手机用户可
保存上方二维码到手机中,在
微信扫一扫中右上角选择“从
相册选取二维码”即可。
1、填空题 从数据来源角度分类,入侵检测系统有三种基本结构:基于网络、基于主机和()检测系统。
点击查看答案
本题答案:分布式入侵
本题解析:试题答案分布式入侵
2、填空题 从扫描对象来分,可以分为基于网络的扫描和基于()的扫描。
点击查看答案
本题答案:主机
本题解析:试题答案主机
3、填空题 ()原理是指根据已经知道的入侵方式来检测入侵。
点击查看答案
本题答案:误用检测
本题解析:试题答案误用检测
4、问答题 什么是基于网络的入侵检测系统,有什么优缺点?
点击查看答案
本题答案:其优点是侦测速度快、隐蔽性好,不容易受到攻击、对主机资
本题解析:试题答案其优点是侦测速度快、隐蔽性好,不容易受到攻击、对主机资源消耗较少;
缺点是有些攻击是由服务器的键盘发出的,不经过网络,因而无法识别,误报率较高。
5、问答题 广播ICMP的原理是什么?有什么优缺点?
点击查看答案
本题答案:与ICMP扫描相同点:广播ICMP也是利用了ICMP回
本题解析:试题答案与ICMP扫描相同点:广播ICMP也是利用了ICMP回显请求和ICMP回显应答这两种报文。
与ICMP扫描不同点:广播ICMP只需要向目标网络的网络地址和/或广播地址发送一两个回显请求,就能够收到目标网络中所有存活主机的ICMP回显应答。
缺点:这种扫描方式容易引起广播风暴,如果有很多机器回应的话,甚至会导致网络出现拒绝服务(Dos)现象。
6、问答题 在入侵检测系统中,数据分析是如何工作的,有哪些手段?
点击查看答案
本题答案:它首先构建分析器,把收集到的信息经过预处理,建立一个行
本题解析:试题答案它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析三种手段进行。
7、填空题 基于神经网络的检测技术是对基于()的检测技术的改进,主要克服了传统的统计分析技术的一些问题。
点击查看答案
本来源:91考试网 91Exam.org题答案:概率统计
本题解析:试题答案概率统计
8、问答题 什么是基于主机的入侵检测系统,有什么优缺点?
点击查看答案
本题答案:优点是针对不同操作系统特点捕获应用层入侵,误报少;本题解析:试题答案优点是针对不同操作系统特点捕获应用层入侵,误报少;
缺点是依赖于主机及其审计子系统,实时性差。
9、填空题 如果发送者接收不到来自目标的ICMP回显应答,就可以初步判断()。
点击查看答案
本题答案:主机不可达或发送的包被对方的设备过 滤掉
本题解析:试题答案主机不可达或发送的包被对方的设备过滤掉
10、填空题 基于主机的入侵检测系统检测分析所需数据来源于主机系统,通常是()。
点击查看答案
本题答案:系统日志和审计记录
本题解析:试题答案系统日志和审计记录
11、填空题 第一代入侵检测技术采用()、模式匹配的方法。
点击查看答案
本题答案:主机日志分析
本题解析:试题答案主机日志分析
12、问答题 基于主机的脆弱性评估有什么优缺点?
点击查看答案
本题答案:基于主机的脆弱性评估可以更准确地定位系统的问题,发现系
本题解析:试题答案基于主机的脆弱性评估可以更准确地定位系统的问题,发现系统的漏洞;
然而其缺点是与平台相关、升级复杂,而且扫描效率较低(一次只能扫描一台主机)。
13、填空题 广播ICMP利用的是()和ICMP回显应答这两种报文。
点击查看答案
本题答案:ICMP回显请求
本题解析:试题答案ICMP回显请求
14、填空题 基于()的IDS允许部署在一个或多个关键访问点来检查所有经过的网络通信,因此并不需要在各种各样的主机上进行安装。
点击查看答案
本题答案:网络
本题解析:试题答案网络
15、问答题 目前,先进的入侵检测系统的实现方法有哪些?
