案例分析题

阅读下列说明和图,回答问题15至问题19，将解答写在答题纸的对应栏内。
【说明】
入侵检测系统(IDS)和入侵防护系统(IPS)是两种重要的网络安全防御手段,IDS注重的是网络安全状况的监管,IPS则注重对入侵行为的控制。

问答题

网络安全防护可以分为主动防护和被动防护,请问IDS和IPS分别属于哪种防护?

【正确答案】

多数IDS属于被动防护，IPS属干主动防护。

【答案解析】

问答题

入侵检测是动态安全模型(P2DR)的重要组成部分。请列举P2DR模型的4个主要组成部分。

【正确答案】

P2DR棋型包括四个部分：Policy(安全策略)、Protection(防护)、Detection(检测）和Response(响应）。

【答案解析】

问答题

假如某入侵检测系统记录了如图5-1所示的网络数据包：

【正确答案】

拒绝服务攻击。具体名称为SYN flood。

【答案解析】

问答题

入侵检测系统常用的两种检测技术是异常检测和误用检测,请问针对图中所描述的网络攻击应该采用哪种检测技术?请简要说明原因。

【正确答案】

应该采用异常检测技术。
异常检测的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。
误用检测是指通过攻击行为的特征库，采用特征匹配的方法确定攻击事件。误用检测的优点是检测的误报率低，检测快，但误用检测通常不能发现攻击特征库中役有事先指定的攻击行为。所以无法检测层出不穷的新攻击。

【答案解析】

问答题

Snort是一款开源的网络入侵检测系统,它能够执行实时流量分析和IP协议网络的数据包记录。
Snort的配置有3种模式,请给出这3种模式的名字。

【正确答案】

Snort三种工作模式:嗅探器模式；包记录模式与网络入侵检测模式。

【答案解析】