2. 计算机
  3. A rule-based IDS takes a different approach than a signature-based or anomalybased system. Which of the following is characteris

A rule-based IDS takes a different approach than a signature-based or anomalybased system. Which of the following is characteris

admin2013-12-19  69
问题 A rule-based IDS takes a different approach than a signature-based or anomalybased system. Which of the following is characteristic of a rule-based IDS?
选项 A、Uses IF/THEN programming within expert systems
B、Identifies protocols used outside of their common bounds
C、Compares patterns to several activities at once
D、Can detect new attacks
答案A
解析 A正确。基于规则的入侵检测通常与专家系统一起联合使用。专家系统是由一个知识库、一个推理引擎和基于规则的程序组成。知识表示成规则,待分析的数据称为事实。该系统的知识是用基于规则的程序编写的(IF情况 THEN行为)。这些规则将用于事实、来自于传感器的数据或者被监控的系统。例如,IDS从系统的审计日志中提取数据,并将其临时存在它的事实数据库中。然后,将预定义的规则应用到这个数据,并判断是否发生了可疑活动。在这种场景中,规则为:“IF某个根用户创建了File 1 AND File 2 SUCH THAT they are in thesame directory THEN there is a call to Administrative Tool TRIGGER send alert.”这个规则定义的是:如果某个根用户在同一个目录中创建了两个文件,并调用某个特定的管理工具,那么就应该发出警报。
B不正确。因为基于协议异常的IDS定义了在通常边界外使用的协议。这种IDS具有它将监督的每个协议的特定知识。协议异常与协议的格式和行为有关。如果某个协议的格式发生了变换或者表现出不正常的行为,那么IDS便会发出警报。
C不正确。因为状态匹配型的IDS一次会将模式和若干种活动进行对比。它是基于签名IDS的一种,即它与反病毒软件一样进行模式匹配。状态是操作系统中在易失性存储器、半永久存储位置和永久存储位置上数值的快照。在基于状态的IDS中,初始状态是指攻击实施前的状态,受损状态是成功侵入后的状态。IDS拥有一些指明哪些状态转换序列应该报警的规则。
D不正确。因为基于规则的IDS不能检测出新型的攻击。基于异常的IDS能够检测新型攻击,因为这种类型的IDS并不依赖于预定义好的规则和签名,而这些规则和签名是安全研究人员利用充分时间研究某一个攻击之后才总结出来的。相反,基于异常的IDS会学习环境中的“正常”活动,只有当它检测出异常的活动时才会发出警报。基于异常的IDS的3种类型是基于统计异常的IDS、基于协议异常的IDS和基于流量异常的IDS。它们也被称为基于行为的或启发式IDS。
转载请注明原文地址:https://kaotiyun.com/show/CAhZ777K
0

CISSP认证

相关试题推荐
随机试题
最新回复(0)