2025年信息系统安全专家网络入侵检测系统与恶意软件防护专题试卷及解析.pdfVIP

2025年信息系统安全专家网络入侵检测系统与恶意软件防护专题试卷及解析1

2025年信息系统安全专家网络入侵检测系统与恶意软件防

护专题试卷及解析

2025年信息系统安全专家网络入侵检测系统与恶意软件防护专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、以下哪种入侵检测系统（IDS）部署方式能够最有效地检测内部网络中的横向移

动攻击？

A、基于主机的IDS（HIDS）

B、基于网络的IDS（NIDS）

C、混合型IDS

D、基于云的IDS

【答案】B

【解析】正确答案是B。基于网络的IDS（NIDS）通过监控网络流量，能够有效检

测内部网络中的横向移动行为，如异常端口扫描、协议滥用等。A选项HIDS仅监控单

个主机，无法覆盖网络整体流量；C选项混合型IDS虽然综合但部署复杂，不如NIDS

直接高效；D选项基于云的IDS主要针对云环境，对内部网络横向移动检测能力有限。

知识点：NIDS的部署位置和检测能力。易错点：混淆HIDS和NIDS的适用场景。

2、在恶意软件分析中，动态分析的主要优势是什么？

A、能够完全揭示恶意代码的所有逻辑

B、无需隔离环境，操作简单

C、能够观察恶意软件的实际运行行为

D、适用于所有类型的恶意软件

【答案】C

【解析】正确答案是C。动态分析通过在受控环境中运行恶意软件，可以实时观察

其行为，如文件操作、网络连接等。A选项错误，因为动态分析可能无法覆盖所有代码

路径；B选项错误，动态分析必须在隔离环境中进行；D选项错误，某些恶意软件可能

检测虚拟环境而拒绝运行。知识点：动态分析的特点和局限性。易错点：忽视动态分析

的环境要求。

3、以下哪种技术常用于规避基于签名的恶意软件检测？

A、多态变形

B、加密通信

C、端口扫描

D、社会工程学

【答案】A

2025年信息系统安全专家网络入侵检测系统与恶意软件防护专题试卷及解析2

【解析】正确答案是A。多态变形技术通过不断改变恶意代码的外观，使其无法被

固定签名匹配，从而规避检测。B选项加密通信主要用于隐藏数据传输内容；C选项端

口扫描是网络探测行为；D选项社会工程学是攻击手段而非规避技术。知识点：恶意软

件规避技术。易错点：混淆规避技术与攻击手段。

4、入侵防御系统（IPS）与入侵检测系统（IDS）的核心区别是什么？

A、IPS只能部署在网络边界

B、IPS具备主动阻断能力

C、IPS的误报率更低

D、IPS不需要规则库

【答案】B

【解析】正确答案是B。IPS不仅能检测入侵行为，还能主动阻断攻击，而IDS仅

负责检测和告警。A选项错误，IPS可部署于网络各层；C选项错误，IPS的误报率可

能更高；D选项错误，IPS同样依赖规则库。知识点：IPS与IDS的功能差异。易错点：

忽视IPS的主动防御特性。

5、以下哪种恶意软件类型主要通过宏代码传播？

A、勒索软件

B、宏病毒

C、蠕虫

D、木马

【答案】B

【解析】正确答案是B。宏病毒利用Office文档中的宏代码传播，是典型的文档型

恶意软件。A选项勒索软件主要通过加密文件勒索；C选项蠕虫通过网络自我复制；D

选项木马伪装成合法软件。知识点：恶意软件分类及传播方式。易错点：混淆宏病毒与

其他恶意软件的传播途径。

6、基于异常的入侵检测系统的主要挑战是什么？

A、需要频繁更新签名库

B、高误报率

C、无法检测未知攻击

D、依赖网络流量镜像

【答案】B

【解析】正确答案是B。基于异常的IDS通过学习正常行为模式检测异常，但难以

区分真正的攻击和正常偏差，导致高误报率。A选项是基于签名的IDS的挑战；C选

项错误，异常检测擅长发现未知攻击；D选项是部署问题而非核心挑战。知识点：异常

检测的优缺点。易错点：忽视误报率对实际应用的影响。

7