点击查看答案
本题答案:基于概率统计模型的检测、基于神经网络的检测、基于专家系
本题解析:试题答案基于概率统计模型的检测、基于神经网络的检测、基于专家系统的检测、基于模型推理的检测和基于免疫的检测等技术。
16、填空题 在具体实现过程中,专家系统主要面临问题是全面性问题和()。
点击查看答案
本题答案:效率问题
本题解析:试题答案效率问题
17、问答题 UDP扫描的原理是什么?有什么优缺点?
点击查看答案
本题答案:用户数据报协议(UserDatagramProtoco
本题解析:试题答案用户数据报协议(UserDatagramProtocol,UDP)是一个面向数据报的传输层协议。UDP协议的规则:如果接收到一份目的端口并没有处于侦听状态的数据报,则发送一个ICMP端口不可到达报文,否则不作任何响应。
缺点:
1)这种方法很不可靠,因为路由器和防火墙都有可能丢弃UDP数据报。
2)逐一扫描UDP端口通常是很慢的,因为RFC1812的4.3.2.8节对路由器产生ICMP错误消息的速率作了规定。
优点:它可以使用IP广播地址,如果向广播地址的高端端口发送一个UDP数据报,在没有防火墙过滤的情况下,将收到很多来自目标网 络的ICMP端口不可到达的错误消息。当然,这也可能造成扫描者出现自己的DoS。
18、填空题 入侵检测系统中()功能负责提取与被保护系统相关的运行数据或记录,并负责对数据进行简单的过滤。
点击查看答案
本题答案:事件提取
本题解析:试题答案事件提取
19、填空题 在入侵检测系统中,()是入侵检测的核心。
点击查看答案
本题答案:数据分析
本题解析:试题答案数据分析
20、填空题 在通用入侵检测模型中,()可根据具体应用环境而有所不同,一般来自审计记录、网络数据包以及其他可视行为,这些事件构成了入侵检测的基础。
点击查看答案
本题答案:事件产生器
本题解析:试题答案事件产生器
21、填空题 根据入侵检测模型,入侵检测系统的原理可分为异常检测原理和()原理。
点击查看答案
本题答案:误用检测
本题解析:试题答案误用检测
22、问答题 什么是基于网络的脆弱性评估,有什么特点?
点击查看答案
本题答案: 基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中的
本题解析:试题答案基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中的漏洞。它具有以下几个特点。
1)运行于单个或多个主机,扫描目标为本地主机或者单/多个远程主机。
2)扫描器的设计和实现与目标主机的操作系统无关。
3)通常的网络安全扫描不能访问目标主机的本地文件(具有目标主机访问权限的扫描除外)。
4)扫描项目主要包括目标的开放端口、系统网络服务、系统信息、系统漏洞、远程服务漏洞、特洛伊木马检测和拒绝服务攻击等。
23、问答题 什么是网络入侵检测?
点击查看答案
本题答案:网络入侵检测是从计算机网络或计算机系统中的若干关键点搜
本题解析:试题答案网络入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。
24、问答题 基于主机的入侵检测系统有以下优点。
点击查看答案
本题答案:1)监视特定的系统活动。
2)非常适用于被加
本题解析:试题答案1)监视特定的系统活动。
2)非常适用于被加密的和交换的环境。
3)近实时的检测和应答。
4)不需要额外的硬件。
25、问答题 什么是滥用检测方法,有什么优缺点?
点击查看答案
本题答案:将收集到的信息与已知的网络入侵和系统误用模式数据库进行
本题解析:试题答案将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
该方法的优点是只需收集相关的数据集合,显著减少了系统负担,且技术已相当成熟。
该方法存在的弱点是需要不断地升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
26、填空题 基于网络的入侵检测系统数据来源于()的数据流。
点击查看答案
本题答案:网络上
本题解析:试题答案网络上
27、问答题 什么是漏洞检测的推断方法,有什么优缺点?
