【百分題庫合集】網(wǎng)絡(luò)漏洞掃描技術(shù)試題題庫

[問]什么完整性分析法，有什么優(yōu)缺點(diǎn)？參考答案：它主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常包文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被洛伊化的應(yīng)程序方面特別有效。其優(yōu)點(diǎn)只要是成功地攻擊導(dǎo)致了文件或其他對(duì)象的任何改變，都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。[問]什么異常檢測(cè)方，有什么優(yōu)缺點(diǎn)？參考答案：首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）建一個(gè)統(tǒng)計(jì)描述、統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬（如訪問次、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察在正常值范之外時(shí)，就認(rèn)為有入侵發(fā)生。其優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。[問]什么濫用檢測(cè)方，有什么優(yōu)缺點(diǎn)？參考答案：將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該方法的優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少了系統(tǒng)負(fù)，且技術(shù)已相當(dāng)成熟。該方法存在的弱點(diǎn)是需要不斷地升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻手法，不能檢測(cè)到從未出現(xiàn)過的黑客攻擊手段。[問]什么基于主機(jī)的侵檢測(cè)系統(tǒng)，有什么優(yōu)缺點(diǎn)？參考答案：優(yōu)點(diǎn)是針對(duì)不同操作系統(tǒng)特點(diǎn)捕獲應(yīng)用層入侵，誤少；缺點(diǎn)是依賴于主機(jī)及其審計(jì)子系統(tǒng)，實(shí)時(shí)性差。[問]什么基于網(wǎng)絡(luò)的侵檢測(cè)系統(tǒng)，有什么優(yōu)缺點(diǎn)？參考答案：其優(yōu)點(diǎn)是偵測(cè)速度快、隱蔽性好，不容易受到攻擊對(duì)主機(jī)資源消耗較少；缺點(diǎn)是有些攻擊是由服務(wù)器的鍵盤發(fā)出的，不經(jīng)過網(wǎng)絡(luò)，因而法識(shí)別，誤報(bào)率較高。1

[問]在入檢測(cè)系統(tǒng)中數(shù)據(jù)分析是如何工作的，有哪些手段？參考答案：它首先構(gòu)建分析器，把收集到的信息經(jīng)過預(yù)處理，立一個(gè)行為分析引擎或模型，然后向模型中植入間數(shù)據(jù)，在識(shí)庫中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般通過式匹配、統(tǒng)計(jì)分析和完整性分析三種手段進(jìn)行。[問]入侵測(cè)系統(tǒng)執(zhí)行主要任務(wù)有哪些？參考答案：包括：1、監(jiān)視、分用戶及系統(tǒng)活動(dòng)；審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn)；2、識(shí)別、反已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警；3、計(jì)分析異常行為模式；4、估重要系統(tǒng)和數(shù)據(jù)文件的完整性；5、計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反安全策略的行為。[問]什么基于概率統(tǒng)的檢測(cè)技術(shù)，有什么優(yōu)缺點(diǎn)？參考答案：是對(duì)用戶歷史行為建立模型。根據(jù)該模型，當(dāng)發(fā)現(xiàn)可疑的用戶行為發(fā)生時(shí)保持跟蹤，并監(jiān)視和記錄用戶的行為這種方法的優(yōu)越性在于它應(yīng)用了成熟的概率統(tǒng)計(jì)論；缺點(diǎn)是由于用戶的行為非常復(fù)雜，因而要想準(zhǔn)確地匹配一個(gè)用的歷史行為非常困難，易造成系統(tǒng)誤報(bào)、錯(cuò)報(bào)和報(bào)；定義入侵閾值比較困難，閾值高則誤檢率增高，閾值低則漏檢增高。[問答]目前，進(jìn)的入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)方法有些？參考答案：基于概率統(tǒng)計(jì)模型的檢測(cè)、基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)、于專家系統(tǒng)的檢測(cè)、基于模型推理的檢測(cè)和基于疫的檢測(cè)等術(shù)。[問]基于用檢測(cè)原理入侵檢測(cè)方法和技術(shù)主要有如下幾種。參考答案：）于條件概率誤用檢測(cè)方法。2）于專家系統(tǒng)的誤用檢測(cè)方法。2

