入侵检测期末试题.docx

《入侵检测期末试题.docx》由会员分享，可在线阅读，更多相关《入侵检测期末试题.docx（3页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、入侵检测试卷姓名：学号： 班级： 分数：一.单项选择题(每题2分洪10题)1 . 一般来说，网络入侵者的步骤不包括以下哪个阶段( B)A、信息收集B、信息分析C、漏洞挖掘D、实施攻击2 . IP欺骗的实质是( B)A、IP地址的隐藏B、信任关系的破坏C、TCP序列号的重置D、IP地址的验证3 .在通用入侵检测模型的活动简档中未定义的随机变量为(D)A、事件计数器B间隔计数器C、资源计数器D、告警响应计数器4 .异常入侵检测的过程不包括以下哪个阶段(D)A、信息收集B、信息分析C、信息融合【)、告警与响应5 .在入侵分析的模型中，第一阶段的任务是(A)A、构造分析引擎B、进展数据分析C、反响D、

2、提炼6 .在CIDF中，IDS各组件间通过(C)来进展入侵检测和警告等信息内容的通信A、1DFB、SIDC、 CISLD、 Matchmaker7 . IDMEF使用( B)解决数据的安全传输问题A、XMLB、TLSC、IAPD、 RFC25108 .以下对Snort的描述不正确的选项是(B )A、snort是一个网络入侵检测软件B、snort是由四个子系统构成C snort是用C语言写的Ds snort使用插件技术来实现模块坏功能9 .以下不属于snort命令行参数的是（C ）A. 一AB. -aC. -BD. -b10 .黑客利用IP地址进展攻击的方法有：（A ）A. IP欺骗B.解密C.

3、窃取口令D.发送病毒二、填空题（每题1.5分洪2。题）I、数据预处理的功能是（数据集成），（数据清理 ），（数据变换 ），（数据简化2、IDF定义了 IDS系统和应急系统之间的交换数据方式，CIDF互操作主要有（配置互操作 ），（语义互操作），（语法互操作）3、影响入侵检测性能的参数（ 检测率 ），（虚警率）4、IDWG的标准中，有关入侵检测和警报的数据模型有（基于XML的数据模型）,（面向对象数据模型）5、（模拟攻击 ）是测试软件的一个必不可少的功能，通过运行攻击来验证IDS是否能 够检测到这些攻击。6、现有入侵检测的缺乏有（有效性差），（适应性差），（扩展性差），（伸张性差）7、入侵检测流

4、程六步确定目标，信息收集，（漏洞挖掘），（实施攻击），留下后门， 去除日志。8、根据入侵检测分析方法的不同可将入侵检测系统分为（异常入侵检测系统 ）,（误 用入侵检测系统）。三、问答题（每题6分洪6题）1、入侵检测作用表达在哪些方面2、拒绝服务是若何实施的3、缓冲区溢出的原理是什么4、简述防火墙对部属入侵检测系统的影响5、简述交换网络环境下的数据捕获方法5、评价入侵检测系统性能的三个因素是什么，分别表示什么含义四、分析题（每题7分洪2题）1、在校园的局域网中捕获到一个以太网帧，此帧的全部数据如以以以下图所示，请对照相 关协议的数据构造图，答复以下问题：A.此帧的用途和目的是什么B.此帧中有没有填充字段在什么情况下需要进展填充C.如果有一台网络计算机对此帧收到此帧后发出响应，响应中应当包含什么内容2、下面是sniffer抓到的数据包，根据检测引擎结果分析该主机遭受了什么攻击并写出分析 的依据。网络安全试题考题答案：（一，二，三答案略）4.分析题1题A地址解析协议的ARP查询B有，填充了 18字节的0,这是为了保证CSMA/CD ”载波侦听/多路访问协议的正确实施, 即以太网的最短帧长必须大于64字节。C即ARP响应，其中应当包含被查询主机的MAC地址和IP地址2题该主机遭受的是IGMP的DOS攻击。（具体分析略）