1、填空题  （）原理是指根据已经知道的入侵方式来检测入侵。

点击查看答案

本题答案：误用检测
本题解析：试题答案误用检测

2、填空题  扫描端口的目的是为了获取目标主机提供的服务信息，通过服务器开放的（）。

点击查看答案

本题答案：端口号
本题解析：试题答案端口号

3、填空题  基于神经网络的检测技术的基本思想是用一系列信息单元训练神经单元，在给出一定的输入后，就可能预测出（）。

点击查看答案

本题答案：输出
本题解析：试题答案输出

4、问答题  什么是完整性分析方法，有什么优缺点？

点击查看答案

本题答案：它主要关注某个文件或对象是否被更改，这经常包括文件和目
本题解析：试题答案它主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。
其优点只要是成功地攻击导致了文件或其他对象的任何改变，它都能够发现。
缺点是一般以批处理方式实现，不用于实时响应。

5、问答题  TCP扫描中的Connect扫描的原理是什么？

点击查看答案

本题答案：TCPConnect()扫描是最基本的TCP扫描方式。
本题解析：试题答案TCPConnect()扫描是最基本的TCP扫描方式。Connect()是一种系统调用，由操作系统提供，用来打开一个连接。如果目标端口有程序监听，Connect()就会成功返回，否则这个端口是不可达的。这项技术最大的优点无需root权限。任何UNIX用户都可以自由使用这个系统调用。但却很容易被检测到，在目标主机的日志中会记录大批的连接请求以及错误信息

6、问答题  基于异常 检测原理的入侵检测方法和技术有如下几种方法。

点击查看答案

本题答案：1）统计异常检测方法。
2）特征选择异常检测
本题解析：试题答案1）统计异常检测方法。
2）特征选择异常检测方法。
3）基于贝叶斯推理的异常检测方法。
4）基于贝叶斯网络的异常检测方法。
5）基于模式预测的异常检测方法。

7、填空题  基于（）的IDS允许部署在一个或多个关键访问点来检查所有经过的网络通信，因此并不需要在各种各样的主机上进行安装。

点击查看答案

本题答案：网络
本题解析：试题答案网络

8、填空题  在通用入侵检测模型中，（）是整个检测系统的核心，它包含了用于计算用户行为特征的所有变量。

点击查看答案

本题答案：行为特征表
本题解析：试题答案行为特征表

9、填空题  入侵检测系统中（）功能负责提取与被保护系统相关的运行数据或记录，并负责对数据进行简单的过滤。

点击查看答案

本题答案：事件提取
本题解析：试题答案事件提取

10、问答题  什么是基于主机的入侵检测系统，有什么优缺点？

点击查看答案

本题答案：优点是针对不同操作系统特点捕获应用层入侵，误报少；本题解析：试题答案优点是针对不同操作系统特点捕获应用层入侵，误报少；
缺点是依赖于主机及其审计子系统，实时性差。

11、问答题  TCP扫描的原理是什么？有什么优缺点？

点击查看答案

本题答案：传输控制协议 （TransmissionControlP
本题解析：试题答案传输控制协议（TransmissionControlProtocol，TCP）为应用层提供一种面向连接的、可靠的字节流服务。它使用“三次握手”的方式建立连接。从连接建立的过程可以知道，如果向目标发送一个SYN报文，则无论是收到一个SYN/ACK报文还是一个RST报文，都表明目标处于活动状态。

12、问答题  入侵检测技术至今已经历三代。

点击查看答案

本题答案：第一代技术采用主机日志分析、模式匹配的方法；
本题解析：试题答案第一代技术采用主机日志分析、模式匹配的方法；
第二代技术出现在20世纪90年代中期，主要包括网络数据包截获、主机网络数据和审计数据分析、基于网络的入侵检测和基于主机的入侵检测等方法；
第三代技术出现在2000年前后，引入了协议分析、行为异常分析等方法。

13、填空题  （）是通过给目标主机发送特定的包并收集回应包来取得相关信息的。

点击查看答案

本题答案：主动扫描
本题解析：试题答案主动扫描

14、问答题  基于主机的入侵检测系统有以下优点。

点击查看答案

本题答案：1）监视特定的系统活动。
2）非常适用于被加
本题解析：试题答案1）监视特定的系统活动。
2）非常适用于被加密的和交换的环境。
3）近实时的检测和应答。
4）不需要额外的硬件。

