《入侵檢測與防御原理及實踐（微課版）》-習(xí)題 第5章 開源入侵檢測系統(tǒng)Snort3 習(xí)題

一、選擇題Snort3也被稱為什么？A.Snort++B.Snort--C.SnortProD.SnortX答案：ASnort3相比Snort2，在架構(gòu)上最大的改進(jìn)是什么？A.增加了新的檢測引擎B.采用了全新的C++設(shè)計和模塊化代碼庫C.增加了更多的預(yù)處理器D.改進(jìn)了用戶界面答案：BSnort3的規(guī)則語法與Snort2相比，有哪些顯著優(yōu)勢？A.更加復(fù)雜B.更加冗余C.更簡潔，易于編寫和理解D.僅支持LUA格式答案：CSnort3的規(guī)則可以采用哪種格式？A.僅有Sigma格式B.僅有LUA格式C.LUA和Sigma格式均可D.不支持任何格式答案：BSnort3使用了多少個插件的完整插件系統(tǒng)？A.50個B.100個C.超過200個D.無限個答案：CSnort3重寫了哪個處理模塊？A.UDP處理B.TCP處理C.ICMP處理D.HTTP處理答案：BSnort3的哪個功能組件可以使Snort識別網(wǎng)絡(luò)上正在使用的應(yīng)用程序？A.PulledPorkB.OpenAppIDC.Stream5D.Normalize答案：BSnort3的規(guī)則集中，哪一類規(guī)則是免費提供的？A.CommunityB.RegisteredC.SubscriptionD.Alloftheabove答案：ASnort3中，用于管理規(guī)則集的工具是什么？A.PulledPorkB.InspectorC.OpenAppIDD.Stream5答案：ASnort3的安裝包中，哪個是用于數(shù)據(jù)采集的組件？A.snortrules-snapshotB.libdaqC.pulledpork3D.gperftools答案：B二、填空題Snort3是Cisco團(tuán)隊歷經(jīng)______年的時間，用C++重新設(shè)計的下一代IPS。答案：7Snort3的TCP處理相比Snort2有了顯著的______。答案：重寫Snort3的規(guī)則頭中的協(xié)議、源目地址、端口和方向操作符在規(guī)則中是______的。答案：可選Snort3的插件系統(tǒng)中，用戶可以根據(jù)網(wǎng)絡(luò)情況進(jìn)行______設(shè)置。答案：自定義Snort3的______功能組件可以使Snort識別、控制和測量網(wǎng)絡(luò)上正在使用的應(yīng)用程序。答案：OpenAppIDSnort3的規(guī)則可以采用______格式，使規(guī)則更易于編寫和理解。答案：LUASnort3的______檢查器用于對解碼后的數(shù)據(jù)包進(jìn)行錯誤檢測和預(yù)處理。答案：InspectorSnort3的______組件可以用于下載和合并Snort規(guī)則集。答案：PulledPorkSnort3安裝包中，______是提高Snort性能、減少內(nèi)存使用的工具集。答案：gperftoolsSnort3的______版本是免費提供的規(guī)則集。答案：Community三、判斷題Snort3，也稱為Snort++，是由Cisco團(tuán)隊用C語言重新設(shè)計的。答案：錯誤。Snort3是由Cisco團(tuán)隊用C++重新設(shè)計的。Snort3的規(guī)則語法比Snort2更復(fù)雜。答案：錯誤。Snort3的規(guī)則語法更簡潔，方便用戶創(chuàng)建規(guī)則，減少規(guī)則冗余。Snort3只能安裝在KaliLinux上。答案：錯誤。Snort3可以手動編譯安裝在多種基于Linux的操作系統(tǒng)上，如Kali、CentOS、FreeBSD等。