3）于狀態(tài)遷移分析的誤用檢測(cè)方法。4）于鍵盤監(jiān)控的誤用檢測(cè)方法。5）于模型的誤用檢測(cè)方法。[問]基于常檢測(cè)原理入侵檢測(cè)方法和技術(shù)有如下幾種方法。參考答案：）計(jì)異常測(cè)方法。2）征選擇異常檢測(cè)方法。3）于貝葉斯推理的異常檢測(cè)方法。4）于貝葉斯網(wǎng)絡(luò)的異常檢測(cè)方法。5）于模式預(yù)測(cè)的異常檢測(cè)方法。[問]入侵測(cè)技術(shù)至今經(jīng)歷三代。參考答案：第一代技術(shù)采用主機(jī)日志分析、模式匹配的方法；第二代技術(shù)出現(xiàn)在世紀(jì)90年代期，主要包括網(wǎng)絡(luò)數(shù)據(jù)包截、機(jī)網(wǎng)絡(luò)據(jù)和計(jì)數(shù)據(jù)析、基網(wǎng)絡(luò)的侵檢測(cè)和基主機(jī)的入侵檢測(cè)等方法；第三代技術(shù)出現(xiàn)在2000年后，引入了議分析、行為異常分析等方法。[問]什么網(wǎng)絡(luò)入侵檢？參考答案：網(wǎng)絡(luò)入侵檢測(cè)是從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若關(guān)鍵點(diǎn)搜集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否違反安全策略的行為和遭到襲擊的跡象的一種機(jī)。[問]TCP掃描原理是什么？有什么優(yōu)缺點(diǎn)？參考答案：傳輸控制協(xié)議（，TCP）應(yīng)用層提供一種面向連接的、靠字節(jié)流務(wù)。它使用三次握手”的方式建立連接。從連接建立的過程以知道，如果向目標(biāo)發(fā)送一個(gè)S報(bào)，則無論收到一個(gè)SYN/ACK報(bào)還是一個(gè)RST報(bào)，都表明目標(biāo)處于活動(dòng)狀。3

[問]什么漏洞檢測(cè)的斷方法，有什么優(yōu)缺點(diǎn)？參考答案：推斷是指不利用系統(tǒng)漏洞而判斷漏洞是否存在的方。它并不直接滲透漏洞，只是間接地尋找漏洞存的證據(jù)。優(yōu)點(diǎn)：推斷的方法在快速檢查大量目標(biāo)時(shí)很有用，因?yàn)檫@種方對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的要求都很低。它比滲透測(cè)試方攻擊性更小它也可以用于檢查DoS漏洞，因?yàn)樗緵]有攻擊性所可以檢查很多DoS漏以后再重新啟系統(tǒng)。缺點(diǎn)：該方法不如滲透測(cè)試方法可靠。[問答]什么是洞檢測(cè)的直接測(cè)試法，有什么有點(diǎn)？參考答案：直接測(cè)試是指利用漏洞特點(diǎn)發(fā)現(xiàn)系統(tǒng)漏洞的方法。據(jù)滲透方法的不同，可以將測(cè)試分為兩種不同的型：可以直觀察到的測(cè)試和只能間接觀察到的測(cè)試。直接測(cè)的方法具有以下六大特點(diǎn)。1）常用于對(duì)Web服器漏洞、拒絕服務(wù)（DoS）漏洞進(jìn)行檢測(cè)。2）夠準(zhǔn)確地判斷系統(tǒng)是否存在特定漏洞。3）于滲透所需步驟較多的漏洞速度較慢。4）擊性較強(qiáng)，可能對(duì)存在漏洞的系統(tǒng)造成破壞。5）于DoS漏洞，測(cè)試法會(huì)造成系統(tǒng)崩潰。6）是所有漏洞的信息都能通過測(cè)試方法獲得。[問]什么基于網(wǎng)絡(luò)的弱性評(píng)估，有什么特點(diǎn)？參考答案：基于網(wǎng)絡(luò)的漏洞掃描器，就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程算機(jī)中的漏洞。它具有以下幾個(gè)特點(diǎn)。1）行于單個(gè)或多個(gè)主機(jī)，掃描目標(biāo)為本地主機(jī)或者/多個(gè)遠(yuǎn)程主機(jī)。2）描器的設(shè)計(jì)和實(shí)現(xiàn)與目標(biāo)主機(jī)的操作系統(tǒng)無關(guān)。3）常的網(wǎng)絡(luò)安全掃描不能訪問目標(biāo)主機(jī)的本地文件（具有目標(biāo)主機(jī)訪問權(quán)限的掃描除外）。4）描項(xiàng)目主要包括目標(biāo)的開放端口、系統(tǒng)網(wǎng)絡(luò)服務(wù)、系統(tǒng)信息、系統(tǒng)漏洞、遠(yuǎn)程服務(wù)漏洞、特洛伊木馬檢測(cè)拒絕服務(wù)攻等。4

