第1題：

When installing an intrusion detection system (IDS), which of the following is MOST important?

A、Properly locating it in the network architecture

B、Preventing denial-of-service (DoS) attacks

C、Identifying messages that need to be quarantined

信管網(wǎng)參考答案：A

信管網(wǎng)參考解析：當安裝一個IDS時，哪個最重要

A、在網(wǎng)絡構架中合適的位置

B、防止.Dos攻擊

C、識別需要免疫的消息

D、最小化錯誤拒絕

注意：入侵檢測系統(tǒng)（IDS）在網(wǎng)絡中的正確位置是安裝過程中最重要的決定。定位不好的IDS可能使網(wǎng)絡的關鍵區(qū)域不受保護。選擇B，C和D是在配置IDS的關注，但如果IDS沒有正確放置，他們都沒有得到充分解決。

第2題：

下面哪一項是對IDS的正確描述？（）

A、基于特征（Signature-based）的系統(tǒng)可以檢測新的攻擊類型

B、基于特征（Signature-based）的系統(tǒng)化基于行為（behavior-based）的系統(tǒng)產(chǎn)生更多的誤報

C、基于行為（behavior-based）的系統(tǒng)維護狀態(tài)數(shù)據(jù)庫來與數(shù)據(jù)包和攻擊相匹配

D、基于行為（behavior-based）的系統(tǒng)比基于特征（Signature-based）的系統(tǒng)有更高的誤報

信管網(wǎng)參考答案：D

信管網(wǎng)參考解析：ids是英文“intrusion detection systems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么ids就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

入侵檢測可分為實時入侵檢測和事后入侵檢測兩種。

實時入侵檢測在網(wǎng)絡連接過程中進行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計算機中的專家知識以及神經(jīng)網(wǎng)絡模型對用戶當前的操作進行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復。這個檢測過程是不斷循環(huán)進行的。而事后入侵檢測則是由具有網(wǎng)絡安全專業(yè)知識的網(wǎng)絡管理人員來進行的，是管理員定期或不定期進行的，不具有實時性，因此防御入侵的能力不如實時入侵檢測系統(tǒng)。

按入侵檢測所采用的技術方法又可將其細分為下面四種方法：

一是基于用戶行為概率統(tǒng)計模型的入侵檢測方法：

這種入侵檢測方法是在對用戶歷史行為建模或在早期的證據(jù)或模型的基礎上，實時檢測用戶對系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保存的用戶行為概率統(tǒng)計模型進行檢測，當發(fā)現(xiàn)有可疑的用戶行為發(fā)生時，立即保持跟蹤并監(jiān)測、記錄該用戶的行為。系統(tǒng)要根據(jù)每個用戶以前的歷史行為，生成每個用戶的歷史行為記錄庫，當用戶改變他們的行為習慣時，這種異常就會被檢測出來。

二是基于神經(jīng)網(wǎng)絡的入侵檢測方法：

這種方法是利用神經(jīng)網(wǎng)絡技術來進行入侵檢測。這種方法對用戶行為具有學習和自適應功能，能夠根據(jù)實際檢測到的信息有效地加以處理并做出是否有入侵行為的判斷。但該方法還不成熟，目前還沒有出現(xiàn)較為完善的產(chǎn)品。

三是基于專家系統(tǒng)的入侵檢測技術：

該技術根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則，然后在此基礎上建立相應的專家系統(tǒng)，由此專家系統(tǒng)自動進行對所涉及的入侵行為進行分析。該系統(tǒng)可以隨著經(jīng)驗的積累而不斷自我學習，并進行規(guī)則的擴充和修正。

四是基于模型推理的入侵檢測技術：

該技術根據(jù)入侵者在進行入侵時所執(zhí)行的某些行為程序的特征，建立一種入侵行為模型，根據(jù)這種行為模型所代表的入侵行為特征來判斷用戶執(zhí)行的操作是否是屬于入侵行為。當然這種方法也是建立在對當前已知的入侵行為程序的基礎之上的，對未知的入侵方法所執(zhí)行的行為程序的模型識別需要進一步的學習和擴展。