IT入侵检测培训模拟测试卷.docxVIP

IT入侵检测培训模拟测试卷

考试时间：______分钟总分：______分姓名：______

一、单项选择题（共20题，每题1分，共20分）

1.以下哪项不属于入侵检测系统（IDS）的核心组件？

A.数据收集模块

B.分析引擎

C.响应模块

D.加密模块

2.在入侵检测系统中，基于签名的检测技术主要依赖什么来识别攻击？

A.流量行为异常分析

B.已知攻击特征库

C.用户行为基线

D.网络拓扑结构

3.IDS旁路部署模式的主要特点是什么？

A.直接阻断攻击流量

B.流量需通过网分镜像

C.适用于高吞吐场景

D.延迟最低

4.以下哪种攻击类型最适合使用异常检测技术？

A.已知的SQL注入攻击

B.零日漏洞攻击

C.基于签名的DDoS攻击

D.配置错误导致的漏洞利用

5.Snort规则中，`msg`关键字的作用是什么？

A.匹配数据包负载中的字符串

B.指定检测的协议类型

C.描述规则告警信息

D.设置触发告警的阈值

6.在Windows安全日志中，事件ID528表示什么？

A.用户登录失败

B.用户成功登录

C.系统启动

D.网络连接断开

7.以下哪项是IPS（入侵防御系统）与IDS的主要区别？

A.IPS仅支持旁路部署

B.IPS可以主动阻断攻击

C.IPS不产生告警日志

D.IPS仅用于监控流量

8.检测SQL注入攻击时，HTTP请求中常见的危险字符不包括？

A.单引号（）

B.分号（;）

C.冒号（:）

D.注释符（--）

9.Wireshark中，以下哪个过滤语法用于捕获所有HTTP请求？

A.ip.src==

B.tcp.port==80

C.http.request

D.dns

10.基于异常的入侵检测技术的缺点是什么？

A.检测准确率高

B.无法检测未知攻击

C.规则更新频繁

D.误报率较高

11.在IDS部署中，核心交换机旁路部署的主要优势是什么？

A.可实时阻断攻击

B.对网络流量影响小

C.适用于边界防护

D.支持高吞吐量

12.以下哪种算法适合检测低频但持续时间长的慢速扫描攻击？

A.统计均值偏差

B.马尔可夫模型

C.聚类分析

D.神经网络

13.Snort规则中，`content`关键字用于匹配什么？

A.IP地址范围

B.端口号

C.数据包负载中的特定字符串

D.协议类型

14.在ELK日志分析系统中，Logstash的主要功能是什么？

A.数据存储

B.数据收集与处理

C.数据可视化

D.告警触发

15.以下哪项不是IDS误报率高的常见原因？

A.规则库更新不及时

B.网络流量正常波动

C.检测算法过于严格

D.攻击特征库不完整

16.在IDS与IPS联动策略中，以下描述正确的是？

A.IPS无需关联IDS告警

B.联动可降低误报影响

C.适用于所有网络环境

D.IPS必须配置为旁路模式

17.检测XSS攻击时，HTTP请求中常见的特征是什么？

A.包含`script`标签

B.使用GET方法

C.目标端口为443

D.源IP为内网地址

18.以下哪项是IDS部署在终端主机上的主要优势？

A.可检测网络层攻击

B.适用于分布式环境

C.对网络流量无影响

D.支持高吞吐量

19.在Snort规则中，`alert`关键字的作用是什么？

A.仅记录日志不告警

B.触发告警并记录日志

C.直接阻断流量

D.设置规则优先级

20.以下哪种技术适合检测分布式拒绝服务（DDoS）攻击？

A.签名分析

B.异常检测

C.加密流量分析

D.静态代码分析

二、多项选择题（共10题，每题2分，共20分）

1.以下属于基于异常的入侵检测技术特点的有？

A.依赖已知攻击特征

B.可检测未知攻击

C.误报率较高

D.规则更新频繁

2.使用Wireshark分析DDoS攻击流量时，以下过滤语法正确的有？

A.ip.sr