以下关于入侵检测设备的叙述中,( )是不正确的。
- A.不产生网络流量
- B.使用在尽可能靠近攻击源的地方
- C.使用在尽可能接近受保护资源的地方
- D.必须跨接在链路上
正确答案及解析
正确答案
解析
入侵检测设备是对外部入侵进行侦测的设备,一般搭载有入侵检测系统IDS。
ISD是一种对网络传输进行及时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于IDS是一种积极主动的安全防护技术。
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能,从技术上,入侵检测分为两类:一种是基于标志,另一种是基于异常情况。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息,监测主要判别这些类特征是否在所收集到的数据中出现,此方法非常类似杀毒软件,而基于异常的检测技术则是先定义一组系统正常情况的数值如CPU利用率、内存利用率、文件校验和等(类数据可以人为定义,也可以通过观察系统,并用统计的办法得出)。 然后将系统运行时的数值与所定义的正常情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓正常情况。
两种检测技术的方法,所得出的结论有非常大的差异。基于标志的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但对于未知攻击效果却有限,而知识库必须不断更新。基于异常的检测技术者无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广泛,甚至未发觉的攻击。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无需网络流量流经它便可以工作,因此IDS的部署唯一的要求是:
IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
在如今的网络拓扑中已经很难找到以前的HUB的共享介质冲突的网络,绝大部分的网络区域都已经全面升级到了交换式的网络结构。因此IDS在交换式网络中的位置一般选择在:1尽可能靠近攻击源,2尽可能靠近受保护资源。
这些位置通常是:服务区域的交换机上、internet接入路由器之后的第一台交换机上。
包含此试题的试卷
你可能感兴趣的试题
E-mail地址由分隔符“()”分为前后两部分,分别指明用户名及邮件
-
- A.//
- B.\\
- C.@
- 查看答案
某 html 文档中有如下代码,则在浏览器中打开该文档时显示为( )。
<form>
Listl:
<input type="text" name="List1" />
<br / >
List2:
<input type="text" name="List 2 " />
< /form>
-
- A.见图A
- B.见图B
- C.见图C
- D.见图D
- 查看答案
设有商品关系P(商品名,条形码,供应商号,价格,数量), “条形码”唯一标识关系P中的每一个元组,商品名不能为空,供应商号是关系P的外键。另有供应商关系S(供应商号,供应商名,地址,电话)。关系 P 中的商品名是唯一的。建立商品关系 P 的 SQL语句如下所示:
CREATE TABLE P( 商品名CHAR(30)( ),
条形码CHAR(30) ( ) ,
供应商号 CHAR(5) ,
价格 CHAR(20) ,
数量CHAR(20)
( )(供应商号) REFERENCES S(供应商号));
查询供应商及价格小于等于 2500 元且大于等于 1280 元的“电冰箱”的数量的SQL语句为:
SELECT商品名,供应商名,价格,数量
FROM P
WHERE商品名= ’电冰箱’ AND ( ) ;
将供应商号“12021”所供应的商品价格上涨3%的SQL语句为:
UPDATE P
( )
WHERE 供应商号= ’12021’;
查询供应商地址包含“西安”的供应商名及电话的SQL语句为:
SELECT供应商名,电话
FROM S
WHERE ( );
-
- A.NULL
- B.UNIQUE
- C.NOT NULL
- D.NOT NULL UNIQUE
- 查看答案
函数f()、g()的定义如下所示。已知调用f时传递给其形参x的值是1,若以传值方式调用g,则函数f的返回值为( );若以传引用方式调用g,则函数f的返回值为( )。
-
- A.3
- B.4
- C.6
- D.7
- 查看答案
-
- A.见图A
- B.见图B
- C.见图C
- D.见图D
- 查看答案