点击查看答案
本题答案:推断是指不利用系统漏洞而判断漏洞是否存在的方法。它并不
本题解析:试题答案推断是指不利用系统漏洞而判断漏洞是否存在的方法。它并不直接渗透漏洞,只是间接地寻找漏洞存在的证据。
优点:推断的方法在快速检查大量目标时很有用,因为这种方法对计算机和网络的要求都很低。它比渗透测试方法攻击性更小。它也可以用于检查DoS漏洞,因为它基本没有攻击性,所以可以在检查很多DoS漏洞以后再重新启动系统。
缺点:该方法不如渗透测试方法可靠。
28、填空题 相比基于网络、基于主机的入侵检测系统,()系统能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统
点击查看答案
本题答案:分布式入侵检测
本题解析:试题答案分布式入侵检测
29、填空题 ICMP报文的第三个和第四个字节是ICMP报文的()和字段。
点击查看答案
本题答案:校验
本题解析:试题答案校验
30、问答题 TCP扫描的原理是什么?有什么优缺点?
点击查看答案
本题答案:传输控制协议(TransmissionControlP
本题解析:试题答案传输控制协议(TransmissionControlProtocol,TCP)为应用层提供一种面向连接的、可靠的字节流服务。它使用“三次握手”的方式建立连接。从连接建立的过程可以知道,如果向目标发送一个SYN报文,则无论是收到一个SYN/ACK报文还是一个RST报文,都表明目标处于活动状态。
31、问答题 什么是漏洞检测的直接测试法,有什么有缺点?
点击查看答案
本题答案:直接测试是指利用漏洞特点发现系统漏洞的方法。根据渗透方
本题解析:试题答案直接测试是指利用漏洞特点发现系统漏洞的方法。根据渗透方法的不同,可以将测试分为两种不同的类型:可以直接观察到的测试和只能间接观察到的测试。直接测试的方法具有以下六大特点。
1)通常用于对Web服务器漏洞、拒绝服务(DoS)漏洞进行检测。
2)能够准确地判断系统是否存在特定漏洞。
3)对于渗透所需步骤较多的漏洞速度较慢。
4)攻击性较强,可能对存在漏洞的系统造成破坏。
5)对于DoS漏洞,测试方法会造成系统崩溃。
6)不是所有漏洞的信息都能通过测试方法获得。
32、填空题 ICMP扫描的缺点是()
点击查看答案
本题答案:很容易被防火墙限制
本题解析:试题答案很容易被防火墙限制
33、填空题 从检测的策略角度分类,入侵检测模型主要有三种:()、异常检测和完整性分析。
点击查看答案
本题答案:滥用检测
本题解析:试题答案滥用检测
34、填空题 在通用入侵检测模型中,()可以由系统安全策略、入侵模式等组成。
点击查看答案
本题答案:规则模块
本题解析:试题答案规则模块
35、填空题 ICMP报文的前两个字节说明报文的()。
点击查看答案
本题答案:类型
本题解析:试题答案类型
36、填空题 发现网络上存活的系统之后,下一步就要得到目标主机的()。
点击查看答案
本题答案:操作系统信息和开放的服务信息
本题解析:试题答案操作系统信息和开放的服务信息
37、问答题 入侵检测技术至今已经历三代。
点击查看答案
本题答案:第一代技术采用主机日志分析、模式匹配的方法;
本题解析:试题答案第一代技术采用主机日志分析、模式匹配的方法;
第二代技术出现在20世纪90年代中期,主要包括网络数据包截获、主机网络数据和审计数据分析、基于网络的入侵检测和基于主机的入侵检测等方法;
第三代技术出现在2000年前后,引入了协议分析、行为异常分析等方法。
38、填空题 在通用入侵检测模型中,()是整个检测系统的核心,它包含了用于计算用户行为特征的所有变量。
点击查看答案
本题答案:行为特征表
本题解析:试题答案行为特征表
39、填空题 基于神经网络的检测技术的基本思想是用一系列信息单元训练神经单元,在给出一定的输入后,就可能预测出()。
点击查看答案
本题答案:输出
本题解析:试题答案输出
40、问答题 漏洞检测的方法分为哪几种?
