【百分题库合集】网络漏洞扫描技术试题题库

[问]什么完整性分析法，有什么优缺点？参考答案：它主要关注某个文件或对象是否被更改，这经常包文件和目录的内容及属性，它在发现被更改的、被洛伊化的应程序方面特别有效。其优点只要是成功地攻击导致了文件或其他对象的任何改变，都能够发现。缺点是一般以批处理方式实现，不用于实时响应。[问]什么异常检测方，有什么优缺点？参考答案：首先给系统对象（如用户、文件、目录和设备等）建一个统计描述、统计正常使用时的一些测量属（如访问次、操作失败次数和延时等）。测量属性的平均值被用来与网络、系统的行为进行比较，任何观察在正常值范之外时，就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报漏报率高，且不适应用户正常行为的突然改变。[问]什么滥用检测方，有什么优缺点？参考答案：将收集到的信息与已知的网络入侵和系统误用模式据库进行比较，从而发现违背安全策略的行为。该方法的优点是只需收集相关的数据集合，显著减少了系统负，且技术已相当成熟。该方法存在的弱点是需要不断地升级以对付不断出现的黑客攻手法，不能检测到从未出现过的黑客攻击手段。[问]什么基于主机的侵检测系统，有什么优缺点？参考答案：优点是针对不同操作系统特点捕获应用层入侵，误少；缺点是依赖于主机及其审计子系统，实时性差。[问]什么基于网络的侵检测系统，有什么优缺点？参考答案：其优点是侦测速度快、隐蔽性好，不容易受到攻击对主机资源消耗较少；缺点是有些攻击是由服务器的键盘发出的，不经过网络，因而法识别，误报率较高。1

[问]在入检测系统中数据分析是如何工作的，有哪些手段？参考答案：它首先构建分析器，把收集到的信息经过预处理，立一个行为分析引擎或模型，然后向模型中植入间数据，在识库中保存植入数据的模型。数据分析一般通过式匹配、统计分析和完整性分析三种手段进行。[问]入侵测系统执行主要任务有哪些？参考答案：包括：1、监视、分用户及系统活动；审计系统构造和弱点；2、识别、反已知进攻的活动模式，向相关人士报警；3、计分析异常行为模式；4、估重要系统和数据文件的完整性；5、计、跟踪管理操作系统，识别用户违反安全策略的行为。[问]什么基于概率统的检测技术，有什么优缺点？参考答案：是对用户历史行为建立模型。根据该模型，当发现可疑的用户行为发生时保持跟踪，并监视和记录用户的行为这种方法的优越性在于它应用了成熟的概率统计论；缺点是由于用户的行为非常复杂，因而要想准确地匹配一个用的历史行为非常困难，易造成系统误报、错报和报；定义入侵阈值比较困难，阈值高则误检率增高，阈值低则漏检增高。[问答]目前，进的入侵检测系统的实现方法有些？参考答案：基于概率统计模型的检测、基于神经网络的检测、于专家系统的检测、基于模型推理的检测和基于疫的检测等术。[问]基于用检测原理入侵检测方法和技术主要有如下几种。参考答案：）于条件概率误用检测方法。2）于专家系统的误用检测方法。2

3）于状态迁移分析的误用检测方法。4）于键盘监控的误用检测方法。5）于模型的误用检测方法。[问]基于常检测原理入侵检测方法和技术有如下几种方法。参考答案：）计异常测方法。2）征选择异常检测方法。3）于贝叶斯推理的异常检测方法。4）于贝叶斯网络的异常检测方法。5）于模式预测的异常检测方法。[问]入侵测技术至今经历三代。参考答案：第一代技术采用主机日志分析、模式匹配的方法；第二代技术出现在世纪90年代期，主要包括网络数据包截、机网络据和计数据析、基网络的侵检测和基主机的入侵检测等方法；第三代技术出现在2000年后，引入了议分析、行为异常分析等方法。[问]什么网络入侵检？参考答案：网络入侵检测是从计算机网络或计算机系统中的若关键点搜集信息并对其进行分析，从中发现网络系统中是否违反安全策略的行为和遭到袭击的迹象的一种机。[问]TCP扫描原理是什么？有什么优缺点？参考答案：传输控制协议（，TCP）应用层提供一种面向连接的、靠字节流务。它使用三次握手”的方式建立连接。从连接建立的过程以知道，如果向目标发送一个S报，则无论收到一个SYN/ACK报还是一个RST报，都表明目标处于活动状。3

