问答题简述入侵检测与防火墙的区别。

第1题：

第2题：

第3题：

通常将进行入侵检测的软硬件的组合称为什么（）

• A、防火墙
• B、防入侵交换机
• C、入侵检测系统
• D、操作系统

正确答案:C

第4题：

进行入侵检测的软硬件的组织称为（）

• A、防火墙
• B、防入侵交换机
• C、入侵检测系统
• D、操作系统

正确答案:C

第5题：

以下不属于防护技术与检测技术融合的新产品是（）。

• A、下一代防火墙
• B、统一威胁管理
• C、入侵防御系统
• D、入侵检测系统

正确答案:D

第6题：

简述防火墙、入侵检测（IDS）与入侵保护（IDP）系统的区别。

正确答案: （1）防火墙是一种被动防卫技术，是在两个网络之间执行访问和控制策略的系统，它在内部网络与外部网络之间设置障碍，以阻止外界对内部资源的非法访问，也可以防止内部对外部的不安全的访问；大多数入侵检测系统都是被动的，而不是主动的；入侵保护倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失。
（2）内外网所有的连接都通过防火墙，对性能有影响；IDS一般是并联在网络中，以旁路监听的方式实时监测网络可疑流量，在性能上没多大影响；IDP主要是串联在网络中，所有网络流量都要经过它，影响网络性能。
（3）防火墙和IDS，IDP都属于网络安全设施，但它们对数据包的检查层次是不同的。防火墙只对IP和TCP层检查，而IDS、IDP的检查要仔细的多，因而能够对类似蠕虫病毒这样的攻击进行报警或保护。

第7题：

针对一个网络进行网络安全的边界保护可以使用下面的哪些产品组合（）

• A、防火墙、入侵检测、密码
• B、身份鉴别、入侵检测、内容过滤
• C、防火墙、入侵检测、防病毒
• D、防火墙、入侵检测、PKI

正确答案:C

第8题：

简述基于网络的入侵检测系统与基于主机的入侵检测系统区别。

正确答案: 两者差别主要是数据来源不同。基于主机的入侵检测系统从单个主机上提取数据作为入侵分析的数据源，而基于网络的入侵检测系统从网络上提取数据作为入侵分析的数据源。由于数据源不同，基于其上的检测方法也各有不同。通常来说基于单个主机的入侵检测系统只能检测这个主机系统，而基于网络的入侵检测系统可以对本网段的多个主机系统进行检测，多个分布于不同网段上的NIDS可以协同工作以提供更强的入侵检测能力。

第9题：

第10题：

第11题：

第12题：

第13题：

第14题：

第15题：

网络入侵检测系统和防火墙是两种典型的信息系统安全防御技术，下面关于入侵检测系统和防火墙的说法正确的是（）

• A、防火墙是入侵检测系统之后的又一道防线，防火墙可以及时发现入侵检测系统没有发现的入侵行为 
• B、入侵检测系统通常是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作 
• C、入侵检测系统可以允许内部的一些主机被外部访问，而防火墙没有这些功能，只是监视和分析系统的活动 
• D、防火墙必须和安全审计系统联合使用才能达到应用目的，而入侵检测系统是一个独立的系统，不需要依赖防火墙和安全审计系统

正确答案:B

第16题：

以下关于入侵检测系统说法正确的是（）。

• A、入侵检测系统就是防火墙系统
• B、入侵检测系统可以取代防火墙
• C、入侵检测系统可以审计系统配置和漏洞
• D、入侵检测系统不具有断开网络的功能

正确答案:C

第17题：

简述入侵检测与防火墙的区别。

正确答案: 防火墙对进出的数据按照预先设定的规则进行检查，符合规则的就予以放行，起着访问控制的作用，是网络安全的第一道屏障。但是，防火墙的功能也有局限性。它只能对进出网络的数据进行分析，对网络内部发生的事件就无能为力。
入侵检测系统通过监听的方式实时监控网络中的流量，判断其中是否含有攻击的企图，并通过各种手段向管理员报警。它不但可以发现外部的攻击，也可以发现内部的恶意行为。因此，入侵检测系统是网络安全的第二道屏障，是防火墙的必要补充，与防火墙一起可构成更为完整的网络安全解决方案。

第18题：

基于主机的入侵检测和基于网络的入侵检测有什么区别？

正确答案: 基于主机的入侵检测主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。
基于网络的入侵检测系统使用原始网络包作为数据源。通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。
基于主机的入侵检测系统（HIDS）优点：
⑴确定攻击是否成功
⑵监视特定的系统活动
⑶能够检查到基于网络的系统检查不出的攻击
⑷适用被加密的和交换的环境
⑸近于实时的检测和响应
⑹不要求额外的硬件设备
⑺记录花费更加低廉
基于网络的入侵检测系统（NIDS）优点：
⑴拥有成本较低
⑵检测基于主机的系统漏掉的攻击
⑶攻击者不易转移证据
⑷实时检测和响应
⑸检测未成功的攻击和不良意图
⑹操作系统无关性

第19题：

统计一场检测与基于规则入侵检测之间有哪些区别？

正确答案: 1，统计一场检测：包括一定时间内与合法用户相关的数据集合，然后用于统计学测试方法对观察到的用户进行测试，一边能够更加确定地判断该行为是否是合法用户行为。包括阔值检测，给予行为曲线两种方法。
基于规则入侵检测：定义一个规则集，用于检测与前行为模式和历史行为模式的偏离，有异常检测，渗透检测两种方法。
2，统计方法用来定义普通或期望的行为，而基于规则的方法致力于定义正确行为。
3，统计异常检测对假冒用户有效，对违规用户不佳，基于规则可以有效地检测出代表渗透攻击行为的时刻或者动作序列。

第20题：

基于异常的入侵检测技术和基于误用的入侵检测技术有什么区别？

正确答案: A.异常入侵检测指的是根据非正常行为（系统或用户）和非正常情况使用计算机资源检测出的入侵行为。
a）异常检测（Anomaly Detection）：基于统计分析原理。首先总结正常操作应该具有的特征（用户轮廓），试图用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。
b）异常的入侵检测的特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率；不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源
B.误用入侵检测是指根据已知的入侵模式来检测入侵。
a）误用检测（Misuse Detection）：基于模式匹配原理。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。
b）特点：采用模式匹配，误用模式能明显降低误报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。

第21题：

第22题：

第23题：