5. 公司部署的入侵偵測系統主要依靠簽章或特徵比對為偵測機制。當遭遇零時差(Zero-day)攻擊,入侵偵測系統的偵測結果最可能是下列何項?
(A) 大量正常流量被誤判為惡意,導致告警數量急遽上升
(B) 系統立即阻斷攻擊封包,並防止橫向擴散
(C) 入侵偵測系統因處理效率影響,造成封包轉送速度異 常加快
(D) 攻擊流量未被標記為異常,直到後續分析才可能察覺

答案:登入後查看
統計: A(11), B(13), C(10), D(47), E(0) #3671641

詳解 (共 1 筆)

#7204199

這道題目的正確答案是 (D) 攻擊流量未被標記為異常,直到後續分析才可能察覺

以下是針對 簽章/特徵比對 (Signature-based)零時差攻擊 (Zero-day) 互動關係的詳細解析:

核心概念分析

  1. 簽章比對 (Signature-based Detection):

    • 這種機制的運作原理是將網路流量與資料庫中「已知」的攻擊特徵(Signatures)進行比對。

    • 它的優點是針對已知攻擊的準確度高、誤判率(False Positive)低。

    • 它的致命缺點是無法偵測未知攻擊。如果資料庫裡沒有這個特徵,IDS 就會視為正常流量放行。

  2. 零時差攻擊 (Zero-day Attack):

    • 定義上就是利用開發者或資安廠商尚未知曉、尚未修補漏洞的攻擊。

    • 這意味著資安廠商還沒有針對該攻擊製作出對應的「簽章」。

選項邏輯推演

  • (D) 攻擊流量未被標記為異常,直到後續分析才可能察覺

    • 這是正確的。因為是零時差攻擊,IDS 的資料庫中不存在對應的簽章。因此,IDS 進行比對時會發現「沒有符合的惡意特徵」,進而判定為正常流量而不發出告警。這種情況在資安術語中稱為**「漏判 (False Negative)」**。通常需要等到事後進行威脅獵捕 (Threat Hunting) 或廠商發布新簽章回溯分析 log 時才會發現。

  • (A) 大量正常流量被誤判為惡意

    • 這是誤判 (False Positive)。通常發生在特徵規則寫得太寬鬆,或是在使用「異常行為偵測 (Anomaly-based)」且基準線 (Baseline) 沒設好的時候。零時差攻擊通常是悄悄進行,不一定會觸發大量誤判。

  • (B) 系統立即阻斷攻擊封包,並防止橫向擴散

    • 這是最理想的狀態,但這是 IPS (入侵防禦系統) 且具備先進行為分析或沙箱技術時才「可能」做到的事。對於單純依賴「簽章比對」的系統來說,因為認不得攻擊特徵,所以根本不會攔阻。

  • (C) 入侵偵測系統因處理效率影響,造成封包轉送速度異常加快

    • 這與攻擊偵測的邏輯無關。且 IDS 通常是旁路 (Mirror/Span) 部署,不影響轉送速度;若是 Inline 部署,遭受攻擊通常是導致處理效能下降(變慢),而非變快。

結論

依賴特徵比對的系統,其最大的盲點就是「看不見未知的攻擊」。因此面對 Zero-day 時,最可能的結果就是毫無反應 (漏判)

正確答案:(D)

1
0