[问]什么漏洞检测的断方法，有什么优缺点？参考答案：推断是指不利用系统漏洞而判断漏洞是否存在的方。它并不直接渗透漏洞，只是间接地寻找漏洞存的证据。优点：推断的方法在快速检查大量目标时很有用，因为这种方对计算机和网络的要求都很低。它比渗透测试方攻击性更小它也可以用于检查DoS漏洞，因为它基本没有攻击性所可以检查很多DoS漏以后再重新启系统。缺点：该方法不如渗透测试方法可靠。[问答]什么是洞检测的直接测试法，有什么有点？参考答案：直接测试是指利用漏洞特点发现系统漏洞的方法。据渗透方法的不同，可以将测试分为两种不同的型：可以直观察到的测试和只能间接观察到的测试。直接测的方法具有以下六大特点。1）常用于对Web服器漏洞、拒绝服务（DoS）漏洞进行检测。2）够准确地判断系统是否存在特定漏洞。3）于渗透所需步骤较多的漏洞速度较慢。4）击性较强，可能对存在漏洞的系统造成破坏。5）于DoS漏洞，测试法会造成系统崩溃。6）是所有漏洞的信息都能通过测试方法获得。[问]什么基于网络的弱性评估，有什么特点？参考答案：基于网络的漏洞扫描器，就是通过网络来扫描远程算机中的漏洞。它具有以下几个特点。1）行于单个或多个主机，扫描目标为本地主机或者/多个远程主机。2）描器的设计和实现与目标主机的操作系统无关。3）常的网络安全扫描不能访问目标主机的本地文件（具有目标主机访问权限的扫描除外）。4）描项目主要包括目标的开放端口、系统网络服务、系统信息、系统漏洞、远程服务漏洞、特洛伊木马检测拒绝服务攻等。4

[问]基于机的脆弱性估有什么优缺点？参考答案：基于主机的脆弱性评估可以更准确地定位系统的问，发现系统的漏洞；然而其缺点是与平台相关、升级复杂，而且扫描效率较低（一只能扫描一台主机）。[问]TCP扫描的Connect扫的原理是什么？参考答案：扫描是最基本的TCP扫方式。Connect()是种系统调用，由操作系统提供，用来打一个连接。果目标端口有程序监听Connect()就成功返回，则个口不达。这技术最的优无需root权限。任何用都可以自由使用这个系统调用。但很容被检测，在目主机的日志中会记大批的连接求以及错误信息[问]被动描有什么优点？参考答案：被动扫描是通过监听网络包来取得信息。由于被动描具有很多优点，近年来备受重视，其主要优点对它的检测乎是不可能的。被动扫描一般只需要监听网络流而不需要主动发送网络包，也不易受防火墙影响而其主要缺在于速度较慢，而且准确性较差，当目标不产生络流量时就无法得知目标的任何信息。[问]主动描有什么优点？参考答案：主动扫描是传统的扫描方式，拥有较长的发展历史它是通过给目标主机发送特定的包并收集回应包取得相关信的。当然，无响应本身也是信息，它表明可能存过滤设备将探测包或探测回应包过滤了。主动扫的优势在于常能较快获取信息，准确性也比较高。缺点在于易于被发现，很难掩盖扫描痕迹；而且要成功实主动扫描通需要突破防火墙，但突破防火墙是很困难的。被动扫描是通过监听网络包来取得信息。由于被动扫描具有很优点，近年来备受重视，其主要优点是对它的检几乎是不可的。被动扫描一般只需要监听网络流量而不需要动发送网络包，也不易受防火墙影响。而其主要点在于速度慢，而且准确性较差，当目标不产生网络流量时无法得知目标的任何信息。[问]漏洞测的方法分哪几种？参考答案：、接测试Test）直接测试是指利用漏洞特点现系统洞的方。要出系统的常见漏洞最显而易见方法就是试图渗透漏洞。渗透测试是指使用针对洞特点设计的脚本或者程序检测漏洞。根据渗透法的不同，以将测试分为两种不同的类型：可以直接观察到测试和只能间接观察到的测试。2、断Inference）：推断是指不利用系统漏洞判断漏洞是存的法它不直接渗透漏洞，只是间接寻找漏洞存的证据。采用推断方法的检测手段主要有版本检VersionCheck）程序行为分、作统堆指纹分析和序分析等。5