点击查看答案
本题答案:1、直接测试(Test):直接测试是指利用漏洞特点发现
本题解析:试题答案1、直接测试(Test):直接测试是指利用漏洞特点发现系统漏洞的方法。要找出系统中的常见漏洞,最显而易见的方法就是试图渗透漏洞。渗透测试是指使用针对漏洞特点设计的脚本或者程序检测漏洞。根据渗透方法的不同,可以将测试分为两种不同的类型:可以直接观察到的测试和只能间接观察到的测试。
2、推断(Inference):推断是指不利用系统漏洞而判断漏洞是否存在的方法。它并不直接渗透漏洞,只是间接地寻找漏洞存在的证据。采用推断方法的检测手段主要有版本检查(VersionCheck)、程序行为分析、操作系统堆栈指纹分析和时序分析等。
3、带凭证的测试(TestwithCredentials):凭证是指访问服务所需要的用户名或者密码,包括UNIX的登录权限和从网络调用WindowsNT的API的能力。带凭证的测试定义是:除了目标主机IP地址以外,直接测试和推断两种方法都不需要其他任何信息
41、填空题 ()的检测技术是运用自然免疫系统的某些特性到网络安全系统中,使整个系统具有适应性、自我调节性和可扩展性。
点击查看答案
本题答案:基于免疫
本题解析:试题答案基于免疫
42、问答题 ICMP扫描的原理是什么?有什么优缺点?
点击查看答案
本题答案:作为IP协议一个组成部分,ICMP用来传递差错报文和其
本题解析:试题答案作为IP协议一个组成部分,ICMP用来传递差错报文和其他需要注意的信息。日常使用最多的是用户的Ping。如果发送者接收到来自目标的ICMP回显应答,就能知道目标目前处于活动状态,否则可以初步判断主机不可达或发送的包被对方的设备过滤掉。使用这种方法轮询多个主机的方式称为ICMP扫描。
该扫描的优点是:简单、系统支持。
缺点是:很容易被防火墙限制。
43、填空题 扫描端口的目的是为了获取目标主机提供的服务信息,通过服务器开放的()。
点击查看答案
本题答案:端口号
本题解析:试题答案端口号
44、填空题 数据分析有模式匹配、统计分析和完整性分析三种手段,其中()则用于事后分析。
点击查看答案
本题答案:完整性分析
本题解析:试题答案完整性分析
45、填空题 在通用入侵检测模型中,()可以为判断是否入侵提供参考机制。
点击查看答案
本题答案:规则模块
本题解析:试题答案规则模块
46、填空题 目前用于探测操作系统的方法主要可以分为两类:()和利用TCP/IP堆栈指纹。
点击查看答案
本题答案:利用系统旗标信息
本题解析:试题答案利用系统旗标信息
47、问答题 基于异常检测原理的入侵检测方法和技术有如下几种方法。
点击查看答案
本题答案:1)统计异常检测方法。
2)特征选择异常检测
本题解析:试题答案1)统计异常检测方法。
2)特征选择异常检测方法。
3)基于贝叶斯推理的异常检测方法。
4)基于贝叶斯网络的异常检测方法。
5)基于模式预测的异常检测方法。
48、填空题 端口扫描取得目标主机开放的端口和服务信息,从而为()作准备。
点击查看答案
本题答案:漏洞检测
本题解析:试题答案漏洞检测
49、填空题 基于概率统计的检测定义判断入侵的阈值太高则()增高。
点击查看答案
本题答案:误检率
本题解析:试题答案误检率
50、填空题 基于概率统计的检测技术优越性在于它应用了成熟的()理论。
点击查看答案
本题答案:概率统计
本题解析:试题答案概率统计
51、填空题 如果发送者接收到来自目标的ICMP回显应答,就能知道目标目前()
点击查看答案
本题答案:处于活动状态
本题解析:试题答案处于活动状态
52、问答题 什么是漏洞?
