1、入侵检测系统IDS分为几类？

基于主机的IDS（HIDS）
基于网络的IDS（NIDS）
分布式或混合式IDS

2、入侵检测系统 IDS 如何分析是否发生入侵？

• 异常检测（统计法、基于知识法、机器学习法）
• 特征或启发式检测

3、HIDS的传感器收集的数据包括哪些？

系统调用轨迹
审计记录（日志文件）
文件完整性校验
注册表访问

4、NIDS的传感器有哪两种部署模式？

内嵌式：传感器插入网络断，以使正在监控的浏览必须通过传感器
被动式：传感器监控网络流量的备份，实际的流量并没有通过这个传感器设备。这种模式更常用，也更有效。

5、入侵检测技术中的蜜罐有什么作用？

转移攻击者对重要系统的访问
收集有关攻击者活动的信息
引诱攻击者在系统中逗留足够长的时间，以便于管理员对此攻击做出响应

6、蜜罐分为哪两种？

低交互蜜罐：该类蜜罐由能够模拟特定IT服务或系统的软件包构成，它足以提供一种真实的初级交互。
高交互蜜罐：该类蜜罐是一个带有完整操作系统、服务、应用程序的真实系统，被部署在攻击者能够访问的地方。

7、设计***的原则是什么？

所有入站和出战的网络流量必须经过***；
只有经过授权的网络流量，如符合本地安全策略定义的流量，***才允许其通过；
***本身不能被渗透

8、防火墙能做什么？

***定义一个遏制点，用于把未授权用户阻止在受保护的网络之外，防止有潜在安全威胁的服务进入或离开网络，并且防止各种IP假冒和路由攻击；
***提供了监视安全相关事件的场所；
***可以为多种与安全不相关的 Internet 功能的实现提供一个便利的平台。如网络地址转换器、网络管理能力。
***可以作为IPSec的平台。如实现***功能

9、***有什么缺陷？

***不能阻止那些绕开***的攻击；
***不能完全防止内部威胁；
一个安全设置不当的无线局域网有可能允许来自公司外部的访问。内部***把企业网络分成多个部分，但是不能阻止本地系统与其他被内部***所分割的部分进行无线通信。
笔记本、PDA或便携式存储设备可能在企业网之外的地方使用时被感染了，之后被连接到内部网络使用

10、包过滤***有哪两种默认的过滤策略？

默认丢弃：没有明确准许的将被阻止（较为保守）
默认转发：没有明确阻止的将被允许