基于网络的入侵检测系统采用的识别技术主要有______、统计意义上的非正常现象检测、频率或阀值以及模式匹配。A.事件的相关性B.系统事件C.安全性事件D.应用程序事件
题目
基于网络的入侵检测系统采用的识别技术主要有______、统计意义上的非正常现象检测、频率或阀值以及模式匹配。
A.事件的相关性
B.系统事件
C.安全性事件
D.应用程序事件
相似考题
参考答案和解析
解析:基于网络的入侵检测系统采用的识别技术主要有事件的相关性、统计意义上的非正常现象检测、频率或阀值以及模式匹配,故选A。
更多“基于网络的入侵检测系统采用的识别技术主要有______、统计意义上的非正常现象检测、频率或阀值以及模式匹配。A.事件的相关性B.系统事件C.安全性事件D.应用程序事件”相关问题
-
第1题:
美国国防部高级研究计划局提出的通用入侵检测框架将入侵检测系统分为四个组件,包括:事件产生器、事件分析器、()和响应单元。A.事件查看器
B.事件数据库
C.入侵检测器
D.网络收集器
参考答案:B
-
第2题:
以下哪种入侵检测系统是基于已知的攻击模式检测入侵()。
A.基于主机的入侵检测系统
B.基于网络的入侵检测系统
C.异常入侵检测系统
D.滥用入侵检测系统
正确答案:D
-
第3题:
入侵检测系统是一种对计算机系统或网络事件进行检测并分析这个入侵事件特征的过程。()
答案:正确
-
第4题:
入侵检测技术可以分为异常检测与( )。
A.误用检测
B.基于统计异常检测
C.基于主机的入侵检测系统
D.基于网络的入侵检测系统
正确答案:A
-
第5题:
入侵检测系统的构成不包括______。
A.预警单元
B.事件产生器
C.事件分析器
D.响应单元
正确答案:A
解析:美国国防部高级研究计划局(DARPA)提出的公共入侵检测框架(Common IntrusionDetection Framework,CIDF)由4个模块组成。
(1)事件产生器(Event generators,E-boxes):负责数据的采集,并将收集到的原始数据转换为事件,向系统的其他模块提供与事件有关的信息。入侵检测所利用的信息一般来自4个方面:系统和网络的日志文件、目录和文件中不期望的改变、程序执行中不期望的行为、物理形式的入侵信息等。入侵检测要在网络中的若干关键点(不同网段和不同主机)收集信息,并通过多个采集点信息的比较来判断是否存在可疑迹象或发生入侵行为。
(2)事件分析器(Event Analyzers,A-boxes):接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,分析方法有下面三种:
①模式匹配:将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为。
②统计分析:首先给系统对象(例如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为。
③数据完整性分析:主要关注文件或系统对象的属性是否被修改,这种方法往往用于事后的审计分析。
(3)事件数据库(Event Databases,D-boxes):存放有关事件的各种中间结果和最终数据的地方,可以是面向对象的数据库,也可以是一个文本文件。
(4)响应单元(Response units,R-boxes):根据报警信息做出各种反应,强烈的反应就是断开连接、改变文件属性等,简单的反应就是发出系统提示,引起操作人员注意。
因此,入侵检测系统的构成中不包括预警单元,故选A。 -
第6题:
在入侵检测技术中,______是根据用户的行为和系统资源的使用状况判断是否存在网络入侵。A.滥用检测技术
B.基于知识的检测技术
C.模式匹配检测技术
D.异常检测技术答案:D解析: -
第7题:
入侵检测的基本方法有哪些?( )A.基于用户行为概率统计模型的入侵检测
B.基于神经网络的入侵检测方法
C.基于专家系统的入侵检测技术
D.基于模型推理的入侵检测技术
E.基于网络实时安全的入侵检测技术答案:A,B,C,D解析:入侵检测的基本方法有基于用户行为的概率统计模型的入侵检测,基于神经网络的入侵检测,基于专家系统的入侵检测,基于模型推理的入侵检测技术。 -
第8题:
下面有关主机入侵检测系统中说法错误的是()。
- A、由于基于主机的入侵检测系统可以监视一个主机上发生的全部事件,它们能够检测基于网络的入侵检测系统不能检测的攻击
- B、基于主机的入侵检测系统可以运行在交换网络中
- C、基于主机的入侵检测系统可以检测针对网络中所有主机的网络扫描
- D、基于应用的入侵检测系统比起基于主机的入侵检测系统更容易受到攻击,因为应用程序日志并不像操作系统审计追踪日志那样被很好地保护
正确答案:C -
第9题:
以下哪一种入侵检测系统监控网络中流量和事件的整体模式,并建立一个数据库?()
- A、基于特征库的
- B、基于神经网络的
- C、基于统计(信息)的
- D、基于主机的
正确答案:B -
第10题:
单选题基于网络的入侵检测系统采用的识别技术主要有( )、统计意义上的非正常现象检测、频率或阀值以及模式匹配。A事件的相关性
B系统事件
C安全性事件
D应用程序事件
正确答案: D解析:
基于网络的入侵检测系统采用的识别技术主要有事件的相关性、统计意义上的非正常现象检测、频率或阀值以及模式匹配,故选A。 -
第11题:
单选题下面有关主机入侵检测系统中说法错误的是()。A由于基于主机的入侵检测系统可以监视一个主机上发生的全部事件,它们能够检测基于网络的入侵检测系统不能检测的攻击
B基于主机的入侵检测系统可以运行在交换网络中
C基于主机的入侵检测系统可以检测针对网络中所有主机的网络扫描
D基于应用的入侵检测系统比起基于主机的入侵检测系统更容易受到攻击,因为应用程序日志并不像操作系统审计追踪日志那样被很好地保护
