同济大学计算机系《入侵检测与防御》课程习题
2010年08月
1.入侵检测的作用体现在哪些方面？
2.简述网络入侵的一般流程。

3.比较端口扫描器与漏洞扫描器的不同之处，并简述漏洞扫描的两种不同扫描策略。

4.拒绝服务攻击是如何实施的？
5.入侵检测系统的工作模式可以分为几个步骤？分别是什么？
6.根据目标系统的类型可以把入侵检测系统分为哪几类？并指出其各类间的区别。

7.根据入侵检测分析方法的不同可以把入侵检测系统分为哪几类？并简述其各自原理。

8.入侵检测的过程包括哪几个阶段？
9.简述系统安全审计记录的优缺点。

10.简述用网络数据包作为数据源的优缺点。

11.数据获取划分为直接监测和间接监测，试比较这两种方法的不同。

12.试举例至少3种典型入侵行为特征及其识别。

13.入侵检测系统的响应可以分为哪几类？并加以描述。

14.联动响应机制的含义是什么？
15.基于安全性检查的IDS结构的基本思想是什么？又有何局限性？
16.简述基于主机的入侵检测技术的优缺点。

17.简述异常检测模型的工作原理。

18.入侵检测框架（CIDF）标准化工作的主要思想是什么？
19.入侵检测工作组（IDWG）的主要工作是什么？
20.评价入侵检测系统性能的3个因素是什么？分别表示什么含义？
21.简述协议分析的原理。

22.简述防火墙的特性及主要功能，并简述防火墙的局限性。

23.Snort的工作模式有几种？分别是什么？
24.你认为Snort的优缺点分别是什么？分别列出三条。

25.在入侵检测系统的构建实验中，试根据以下安全策略定制自己的检测规则：
（1）内部网络192.168.1.0/24不允许从外网访问。

（2）内部web服务器192.168.1.0不允许从外网访问。

26.认真阅读以下关于网络病毒与安全扫描技术的说明，回答下列问题。

【说明】“熊猫烧香”病毒是一种感染型病毒，它能感染系统中exe、com、pif、src、html、asp 等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。

该病毒的某些变种可以通过局域网进行传播，进而感染局域网内其他存在相应漏洞的计算机系统，导致整个局域网瘫痪。

如果发现连接在网络上的计算机遭到该病毒攻击，则应采用相应的策略进行处理。

【问题1】根据“熊猫烧香”的病毒特征可知，它是一个感染型的（1）。

（1）A.木马病毒 B.蠕虫病毒 C.引导区病毒 D.冲击波病毒
【问题2】通常处理“熊猫烧香”病毒时，首先要把入侵的计算机从局域网断开。

为什么？【问题3】病毒扫描仅能够检测、标识或清除操作系统中的病毒程序，而安全扫描能够及时发现安全漏洞。

扫描器通过选用远程TCP/IP不同端口的服务，并记录目标主机给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息（例如，是否能用匿名登录，是否有可写的FTP目录等）。

那么，一个扫描器应该具有哪几项基本功能？
27.阅读下列说明，回答问题1至问题4。

【说明】特洛伊木马是一种基于客户机/服务器模式的远程控制程序，黑客可以利用木马程序入侵用户的计算机系统。

木马的工作模式如图所示。

【问题1】对于传统的木马程序，侵入被攻击主机的入侵程序属于（1）。

攻击者一旦获取入侵程序的（2），便与它连接起来。

（1） A.客户程序 B.服务程序 C.代理程序 D.系统程序
（2） A.用户名和口令 B.密钥 C.访问权限 D.地址和端口号
【问题2】以下（3）和（4）属于计算机感染特洛伊木马后的典型现象。

（3）、（4）A.程序堆栈溢出 B.有未知程序试图建立网络连接
C.邮箱被莫名邮件填满
D.系统中有可疑的进程在运行
【问题3】安装了防火墙软件的主机可以利用防火墙的（5）功能有效地址防止外部非法连接来拦截木马。