[問]基于機(jī)的脆弱性估有什么優(yōu)缺點(diǎn)？參考答案：基于主機(jī)的脆弱性評(píng)估可以更準(zhǔn)確地定位系統(tǒng)的問，發(fā)現(xiàn)系統(tǒng)的漏洞；然而其缺點(diǎn)是與平臺(tái)相關(guān)、升級(jí)復(fù)雜，而且掃描效率較低（一只能掃描一臺(tái)主機(jī)）。[問]TCP掃描的Connect掃的原理是什么？參考答案：掃描是最基本的TCP掃方式。Connect()是種系統(tǒng)調(diào)用，由操作系統(tǒng)提供，用來打一個(gè)連接。果目標(biāo)端口有程序監(jiān)聽Connect()就成功返回，則個(gè)口不達(dá)。這技術(shù)最的優(yōu)無需root權(quán)限。任何用都可以自由使用這個(gè)系統(tǒng)調(diào)用。但很容被檢測(cè)，在目主機(jī)的日志中會(huì)記大批的連接求以及錯(cuò)誤信息[問]被動(dòng)描有什么優(yōu)點(diǎn)？參考答案：被動(dòng)掃描是通過監(jiān)聽網(wǎng)絡(luò)包來取得信息。由于被動(dòng)描具有很多優(yōu)點(diǎn)，近年來備受重視，其主要優(yōu)點(diǎn)對(duì)它的檢測(cè)乎是不可能的。被動(dòng)掃描一般只需要監(jiān)聽網(wǎng)絡(luò)流而不需要主動(dòng)發(fā)送網(wǎng)絡(luò)包，也不易受防火墻影響而其主要缺在于速度較慢，而且準(zhǔn)確性較差，當(dāng)目標(biāo)不產(chǎn)生絡(luò)流量時(shí)就無法得知目標(biāo)的任何信息。[問]主動(dòng)描有什么優(yōu)點(diǎn)？參考答案：主動(dòng)掃描是傳統(tǒng)的掃描方式，擁有較長(zhǎng)的發(fā)展歷史它是通過給目標(biāo)主機(jī)發(fā)送特定的包并收集回應(yīng)包取得相關(guān)信的。當(dāng)然，無響應(yīng)本身也是信息，它表明可能存過濾設(shè)備將探測(cè)包或探測(cè)回應(yīng)包過濾了。主動(dòng)掃的優(yōu)勢(shì)在于常能較快獲取信息，準(zhǔn)確性也比較高。缺點(diǎn)在于易于被發(fā)現(xiàn)，很難掩蓋掃描痕跡；而且要成功實(shí)主動(dòng)掃描通需要突破防火墻，但突破防火墻是很困難的。被動(dòng)掃描是通過監(jiān)聽網(wǎng)絡(luò)包來取得信息。由于被動(dòng)掃描具有很優(yōu)點(diǎn)，近年來備受重視，其主要優(yōu)點(diǎn)是對(duì)它的檢幾乎是不可的。被動(dòng)掃描一般只需要監(jiān)聽網(wǎng)絡(luò)流量而不需要?jiǎng)影l(fā)送網(wǎng)絡(luò)包，也不易受防火墻影響。而其主要點(diǎn)在于速度慢，而且準(zhǔn)確性較差，當(dāng)目標(biāo)不產(chǎn)生網(wǎng)絡(luò)流量時(shí)無法得知目標(biāo)的任何信息。[問]漏洞測(cè)的方法分哪幾種？參考答案：、接測(cè)試Test）直接測(cè)試是指利用漏洞特點(diǎn)現(xiàn)系統(tǒng)洞的方。要出系統(tǒng)的常見漏洞最顯而易見方法就是試圖滲透漏洞。滲透測(cè)試是指使用針對(duì)洞特點(diǎn)設(shè)計(jì)的腳本或者程序檢測(cè)漏洞。根據(jù)滲透法的不同，以將測(cè)試分為兩種不同的類型：可以直接觀察到測(cè)試和只能間接觀察到的測(cè)試。2、斷Inference）：推斷是指不利用系統(tǒng)漏洞判斷漏洞是存的法它不直接滲透漏洞，只是間接尋找漏洞存的證據(jù)。采用推斷方法的檢測(cè)手段主要有版本檢VersionCheck）程序行為分、作統(tǒng)堆指紋分析和序分析等。5

