itgle.com

在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法中不包括( )。A.匹配模式 B.密文分析 C.数据完整性分析 D.统计分析

题目
在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法中不包括( )。

A.匹配模式
B.密文分析
C.数据完整性分析
D.统计分析
相似考题

1.入侵检测系统的基本组成部分有:事件产生器、事件分析器以及事件数据库和响应单元,其中响应单元的作用是(41)。A.负责原始数据的采集,对数据流、日志文件等进行追踪,将搜集到的原始数据转换为事件,并向系统的其他部分提供此事件B.负责接收事件信息,然后对它们进行分析,判断是否为入侵行为或异常现象,最后将判断结果转变为警告信息C.根据警告信息做出反应D.从事件产生器或事件分析器接收数据并保存

2.● 入侵检测系统的构成不包括(7)。(7)A.预警单元B.事件产生器C.事件分析器D.响应单元

3.●对入侵检测技术描述错误的是(25)。(25)A.入侵检测的信息源包括主机信息源、网络信息源B.入侵检测的P2DR模型是Policy、Protection、Detection、Response的缩写C.入侵检测系统一般分为四个组件:事件产生器、事件分析器、响应单元、事件数据库D.不同厂商的IDS系统之间需要通信,通信格式是IETF

4.IETF定义入侵检测系统IDS的组成分别是:()。A:事件产生器B:事件分析器C:响应单元D:事件数据库E:防御系统

参考答案和解析
答案:B
解析:
入侵检测系统一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
(1)模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测以前从未出现过的黑客攻击手段。
(2)统计分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值如果超过了正常值范围,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
(3)完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被修改成类似特洛伊木马的应用程序方面特别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是有入侵行为导致了文件或其他对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。
更多“在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法中不包括( )。”相关问题

  • 第1题:

    美国国防部高级研究计划局提出的通用入侵检测框架将入侵检测系统分为四个组件,包括:事件产生器、事件分析器、()和响应单元。

    A.事件查看器

    B.事件数据库

    C.入侵检测器

    D.网络收集器


    参考答案:B

  • 第2题:

    ●在入侵检测技术中, (42)负责判断并产生警告信息。

    (42)

    A.事件产生器

    B.事件分析器

    C.事件数据库

    D.响应单元


    正确答案:B

  • 第3题:

    入侵检测系统通常由( )基本组件构成。

    A.事件产生器、事件分析器、事件数据库、响应单元

    B.故障产生器、事件分析器、事件数据库、响应单元

    C.事件产生器、事件分析器、事件数据库、反馈单元

    D.事件产生器、事件分析器、关系数据库、响应单元


    正确答案:A

  • 第4题:

    在入侵检测系统中,时间分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法不包括( )。

    A.模式匹配 B.密文分析 C.数据完整性分析 D.系统分析


    正确答案:B

  • 第5题:

    入侵检测系统的构成不包括______。

    A.预警单元

    B.事件产生器

    C.事件分析器

    D.响应单元


    正确答案:A
    解析:美国国防部高级研究计划局(DARPA)提出的公共入侵检测框架(Common IntrusionDetection Framework,CIDF)由4个模块组成。
      (1)事件产生器(Event generators,E-boxes):负责数据的采集,并将收集到的原始数据转换为事件,向系统的其他模块提供与事件有关的信息。入侵检测所利用的信息一般来自4个方面:系统和网络的日志文件、目录和文件中不期望的改变、程序执行中不期望的行为、物理形式的入侵信息等。入侵检测要在网络中的若干关键点(不同网段和不同主机)收集信息,并通过多个采集点信息的比较来判断是否存在可疑迹象或发生入侵行为。
      (2)事件分析器(Event Analyzers,A-boxes):接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,分析方法有下面三种:
      ①模式匹配:将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为。
      ②统计分析:首先给系统对象(例如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为。
      ③数据完整性分析:主要关注文件或系统对象的属性是否被修改,这种方法往往用于事后的审计分析。
      (3)事件数据库(Event Databases,D-boxes):存放有关事件的各种中间结果和最终数据的地方,可以是面向对象的数据库,也可以是一个文本文件。
      (4)响应单元(Response units,R-boxes):根据报警信息做出各种反应,强烈的反应就是断开连接、改变文件属性等,简单的反应就是发出系统提示,引起操作人员注意。
      因此,入侵检测系统的构成中不包括预警单元,故选A。

  • 第6题:

    入侵检测系统的基本组成部分有:事件产生器、事件分析器以及事件数据库和响应单元,其中响应单元的作用是( )。

    A.负责原始数据的采集,对数据流、日志文件等进行追踪,将搜集到的原始数据转换为事件,并向系统的其他部分提供此事件
    B.负责接收事件信息,然后对它们进行分析,判断是否为入侵行为或异常现象,最后将判断结果转变为警告信息
    C.根据警告信息做出反应
    D.从事件产生器或事件分析器接收数据并保存

    答案:C
    解析:
    本题考查入侵检测系统的基本知识。入侵检测系统(Intrusion Detection System,IDS)使用入侵检测技术对网络与其上的系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。入侵检测系统通常由以下基本组件构成:(1)事件产生器。事件产生器是入侵检测系统中负责原始数据采集的部分,它对数据流、日志文件等进行追踪,然后将搜集到的原始数据转换为事件,并向系统的其他部分提供此事件。(2)事件分析器。事件分析器接收事件信息,然后对它们进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为警告信息。(3)事件数据库。事件数据库是存放各种中间和最终数据的地方。它从事件产牛器或事件分析器接收数据,一般会将数据进行较长时间的保存。它可以是复杂的数据库,也可以是简单的文本文件。(4)响应单元。响应单元根据警告信息做出反应,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。

