文档库

最新最全的文档下载
当前位置:文档库 > 入侵检测与防御课程习题-201008

入侵检测与防御课程习题-201008

同济大学计算机系《入侵检测与防御》课程习题

2010年08月

1.入侵检测的作用体现在哪些方面?

2.简述网络入侵的一般流程。

3.比较端口扫描器与漏洞扫描器的不同之处,并简述漏洞扫描的两种不同扫描策略。

4.拒绝服务攻击是如何实施的?

5.入侵检测系统的工作模式可以分为几个步骤?分别是什么?

6.根据目标系统的类型可以把入侵检测系统分为哪几类?并指出其各类间的区别。

7.根据入侵检测分析方法的不同可以把入侵检测系统分为哪几类?并简述其各自原理。

8.入侵检测的过程包括哪几个阶段?

9.简述系统安全审计记录的优缺点。

10.简述用网络数据包作为数据源的优缺点。

11.数据获取划分为直接监测和间接监测,试比较这两种方法的不同。

12.试举例至少3种典型入侵行为特征及其识别。

13.入侵检测系统的响应可以分为哪几类?并加以描述。

14.联动响应机制的含义是什么?

15.基于安全性检查的IDS结构的基本思想是什么?又有何局限性?

16.简述基于主机的入侵检测技术的优缺点。

17.简述异常检测模型的工作原理。

18.入侵检测框架(CIDF)标准化工作的主要思想是什么?

19.入侵检测工作组(IDWG)的主要工作是什么?

20.评价入侵检测系统性能的3个因素是什么?分别表示什么含义?

21.简述协议分析的原理。

22.简述防火墙的特性及主要功能,并简述防火墙的局限性。

23.Snort的工作模式有几种?分别是什么?

24.你认为Snort的优缺点分别是什么?分别列出三条。

25.在入侵检测系统的构建实验中,试根据以下安全策略定制自己的检测规则:

(1)内部网络192.168.1.0/24不允许从外网访问。

(2)内部web服务器192.168.1.0不允许从外网访问。

26.认真阅读以下关于网络病毒与安全扫描技术的说明,回答下列问题。

【说明】“熊猫烧香”病毒是一种感染型病毒,它能感染系统中exe、com、pif、src、html、asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的备份文件,使用户的系统备份文件丢失。该病毒的某些变种可以通过局域网进行传播,进而感染局域网内其他存在相应漏洞的计算机系统,导致整个局域网瘫痪。如果发现连接在网络上的计算机遭到该病毒攻击,则应采用相应的策略进行处理。

【问题1】根据“熊猫烧香”的病毒特征可知,它是一个感染型的(1)。

(1)A.木马病毒 B.蠕虫病毒 C.引导区病毒 D.冲击波病毒

【问题2】通常处理“熊猫烧香”病毒时,首先要把入侵的计算机从局域网断开。为什么?【问题3】病毒扫描仅能够检测、标识或清除操作系统中的病毒程序,而安全扫描能够及时发现安全漏洞。扫描器通过选用远程TCP/IP不同端口的服务,并记录目标主机给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息(例如,是否能用匿名登录,是否有可写的FTP目录等)。那么,一个扫描器应该具有哪几项基本功能?

