网络防护《入侵检测》技术题.docxVIP

网络防护《入侵检测》技术题

考试时间：______分钟总分：______分姓名：______

一、选择题（每题2分，共20分）

1.以下哪一项不属于入侵检测系统（IDS）的主要目标？

A.识别和响应网络中的恶意活动

B.阻止未授权访问网络资源

C.自动修复被入侵的系统漏洞

D.记录和报告可疑事件以便分析

2.基于签名的入侵检测方法主要依赖于什么来识别已知攻击？

A.分析网络流量中的异常模式

B.已知的攻击特征库（签名）

C.用户的行为基线

D.机器学习算法

3.以下哪一项技术不属于异常检测的范畴？

A.基于统计的方法（如统计偏离）

B.基于机器学习的方法（如神经网络、聚类）

C.基于签名的检测

D.基于主机的基线分析

4.网络入侵检测系统（NIDS）通常部署在什么位置来监控网络流量？

A.单个主机内部

B.路由器或防火墙之后，网络出口处

C.服务器数据存储区域

D.数据中心核心交换机

5.主机入侵检测系统（HIDS）的主要监测对象是？

A.整个网络流量

B.特定主机上的系统日志、文件系统变化、进程活动等

C.防火墙日志

D.无线网络信号

6.入侵检测系统产生的事件（Event）通常包含哪些信息？(选择两项)

A.事件时间戳

B.事件来源IP地址

C.事件类型

D.操作系统版本

7.以下哪一项不是常见的NIDS数据采集方式？

A.网络嗅探（Sniffing）

B.文件系统监控

C.SPAN（SwitchedPortAnalyzer）/mirrors

D.路由器ACL日志抓取

8.入侵防御系统（IPS）与入侵检测系统（IDS）的主要区别在于？

A.IPS更侧重于事后分析，IDS更侧重于实时响应

B.IDS可以部署在内部网络，IPS通常部署在边界

C.IPS能够主动阻止或缓解检测到的攻击，而IDS只能检测和报警

D.IPS通常成本更高，IDS通常成本更低

9.哪种类型的IDS通常对未知威胁的检测能力更强，但可能产生较多误报？

A.基于签名的检测

B.基于异常的检测

C.基于主机的检测

D.基于状态的检测

10.下列哪个协议的异常流量检测是NIDS的一个重要应用场景？

A.HTTP

B.FTP

C.DNS

D.以上都是

二、填空题（每空2分，共20分）

1.入侵检测系统（IDS）主要分为基于网络（______）和基于主机（______）两大类。

2.基于签名的检测方法依赖于预先定义的攻击特征，这些特征被称为______。

3.异常检测方法通常将正常行为模式化，当网络或系统活动偏离该______时，可能指示存在攻击。

4.NIDS通过分析______来检测网络中的可疑活动。

5.HIDS通常需要与主机的______紧密集成，以获取系统状态信息。

6.入侵检测系统产生的事件经过处理后，需要进行______、关联和分析，以提取有价值的威胁信息。

7.事件管理器（EM）是IDS框架中的关键组件，负责接收、处理和______事件。

8.入侵检测系统日志通常需要定期进行______，以便审计和追踪攻击行为。

9.误报率（FalsePositiveRate）是衡量入侵检测系统性能的重要指标，表示被错误判定为攻击的______比例。

10.为了提高检测效率并减少资源消耗，现代IDS常采用______技术对网络流量进行预处理。

三、简答题（每题5分，共15分）

1.简述入侵检测系统（IDS）的基本工作流程。

2.简要说明基于签名的检测方法和基于异常的检测方法的主要区别。

3.解释什么是协同入侵检测，并简述其优势。

四、分析题（每题10分，共20分）

1.假设你正在为一个中型企业设计网络入侵检测策略。该企业网络拓扑包含一个DMZ区，其中部署了公共服务器（如Web、邮件服务器）。内部网络与DMZ之间以及内部网络与外部之间分别部署了防火墙。请简述你将如何规划NIDS的部署位置（至少提及三个关键位置），并说明选择这些位置的理由。

2.分析以下模拟的IDS告警日志片段，说明该日志可能指示什么类型的攻击？并解释判断依据。（假设日志条目已按时间排序）

```