信息安全《入侵检测》实战测试.docxVIP

信息安全《入侵检测》实战测试

考试时间：______分钟总分：______分姓名：______

一、单项选择题（每题只有一个正确选项，请将正确选项的首字母填在题后的括号内。每题2分，共20分）

1.以下哪种技术通常用于检测网络中的异常流量模式，而不是基于已知的攻击特征？（）

A.基于签名的检测

B.基于异常的检测

C.暴力破解检测

D.基于主机的检测

2.Snort规则中的`content:`部分用于匹配数据包的什么内容？（）

A.源IP地址

B.目的端口号

C.数据载荷（Payload）

D.协议类型

3.在IDS/IPS部署中，将探测器（Detector）部署在内部网络中以监控从DMZ到内部网络的流量，这种部署模式通常称为？（）

A.边界监控模式

B.透明网桥模式

C.内部监控模式

D.代理模式

4.以下哪个工具主要用于捕获和分析网络流量，以便进行入侵检测相关的数据包级分析？（）

A.Nmap

B.Wireshark

C.Nessus

D.Snort

5.当IDS系统检测到可疑活动但并非确认的攻击时，通常会产生哪种类型的告警？（）

A.信息（Info）

B.警告（Warning）

C.临界（Critical）

D.低（Low）

6.在Snort规则中，`msg:Suspiciousactivitydetected;`这部分的作用是？（）

A.定义检测到的攻击特征

B.提供告警信息，供管理员阅读

C.指定检测发生的协议

D.设置检测的优先级

7.主机入侵检测系统（HIDS）主要监控和分析什么信息？（）

A.网络接口卡（NIC）上的流量

B.主机系统日志、文件系统变化、进程活动等

C.远程访问控制列表（ACL）

D.DNS服务器查询记录

8.以下哪项技术不属于入侵检测系统（IDS）的输出插件功能范畴？（）

A.将告警信息发送到Syslog服务器

B.将检测到的恶意流量直接阻断

C.将分析结果写入文件

D.将数据发送到外部SIEM系统

9.哪种类型的攻击通常涉及发送大量看似合法的请求到目标服务器，使其无法响应正常用户的请求？（）

A.SQL注入

B.拒绝服务（DoS）攻击

C.垃圾邮件发送

D.恶意软件传播

10.在分析IDS日志时，发现大量关于“WebShell”访问的告警，但经过验证并非真实攻击，这属于哪种问题？（）

A.规则冲突

B.误报（FalsePositive）

C.漏报（FalseNegative）

D.日志格式错误

二、多项选择题（每题有两个或两个以上正确选项，请将所有正确选项的首字母填在题后的括号内。每题3分，共15分）

1.入侵检测系统（IDS）通常具备哪些基本功能？（）

A.实时监测网络或系统活动

B.分析这些活动以检测可疑行为或攻击企图

C.自动修复检测到的安全漏洞

D.生成检测报告并通知管理员

E.阻断可疑的网络连接

2.以下哪些属于基于签名的入侵检测技术的特点？（）

A.对已知攻击有很好的检测效果

B.可以检测未知或零日攻击

C.通常需要频繁更新签名库

D.可能产生较高的误报率

E.依赖于对攻击特征模式的知识

3.在Snort规则中，`protocol:tcp`和`protocol:udp`分别用于指定检测规则适用于哪种网络协议？（）

A.TCP协议

B.UDP协议

C.IP协议

D.应用层协议

E.任意协议

4.部署入侵检测系统时，需要考虑哪些因素？（）

A.网络拓扑结构

B.预期攻击类型

C.系统性能影响

D.日志管理和分析能力

E.部署在内部还是外部

5.分析网络流量日志时，可以关注哪些信息来识别潜在的扫描攻击？（）

A.短时间内来自同一源IP对大量不同目的端口发起连接请求

B.特定服务（如端口21、23、80）上频繁的连接尝试和失败

C.源IP地址分布广泛且随机

D.目标IP地址集中在一个子网内

E.流