3、憑證的測(cè)試TestwithCredentials）：證是指訪問服務(wù)所要用名或密碼，括UNIX的錄權(quán)和從網(wǎng)絡(luò)調(diào)WindowsNT的的力。帶證的測(cè)試定義是：除目主機(jī)IP地以外，直接測(cè)試和推斷兩方法都不需其他任何信息[問]什么漏洞？參考答案：漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全略上存在的缺陷，從而可以使攻擊者能夠在未授的情況下訪或破壞系統(tǒng)。在計(jì)算機(jī)安全領(lǐng)域，安全漏洞SecurityHole）通常又稱為脆弱性（Vulnerability），是計(jì)算機(jī)系在硬件、軟件、協(xié)議的設(shè)計(jì)和實(shí)過程中或系統(tǒng)安全策略上存在的缺陷或不足，未權(quán)用戶可以用漏洞獲得對(duì)系統(tǒng)或者資源的額外權(quán)限，獲取原不能獲取的信息，從而破壞信息的安全性。脆弱）態(tài)是指能夠使用已授權(quán)的狀態(tài)變換到達(dá)未授權(quán)狀態(tài)的授權(quán)狀。或者脆弱性可以使黑客通過種已經(jīng)獲得權(quán)限暴力升級(jí)到更高的權(quán)限。[問]入侵測(cè)中信息收的內(nèi)容都有哪些，這些信息的來源一般有些？參考答案：包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測(cè)利用的信息一般來自系統(tǒng)日志、目錄以及文件中的異改變、程序執(zhí)行中的異常行為及物理形式的入侵息四個(gè)方面[填]相比于網(wǎng)絡(luò)、基主機(jī)的入侵檢測(cè)系統(tǒng)，（）系統(tǒng)能夠同時(shí)析來自機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的侵檢測(cè)系統(tǒng)參考答案：分布式入侵檢測(cè)[填]在具實(shí)現(xiàn)過程中專家系統(tǒng)主要面臨問題是全面性問題和（。參考答案：效率問題[填]基于神經(jīng)網(wǎng)絡(luò)的檢技術(shù)是對(duì)基于（）的檢測(cè)技術(shù)的改進(jìn)，主要克服了傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)的一些問題。參考答案：概率統(tǒng)計(jì)[填]基于經(jīng)網(wǎng)絡(luò)的檢技術(shù)的基本思想是用一系列信息單元訓(xùn)練經(jīng)單元在給出一定的輸入后，就可能預(yù)出（）。6

