《開源安全運維平臺OSSIM疑難解析--提高篇》 課後習題

《開源安全運維平臺OSSIM疑難解析--提高篇》課後習題

首發原文地址： http://blog.51cto.com/chenguang/2348918

 

一、多項選擇題   OSSIM企業運維疑難問題解析-提高篇

1.爲了在OSSIM前端能顯示豐富的圖形，系統中必須安裝     庫，它是一種圖形庫，可以讓PHP繪製各種圖形，能夠創建Jpg、PNG和BMP圖像。

A．Zlib          B.GD       C.Glibc

 

2.下列選項中屬於HIDS優勢的選項包括（      ），屬於HIDS侷限性包括（     ）。

A.HIDS需要將代理程序部署到要監視的每個主機，部署繁瑣。

B.HIDS不能檢測網絡偵察或掃描

C.HIDS可以檢測到***是否成功

D.HIDS監視系統活動

E.HIDS可檢測文件或應用程序的變化

 

3.下列選項中屬於NIDS優勢的是（       ），屬於NIDS侷限性是（      ）。

A.如果部署得當NIDS能監視整個網絡的流量

B.由於NIDS只分析網絡流量副本，幾乎不會影響網絡性能。

C. NIDS可以分析加密流量

D.NIDS無法分析加密流量

E.NIDS需要經常升級簽名（已知***）和規則

F.NIDS需要特定的配置來接受流量副本

G.NIDS無法阻止***

 

4.NIDS中外部引用用來加入新的外部參考系統，下列數據源中（    ）使用了外部引用。

A . Snort     B . syslog     C.Alienvault OTX     D.SSH

 

5.命令suricata  --list runmodes的作用是(    )。

A .查看所有運行方式    B. 查看Suricata運行狀態

 

6.OSSIM 4.15系統中，下列組件不屬於嗅探類軟件的是(     ) 。

A.snort     B .ntop     C netflow    D nfsen   E syslog

 

7. 爲了提高libpcap處理數據包的效率，OSSIM 2.3平臺上採用了基於零拷貝思想的(   ) 機制，由於這種機制避免了多次內存複製並減少CPU的干預，故可以在高速網環境下進行數據抓包分析。

A.PF_RING     B.NAPI    C.DMA

 

8.手動安裝IDS系統過程中爲了實現在WebUI瀏覽Snort報警需要經歷九個安裝環節，除去安裝虛擬機和操作系統以外，請按安裝順序依次在圖1中的A~G標誌中選擇相應軟件包的名稱（順序顛倒則無法通過編譯）。循序（                      ）

 

圖1 Snort安裝階梯

A.BASE                B.Apache PHP                   C.bardyard2                D.MySQL 

E.Snort                  F. libdnet                            G. DAQ

 

9.網絡探測化技術可以分爲兩類: 主動探測和被動探測，主動探測是通過主動掃描來檢查監聽服務的存在主動探測的優點是掃描快速和結果完整，例如     程序;被動探測一般通過網絡嗅探來提取服務端相關信息，例如     程序。

A.Nmap  B.p0f  C.prads  D.traceroute

 

10.snort規則中由reference選項定義所支持的外部系統，這些網址的內容保存在文件      中。

A . /etc/snort/reference.config    B /etc/snort/snort.conf      C  /etc/snort.conf

 

11.當Suricata檢測到一個可疑數據包時，根據事先設定的規則將整個數據包以（ ）的方式存儲到文件中，目前已經支持（IPv4）、（IPv6）的數據包。其輸出格式可以被（   ）程序處理。該程序可以將Suricata輸出的內容存儲到數據庫中。

A.     文本   B.二進制  C. JSON D. XML

    E . Barnyard2  F . Barnyard

 

12．以下是OSSIM 5.5系統中Suricata的一段配置文件路徑：/etc/suricata/suricata.yaml

第190~192，這3行配置文件的作用是（  ）。

A．保存所有數據包，最大爲1GB                   B.最大能分析1GB的數據包      C .支持最大網絡帶寬爲1GB

 

13.Suricata打開alert-debug功能後會產生什麼影響？（    ）

A．對系統無任何影響   B.會導致檢測時生成大量信息，使系統處理性能下降

 

14.OSSIM 5系統中NIDS由Suricata 3.2程序負責，其配置文件位於（ ）。

A . /etc/suricata/suricata.yaml    B./etc/suricata.yaml

 

15.OSSIM 5中Surciata默認的抓包方式爲（ ）模式。

A. AF_PACKET         B. IPFW        C. PF_RING

 

16.命令suricata -c /etc/suricata/suricata.yaml -i eth0的作用是讓Suricata以（  ）模式啓動。

A.IDS      B. IPS    C.DMZ

 

17.命令suricata --list-runmodes的作用是（  ）。

A．列出Suricata所有運行模式  B.列出Suricata運行參數

 

18.用（ ）命令可以查看Suricata配置信息。

A．suricata  --build-info    B． suricata –V

 

19.Suricata報警輸出文件存儲在（  ）文件。

A．/var/log/suricata/unified2.alert    B. /var/log/auth.log   C . /var/log/suricata/

 

20．分佈式OSSIM系統中在（ ）端使用命令行（  ）可以查看各個ossec agent工作狀態

A.server  B.sensor  C./var/ossec/bin/agent_control –lc  D./etc/init.d/ossec status

 

21.OSSIM系統中OSSEC模塊將日誌存儲在        。

A . /var/ossec/logs/alerts/        B . /var/log/ossim/

 

22. OSSEC Server與Agent之間通信端口爲        。

A.TCP 1514            B.UDP 1514           C.UDP 514

 

23.若要捕獲OSSEC Server與Agent之間的通信，下列（  ）命令可實現。

A．ngrep –q –d any port 1514           B.tcpdump

 

24.爲了在一臺Windows 2008 Server上安裝ossec agent，請根據下列選項按順序寫出正確的步驟：      

A．在OSSEC官網下載Agent程序 

B.將程序進行安裝

C.在WebUI上environment→detection

D選擇Agents，並選擇ADD AGENT按鈕輸入名稱和Windows 2008的IP地址

E.Extract key

F .將key複製到agent ossec G.單擊Download preconfigured agent for Windows按鈕

 

25.圖2中箭頭所示處通過Web UI自動部署HIDS Agent，只能在下列（  ）系統中安裝成功。

A.Linux            B.Windows 2000            C .UNIX

圖2 部署HIDS Agent