入侵检测系统(IDS)的原理与应用试题及答案.pdfVIP

入侵检测系统(IDS)的原理与应用试题及答案

入侵检测系统(IDS)的原理与应用试卷

一、选择题（每题2分，共20分）

1.入侵检测系统（IDS）的核心功能是（）。

A.阻止恶意攻击行为

B.检测系统中未授权访问或异常活动

C.加密网络传输数据

D.备份关键系统数据

2.以下属于基于检测对象的IDS分类是（）。

A.网络IDS（NIDS）

B.主机IDS（HIDS）

C.混合IDS

D.异常检测IDS

3.基于签名的IDS检测攻击的主要依据是（）。

A.系统资源使用率的异常波动

B.网络流量偏离正常基线

C.预定义的攻击特征库（如攻击模式、恶意代码签名）

D.用户行为与历史习惯的差异

4.以下关于异常检测IDS的描述，正确的是（）。

A.误报率低，但漏报率高

B.仅能检测已知攻击，无法检测未知攻击

C.通过建立“正常行为基线”识别偏离行为

D.依赖人工定期更新特征库

5.IDS与防火墙的主要区别是（）。

A.防火墙能检测攻击，IDS能阻断攻击

B.IDS专注于检测，防火墙专注于访问控制

C.防火墙部署在内网，IDS部署在外网

D.IDS仅支持网络层检测，防火墙支持应用层检测

6.在网络中部署NIDS时，通常采用的部署方式是（）。

A.串联在网络链路中，像路由器一样转发流量

B.并联在网络链路中，通过镜像端口（SPAN端口）获取流量副本

C.部署在服务器内部，监控系统调用

D.直接接入核心交换机的管理接口

7.以下属于IDS检测技术中“协议分析”的是（）。

A.检测TCP/IP数据包中的Payload是否包含恶意代码

B.分析HTTP请求是否包含SQL注入特征

C.统计单位时间内SYN包数量是否异常

D.检测文件哈希值是否被篡改

8.HIDS（主机型IDS）通常监控的对象不包括（）。

A.系统日志文件

B.用户进程行为

C.网络流量数据包

D.文件系统完整性

9.以下会导致IDS“漏报”的情况是（）。

A.正常流量被误判为攻击（如大量合法文件下载触发流量阈值告警）

B.未知攻击的特征未录入签名库

C.系统正常行为基线设置过宽，导致异常行为未被识别

D.IDS硬件性能不足，丢弃部分检测数据包

10.关于IDS告警处理，下列做法合理的是（）。

A.所有告警均需立即响应，优先级相同

B.仅关注高危告警，忽略中低危告警

C.定期分析告警日志，优化检测规则和基线

D.关闭IDS的“误报抑制”功能以避免漏报

二、填空题（每空1分，共15分）

1.入侵检测系统的核心组件包括：______、______、______和响应单元。

2.根据检测方法，IDS可分为基于______的检测和基于______的检测两大类。

3.网络IDS（NIDS）通过______方式获取网络流量，通常部署在______或核心

交换机上。

4.异常检测技术中，建立“正常行为基线”的方法包括统计阈值法、______和

______等。

5.IDS的“误报”（FalsePositive）是指将______误判为______的现象；

“漏报”（FalseNegative）是指将______误判为______的现象。

6.主机IDS（HIDS）通过监控______、系统调用、______和文件完整性等数据

检测入侵。

7.针对加密流量的IDS检测挑战，常用解决方案包括______（如SSL/TLS流量

解密）和基于______的检测（如分析加密流量的元数据、行为特征）。

三、判断题（每题1分，共10分）

1.基于签名的IDS能够检测未知攻击，但误报率较高。（）