2. 从业资格
  3. 以下关于入侵检测设备的叙述中,(  )是不正确的。A.不产生网络流量 B.使用

以下关于入侵检测设备的叙述中,(  )是不正确的。A.不产生网络流量 B.使用

免费题库2022-08-02  24
问题 以下关于入侵检测设备的叙述中,(  )是不正确的。A.不产生网络流量B.使用在尽可能靠近攻击源的地方.C.使用在尽可能接近受保护资源的地方D.必须跨接在链路上
选项 A.不产生网络流量
B.使用在尽可能靠近攻击源的地方.
C.使用在尽可能接近受保护资源的地方
D.必须跨接在链路上
答案 D
解析 入侵检测设备是对外部入侵进行侦测的设备,一般搭载有入侵检测系统IDS。
ISD是一种对网络传输进行及时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于IDS是一种积极主动的安全防护技术。
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能,从技术上,入侵检测分为两类:一种是基于标志,另一种是基于异常情况。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息,监测主要判别这些类特征是否在所收集到的数据中出现,此方法非常类似杀毒软件,而基于异常的检测技术则是先定义一组系统正常情况的数值如CPU利用率、内存利用率、文件校验和等(类数据可以人为定义,也可以通过观察系统,并用统计的办法得出)。 然后将系统运行时的数值与所定义的正常情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓正常情况。
两种检测技术的方法,所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但对于未知攻击效果却有限,而知识库必须不断更新。基于异常的检测技术者无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广泛,甚至未发觉的攻击。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无需网络流量流经它便可以工作,因此IDS的部署唯一的要求是:
IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
在如今的网络拓扑中已经很难找到以前的HUB的共享介质冲突的网络,绝大部分的网络区域都已经全面升级到了交换式的网络结构。因此IDS在交换式网络中的位置一般选择在:1尽可能靠近攻击源,2尽可能靠近受保护资源。
这些位置通常是:服务区域的交换机上、internet接入路由器之后的第一台交换机上。
转载请注明原文地址:https://tihaiku.com/congyezige/2302880.html
本试题收录于: 中级 系统集成项目管理工程师题库软件水平考试初中高级分类

中级 系统集成项目管理工程师

软件水平考试初中高级

相关试题推荐
随机试题
最新回复(0)