2026年入侵检测防御考试题及答案.docxVIP

2026年入侵检测防御考试题及答案

一、单项选择题（每题2分，共20分）

1.2026年主流IPS设备在检测加密流量时，最优先采用的被动技术是

A.深度包检测（DPI）

B.基于TLS指纹的JA3+JA3S联合匹配

C.动态沙箱脱壳

D.基于NetFlow的异常统计

答案：B

解析：JA3/JA3S通过提取Client/ServerHello中的加密参数生成指纹，无需解密即可快速识别恶意工具，2026年已集成到主流IPS的ASIC芯片，实现线速检测。

2.在IPv6网络中，利用“逐跳选项头”实现隐蔽隧道时，IPS应重点检查字段

A.NextHeader值=0且长度字段8倍字节

B.HopLimit=1

C.目的地址为::1

D.流标签为奇数

答案：A

解析：攻击者常把逐跳选项头长度字段设为极大值，触发Linux内核缓冲区分配异常，IPS可在预处理阶段直接丢弃NextHeader=0且长度64字节的报文。

3.2026年MITREATTCK发布v17，新增“容器逃逸”子技术中，属于“滥用内核计时器”的TTP编号为

A.T1611.004

B.T1611.005

C.T1611.006

D.T1611.007

答案：C

解析：v17将“滥用内核计时器”细化为T1611.006，IPS规则需匹配`call_usermodehelper`与`modprob