将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

该方法的优点是只需收集相关的数据集合，显著减少了系统负担，且技术已相当成熟。该方法存在的弱点是需要不断地升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

3、什么是异常检测方法，有什么优缺点？

首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述、统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。

其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。

4、什么是完整性分析方法，有什么优缺点？

它主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。其优点只要是成功地攻击导致了文件或其他对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。

5、基于主机的入侵检测系统有以下优点。

1）监视特定的系统活动。

2）非常适用于被加密的和交换的环境。

3）近实时的检测和应答。

4）不需要额外的硬件。

一、单选题

1、在网络体系结构中，传输层的主要功能是

A)不同应用进程之间的端-端通信

B)分组通过通信子网时的路径选择

C)数据格式变换、数据加密与解密

D)MAC地址与IP地址之间的映射

答案：A

传输层的主要功能是为端到端连接提供可靠的传输服务；为端到端连接提供流量控制、差错控制、服务质量等管理服务。路径选择发生在网络层，数据格式变换与加密等发生在表示层，MAC与IP地址映射发生在数据链路层。根据分析，选项A符合题意，故选择A选项

2、数据传输速率为3.5×1012bps，它可以记为

A)3.5Kbps B)3.5Mbps C)3.5Gbps D)3.5Tbps

答案：D

1kbps=1×103bps，1Mbps约等于1×106bps，1Gbps约等于1×109bps，1Tbps约等于1×1012bps。因此3.5×1012bps约等于3.5Tbps。故选择D选项。

3关于数据报交换方式的描述中，正确的是

A)数据报交换过程中需要建立连接B)每个分组必须通过相同路径传输

C)分组传输过程中需进行存储转发D)分组不需要带源地址和目的地址

答案：C

数据报是报文分组存储转发的一种形式，在数据报方式中，分组传输前不需要在源主机与目的主机之间预先建立"线路连接"。源主机发送的每个分组都可以独立选择一条传输路径，且每个分组在传输过程中都必须带有目的地址与源地址。根据分析，选项C符合题意，故选择C选项。

4、关于传统Ethernet的描述中，错误的是

A)是一种典型的环型局域网B)传输的数据单元是Ethernet帧

C)介质访问控制方法是CSMA/CD D)网络结点发送数据前需侦听总线

答案：A

传统Ethernet是一种总线型局域网，传输的数据单元是Ethernet帧，介质访问控制方法是CSMA/CD，网络结点发送数据前需侦听总线。选项A错误，故选择A选项。

5、IEEE802.3u定义的最大传输速率是

A)10Mbps B)20Mbps C)54Mbps D)100Mbps

答案：D

IEEE802.3u定义的最大传输速率100Mbps，故选择D选项

6、在以下拓扑结构中，具有固定传输延时时间的是

A)星型拓扑B)环型拓扑C)树状拓扑D)网状拓扑