2025年通信工程师入侵检测系统基于数据封装异常的检测专题试卷及解析-单项选择题.pdfVIP

2025年通信工程师入侵检测系统基于数据封装异常的检测专题试卷及解析单项选择题1

2025年通信工程师入侵检测系统基于数据封装异常的检测

专题试卷及解析单项选择题

2025年通信工程师入侵检测系统基于数据封装异常的检测专题试卷及解析

第一部分：单项选择题（共20题，每题1分）

1、基于数据封装异常的入侵检测系统主要检测的是网络数据包的哪种特征？

A、数据包的传输速率

B、数据包的封装格式和协议栈行为

C、数据包的源IP地址

D、数据包的加密方式

【答案】B

【解析】正确答案是B。基于数据封装异常的入侵检测系统主要关注数据包的封装

格式和协议栈行为，通过分析协议字段的异常来检测潜在攻击。A选项传输速率属于流

量分析范畴，C选项源IP地址属于基于特征的检测，D选项加密方式不属于数据封装

异常检测的核心内容。知识点：数据封装异常检测的核心是协议栈行为分析。易错点：

容易将数据封装异常与其他检测方法混淆。

2、在数据封装异常检测中，以下哪种情况最可能被判定为异常？

A、TCP数据包的SYN和FIN标志位同时置1

B、UDP数据包的校验和为0

C、ICMP数据包的Type字段为8

D、IPv4数据包的TTL字段为64

【答案】A

【解析】正确答案是A。TCP数据包的SYN和FIN标志位同时置1违反了TCP

协议的正常状态机行为，属于典型的数据封装异常。B选项UDP校验和为0在某些情

况下是合法的（如IPv4中可选），C选项ICMPType8是正常的回显请求，D选项

TTL64是常见初始值。知识点：协议状态机异常是数据封装检测的重要依据。易错点：

可能忽略协议字段的组合异常。

3、数据封装异常检测系统通常部署在网络的哪个位置？

A、终端主机上

B、网络边界处

C、数据库服务器上

D、应用层网关上

【答案】B

【解析】正确答案是B。数据封装异常检测系统通常部署在网络边界处（如防火墙、

路由器），以便监控所有进出网络的流量。A选项终端主机更适合主机型入侵检测，C

2025年通信工程师入侵检测系统基于数据封装异常的检测专题试卷及解析单项选择题2

和D选项属于特定应用场景。知识点：网络边界是流量监控的关键节点。易错点：可

能混淆主机型与网络型入侵检测的部署位置。

4、以下哪种协议异常最容易被数据封装异常检测系统发现？

A、HTTP请求中的SQL注入

B、TCP数据包的紧急指针异常

C、DNS查询的域名过长

D、FTP传输的文件内容异常

【答案】B

【解析】正确答案是B。TCP紧急指针异常属于协议层封装异常，是数据封装检测

的直接目标。A选项属于应用层攻击，C选项属于协议载荷异常，D选项属于内容异

常。知识点：数据封装检测聚焦协议层而非应用层。易错点：可能将协议层异常与应用

层异常混淆。

5、数据封装异常检测的主要优势是什么？

A、能检测未知攻击

B、检测速度最快

C、误报率最低

D、无需更新规则库

【答案】A

【解析】正确答案是A。数据封装异常检测通过分析协议行为偏离正常模式来检测

未知攻击，这是其核心优势。B选项检测速度取决于实现方式，C选项误报率通常较高，

D选项仍需维护正常行为基线。知识点：异常检测的核心价值在于未知威胁发现。易错

点：可能误认为异常检测无需任何配置。

6、以下哪种情况不属于数据封装异常？

A、IPv6数据包的NextHeader字段为非法值

B、TCP数据包的窗口大小为0

C、UDP数据包的长度字段大于实际数据长度

D、ICMP数据包的Code字段为0

【答案】D

【解析】正确答案是D。ICMPCode字段为0在许多Type值下是合法的（如回显

应答）。A选项NextHeader非法值、B选项TCP窗口大小为0（除非在特定场景）、C

选项长度字段不匹配都属于典型异常。知识点：协议字段合法性判断需结合具体协议规

范。易错点：可能将合法的协议字段值误判为异常。

7、数据封装异常检测系统通常使用哪种技术建立正常行为模型？