《开源安全运维平台OSSIM疑难解析--提高篇》 课后习题

《开源安全运维平台OSSIM疑难解析--提高篇》课后习题

首发原文地址： http://blog.51cto.com/chenguang/2348918

 

一、多项选择题   OSSIM企业运维疑难问题解析-提高篇

1.为了在OSSIM前端能显示丰富的图形，系统中必须安装     库，它是一种图形库，可以让PHP绘制各种图形，能够创建Jpg、PNG和BMP图像。

A．Zlib          B.GD       C.Glibc

 

2.下列选项中属于HIDS优势的选项包括（      ），属于HIDS局限性包括（     ）。

A.HIDS需要将代理程序部署到要监视的每个主机，部署繁琐。

B.HIDS不能检测网络侦察或扫描

C.HIDS可以检测到***是否成功

D.HIDS监视系统活动

E.HIDS可检测文件或应用程序的变化

 

3.下列选项中属于NIDS优势的是（       ），属于NIDS局限性是（      ）。

A.如果部署得当NIDS能监视整个网络的流量

B.由于NIDS只分析网络流量副本，几乎不会影响网络性能。

C. NIDS可以分析加密流量

D.NIDS无法分析加密流量

E.NIDS需要经常升级签名（已知***）和规则

F.NIDS需要特定的配置来接受流量副本

G.NIDS无法阻止***

 

4.NIDS中外部引用用来加入新的外部参考系统，下列数据源中（    ）使用了外部引用。

A . Snort     B . syslog     C.Alienvault OTX     D.SSH

 

5.命令suricata  --list runmodes的作用是(    )。

A .查看所有运行方式    B. 查看Suricata运行状态

 

6.OSSIM 4.15系统中，下列组件不属于嗅探类软件的是(     ) 。

A.snort     B .ntop     C netflow    D nfsen   E syslog

 

7. 为了提高libpcap处理数据包的效率，OSSIM 2.3平台上采用了基于零拷贝思想的(   ) 机制，由于这种机制避免了多次内存复制并减少CPU的干预，故可以在高速网环境下进行数据抓包分析。

A.PF_RING     B.NAPI    C.DMA

 

8.手动安装IDS系统过程中为了实现在WebUI浏览Snort报警需要经历九个安装环节，除去安装虚拟机和操作系统以外，请按安装顺序依次在图1中的A~G标志中选择相应软件包的名称（顺序颠倒则无法通过编译）。循序（                      ）

 

图1 Snort安装阶梯

A.BASE                B.Apache PHP                   C.bardyard2                D.MySQL 

E.Snort                  F. libdnet                            G. DAQ

 

9.网络探测化技术可以分为两类: 主动探测和被动探测，主动探测是通过主动扫描来检查监听服务的存在主动探测的优点是扫描快速和结果完整，例如     程序;被动探测一般通过网络嗅探来提取服务端相关信息，例如     程序。

A.Nmap  B.p0f  C.prads  D.traceroute

 

10.snort规则中由reference选项定义所支持的外部系统，这些网址的内容保存在文件      中。

A . /etc/snort/reference.config    B /etc/snort/snort.conf      C  /etc/snort.conf

 

11.当Suricata检测到一个可疑数据包时，根据事先设定的规则将整个数据包以（ ）的方式存储到文件中，目前已经支持（IPv4）、（IPv6）的数据包。其输出格式可以被（   ）程序处理。该程序可以将Suricata输出的内容存储到数据库中。

A.     文本   B.二进制  C. JSON D. XML

    E . Barnyard2  F . Barnyard

 

12．以下是OSSIM 5.5系统中Suricata的一段配置文件路径：/etc/suricata/suricata.yaml

第190~192，这3行配置文件的作用是（  ）。

A．保存所有数据包，最大为1GB                   B.最大能分析1GB的数据包      C .支持最大网络带宽为1GB

 

13.Suricata打开alert-debug功能后会产生什么影响？（    ）

A．对系统无任何影响   B.会导致检测时生成大量信息，使系统处理性能下降

 

14.OSSIM 5系统中NIDS由Suricata 3.2程序负责，其配置文件位于（ ）。

A . /etc/suricata/suricata.yaml    B./etc/suricata.yaml

 

15.OSSIM 5中Surciata默认的抓包方式为（ ）模式。

A. AF_PACKET         B. IPFW        C. PF_RING

 

16.命令suricata -c /etc/suricata/suricata.yaml -i eth0的作用是让Suricata以（  ）模式启动。

A.IDS      B. IPS    C.DMZ

 

17.命令suricata --list-runmodes的作用是（  ）。

A．列出Suricata所有运行模式  B.列出Suricata运行参数

 

18.用（ ）命令可以查看Suricata配置信息。

A．suricata  --build-info    B． suricata –V

 

19.Suricata报警输出文件存储在（  ）文件。

A．/var/log/suricata/unified2.alert    B. /var/log/auth.log   C . /var/log/suricata/

 

20．分布式OSSIM系统中在（ ）端使用命令行（  ）可以查看各个ossec agent工作状态

A.server  B.sensor  C./var/ossec/bin/agent_control –lc  D./etc/init.d/ossec status

 

21.OSSIM系统中OSSEC模块将日志存储在        。

A . /var/ossec/logs/alerts/        B . /var/log/ossim/

 

22. OSSEC Server与Agent之间通信端口为        。

A.TCP 1514            B.UDP 1514           C.UDP 514

 

23.若要捕获OSSEC Server与Agent之间的通信，下列（  ）命令可实现。

A．ngrep –q –d any port 1514           B.tcpdump

 

24.为了在一台Windows 2008 Server上安装ossec agent，请根据下列选项按顺序写出正确的步骤：      

A．在OSSEC官网下载Agent程序 

B.将程序进行安装

C.在WebUI上environment→detection

D选择Agents，并选择ADD AGENT按钮输入名称和Windows 2008的IP地址

E.Extract key

F .将key复制到agent ossec G.单击Download preconfigured agent for Windows按钮

 

25.图2中箭头所示处通过Web UI自动部署HIDS Agent，只能在下列（  ）系统中安装成功。

A.Linux            B.Windows 2000            C .UNIX

图2 部署HIDS Agent