1、入侵检测试卷姓名:_ 学号:_ 班级:_ 分数:_ 一单项选择题(每题 2 分,共 10 题)1. 一般来说,网络入侵者的步骤不包括下列哪个阶段( B )A、信息收集B、信息分析C、漏洞挖掘D、实施攻击2. IP 欺骗的实质是( B )A、IP 地址的隐藏B、信任关系的破坏C、TCP 序列号的重置D、IP 地址的验证3. 在通用入侵检测模型的活动简档中未定义的随机变量为( D )A、事件计数器B 间隔计数器C、资源计数器D、告警响应计数器4. 异常入侵检测的过程不包括下列哪个阶段( D )A、信息收集B、信息分析C、信息融合D、告警与响应5. 在入侵分析的模型中,第一阶段的任务是( A )A、
2、构造分析引擎B、进行数据分析C、反馈D、提炼6. 在 CIDF 中,IDS 各组件间通过( C )来进行入侵检测和警告等信息内容的通信A、IDFB、SIDC、CISLD、Matchmaker7. IDMEF 使用( B )解决数据的安全传输问题A、XMLB、TLSC、IAPD、RFC25108. 以下对 Snort 的描述不正确的是( B )A、snort 是一个网络入侵检测软件B、snort 是由四个子系统构成C、snort 是用 C 语言写的D、snort 使用插件技术来实现模块坏功能9 以下不属于 snort 命令行参数的是 ( C )A. AB. -aC. B D. -b10黑客利用
3、IP 地址进行攻击的方法有:( A )A. IP 欺骗B. 解密C. 窃取口令D. 发送病毒二、填空题(每题 1.5 分,共 20 题)1、数据预处理的功能是( 数据集成 ) , (数据清理 ) , (数据变换 ) , ( 数据简化 ) 。2、IDF 定义了 IDS 系统和应急系统之间的交换数据方式,CIDF 互操作主要有(配置互操作 ) , (语义互操作) , (语法互操作)3 、影响入侵检测性能的参数( 检测率 ) , (虚警率)4、IDWG 的标准中,有关入侵检测和警报的数据模型有(基于 XML 的数据模型 ) ,(面向对象数据模型)5 、 (模拟攻击 )是测试软件的一个必不可少的功能,
4、通过运行攻击来验证 IDS 是否能够检测到这些攻击。6、 现有入侵检测的不足有(有效性差 ) , (适应性差) , (扩展性差) , (伸张性差)7 、 入侵检测流程六步确定目标,信息收集,( 漏洞挖掘),(实施攻击),留下后门,清除日志。8 、根据入侵检测分析方法的不同可将入侵检测系统分为(异常入侵检测系统 ) ,(误用入侵检测系统) 。三、问答题(每题 6 分,共 6 题 )1、 入侵检测作用体现在哪些方面?2、拒绝服务是如何实施的?3、缓冲区溢出的原理是什么?4、简述防火墙对部属入侵检测系统的影响?5、简述交换网络环境下的数据捕获方法?5、评价入侵检测系统性能的三个因素是什么,分别表示什
5、么含义?四、分析题(每题 7 分,共 2 题 )1、在校园的局域网中捕获到一个以太网帧,此帧的全部数据如下图所示,请对照相关协议的数据结构图,回答以下问题:A 此帧的用途和目的是什么?B 此帧中有没有填充字段?在什么情况下需要进行填充?C 如果有一台网络计算机对此帧收到此帧后发出响应,响应中应当包含什么内容?2、下面是 sniffer 抓到的数据包,根据检测引擎结果分析该主机遭受了什么攻击?并写出分析的依据。网络安全试题考题答案:(一,二,三答案略)4分析题1 题A 地址解析协议的 ARP 查询B 有,填充了 18 字节的 0,这是为了保证 CSMA/CD“载波侦听/多路访问”协议的正确实施,即以太网的最短帧长必须大于 64 字节。C 即 ARP 响应,其中应当包含被查询主机的 MAC 地址和 IP 地址2 题该主机遭受的是 IGMP 的 DOS 攻击。(具体分析略)