2. 从业资格
  3. 入侵检测系(IDS)和入侵防护系统(IPS)是两种重要的网络安全防御手段,IDS

入侵检测系(IDS)和入侵防护系统(IPS)是两种重要的网络安全防御手段,IDS

题库2022-08-02  29
问题 入侵检测系(IDS)和入侵防护系统(IPS)是两种重要的网络安全防御手段,IDS注重的是网络安全状况的监管,IPS则注重对入侵行为的控制。【问题1】(2分)网络安全防护可以分为主动防护和被动防护,请问IDS和IPS分别属于哪种防护?【问题2】(4分)入侵检测是动态安全模型(P2DR)的重要组成部分。请列举P2DR模型的4个主要组成部分。【问题3】(2分)假如某入侵检测系统记录了如图5-1所示的网络数据包:请问图中的数据包属于哪种网络攻击?该攻击的具体名字是什么?【问题4】(4分)入侵检测系统常用的两种检测技术是异常检测和误用检测,请问针对图中所描述的网络攻击应该采用哪种检测技术?请简要说明原因。【问题5】(3分)Snort是一款开源的网络入侵检测系统,它能够执行实时流量分析和IP协议网络的数据包记录.Snort的配置有3种模式,请给出这3种模式的名字。
选项
答案
解析 【问题1】解析
入侵检测技术 (IDS) 注重的是网络安全状况的监管,通过监视网络或系统资源, 寻找违反安全策略的行为或攻击迹象,并发出报警。因此IDS 系统属于被动防护。 入侵防护系统 (IPS) 则倾向于提供主动防护,注重对入侵行为的控制。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。

【问题2】解析:
P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具 ,如防火墙、操作系统身份认证、加密等手段的同时,利用检测工具,如漏溺评估、入侵检测等系统了解和评估系统的安全状态,通过适当的响应将系统调整到"最安全"和"风险最低"的状态。防护、检测和自由应组成了一个完整的、动态的安全循环。

【问题3】解析
SYN 洪泛攻击通过创建大量"半连接"来进行攻击,任何连接收到 Intenet 上并提供基于TCP的网络服务的主机或路由器都可能成为这种攻击的目标;同步包风暴是当前最流行的 DoS (拒绝服务攻击)与 DDoS (分布式拒绝服务攻击) 的方式之一,利用TCP协议缺陷发送大量伪造的TCP连接请求,使得被攻击者资源耗尽。三次握手,进行了两次(SYN)(SYN/ACK),不进行第三次握手(ACK),连接队列处于等待状态,大量的这样的等待,占满全部队列空间,系统挂起。

【问题4】解析
异常检测是指根据非正常行为( 系统或用户)和使用计算机非正常资源来检测入侵行为。其关键在于建立用户及系统正常行为轮廓(Profile), 检测实际活动以判断是否背离正常轮廓。
误用检测又称为基于特征的检测,基于误用的入侵检测系统通过使用某种模式或者信号标示表示攻击,进而发现同类型的攻击。
显然针对上述攻击,根据SYN分组特征模式,应该采用误用检测来检测攻击。

【问题5】解析

Snort 的配置有3个主要模式:嗅探 (Sniffer)、包记录 (PacketLogger) 和网络入侵检测。嗅探模式主要是读取网络上的数据包并在控制台上用 数据流不断地显示出来:包记录模式把数据包记录在磁盘上:网络入侵监测模式是最复杂最难配置的,它可以分析网流量与用户定义的规则设置进行匹配然后根据结果执行相应的操作。
转载请注明原文地址:https://www.tihaiku.com/congyezige/2414785.html
本试题收录于: 中级 信息安全工程师题库软件水平考试初中高级分类

中级 信息安全工程师

软件水平考试初中高级

相关试题推荐
随机试题
最新回复(0)