点击查看答案
本题答案:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在
本题解析:试题答案漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。在计算机安全领域,安全漏洞(SecurityHole)通常又称为脆弱性(Vulnerability),是计算机系统在硬件、软件、协议的设计和实现过程中或系统安全策略上存在的缺陷或不足,未授权用户可以利用漏洞获得对系统或者资源的额外权限,获取原本不能获取的信息,从而破坏信息的安全性。脆弱(Vulnerable)状态是指能够使用已授权的状态变换到达未授权状态的已授权状态。或者说脆弱性可以使黑客通过一种已经获得的权限暴力升级到更高的权限。
53、问答题 什么是完整性分析方法,有什么优缺点?
点击查看答案
本题答案:它主要关注某个文件或对象是否被更改,这经常包括文件和目
本题解析:试题答案它主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。
其优点只要是成功地攻击导致了文件或其他对象的任何改变,它都能够发现。
缺点是一般以批处理方式实现,不用于实时响应。
54、填空题 当实际使用检测系统时,首先面临的问题就是决定应该在系统的什么位置安装检测和分析入侵行为用的()。
点击查看答案
本题答案:感应器Sensor或检测引擎Engine
本题解析:试题答案感应器Sensor或检测引擎Engine
55、问答题 入侵检测中信息收集的内容都有哪些,这些信息的来源一般有哪些?
点击查看答案
本题答案:包括系统、网络、数据及用户活动的状态和行为。
本题解析:试题答案包括系统、网络、数据及用户活动的状态和行为。
入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息四个方面。
56、填空题 一个入侵检测系统至少包含()、入侵分析、入侵响应和远程管理四部分功能。
点击查看答案
本题答案:事件提取
本题解析:试题答案事件提取
57、填空题 扫描又可以划分为三个不同的阶段,即发现目标、()和漏洞检测。
点击查看答案
本题答案:搜集信息
本题解析:试题答案搜集信息
58、填空题 入侵检测系统中()的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开,分析出入侵行为并对入侵者进行定位。
点击查看答案
本题答案:入侵分析
本题解析:试题答案入侵分析
59、填空题 ()是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
点击查看答案
本题答案:漏洞
本题解析:试题答案漏洞
60、问答题 什么是异常检测方法,有什么优缺点?
点击查看答案
本题答案:首先给系统对象(如用户、文件、目录和设备等)创建一个统
本题解析:试题答案首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述、统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
61、问答题 TCP扫描中的Connect扫描的原理是什么?
点击查看答案
本题答案:TCPConnect()扫描是最基本的TCP扫描方式。
本题解析:试题答案TCPConnect()扫描是最基本的TCP扫描方式。Connect()是一种系统调用,由操作系统提供,用来打开一个连接。如果目标端口有程序监听,Connect()就会成功返回,否则这个端口是不可达的。这项技术最大的优点无需root权限。任何UNIX用户都可以自由使用这个系统调用。但却很容易被检测到,在目标主机的日志中会记录大批的连接请求以及错误信息
62、问答题 基于网络的脆弱性评估有什么优缺点?
