第1題：

When installing an intrusion detection system (IDS), which of the following is MOST important?

A、Properly locating it in the network architecture

B、Preventing denial-of-service (DoS) attacks

C、Identifying messages that need to be quarantined

信管網(wǎng)參考答案：A

信管網(wǎng)參考解析：當(dāng)安裝一個(gè)IDS時(shí)，哪個(gè)最重要

A、在網(wǎng)絡(luò)構(gòu)架中合適的位置

B、防止.Dos攻擊

C、識(shí)別需要免疫的消息

D、最小化錯(cuò)誤拒絕

注意：入侵檢測(cè)系統(tǒng)（IDS）在網(wǎng)絡(luò)中的正確位置是安裝過(guò)程中最重要的決定。定位不好的IDS可能使網(wǎng)絡(luò)的關(guān)鍵區(qū)域不受保護(hù)。選擇B，C和D是在配置IDS的關(guān)注，但如果IDS沒(méi)有正確放置，他們都沒(méi)有得到充分解決。

第2題：

下面哪一項(xiàng)是對(duì)IDS的正確描述？（）

A、基于特征（Signature-based）的系統(tǒng)可以檢測(cè)新的攻擊類型

B、基于特征（Signature-based）的系統(tǒng)化基于行為（behavior-based）的系統(tǒng)產(chǎn)生更多的誤報(bào)

C、基于行為（behavior-based）的系統(tǒng)維護(hù)狀態(tài)數(shù)據(jù)庫(kù)來(lái)與數(shù)據(jù)包和攻擊相匹配

D、基于行為（behavior-based）的系統(tǒng)比基于特征（Signature-based）的系統(tǒng)有更高的誤報(bào)

信管網(wǎng)參考答案：D

信管網(wǎng)參考解析：ids是英文“intrusion detection systems”的縮寫(xiě)，中文意思是“入侵檢測(cè)系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過(guò)軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。做一個(gè)形象的比喻：假如防火墻是一幢大樓的門鎖，那么ids就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時(shí)監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

入侵檢測(cè)可分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)兩種。

實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的專家知識(shí)以及神經(jīng)網(wǎng)絡(luò)模型對(duì)用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開(kāi)入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個(gè)檢測(cè)過(guò)程是不斷循環(huán)進(jìn)行的。而事后入侵檢測(cè)則是由具有網(wǎng)絡(luò)安全專業(yè)知識(shí)的網(wǎng)絡(luò)管理人員來(lái)進(jìn)行的，是管理員定期或不定期進(jìn)行的，不具有實(shí)時(shí)性，因此防御入侵的能力不如實(shí)時(shí)入侵檢測(cè)系統(tǒng)。

按入侵檢測(cè)所采用的技術(shù)方法又可將其細(xì)分為下面四種方法：

一是基于用戶行為概率統(tǒng)計(jì)模型的入侵檢測(cè)方法：

這種入侵檢測(cè)方法是在對(duì)用戶歷史行為建?；蛟谠缙诘淖C據(jù)或模型的基礎(chǔ)上，實(shí)時(shí)檢測(cè)用戶對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計(jì)模型進(jìn)行檢測(cè)，當(dāng)發(fā)現(xiàn)有可疑的用戶行為發(fā)生時(shí)，立即保持跟蹤并監(jiān)測(cè)、記錄該用戶的行為。系統(tǒng)要根據(jù)每個(gè)用戶以前的歷史行為，生成每個(gè)用戶的歷史行為記錄庫(kù)，當(dāng)用戶改變他們的行為習(xí)慣時(shí)，這種異常就會(huì)被檢測(cè)出來(lái)。

二是基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法：

這種方法是利用神經(jīng)網(wǎng)絡(luò)技術(shù)來(lái)進(jìn)行入侵檢測(cè)。這種方法對(duì)用戶行為具有學(xué)習(xí)和自適應(yīng)功能，能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并做出是否有入侵行為的判斷。但該方法還不成熟，目前還沒(méi)有出現(xiàn)較為完善的產(chǎn)品。

三是基于專家系統(tǒng)的入侵檢測(cè)技術(shù)：

該技術(shù)根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)，由此專家系統(tǒng)自動(dòng)進(jìn)行對(duì)所涉及的入侵行為進(jìn)行分析。該系統(tǒng)可以隨著經(jīng)驗(yàn)的積累而不斷自我學(xué)習(xí)，并進(jìn)行規(guī)則的擴(kuò)充和修正。

四是基于模型推理的入侵檢測(cè)技術(shù)：

該技術(shù)根據(jù)入侵者在進(jìn)行入侵時(shí)所執(zhí)行的某些行為程序的特征，建立一種入侵行為模型，根據(jù)這種行為模型所代表的入侵行為特征來(lái)判斷用戶執(zhí)行的操作是否是屬于入侵行為。當(dāng)然這種方法也是建立在對(duì)當(dāng)前已知的入侵行為程序的基礎(chǔ)之上的，對(duì)未知的入侵方法所執(zhí)行的行為程序的模型識(shí)別需要進(jìn)一步的學(xué)習(xí)和擴(kuò)展。