入侵检测系统能够检测到用户的对主机、数据库的网络操作行为。（)

A、只检测它直接连接网段的通信，不能检测在不通网段的数据包。

B、依赖于主机固有的日志与监视能力。

C、IDS的运行或多或少影响主机的性能。

D、只能对主机的特定用户、应用程序执行动作和日志进行检测，能检测到的攻击类型受到限制。

A.主机

B.一组用户

C.单个用户

D.系统中的某个关键的程序和文件

A.入侵检测系统可以弥补安全防御系统的漏洞和缺陷

B.入侵检测系统很难检测到未知的攻击行为

C.基于主机的入侵检测系统可以精确地判断入侵事件

D.基于网络的入侵检测系统主要用于实时监控网络关键路径的信息

A.隐蔽性好，基于网络的监视器不运行其他的应用程序，不提供网络服务，可以不响应其他计算机，因此不易受到攻击

B.监测速度快，能在微秒或秒级发现问题，基于主机的IDS要依靠对最近几分钟内的审计记录的分析

C.需要很多监测器

D.能检测到源地址和目的地址，能识别地址是否违造，可定位真正的入侵者

（9）

A. 入侵检测系统可以弥补安全防御系统的漏洞和缺陷

B. 入侵检测系统很难检测到未知的攻击行为

C. 基于主机的入侵检测系统可以精确地判断入侵事件

D. 基于网络的入侵检测系统主要用于实时监控网络关键路径的信息

A.入侵行为的危害程度预测估计

B.入侵者的识别信息是否在黑名单中

C.已知的安全知识匹配

D.IP 报头的统计信息

A.精确地判断攻击行为是否成功

B.监控主机上特定用户活动、系统运行情况

C.监测到针对其他服务器的攻击行为

D.监测主机上的日志信息

A.IDES

B.NSM

C.NIDES

D.防火墙

下列关于入侵检测和入侵防护系统的描述中，错误的是

A．对于Unix系统，基于主机的入侵检测系统可使用utmp和wtmp文件作为数据源

B．当检测到攻击时，基于主机的入侵防护系统可以在网络接口层阻断攻击

C．基于网络的入侵检测系统必须采用In-line工作模式

D．基于网络的入侵检测系统和基于网络的入侵防护系统都需具有嗅探功能