单项选择题1.B2.B3.B4.B5.B6.B7.B8.C9.C10.D三、多项选择题1.ABC2.AD3.ABCD4.ABCD5.ABC6.ABCD7.ABCD8.ABC9.ABD10.ABC四、判断题1.×2.×3.√4.√5.√6.√7.×8.√9.×10.√五、简答题1.NIDS与HIDS区别：NIDS部署在网络（边界/核心），监控多主机流量，检测网络攻击（端口扫描、DDoS）；HIDS部署在单主机，检测内部行为（文件篡改、进程异常）。NIDS漏过加密流量，HIDS可检测加密流量内主机行为，两者互补。2.误用检测优缺点：优点→误报低、特征明确；缺点→无法检测未知攻击、需更新特征库。异常检测优点→检测未知攻击；缺点→误报高、需训练正常基线。3.IDS响应流程：①检测→传感器收集数据，匹配特征/偏离基线；②分析→确认攻击类型、源/目标；③响应→主动（阻断、隔离）或被动（日志、报警）。4.提升准确率：①更新特征库；②优化异常模型（调整基线）；③NIDS+HIDS结合；④过滤正常流量；⑤关联多事件；⑥定期审计日志。六、讨论题1.分布式IDS优势挑战：优势→覆盖全网、跨区域关联攻击（横向移动）、可扩展；挑战→部署复杂、中央引擎性能瓶颈、隐私泄露风险、误报关联难。应对