点击查看答案
本题答案:基于网络的脆弱性评估从入侵者的角度进行检测,能够发现系
本题解析:试题答案基于网络的脆弱性评估从入侵者的角度进行检测,能够发现系统中最危险、最可能被入侵者渗透的漏洞,扫描效率更高,而且由于与目标平台无关,通用性较强、安装简单;
缺点是不能检查不恰当的本地安全策略,另外也可能影响网络性能。
63、填空题 ()原理根据假设攻击与正常的(合法的)活动有很大的差异来识别攻击。
点击查看答案
本题答案:异常检测
本题解析:试题答案异常检测
64、填空题 ()是通过给目标主机发送特定的包并收集回应包来取得相关信息的。
点击查看答案
本题答案:主动扫描
本题解析:试题答案主动扫描
65、填空题 通常网络上收到ICMP回显请求的主机都会向请求者发送()(类型为0)报文。
点击查看答案
本题答案:ICMP回显应答
本题解析:试题答案ICMP回显应答
66、填空题 入侵检测系统中入侵响应功能在()后被触发。
点击查看答案
本题答案:分析出入侵行为
本题解析:试题答案分析出入侵行为
67、问答题 基于误用检测原理的入侵检测方法和技术主要有如下几种。
点击查看答案
本题答案:1)基于条件的概率误用检测方法。
2)基于专
本题解析:试题答案1)基于条件的概率误用检测方法。
2)基于专家系统的误用检测方法。
3)基于状态迁移分析的误用检测方法。
4)基于键盘监控的误用检测方法。
5)基于模型的误用检测方法。
68、填空题 基于专家系统的攻击检测技术,即根据安全专家对()的分析经验来形成一套推理规则,然后在此基础上设计出相应的专家系统。由此专家系统自动进行对所涉及的攻击操作的分析工作。
点击查看答案
本题答案:可疑行为
本题解析:试题答案可疑行为
69、问答题 被动扫描有什么优缺点?
点击查看答案
本题答案:被动扫描是通过监听网络包来取得信息。由于被动扫描具有很
本题解析:试题答案被动扫描是通过监听网络包来取得信息。由于被动扫描具有很多优点,近年来备受重视,其主要优点是对它的检测几乎是不可能的。被动扫描一般只需要监听网络流量而不需要主动发送网络包,也不易受防火墙影响。而其主要缺点在于速度较慢,而且准确性较差,当目标不产生网络流量时就无法得知目标的任何信息。
来源:91考试网 www.91eXam.org 70、问答题 入侵检测系统执行的主要任务有哪些?
点击查看答案
本题答案:包括:
1、监视、分析用户及系统活动;审计系
本题解析:试题答案包括:
1、监视、分析用户及系统活动;审计系统构造和弱点;
2、识别、反映已知进攻的活动模式,向相关人士报警;
3、统计分析异常行为模式;
4、评估重要系统和数据文件的完整性;
5、审计、跟踪管理操作系统,识别用户违反安全策略的行为。
71、问答题 主动扫描有什么优缺点?
点击查看答案
本题答案:主动扫描是传统的扫描方式,拥有较长的发展历史,它是通过
本题解析:试题答案主动扫描是传统的扫描方式,拥有较长的发展历史,它是通过给目标主机发送特定的包并收集回应包来取得相关信息的。当然,无响应本身也是信息,它表明可能存在过滤设备将探测包或探测回应包过滤了。主动扫描的优势在于通常能较快获取信息,准确性也比较高。缺点在于,易于被发现,很难掩盖扫描痕迹;而且要成功实施主动扫描通常需要突破防火墙,但突破防火墙是很困难的。
被动扫描是通过监听网络包来取得信息。由于被动扫描具有很多优点,近年来备受重视,其主要优点是对它的检测几乎是不可能的。被动扫描一般只需要监听网络流量而不需要主动发送网络包,也不易受防火墙影响。而其主要缺点 在于速度较慢,而且准确性较差,当目标不产生网络流量时就无法得知目标的任何信息。
题库试看结束后
微信扫下方二维码即可打包下载完整版《★网络漏洞扫描技术》题库
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
题库试看结束后微信扫下方二维码即可打包下载完整版《网络漏洞扫描技术:网络漏洞扫描技术》题库,分栏、分答案解析排版、小字体方便打印背记!经广大会员朋友实战检验,此方法考试通过率大大提高!绝对是您考试过关的不二利器!
手机用户可保存上方二维码到手机中,在微信扫一扫中右上角选择“从相册选取二维码”即可。
微信搜索关注"91考试网"公众号,领30元,获取公务员事业编教师考试资料40G
