题目
以下关于IPS预定义签名的描述,错误的是哪项?A. 当预定义签名的动作为阻断时,阻断命中签名的报文,并记录日志B. 预定义签名的内容不是固定的,可以创建、修改或删除C. 当预定义签名的动作为放行时,对命中签名的报文放行,不记录日志D. 当预定义签名的动作为告警时,对命中签名的报文放行,但记录日志
以下关于IPS预定义签名的描述,错误的是哪项?
A. 当预定义签名的动作为阻断时,阻断命中签名的报文,并记录日志
B. 预定义签名的内容不是固定的,可以创建、修改或删除
C. 当预定义签名的动作为放行时,对命中签名的报文放行,不记录日志
D. 当预定义签名的动作为告警时,对命中签名的报文放行,但记录日志
题目解答
答案
答案:B
解析
IPS(入侵防御系统[1])的预定义签名是系统内置的,它们是根据已知的攻击模式和漏洞预设的。这些签名通常不允许用户修改、创建或删除,因为它们是基于广泛研究和验证的结果。这种设计是为了保证系统的稳定性和可靠性,避免因用户修改而降低保护效果或引入不稳定因素。因此,选项B(预定义签名的内容不是固定的,可以创建、修改或删除)是不正确的描述。其他选项如A、C和D描述了预定义签名在不同动作设置下的标准操作,这些都是符合IPS功能的。
解析
本题考查对IPS(入侵防御系统)预定义签名的理解,需明确其特性及动作逻辑。关键点在于:
- 预定义签名的固定性:预定义签名是系统内置的已知攻击特征库,不可被用户修改或删除,以保证检测的稳定性和准确性。
- 动作逻辑的对应关系:不同动作(阻断、放行、告警)对应不同的处理方式,需区分是否记录日志及是否阻断报文。
错误选项B的描述违背了预定义签名的固定性,而其他选项符合IPS的标准功能。
选项分析
- 选项A:当动作为阻断时,系统会阻断报文并记录日志,符合IPS对高风险攻击的处理逻辑。
- 选项B:错误。预定义签名是系统预设且不可修改,用户无法创建、修改或删除,否则可能破坏系统防护能力。
- 选项C:动作为放行时,系统放行报文且不记录日志,适用于需忽略特定低风险事件的场景。
- 选项D:动作为告警时,系统放行报文但记录日志,用于监控潜在威胁。