IDS

第1题：

第2题：

第3题：

以下对IDS的描述中，错误的是（）

• A、IDS既可监控外部攻击，也可监控内部攻击
• B、IDS要串联在网络上，会极大影响网络性能
• C、IDS**于监控对象，系统被攻破并不影响IDS
• D、IDS检测到未授权活动后，可自动中断网络连接

正确答案:B

第4题：

IDS与FW互动是通过IDS发起控制命令而FW执行控制指令

正确答案:正确

第5题：

IDS入侵监测

正确答案:IDS入侵监测就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

第6题：

入侵检测系统健康性检查内容（）。

• A、各IDS运行正常，CPU占用率80%
• B、各IDS运行正常，CPU占用率<90%
• C、各IDS运行正常，CPU占用率<100%
• D、各IDS运行正常，CPU占用率<70%

正确答案:D

第7题：

IDS与防火墙联动，IDS与防火墙必须直接相连

正确答案:错误

第8题：

什么是基于主机的IDS、基于网络的IDS、分布式IDS？

正确答案: 1、基于主机的入侵检测系统：输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。它在重要的系统服务器、工作站或用户机器上运行，监视操作系统或系统事件级别的可疑活动（如尝试登录失败）。此类系统需要定义清楚哪些是不合法的活动，然后把这种安全策略转换成入侵检测规则。
2、基于网络的入侵检测系统：基于网络的IDS的输入数据来源于网络的信息流，该类系统一般被动地在网络上监听整个网段上的信息流，通过捕获网络数据包，进行分析，能够检测该网络段上发生的网络入侵。
3、分布式入侵检测系统：一般由多个部件组成，分布在网络的各个部分，完成相应功能，分别进行数据采集、数据分析等。通过中心的控制部件进行数据汇总、分析、产生入侵警报等。在这种结构下，不仅可以检测到针对单独主机的入侵，同时也可以检测到针对整网络上的主机的入侵。

第9题：

IDS和IPS的区别：（）

• A、IDS和IPS的功能上没有区别，只是习惯性的叫法不同。
• B、IDS可以分析出网络中可能存在的攻击并报警，但不能阻断攻击。
• C、通常情况下IPS在网络的拓扑结构中属于旁路设备，而IDS和其他网络设备串联。
• D、IDS具有防火墙的功能。

正确答案:B

第10题：

第11题：

第12题：

第13题：

第14题：

第15题：

Which two statements about an IDS are true？（）

• A、The IDS is in the traffic path.
• B、The IDS can send TCP resets to the source device.
• C、The IDS can send TCP resets to the destination device.
• D、The IDS listens promiscuously to all traffic on the network.
• E、Default operation is for the IDS to discard malicious traffic.

正确答案:B,D

第16题：

关于入侵检测系统（IDS），下面说法不正确的是（）。

• A、IDS的主要功能是对计算机和网络资源上的恶意使用行为进行识别和响应 
• B、IDS需要配合安全审计系统才能应用，后者为前者提供审计分析资料 
• C、IDS主要用于检测来自外部的入侵行为 
• D、IDS可用于发现合法用户是否滥用特权

正确答案:B

第17题：

关于IDS和IPS，说法正确的是（）

• A、IDS部署在网络边界，IPS部署在网络内部
• B、IDS适用于加密和交换环境，IPS不适用
• C、用户需要IDS日志定期查看，IPS不需要
• D、IDS部署在网络内部，IPS部署在网络边界

正确答案:D

第18题：

按照检测数据的来源可将入侵检测系统（IDS）分为（）

• A、基于主机的IDS和基于网络的IDS
• B、基于主机的IDS和基于域控制器的IDS
• C、基于服务器的IDS和基于域控制器的IDS
• D、基于浏览器的IDS和基于网络的IDS

正确答案:A

第19题：

试述基于智能代理技术的分布式IDS及自治代理的引用度为什么可以改善IDS？

正确答案: 目前现存的入侵检测系统体系结构所具有的局限性主要体现在：
1、中心分析器往往存在成为单点故障的可能。
2、扩展性限制：在一个中心主机上处理所有的信息，限制了所能监视的网络的扩展。而且随着网络的扩展，网上的通信数据加大，可能给分布式数据收集带来困难。
3、不易于对IDS进行更新配置和增加配置功能。为了使配置生效，IDS需要重起。
4、网络数据分析可能出错。由于网络数据的收集是在不同于目的主机的主机上进行的，这样使得攻击者可以采用插入和逃避（Insertion and Evasion）攻击手段来攻击系统。这种攻击利用不同主机的网络协议栈不一致性，隐藏入侵者或造成拒绝服务。自治代理是指在主机上执行特定安全监视任务的软件代理。其自治性主要体现在它们是独立运行的实体，它们的执行只与操作系统的调度有关，而与其他进程无关。尽管自治代理之间可能需要进行数据通信，但仍认为它是自治的。自治代理可以执行简单的任务，也可执行复杂任务。自治代理的引入可以改善IDS，利用自治代理来做IDS的数据采集及数据分析部件，可以克服上面所说的局限性：
1、如果自治代理不正常工作，且自治代理是完全独立运行的，产生的后果是该代理自己的数据丢失，不影响其他代理；如果自治代理产生的数据要给其他代理用，产生的后果是阻碍了该代理所在的代理组的正常工作，无论哪种情况，对系统的损害都最多限于一组代理，如果合理组织代理组，使之真正独立，则大大降低了单点故障出现的可能。
2、将代理组织成分层结构，减少了数据的交换和传输，从而使系统具有扩展性。
3、启动和终止一个相互独立的代理，不需启动整个系统而重新配置IDS。当要增加新配置时只需要启动和终止一个相互独立的代理，而不需启动其他正在运行的代理。
4、如果代理只收集与它所运行主机的相关信息，就不存网络协议栈不一致的问题，因而也减少了遭受插入和逃避攻击的可能。

第20题：

IDS与互动是（）

• A、IDS与Firewall互相发控制信息
• B、Firewall向IDS发控制信息
• C、IDS向Firewall发控制信息
• D、相互独立，不发控制信息

正确答案:C

第21题：

Examine the list of variables and their data types：  AME DATA Type  TS， TS1 TIMESTAMP  TSZ TIMESTAMP WITH TIME ZONE  TLZ TIMESTAMP WITH LOCAL TIME ZONE  IYM INTERVAL YEAR TO MONTH  IDS， IDSI INTERVAL YEAR To SECOND   Which three expressions using the new data and time data types are valid？（）

• A、IDS* 2
• B、TS + IYM
• C、TS –TSI
• D、IDS – TS
• E、IDS + IYM

正确答案:A,B,E

第22题：

第23题：