试题21

    21、入侵检测通过对计算机网络或计算机系统中的若干关键点数据信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。（  ）不属于入侵检测的主要任务。
    A、监视、分析用户及系统活动，审计系统构造和弱点

B、统计分析异常行为模式

C、审计、跟踪管理操作系统，识别用户违反安全策略的行为

D、提供扩展至用户端、服务器及第二至第七层的网络型攻击防护

尚大教育-分析：

入侵检测顾名思义，就是对入侵行为的发觉。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计 数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。入侵检测通过执行以下任务来实现:监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵监测系统的功能和性能要素主要包括：

（1）在检测到入侵事件时，自动执行切断服务、记录入侵过程、邮件报警等动作。

（2）支持攻击特征信息的集中式发布和攻击取证信息的分布上载。

（3）提供多种方式对监视引擎和检测特征的定期更新服务。

（4）内置网络使用状况监控工具和网络监听工具。

入侵检测，是在OSI的网络层实现，即第三层实现，所以D选项不正确。

尚大教育-参考答案：D