  • 第7题:

    入侵检测系统的CIDF模型基本构成()。

    • A、事件产生器、事件分析器、事件数据库和响应单元
    • B、事件产生器、事件分析器、事件数据库
    • C、异常记录、事件分析器、事件数据库和响应单元
    • D、规则处理引擎、异常记录、事件数据库和响应单元

    正确答案:A

  • 第8题:

    基于主机的入侵检测系统通过监视与分析()来检测入侵。

    • A、主机的审计记录和日志文件
    • B、事件分析器
    • C、事件数据库
    • D、网络中的数据包

    正确答案:A

  • 第9题:

    CIDF将入侵检测系统分成四组件,不包括()

    • A、事件产生器
    • B、事件关系库
    • C、事件分析器
    • D、响应单元

    正确答案:B

  • 第10题:

    多选题
    关于入侵检测和入侵检测系统,下述正确的选项是()。
    A

    入侵检测收集信息应在网络的不同关键点进行

    B

    入侵检测的信息分析具有实时性

    C

    基于网络的入侵检测系统的精确性不及基于主机的入侵检测系统的精确性高

    D

    分布式入侵检测系统既能检测网络的入侵行为,又能检测主机的入侵行为

    E

    入侵检测系统的主要功能是对发生的入侵事件进行应急响应处理


    正确答案: A,E
    解析: 暂无解析

  • 第11题:

    单选题
    基于网络的入侵检测系统的信息源是()。
    A

    系统的审计日志

    B

    事件分析器

    C

    应用程序的事务日志文件

    D

    网络中的数据包


    正确答案: C
    解析: 暂无解析

  • 第12题:

    单选题
    基于主机的入侵检测系统通过监视与分析()来检测入侵。
    A

    主机的审计记录和日志文件

    B

    事件分析器

    C

    事件数据库

    D

    网络中的数据包


    正确答案: C
    解析: 暂无解析

  • 第13题:

    入侵检测系统中,()是根据审计数据源和审计记录数据库来检测系统是否存在被入侵的行为。

    A、审计数据源

    B、审计数据分析器

    C、审计记录数据库

    D、审计数据接收端


    参考答案:B

  • 第14题:

    ●入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件和硬件的组合就构成了入侵检测系统。(17)是入侵检测系统的核心。

    (17)A.评估主要系统和数据的完整性

    B.信息的收集

    C.系统审计

    D.数据分析


    正确答案:D

  • 第15题:

    入侵检测系统是一种对计算机系统或网络事件进行检测并分析这个入侵事件特征的过程。()


    答案:正确

  • 第16题:

    在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法中不包括( )。

    A.模式匹配 B.密文分析 C.数据完整性分析 D.统计分析


    正确答案:B

  • 第17题:

    在入侵检测技术中,______负责判断并产生警告信息。

    A.事件产生器
    B.事件分析器
    C.事件数据库
    D.响应单元

    答案:B
    解析:
    本题考查入侵检测技术的基本概念。在入侵检测技术中,事件产生器负责原始数据采集的部分,它对数据流、日志文件等进行追踪,然后将搜集到的原始数据转换为事件,并向系统的其他部分提供此事件。事件分析器接收事件信息.然后对它们进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为警告信息。事件数据库是存放各种中间和最终数据的地方。它从事件产生器或事件分析器接收数据,一般会将数据进行较长时间的保存。它可以是复杂的数据库,也可以是简单的文本文件。响应单元根据警告信息做出反应。

  • 第18题:

    入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件和硬件的组合就构成了入侵检测系统。( )是入侵检测系统的核心。

    A:评估主要系统和数据的完整性
    B:信息的收集
    C:系统审计
    D:数据分析

    答案:D
    解析:
    入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现:监视、分析用户及系统活动系统构造和弱点的审计识别反映已知进攻的活动模式并向相关人士报警异常行为模式的统计分析评估重要系统和数据文件的完整性操作系统的审计跟踪管理,并识别用户违反安全策略的行为。

  • 第19题:

    通用入侵检测框架(CIDF)模型中,()的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件

    • A、事件产生器
    • B、事件分析器
    • C、事件数据库
    • D、响应单元

    正确答案:A

  • 第20题:

    关于入侵检测和入侵检测系统,下述正确的选项是()。

    • A、入侵检测收集信息应在网络的不同关键点进行
    • B、入侵检测的信息分析具有实时性
    • C、基于网络的入侵检测系统的精确性不及基于主机的入侵检测系统的精确性高
    • D、分布式入侵检测系统既能检测网络的入侵行为,又能检测主机的入侵行为
    • E、入侵检测系统的主要功能是对发生的入侵事件进行应急响应处理

    正确答案:A,B,C,E

  • 第21题:

    基于网络的入侵检测系统的信息源是()。

    • A、系统的审计日志
    • B、事件分析器
    • C、应用程序的事务日志文件
    • D、网络中的数据包

    正确答案:D

  • 第22题:

    单选题
    通用入侵检测框架(CIDF)模型中,()的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件
    A

    事件产生器

    B

    事件分析器

    C

    事件数据库

    D

    响应单元


    正确答案: B
    解析: 暂无解析

  • 第23题:

    填空题
    入侵检测(Qos)是通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象,主要分成基于的入侵检测系统和基于()的入侵检测和分布式入侵检测系统三大类。

    正确答案: 行为
    解析: 暂无解析

  • 第24题:

    单选题
    CIDF将入侵检测系统分成四组件,不包括()
    A

    事件产生器

    B

    事件关系库

    C

    事件分析器

    D

    响应单元


    正确答案: B
    解析: 暂无解析

相关内容