2025年信息系统安全专家入侵检测_防御系统规避技术专题试卷及解析.pdfVIP

2025年信息系统安全专家入侵检测_防御系统规避技术专题试卷及解析1

2025年信息系统安全专家入侵检测_防御系统规避技术专

题试卷及解析

2025年信息系统安全专家入侵检测_防御系统规避技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在入侵检测系统中，攻击者通过发送大量正常流量淹没检测系统，使其无法有

效分析所有数据包，这种规避技术属于？

A、协议分析规避

B、流量洪泛规避

C、分片攻击规避

D、加密通信规避

【答案】B

【解析】正确答案是B。流量洪泛规避是通过发送大量正常或异常流量，使IDS/IPS

资源耗尽，无法有效检测攻击。A选项协议分析规避是通过构造特殊协议格式绕过检

测；C选项分片攻击规避是将攻击载荷分散到多个数据包中；D选项加密通信规避是通

过加密隐藏攻击内容。知识点：IDS规避技术分类。易错点：容易混淆分片攻击与流量

洪泛的区别。

2、攻击者通过将恶意代码分散到多个小数据包中，每个包都不包含完整攻击特征，

这种规避技术称为？

A、TTL规避

B、分片规避

C、会话拼接规避

D、协议不一致规避

【答案】B

【解析】正确答案是B。分片规避通过将攻击载荷分散到多个IP分片中，使单个分

片不包含完整攻击特征。A选项TTL规避是通过调整TTL值使数据包在到达检测系

统前失效；C选项会话拼接规避是将攻击分散到多个会话中；D选项协议不一致规避是

利用不同协议层的不一致性。知识点：网络层规避技术。易错点：分片规避与会话拼接

规避的区别在于协议层级不同。

3、在Web应用防火墙规避中，攻击者通过Unicode编码、URL编码等方式转换

攻击载荷，这种技术属于？

A、参数污染

B、编码混淆

C、HTTP头部拆分

D、白名单利用

2025年信息系统安全专家入侵检测_防御系统规避技术专题试卷及解析2

【答案】B

【解析】正确答案是B。编码混淆是通过各种编码方式隐藏攻击特征，绕过WAF检

测。A选项参数污染是通过重复参数干扰解析；C选项HTTP头部拆分是将头部字段

分散到多行；D选项白名单利用是伪装成合法请求。知识点：WAF规避技术。易错点：

容易混淆编码混淆与参数污染的区别。

4、攻击者通过调整数据包的TTL值，使其在到达IDS前就失效，这种规避技术

称为？

A、路由追踪规避

B、TTL规避

C、源路由规避

D、IP选项规避

【答案】B

【解析】正确答案是B。TTL规避利用TTL值特性，使数据包在到达检测系统前

就失效。A选项路由追踪规避是通过伪造路由信息；C选项源路由规避是指定数据包路

径；D选项IP选项规避是利用IP选项字段。知识点：网络层规避技术。易错点：TTL

值与源路由的区别。

5、在入侵防御系统中，攻击者通过发送看似合法但包含隐藏恶意代码的流量，这

种规避技术属于？

A、协议异常规避

B、加密流量规避

C、隐蔽通道规避

D、正常流量伪装规避

【答案】D

【解析】正确答案是D。正常流量伪装规避是将恶意代码隐藏在看似合法的流量中。

A选项协议异常规避是利用协议实现漏洞；B选项加密流量规避是通过加密隐藏内容；

C选项隐蔽通道规避是利用协议未使用字段。知识点：应用层规避技术。易错点：隐蔽

通道与正常流量伪装的区别。

6、攻击者通过构造畸形HTTP请求，使WAF解析出错而绕过检测，这种技术属

于？

A、HTTP请求走私

B、参数污染

C、协议不一致规避

D、编码混淆

【答案】A

【解析】正确答案是A。HTTP请求走私是通过构造畸形请求，使前端和后端服务

2025年信息系统安全专家入侵检测_防御系统规避技术专题试卷及解析3

器解析不一致。B选项参数污染是通过重复参数干扰；C选项协议不一致规避是利用不