27.阅读下列说明,回答问题1至问题4。

【说明】特洛伊木马是一种基于客户机/服务器模式的远程控制程序,黑客可以利用木马程序入侵用户的计算机系统。木马的工作模式如图所示。

入侵检测与防御课程习题-201008

【问题1】对于传统的木马程序,侵入被攻击主机的入侵程序属于(1)。攻击者一旦获取入侵程序的(2),便与它连接起来。

(1) A.客户程序 B.服务程序 C.代理程序 D.系统程序

(2) A.用户名和口令 B.密钥 C.访问权限 D.地址和端口号

【问题2】以下(3)和(4)属于计算机感染特洛伊木马后的典型现象。

(3)、(4)A.程序堆栈溢出 B.有未知程序试图建立网络连接

C.邮箱被莫名邮件填满

D.系统中有可疑的进程在运行

【问题3】安装了防火墙软件的主机可以利用防火墙的(5)功能有效地址防止外部非法连接来拦截木马。

(5)A.身份认证B.地址转换 C.日志记录 D.包过滤

【问题4】以下措施中能有效防治木马入侵的有(6)和(7)。

(6)、(7)A.不随意下载来历不明的软件

B.仅开放非系统端口

C.实行加密数据传输

D.实行实时网络连接监控程序

28.阅读以下说明,回答问题1至问题3。

【说明】某单位在部署计算机网络时采用了一款硬件防火墙,该防火墙带有三个以太网络接口,其网络拓扑如下图所示。

入侵检测与防御课程习题-201008

【问题1】防火墙包过滤规则的默认策略为拒绝,下表给出防火墙的包过滤规则配置界面。

若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器,为表

中(1)-(4)空缺处选择正确答案。

入侵检测与防御课程习题-201008

(1)A.允许 B.拒绝

(2)A.192.168.1.0/24B.211.156.169.6/30C.202.117.118.23/24

(3)A.TCP B.UDP C.ICMP

(4)A.E3->E2B.E1->E3C.E1->E2

【问题2】内部网络经由防火墙采用NAT方式与外部网络通信,为图中(5)-(7)空

缺处选择正确答案。

入侵检测与防御课程习题-201008

(5)A.192.168.1.0/24 B.any C.202.117.118.23/24

(6)A.E1 B.E2 C.E3

(7)A.192.168.1.1 B.210.156.169.6 C.211.156.169.6

【问题3】图中__(8)__适合设置为DMZ区。

(8)A.区域A B.区域B C.区域C

29.请认真阅读下列有关网络中计算机安全的说明,回答问题1至问题3。

【说明】"震荡波"病毒对网络中计算机系统的攻击方式是:以本地IP地址为基础,开辟128

个扫描线程,每个线程随机选取一个IP地址作为攻击目标,疯狂地试探连接目标主机的445端口,试图造成Windows的缓冲区溢出错误。一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播。如果你发现连接在网络上的计算机遭到该病毒攻击,则应采用相应的处理。根据对入侵的处理对策及系统恢复过程请回答问题1至问题4。

【问题1】为什么一般处理"震荡波"病毒时,首先要把被侵入的计算机系统从网络上断开?【问题2】为了解决"震荡波"病毒利用Windows缓冲区溢出漏洞攻击计算机系统问题,我们采用某防火墙建立一个"关闭445端口"的规则。请给出下列规则配置参数(防火墙规则配置界面如图26-1所示):

入侵检测与防御课程习题-201008

图26-1防火墙规则配置界面

数据包方向(从下列选项中选择):___(1)___;

A.接收B.发送C.双向

对方IP地址(从下列选项中选择):___(2)___;

A.网络IP地址B.指定IP地址C.任意IP地址

数据包协议类型:___(3)___;

已授权程序开放的端口:从___(4)___到___(5)___;

当满足上述条件时(从下列选中选择):___(6)___。

A.通过B.拦截C.继续下一规则

【问题3】日前防火墙主要分为哪四种基本类型?根据防火墙的实现原理,该防火墙属于哪一类?

30.阅读以下说明,回答问题1至问题5。

说明:某企业的网络安装防火墙后其拓扑结构如图所示。

入侵检测与防御课程习题-201008

【问题1】为图中(1)处选择合适的名称。

(1)A.服务区 B.DMZ区 C.堡垒区 D.安全区

【问题2】为图中(2)处选择合适的设备。

(2)A.远程访问服务器 B.以太网交换机 C.调制解调器

【问题3】以下哪一项属于配置该防火墙的目的?(3)

(3)A.防止未授权的通信进出内部网络 B.进行域名解析

C.对IP包进行协议转换

D.对进出内部网络的数据包进行加解密

【问题4】参照下图所示界面,添加以下访问控制规则,以禁止PC3访问地址为210.156.169.8的Web服务器。

入侵检测与防御课程习题-201008

(4)A.允许 B.禁止

(5)A.192.168.0.1 B.192.168.0.5 C.210.156.169.6 D.210.156.169.8

(6)A.192.168.0.1 B.192.168.0.5 C.210.156.169.6 D.210.156.169.8

(7)A.TCP B.UDP

入侵检测与防御课程习题-201008

WWW服务时,能够隐藏内部主机的源地址。

入侵检测与防御课程习题-201008

入侵检测与防御课程习题-201008

(9)A.192.168.0.5 B.210.156.169.6 C.202.117.12.37 D.ANY