2025年信息系统安全专家入侵检测与防御系统部署专题试卷及解析.pdfVIP

2025年信息系统安全专家入侵检测与防御系统部署专题试卷及解析1

2025年信息系统安全专家入侵检测与防御系统部署专题试

卷及解析

2025年信息系统安全专家入侵检测与防御系统部署专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在部署网络入侵检测系统（NIDS）时，为了能够检测到经过交换机的所有流量，

最常用的部署方式是什么？

A、串联部署（InlineMode）

B、端口镜像（PortMirroring）/SPAN

C、旁路监听（TAP）

D、分布式部署

【答案】B

【解析】正确答案是B。端口镜像（或称为交换端口分析器SPAN）是交换机提供的

一种功能，它可以将一个或多个端口的流量复制到另一个指定的端口，从而允许连接在

该端口的NIDS监控整个交换网络的流量。这是在不影响网络性能的前提下实现全流量

监控的最常用方法。A选项串联部署会直接插入网络路径，增加延迟和单点故障风险，

通常用于入侵防御系统（IPS）。C选项旁路监听（TAP）也是一种优秀的方法，但需要

专门的硬件设备，成本较高，不如端口镜像普及。D选项分布式部署描述的是NIDS的

架构布局，而非具体接入交换机的方式。知识点：NIDS部署模式。易错点：混淆NIDS

和IPS的部署模式，IPS常采用串联模式以实现主动阻断。

2、下列哪项技术是现代入侵防御系统（IPS）用于识别零日攻击（ZerodayAttack）

的核心手段之一？

A、基于特征码的检测

B、协议分析

C、异常行为检测（AnomalyDetection）

D、基于策略的检测

【答案】C

【解析】正确答案是C。零日攻击是指利用尚未公开的漏洞进行的攻击，因此没有

已知的攻击特征码。基于特征码的检测（A）对此类攻击无效。异常行为检测通过学习

网络或系统的正常行为基线，当检测到偏离基线的活动时发出警报，因此能够有效发现

未知攻击模式。协议分析（B）和基于策略的检测（D）虽然也是重要的检测技术，但

它们主要依赖于已知的协议规范和策略规则，对于全新的、未知的攻击模式识别能力有

限。知识点：零日攻击检测技术。易错点：认为所有高级攻击都依赖复杂的特征码，而

忽略了行为基线在发现未知威胁中的关键作用。

3、在构建一个基于主机的入侵检测系统（HIDS）时，为了确保其自身的完整性和

2025年信息系统安全专家入侵检测与防御系统部署专题试卷及解析2

不被攻击者篡改，最关键的措施是什么？

A、将HIDS安装在加密分区

B、定期更新HIDS规则库

C、将HIDS的核心组件和日志文件存储在只读介质或受保护的独立存储中

D、为HIDS设置复杂的登录密码

【答案】C

【解析】正确答案是C。HIDS自身的安全性是其有效运行的前提。攻击者在成功入

侵主机后，首要目标之一就是禁用或篡改安全监控软件。将HIDS的核心组件（如代理

程序、配置文件）和关键的日志文件存储在只读介质（如CDROM）或受严格访问控制

的独立存储系统中，可以有效防止攻击者修改或删除。A选项加密分区可以在数据被窃

取时保护内容，但不能防止运行时的篡改。B选项更新规则库是为了提升检测能力，与

自身完整性无关。D选项设置复杂密码是基本安全措施，但面对本地提权攻击的攻击者

时可能被绕过。知识点：HIDS的安全加固。易错点：关注功能性更新而忽略了系统自

身的抗攻击能力。

4、一个企业部署了IDS后，安全团队每天收到数千条警报，其中大部分是误报。

为了解决这个问题，最应该优先采取的措施是？

A、增加更多的安全分析师来处理警报

B、调低IDS的检测敏感度

C、对IDS进行精细化调优，建立针对性的检测规则和策略

D、更换为另一款品牌的IDS产品

【答案】C

【解析】正确答案是C。警报泛滥是IDS部署中最常见的问题，通常源于默认的通

用规则集过于宽泛，不符合特定网络环境的实际情况。通过精细化调优，例如禁用不相

关的服务规则、为特定应用定制规则、设置白名单等，可以大幅减少误报，提高警报的

有效性。A选项治标不治本，