3、凭证的测试TestwithCredentials）：证是指访问服务所要用名或密码，括UNIX的录权和从网络调WindowsNT的的力。带证的测试定义是：除目主机IP地以外，直接测试和推断两方法都不需其他任何信息[问]什么漏洞？参考答案：漏洞是在硬件、软件、协议的具体实现或系统安全略上存在的缺陷，从而可以使攻击者能够在未授的情况下访或破坏系统。在计算机安全领域，安全漏洞SecurityHole）通常又称为脆弱性（Vulnerability），是计算机系在硬件、软件、协议的设计和实过程中或系统安全策略上存在的缺陷或不足，未权用户可以用漏洞获得对系统或者资源的额外权限，获取原不能获取的信息，从而破坏信息的安全性。脆弱）态是指能够使用已授权的状态变换到达未授权状态的授权状。或者脆弱性可以使黑客通过种已经获得权限暴力升级到更高的权限。[问]入侵测中信息收的内容都有哪些，这些信息的来源一般有些？参考答案：包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异改变、程序执行中的异常行为及物理形式的入侵息四个方面[填]相比于网络、基主机的入侵检测系统，（）系统能够同时析来自机系统审计日志和网络数据流的侵检测系统参考答案：分布式入侵检测[填]在具实现过程中专家系统主要面临问题是全面性问题和（。参考答案：效率问题[填]基于神经网络的检技术是对基于（）的检测技术的改进，主要克服了传统的统计分析技术的一些问题。参考答案：概率统计[填]基于经网络的检技术的基本思想是用一系列信息单元训练经单元在给出一定的输入后，就可能预出（）。6

参考答案：输出[填]（）检测技术是用自然免疫系统的某些特性到网络安全系中，使个系统具有适应性、自我调节性可扩展性。参考答案：基于免疫[填]基于家系统的攻检测技术，即根据安全专家对（）的分析验来形一套推理规则，然后在此基础上计出相应的家系统。由此专家系统自动进行对所涉及的攻击作的分析工作。参考答案：可疑行为[填]从检的策略角度类，入侵检测模型主要有三种：（）、异检测和整性分析。参考答案：滥用检测[填]基于机的入侵检系统检测分析所需数据来源于主机系统，常是（。参考答案：系统日志和审计记录[填]基于络的入侵检系统数据来源于（）的数据流。参考答案：网络上[填]从数来源角度分，入侵检测系统有三种基本结构：基于网、基于机和（）检测系统。参考答案：分布式入侵[填空]入侵检系统中入侵响应功能在（）后被发。参考答案：分析出入侵行为7

[填]入侵测系统中（的任务就是在提取到的运行数据中找出入的痕迹将授权的正常访问行为和非授权不正常访问为区分开，分析出入侵行为并对入侵者进行定位。参考答案：入侵分析[填]入侵检测系统中（功能负责提取与被保护系统相关的运行数据或记录，并负责对数据进行简单的过滤。参考答案：事件提取[填]数据析有模式匹、统计分析和完整性分析三种手段，其中）则用事后分析。参考答案：完整性分析[填]在入检测系统中（）是入侵检测的核心。参考答案：数据分析[填]基于率统计的检技术优越性在于它应用了成熟的（）理论。参考答案：概率统计[填]当实使用检测系时，首先面临的问题就是决定应该在系统什么位安装检测和分析入侵行为用的（）。参答案：感应或测引擎Engine[填]（）理根据假设击与正常的（合法的）活动有很大的差异识别攻。参考答案：异常检测[填]在通入侵检测模中，（）可以由系统安全策略、入侵模式组成。参考答案：规则模块8

[填]在通入侵检测模中，（）可根据具体应用环境而有所不同一般来审计记录、网络数据包以及其他视行为，这事件构成了入侵检测的基础。参考答案：事件产生器[填]第三入侵检测技引入了协议分析、（）等方法。参考答案：行为异常分析[填]一个侵检测系统少包含（）、入侵分析、入侵响应和远程理四部功能。参考答案：事件提取[填]第一入侵检测技采用（）、模式匹配的方法。参考答案：主机日志分析[填]从扫对象来分，以分为基于网络的扫描和基于（）的扫描。参考答案：主机[填]（）通过给目标机发送特定的包并收集回应包来取得相关息的。参考答案：主动扫描[填]发现络上存活的统之后，下一步就要得到目标主机的（）。参考答案：操作系统信息和开放的服务信息[填]端口描取得目标机开放的端口和服务信息，从而为（）作备。参考答案：漏洞检测9

[填]ICMP时间请求允许系向另一个系统查询（）。参考答案：当前的时间[填]扫描口的