软件水平考试

在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法中不包括( )。A.匹配模式 B.密文分析 C.数据完整性分析 D.统计分析

题目
在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法中不包括( )。

A.匹配模式
B.密文分析
C.数据完整性分析
D.统计分析
如果没有搜索结果,请直接 联系老师 获取答案。
如果没有搜索结果,请直接 联系老师 获取答案。
相似问题和答案

第1题:

● 入侵检测系统的构成不包括(7)。

(7)

A.预警单元

B.事件产生器

C.事件分析器

D.响应单元


正确答案:A
试题(7)分析
美国国防部高级研究计划局(DARPA)提出的公共入侵检测框架(Common Intrusion Detection Framework,CIDF )由4个模块组成,见下图:

(l)事件产生器(Event generators,E-boxes ):负责数据的采集,并将收集到的原始数据转换为事件,向系统的其他模块提供与事件有关的信息。入侵检测所利用的信息一般来自4个方面:系统和网络的日志文件、目录和文件中不期望的改变、程序执行中不期望的行为、物理形式的入侵信息等。入侵检测要在网络中的若干关键点(不同网段和不同主机)收集信息,并通过多个采集点信息的比较来判断是否存在可疑迹象或发生入侵行为。
(2)事件分析器(Event Analyzers,A-boxes):接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,分析方法有下面三种:
① 模式匹配:将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为。
② 统计分析:首先给系统对象(例如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为。
③ 数据完整性分析:主要关注文件或系统对象的属性是否被修改,这种方法往往用于事后的审计分析。
(3)事件数据库(Event Databases,D-boxes ):存放有关事件的各种中间结果和最终数据的地方,可以是面向对象的数据库,也可以是一个文本文件。
(4)响应单元(Response units,R-boxes):根据报警信息做出各种反应,强烈的反冲就是断开连按、改变文件属性等,简单的反应就是发出系统提示,引起操作人员注意。
   因此,入侵检测系统的构成中不包括预警单元,故选A。
参考答案
      (7)A

第2题:

美国国防部高级研究计划局提出的通用入侵检测框架将入侵检测系统分为四个组件,包括:事件产生器、事件分析器、()和响应单元。

A.事件查看器

B.事件数据库

C.入侵检测器

D.网络收集器


参考答案:B

第3题:

入侵检测系统的基本组成部分有:事件产生器、事件分析器以及事件数据库和响应单元,其中响应单元的作用是(41)。

A.负责原始数据的采集,对数据流、日志文件等进行追踪,将搜集到的原始数据转换为事件,并向系统的其他部分提供此事件

B.负责接收事件信息,然后对它们进行分析,判断是否为入侵行为或异常现象,最后将判断结果转变为警告信息

C.根据警告信息做出反应

D.从事件产生器或事件分析器接收数据并保存


正确答案:C
解析:本题考查入侵检测系统的基本知识。入侵检测系统(Intrusion Detection System,IDS)使用入侵检测技术对网络与其上的系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。入侵检测系统通常由以下基本组件构成:(1)事件产生器。事件产生器是入侵检测系统中负责原始数据采集的部分,它对数据流、日志文件等进行追踪,然后将搜集到的原始数据转换为事件,并向系统的其他部分提供此事件。(2)事件分析器。事件分析器接收事件信息,然后对它们进行分析,判断是否为入侵行为或异常现象,最后将判断的结果转变为警告信息。(3)事件数据库。事件数据库是存放各种中间和最终数据的地方。它从事件产牛器或事件分析器接收数据,一般会将数据进行较长时间的保存。它可以是复杂的数据库,也可以是简单的文本文件。(4)响应单元。响应单元根据警告信息做出反应,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。

第4题:

入侵检测系统通常由( )基本组件构成。

A.事件产生器、事件分析器、事件数据库、响应单元

B.故障产生器、事件分析器、事件数据库、响应单元

C.事件产生器、事件分析器、事件数据库、反馈单元

D.事件产生器、事件分析器、关系数据库、响应单元


正确答案:A

第5题:

●在入侵检测技术中, (42)负责判断并产生警告信息。

(42)

A.事件产生器

B.事件分析器

C.事件数据库

D.响应单元


正确答案:B

第6题:

●对入侵检测技术描述错误的是(25)。

(25)A.入侵检测的信息源包括主机信息源、网络信息源

B.入侵检测的P2DR模型是Policy、Protection、Detection、Response的缩写

C.入侵检测系统一般分为四个组件:事件产生器、事件分析器、响应单元、事件数据库

D.不同厂商的IDS系统之间需要通信,通信格式是IETF


正确答案:D

第7题:

入侵检测系统中,()是根据审计数据源和审计记录数据库来检测系统是否存在被入侵的行为。

A、审计数据源

B、审计数据分析器

C、审计记录数据库

D、审计数据接收端


参考答案:B

第8题:

IETF定义入侵检测系统IDS的组成分别是:()。

A:事件产生器

B:事件分析器

C:响应单元

D:事件数据库

E:防御系统


答案:ABCD

第9题:

●入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件和硬件的组合就构成了入侵检测系统。(17)是入侵检测系统的核心。

(17)A.评估主要系统和数据的完整性

B.信息的收集

C.系统审计

D.数据分析


正确答案:D

第10题:

入侵检测系统是一种对计算机系统或网络事件进行检测并分析这个入侵事件特征的过程。()


答案:正确

更多相关问题
相关内容