正确答案: B解析: 暂无解析 -
第12题:
单选题下面说法错误的是()A由于基于主机的入侵检测系统可以监视一个主机上发生的全部事件,它们能够检测基于网络的入侵检测系统不能检测的攻击
B基于主机的入侵检测可以运行在交换网络中
C基于主机的入侵检测系统可以检测针对网络中所有主机的网络扫描
D基于应用的入侵检测系统比起基于主机的入侵检测系统更容易受到攻击,因为应用程序日志并不像操作系统审计追踪日志那样被很好地保护
正确答案: D解析: 暂无解析 -
第13题:
根据检测对象分类,可以将入侵检测系统分为:基于主机的入侵检测系统、()和混合型入侵检测系统。A.基于网络的入侵检测系统
B.基于存储的入侵检测系统
C.基于用户的入侵检测系统
D.基于应用程序的入侵检测系统
参考答案:A
-
第14题:
入侵检测技术可以分为异常榆测与
A.误用检测
B.基于网络的入侵检测系统
C.基于统计异常检测
D.基于主机的入侵检测系统
正确答案:A
-
第15题:
Windows系统中的事件查看器将查看的事件分为 (59) 。
A.用户访问事件、安全性事件和系统事件
B.应用程序事件、安全性事件和系统事件
C.网络攻击事件、安全性事件和记帐事件
D.网络连接事件、安全性事件和服务事件
正确答案:B
本题考查Windows系统安全的基础知识。通过“Windows器”中的事件日志,可以收集关于硬件、软件和系统问题的信息。也可以监视windows系统的安全事件。运行任何Windows版本的计算机通过应用程序事件、安全性事件和系统事件三种日志记录事件。应用程序日志包含由应用程序或系统程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。程序开发人员决定监视哪些事件;安全性日志记录诸如有效和无效的登录尝试等事件,以及记录与资源使用相关的事件,如创建、打开或删除文件或其他对象p管理器可以指定在安全性日志中记录什么事件。例如,如果您已启用登录审核,登录系统的尝试将记录在安全性日志里;系统日志包含Windows的系统组件记Windows。例如,在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。windows预先确定由系统组件记录的事件类型。 -
第16题:
入侵检测系统的组成一般包括事件发生器、事件分析器、响应单元与( )。
A.处理器
B.误用检测
C.异常检测
D.事件数据库
正确答案:D
-
第17题:
● 在入侵检测技术中, (42) 是根据用户的行为和系统资源的使用状况判断是否存在网络入侵。
(42)
A. 滥用检测技术
B. 基于知识的检测技术
C. 模式匹配检测技术
D. 异常检测技术
正确答案:D
-
第18题:
在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法中不包括( )。A.匹配模式
B.密文分析
C.数据完整性分析
D.统计分析答案:B解析:入侵检测系统一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
(1)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测以前从未出现过的黑客攻击手段。
(2)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值如果超过了正常值范围,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
(3)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被修改成类似特洛伊木马的应用程序方面特别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是有入侵行为导致了文件或其他对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。 -
第19题:
基于主机的入侵检测系统通过监视与分析()来检测入侵。
- A、主机的审计记录和日志文件
- B、事件分析器
- C、事件数据库
- D、网络中的数据包
正确答案:A -
第20题:
下面说法错误的是()
- A、由于基于主机的入侵检测系统可以监视一个主机上发生的全部事件,它们能够检测基于网络的入侵检测系统不能检测的攻击
- B、基于主机的入侵检测可以运行在交换网络中
- C、基于主机的入侵检测系统可以检测针对网络中所有主机的网络扫描
- D、基于应用的入侵检测系统比起基于主机的入侵检测系统更容易受到攻击,因为应用程序日志并不像操作系统审计追踪日志那样被很好地保护
正确答案:C -
第21题:
基于网络的入侵检测系统的信息源是()。
- A、系统的审计日志
- B、事件分析器
- C、应用程序的事务日志文件
- D、网络中的数据包
正确答案:D -
第22题:
单选题基于网络的入侵检测系统采用的识别技术主要有:事件相关性、统计意义上的非正常现象检测、频率或阂值,以及( )。A模式匹配
B安全性事件
C应用程序事件
D系统事件
正确答案: D解析:
基于网络的入侵检测系统将原始的网络包作为数据源,利用一个运行在随机模式F的网络适配器来实时监视并分析通过网络的所有通信。基于网络的入侵检测系统的攻击辨识模式使用以下4种常用技术:
·模式、表达式或字节匹配
·频率或穿越阀值
·低级事件的相关性
·统计学意义上的非常规现象检测 -
第23题:
单选题基于网络的入侵检测系统的信息源是()。A系统的审计日志
B事件分析器
C应用程序的事务日志文件
D网络中的数据包
正确答案: C解析: 暂无解析