參考答案：輸出[填]（）檢測(cè)技術(shù)是用自然免疫系統(tǒng)的某些特性到網(wǎng)絡(luò)安全系中，使個(gè)系統(tǒng)具有適應(yīng)性、自我調(diào)節(jié)性可擴(kuò)展性。參考答案：基于免疫[填]基于家系統(tǒng)的攻檢測(cè)技術(shù)，即根據(jù)安全專家對(duì)（）的分析驗(yàn)來形一套推理規(guī)則，然后在此基礎(chǔ)上計(jì)出相應(yīng)的家系統(tǒng)。由此專家系統(tǒng)自動(dòng)進(jìn)行對(duì)所涉及的攻擊作的分析工作。參考答案：可疑行為[填]從檢的策略角度類，入侵檢測(cè)模型主要有三種：（）、異檢測(cè)和整性分析。參考答案：濫用檢測(cè)[填]基于機(jī)的入侵檢系統(tǒng)檢測(cè)分析所需數(shù)據(jù)來源于主機(jī)系統(tǒng)，常是（。參考答案：系統(tǒng)日志和審計(jì)記錄[填]基于絡(luò)的入侵檢系統(tǒng)數(shù)據(jù)來源于（）的數(shù)據(jù)流。參考答案：網(wǎng)絡(luò)上[填]從數(shù)來源角度分，入侵檢測(cè)系統(tǒng)有三種基本結(jié)構(gòu)：基于網(wǎng)、基于機(jī)和（）檢測(cè)系統(tǒng)。參考答案：分布式入侵[填空]入侵檢系統(tǒng)中入侵響應(yīng)功能在（）后被發(fā)。參考答案：分析出入侵行為7

[填]入侵測(cè)系統(tǒng)中（的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入的痕跡將授權(quán)的正常訪問行為和非授權(quán)不正常訪問為區(qū)分開，分析出入侵行為并對(duì)入侵者進(jìn)行定位。參考答案：入侵分析[填]入侵檢測(cè)系統(tǒng)中（功能負(fù)責(zé)提取與被保護(hù)系統(tǒng)相關(guān)的運(yùn)行數(shù)據(jù)或記錄，并負(fù)責(zé)對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的過濾。參考答案：事件提取[填]數(shù)據(jù)析有模式匹、統(tǒng)計(jì)分析和完整性分析三種手段，其中）則用事后分析。參考答案：完整性分析[填]在入檢測(cè)系統(tǒng)中（）是入侵檢測(cè)的核心。參考答案：數(shù)據(jù)分析[填]基于率統(tǒng)計(jì)的檢技術(shù)優(yōu)越性在于它應(yīng)用了成熟的（）理論。參考答案：概率統(tǒng)計(jì)[填]當(dāng)實(shí)使用檢測(cè)系時(shí)，首先面臨的問題就是決定應(yīng)該在系統(tǒng)什么位安裝檢測(cè)和分析入侵行為用的（）。參答案：感應(yīng)或測(cè)引擎Engine[填]（）理根據(jù)假設(shè)擊與正常的（合法的）活動(dòng)有很大的差異識(shí)別攻。參考答案：異常檢測(cè)[填]在通入侵檢測(cè)模中，（）可以由系統(tǒng)安全策略、入侵模式組成。參考答案：規(guī)則模塊8

[填]在通入侵檢測(cè)模中，（）可根據(jù)具體應(yīng)用環(huán)境而有所不同一般來審計(jì)記錄、網(wǎng)絡(luò)數(shù)據(jù)包以及其他視行為，這事件構(gòu)成了入侵檢測(cè)的基礎(chǔ)。參考答案：事件產(chǎn)生器[填]第三入侵檢測(cè)技引入了協(xié)議分析、（）等方法。參考答案：行為異常分析[填]一個(gè)侵檢測(cè)系統(tǒng)少包含（）、入侵分析、入侵響應(yīng)和遠(yuǎn)程理四部功能。參考答案：事件提取[填]第一入侵檢測(cè)技采用（）、模式匹配的方法。參考答案：主機(jī)日志分析[填]從掃對(duì)象來分，以分為基于網(wǎng)絡(luò)的掃描和基于（）的掃描。參考答案：主機(jī)[填]（）通過給目標(biāo)機(jī)發(fā)送特定的包并收集回應(yīng)包來取得相關(guān)息的。參考答案：主動(dòng)掃描[填]發(fā)現(xiàn)絡(luò)上存活的統(tǒng)之后，下一步就要得到目標(biāo)主機(jī)的（）。參考答案：操作系統(tǒng)信息和開放的服務(wù)信息[填]端口描取得目標(biāo)機(jī)開放的端口和服務(wù)信息，從而為（）作備。參考答案：漏洞檢測(cè)9

[填]ICMP時(shí)間請(qǐng)求允許系向另一個(gè)系統(tǒng)查詢（）。參考答案：當(dāng)前的時(shí)間[填]掃描口的