（5）A.身份认证B.地址转换 C.日志记录 D.包过滤
【问题4】以下措施中能有效防治木马入侵的有（6）和（7）。

（6）、（7）A.不随意下载来历不明的软件
B.仅开放非系统端口
C.实行加密数据传输
D.实行实时网络连接监控程序
28.阅读以下说明，回答问题1至问题3。

【说明】某单位在部署计算机网络时采用了一款硬件防火墙，该防火墙带有三个以太网络接口，其网络拓扑如下图所示。

【问题1】防火墙包过滤规则的默认策略为拒绝，下表给出防火墙的包过滤规则配置界面。

若要求内部所有主机能使用IE浏览器访问外部IP地址202.117.118.23的Web服务器，为表
中（1）-（4）空缺处选择正确答案。

（1）A.允许 B.拒绝
（2）A.192.168.1.0/24B.211.156.169.6/30C.202.117.118.23/24
（3）A.TCP B.UDP C.ICMP
（4）A.E3->E2B.E1->E3C.E1->E2
【问题2】内部网络经由防火墙采用NAT方式与外部网络通信，为图中（5）-（7）空
缺处选择正确答案。

(5)A.192.168.1.0/24 B.any C.202.117.118.23/24
(6)A.E1 B.E2 C.E3
(7)A.192.168.1.1 B.210.156.169.6 C.211.156.169.6
【问题3】图中__(8)__适合设置为DMZ区。

(8)A.区域A B.区域B C.区域C
29.请认真阅读下列有关网络中计算机安全的说明，回答问题1至问题3。

【说明】"震荡波"病毒对网络中计算机系统的攻击方式是：以本地IP地址为基础，开辟128
个扫描线程，每个线程随机选取一个IP地址作为攻击目标，疯狂地试探连接目标主机的445端口，试图造成Windows的缓冲区溢出错误。

一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播。

如果你发现连接在网络上的计算机遭到该病毒攻击，则应采用相应的处理。

根据对入侵的处理对策及系统恢复过程请回答问题1至问题4。

【问题1】为什么一般处理"震荡波"病毒时，首先要把被侵入的计算机系统从网络上断开？【问题2】为了解决"震荡波"病毒利用Windows缓冲区溢出漏洞攻击计算机系统问题，我们采用某防火墙建立一个"关闭445端口"的规则。

请给出下列规则配置参数（防火墙规则配置界面如图26-1所示）：
图26-1防火墙规则配置界面
数据包方向（从下列选项中选择）：___(1)___；
A．接收B．发送C．双向
对方IP地址（从下列选项中选择）：___(2)___；
A．网络IP地址B．指定IP地址C．任意IP地址
数据包协议类型：___(3)___；
已授权程序开放的端口：从___(4)___到___(5)___；
当满足上述条件时（从下列选中选择）：___(6)___。

A．通过B．拦截C．继续下一规则
【问题3】日前防火墙主要分为哪四种基本类型？根据防火墙的实现原理，该防火墙属于哪一类？
30.阅读以下说明，回答问题1至问题5。

说明：某企业的网络安装防火墙后其拓扑结构如图所示。

【问题1】为图中（1）处选择合适的名称。

（1）A.服务区 B.DMZ区 C.堡垒区 D.安全区
【问题2】为图中（2）处选择合适的设备。

（2）A.远程访问服务器 B.以太网交换机 C.调制解调器
【问题3】以下哪一项属于配置该防火墙的目的？（3）
（3）A.防止未授权的通信进出内部网络 B.进行域名解析
C.对IP包进行协议转换
D.对进出内部网络的数据包进行加解密
【问题4】参照下图所示界面，添加以下访问控制规则，以禁止PC3访问地址为210.156.169.8的Web服务器。

（4）A.允许 B.禁止
（5）A.192.168.0.1 B.192.168.0.5 C.210.156.169.6 D.210.156.169.8
（6）A.192.168.0.1 B.192.168.0.5 C.210.156.169.6 D.210.156.169.8
（7）A.TCP B.UDP
WWW服务时，能够隐藏内部主机的源地址。

（9）A.192.168.0.5 B.210.156.169.6 C.202.117.12.37 D.ANY。