15、填空题  从扫描对象来分，可以分为基于网络的扫描和基于（）的扫描。

点击查看答案

本题答案：主机
本题解析：试题答案主机

16、填空题  目前用于探测操作系统的方法主要可以分为两类：（）和利用TCP/IP堆栈指纹。

点击查看答案

本题答案：利用系统旗标信息
本题解析：试题答案利用系统旗标信息

17、填空题  如果发送者接收到来自目标的ICMP回显应答，就能知道目标目前（）

点击查看答案

本题答案：处于活动状态
本题解析：试题答案处于活动状态

18、问答题  什么是网络入侵检测？

点击查看答案

本题答案：网络入侵检测是从计算机网络或计算机系统中的若干关键点搜
本题解析：试题答案网络入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。

19、填空题  在具体实现过程中，专家系统主要面临问题是全面性问题和（）。

点击查看答案

本题答案：效率问题
本题解析：试题答案效率问题

20、填空题  入侵检测系统中（）的任务就是在提取到的运行数据中找出入侵的痕迹，将授权的正 常访问行为和非授权的不正常访问行为区分开，分析出入侵行为并对入侵者进行定位。

点击查看答案

本题答案：入侵分析
本题解析：试题答案入侵分析

21、填空题  基于概率统计的检测技术优越性在于它应用了成熟的（）理论。

点击查看答案

本题答案：概率统计
本题解析：试题答案概率统计

22、填空题  在通用入侵检测模型中，（）可以为判断是否入侵提供参考机制。

点击查看答案

本题答案：规则模块
本题解析：试题答案规则模块

23、问答题  基于网络的脆弱性评估有什么优缺点？

点击查看答案

本题答案：基于网络的脆弱性评估从入侵者的角度进行检测，能够发现系
本题解析：试题答案基于网络的脆弱性评估从入侵者的角度进行检测，能够发现系统中最危险、最可能被入侵者渗透的漏洞，扫描效率更高，而且由于与目标平台无关，通用性较强、安装简单；
缺点是不能检查不恰当的本地安全策略，另外也可能影响网络性能。

24、填空题  基于专家系统的攻击检测技术，即根据安全专家对（）的分析经验来形成一套推理规则，然后在此基础上设计出相应的专家系统。由此专家系统自动进行对所涉及的攻击操作的分析工作。

点击查看答案

本题答案：可疑行为
本题解析：试题答案可疑行为

25、问答题  主动扫描有什么优缺点？

点击查看答案

本题答案：主动扫描是传统的扫描方式，拥有较长的发展历史，它是通过
本题解析：试题答案主动扫描是传统的扫描方式，拥有较长的发展历史，它是通过给目标主机发送特定的包并收集回应包来取得相关信息的。当然，无响应本身也是信息，它表明可能存在过滤设备将探测包或探测回应包过滤了。主动扫描的优势在于通常能较快获取信息，准确性也比较高。缺点在于，易于被发现，很难掩盖扫描痕迹；而且要成功实施主动扫描通常需要突破防火墙，但突破防火墙是很困难的。
被动扫描是通过监听网络包来取得信息。由于被动扫描具有很多优点，近年来备受重视，其主要优点是对它的检测几乎是不可能的。被动扫描一般只需要监听网络流量而不需要主动发送网络包，也不易受防火墙影响。而其主要缺点在于速度较慢，而且准确性较差，当目标不产生网络流量时就无法得知目标的任何信息。

26、问答题  入侵检测系统执行的主要任务有哪些？

点击查看答案

本题答案：包括：
1、监视、分析用户及系统活动；审计系
本题解析：试题答案包括：
1、监视、分析用户及系统活动；审计系统构造和弱点；
2、识别、反映已知进攻的活动模式，向相关人士报警；
3、统计分析异常行为模式；
4、评估重要系统和数据文件的完整性；
5、审计、跟踪管理操作系统，识别用户违反安全策略的行为。

27、填空题  第一代入侵检测技术采用（）、模式匹配的方法。

点击查看答案

本题答案：主机日志分析
本题解析：试题答案主机日志分析

28、填空题  ICMP报文的前两个字节说明报文的（）。

点击查看答案

本题答案：类型
本题解析：试题答案类型

29、填空题  基于概率统计的检测定义判断入侵的阈值太高则（）增高。

点击查看答案

本题答案：误检率
本题解析：试题答案误检率

30、问答题  什么是滥用检测方法，有什么优缺点？

点击查看答案

本题答案：将收集到的信息与已知的网络入侵和系统误用模式数据库进行
本题解析：试题答案将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。
该方法的优点是只需收集相关的数据集合，显著减少了系统负担，且技术已相当成熟。
该方法存在的弱点是需要不断地升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。