入侵检测习题二.doc

入侵检测习题二 一、选择题（共20分，每题2分） 1、按照检测数据的来源可将入侵检测系统（IDS）分为__________。 A．基于主机的IDS和基于网络的IDS B．基于主机的IDS和基于域控制器的IDS C．基于服务器的IDS和基于域控制器的IDS D．基于浏览器的IDS和基于网络的IDS 2、一般来说入侵检测系统由3部分组成，分别是事件产生器、事件分析器和________。 A．控制单元 B．检测单元 C．解释单元 D．响应单元 3、按照技术分类可将入侵检测分为__________。 A．基于标识和基于异常情况 B．基于主机和基于域控制器 C．服务器和基于域控制器 D．基于浏览器和基于网络 4、在网络安全中，截取是指未授权的实体得到了资源的访问权。这是对________。 A．可用性的攻击 B．完整性的攻击 C．保密性的攻击 D．真实性的攻击 5、入侵检测的基础是 （1），入侵检测的核心是 （2）。（1）（2） A. 信息收集 B. 信号分析 C. 入侵防护 D. 检测方法 6、信号分析有模式匹配、统计分析和完整性分析等3种技术手段，其中_______用于事后分析。 A．信息收集 B．统计分析 C．模式匹配 D．完整性分析 7、网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的服务，记录目标给予的回答。 A．源主机 B．服务器 C．目标主机 D．以上都不对 8、________系统是一种自动检测远程或本地主机安全性弱点的程序。 A．入侵检测 B．防火墙 C．漏洞扫描 D．入侵防护 9、下列选项中_________不属于CGI漏洞的危害。 A．缓冲区溢出攻击 B．数据验证型溢出攻击 C．脚本语言错误 D．信息泄漏 10、基于网络低层协议，利用协议或操作系统实现时的漏洞来达到攻击目的，这种攻击方式称为__________。 A．服务攻击 B．拒绝服务攻击 C．被动攻击 D．非服务攻击 习题解析 【试题1】按照检测数据的来源可将入侵检测系统（IDS）分为__________。 A．基于主机的IDS和基于网络的IDS B．基于主机的IDS和基于域控制器的IDS C．基于服务器的IDS和基于域控制器的IDS D．基于浏览器的IDS和基于网络的IDS 【试题2】一般来说入侵检测系统由3部分组成，分别是事件产生器、事件分析器和________。 A．控制单元 B．检测单元 C．解释单元 D．响应单元 【试题3】按照技术分类可将入侵检测分为__________。 A．基于标识和基于异常情况 B．基于主机和基于域控制器 C．服务器和基于域控制器 D．基于浏览器和基于网络 【试题4】在网络安全中，截取是指未授权的实体得到了资源的访问权。这是对________。 A．可用性的攻击 B．完整性的攻击 C．保密性的攻击 D．真实性的攻击 【试题5】入侵检测的基础是 （1）A ，入侵检测的核心是 （2） B。 （1）（2） A. 信息收集 B. 信号分析 C. 入侵防护 D. 检测方法 【试题6】信号分析有模式匹配、统计分析和完整性分析等3种技术手段，其中_______用于事后分析。 A．信息收集 B．统计分析 C．模式匹配 D．完整性分析 【试题7】网络漏洞扫描系统通过远程检测__________TCP/IP不同端口的服务，记录目标给予的回答。 A．源主机 B．服务器 C．目标主机 D．以上都不对 【试题8】________系统是一种自动检测远程或本地主机安全性弱点的程序。 A．入侵检测 B．防火墙 C．漏洞扫描 D．入侵防护 【试题9】下列选项中_________不属于CGI漏洞的危害。 A．缓冲区溢出攻击 B．数据验证型溢出攻击 C．脚本语言错误 D．信息泄漏 【试题10】基于网络低层协议，利用协议或操作系统实现时的漏洞来达到攻击目的，这种攻击方式称为__________。 A．服务攻击 B．拒绝服务攻击 C．被动攻击 D．非服务攻击 二、简答题 1、常见的几种攻击的原理有哪些，试举例？ 答:没有设置任何标志的TCP报文攻击-----正常情况下，任何TCP报文都会设置SYN，FIN，ACK，RST，PSH五个标志中的至少一个标志，第一个TCP报文（TCP连接请求报文）设置SYN标志，后续报文都设置ACK标志。有的协议栈基于这样的假设，没有针对不设置任何标志的TCP报文的处理过程，因此，这样的协议栈如果收到了这样的报文，可能会崩溃。攻击者利用了这个特点，对目标计算机进行攻击。 设置了FIN标志却没有设置ACK标志的TCP报文攻击-----正常情况下，ACK标志在除了第一个报文（SYN报文）外，所有的报文都设置，包括TCP连接拆除报文（FIN标志设置的报文）。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置AC