第1題：

When installing an intrusion detection system (IDS), which of the following is MOST important?

A、Properly locating it in the network architecture

B、Preventing denial-of-service (DoS) attacks

C、Identifying messages that need to be quarantined

信管網參考答案：A

信管網參考解析：當安裝一個IDS時，哪個最重要

A、在網絡構架中合適的位置

B、防止.Dos攻擊

C、識別需要免疫的消息

D、最小化錯誤拒絕

注意：入侵檢測系統（IDS）在網絡中的正確位置是安裝過程中最重要的決定。定位不好的IDS可能使網絡的關鍵區(qū)域不受保護。選擇B，C和D是在配置IDS的關注，但如果IDS沒有正確放置，他們都沒有得到充分解決。

第2題：

下面哪一項是對IDS的正確描述？（）

A、基于特征（Signature-based）的系統可以檢測新的攻擊類型

B、基于特征（Signature-based）的系統化基于行為（behavior-based）的系統產生更多的誤報

C、基于行為（behavior-based）的系統維護狀態(tài)數據庫來與數據包和攻擊相匹配

D、基于行為（behavior-based）的系統比基于特征（Signature-based）的系統有更高的誤報

信管網參考答案：D

信管網參考解析：ids是英文“intrusion detection systems”的縮寫，中文意思是“入侵檢測系統”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網絡、系統的運行狀況進行監(jiān)視，盡可能發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么ids就是這幢大樓里的監(jiān)視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監(jiān)視系統才能發(fā)現情況并發(fā)出警告。

入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。

實時入侵檢測在網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發(fā)現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。這個檢測過程是不斷循環(huán)進行的。而事后入侵檢測則是由具有網絡安全專業(yè)知識的網絡管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統。

按入侵檢測所采用的技術方法又可將其細分為下面四種方法：

一是基于用戶行為概率統計模型的入侵檢測方法：

這種入侵檢測方法是在對用戶歷史行為建?；蛟谠缙诘淖C據或模型的基礎上，實時檢測用戶對系統的使用情況，根據系統內部保存的用戶行為概率統計模型進行檢測，當發(fā)現有可疑的用戶行為發(fā)生時，立即保持跟蹤并監(jiān)測、記錄該用戶的行為。系統要根據每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當用戶改變他們的行為習慣時，這種異常就會被檢測出來。

二是基于神經網絡的入侵檢測方法：

這種方法是利用神經網絡技術來進行入侵檢測。這種方法對用戶行為具有學習和自適應功能，能夠根據實際檢測到的信息有效地加以處理并做出是否有入侵行為的判斷。但該方法還不成熟，目前還沒有出現較為完善的產品。

三是基于專家系統的入侵檢測技術：

該技術根據安全專家對可疑行為的分析經驗來形成一套推理規(guī)則，然后在此基礎上建立相應的專家系統，由此專家系統自動進行對所涉及的入侵行為進行分析。該系統可以隨著經驗的積累而不斷自我學習，并進行規(guī)則的擴充和修正。

四是基于模型推理的入侵檢測技術：

該技術根據入侵者在進行入侵時所執(zhí)行的某些行為程序的特征，建立一種入侵行為模型，根據這種行為模型所代表的入侵行為特征來判斷用戶執(zhí)行的操作是否是屬于入侵行為。當然這種方法也是建立在對當前已知的入侵行為程序的基礎之上的，對未知的入侵方法所執(zhí)行的行為程序的模型識別需要進一步的學習和擴展。