摘要：对于【信息安全工程师】软考考试而言，试题无疑是最重要的学习资料之一。在软考备考过程中，吃透试题、掌握试题所考知识点、熟悉试题的出题思路，对我们提升分数的效果是最明显的，通过对试题的反复练习，还可以查漏补缺。今天，给大家带来【2021年11月 信息安全工程师 模考大赛 下午】部分试题的详解，一起来看看吧~



1、【问题3】（每空1分，共6分）入侵检测系统的直接目的不是阻止入侵事件的发生，而是通过检测技术来发现系统中企图或己经违背安全策略的行为。其中将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为的是（4），通过假设入侵行为对应特定的击键序列模式，然后监测用户的击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为的检测方法是（5）。利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征的检测方法是（6）。误用入侵检测依赖于攻击模式库。如果攻击模式库太小，系统的有效性就会（7）。而如果攻击模式库过（8），系统的性能会（9）。（4）~（6）备选答案A．基于键盘监控的误用检测B. 基于状态迁移的误用检测C. 基于规则的误用检测D．基于网络的入侵检测E.分布式入侵检测（7）~（9）备选答案A．大B. 小C. 提升D．降低
答案:(4) C  (5) A  (6) B   （7）D  （8）A （9）D 
答题解析:

1.基于状态迁移的误用检测方法

状态迁移方法利用状态图表示攻击特征，不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态，危害状态对应于已成功入侵时刻的系统状态。初始状态与危害状态之间的迁移可能有一个或多个中间状态。攻击者的操作将导致状态发生迁移，使系统从初始状态迁移到危害状态。

2.基于键盘监控的误用检测方法

基于键盘监控的误用检测方法，是假设入侵行为对应特定的击键序列模式，然后监测用户的击键模式，并将这一模式与入侵模式匹配，从而发现入侵行为。这种方法的缺点是，在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法。此外，也可能存在多种击键方式表示同一种攻击。

3.基于规则的误用检测方法

基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则，只要符合规则就认定它是一种入侵行为。这种方法的优点是，检测起来比较简单.

误用入侵检测依赖于攻击模式库。因此，这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。

如果攻击模式库太小，则IDS的有效性就大打折扣。而如果攻击模式库过大，则IDS的性能会受到影响。

查看完整试题>>>