Snort3的規(guī)則不能采用LUA格式。答案：錯誤。Snort3的規(guī)則可以采用LUA格式，并且規(guī)則語法更簡潔。Snort3沒有使用插件系統(tǒng)。答案：錯誤。Snort3使用了超過200個插件的完整插件系統(tǒng)。Snort3的TCP處理與Snort2完全相同。答案：錯誤。Snort3重寫了TCP處理。Snort3不能識別網(wǎng)絡(luò)上正在使用的應(yīng)用程序。答案：錯誤。通過安裝OpenAppID等功能組件，Snort3能夠識別網(wǎng)絡(luò)上正在使用的應(yīng)用程序。Snort3沒有性能監(jiān)視器。答案：錯誤。Snort3使用了新的性能監(jiān)視器和新的時間和空間分析方法。Snort3的檢查器（Inspector）與Snort2的預(yù)處理器功能完全不同。答案：錯誤。Snort3的檢查器功能相當(dāng)于Snort2的預(yù)處理器，用于對解碼后的數(shù)據(jù)包進(jìn)行錯誤檢測和預(yù)處理。Snort3有2中類別的規(guī)則可供使用。答案：錯誤。Snort3有免費版（Community）、注冊版（Registered）、收費版（Subscription）三類規(guī)則。安裝Snort3不需要更新系統(tǒng)。答案：錯誤。在安裝Snort3之前，通常建議更新系統(tǒng)以確保兼容性和安全性。Snort3不能識別網(wǎng)絡(luò)上正在使用的應(yīng)用程序。答案：錯誤。通過安裝OpenAppID等功能組件，Snort3能夠識別網(wǎng)絡(luò)上正在使用的應(yīng)用程序。Snort3不支持將告警信息寫入JSON格式的文本文件。答案：錯誤。Snort3支持啟用JSON輸出插件，將告警信息寫入JSON格式的文本文件。Snort3不能自動在系統(tǒng)啟動時運行。答案：錯誤?？梢酝ㄟ^配置自啟動腳本，使Snort3在系統(tǒng)啟動時自動運行。Snort3只能用于檢測ICMP流量。答案：錯誤。Snort3可以檢測多種網(wǎng)絡(luò)流量和協(xié)議，不僅限于ICMP。四、簡答題簡述Snort3與Snort2的主要區(qū)別。答案：Snort3采用了全新的C++設(shè)計，具有更高的性能、更快的處理速度、更好的可擴展性和可用性。Snort3的規(guī)則語法更簡潔，使用了超過200個插件的完整插件系統(tǒng)，并重寫了TCP處理。此外，Snort3還改進(jìn)了共享對象規(guī)則，包括為零日漏洞添加規(guī)則的能力，并使用了新的性能監(jiān)視器和新的時間和空間分析方法。Snort3的規(guī)則可以采用哪些格式？答案：Snort3的規(guī)則可以采用傳統(tǒng)的Snort規(guī)則格式，也可以采用LUA格式。LUA格式的規(guī)則語法更簡潔，方便用戶創(chuàng)建規(guī)則，減少規(guī)則冗余。如何安裝Snort3？答案：Snort3目前只有源碼版，可以手動編譯安裝在基于Linux的操作系統(tǒng)上，如Kali、CentOS等。安裝過程包括系統(tǒng)更新、安裝依賴包、下載并編譯Snort3源碼等步驟。Snort3的檢查器（Inspector）有哪些功能？答案：Snort3的檢查器功能相當(dāng)于Snort2的預(yù)處理器，用于對解碼后的數(shù)據(jù)包進(jìn)行錯誤檢測和預(yù)處理，方便檢測引擎的檢測。Snort3內(nèi)置了一些常用的檢查器，如normalize、stream5、http_inspect等，用戶可以根據(jù)需要有選擇地使用，也可根據(jù)添加自定義的檢查器。Snort3有哪些可選的功能組件或第三方軟件可以增強其功能？答案：Snort3有很多可選的功能組件或第三方的軟件可以增強其功能，如OpenAppID（使Snort能夠識別網(wǎng)絡(luò)上正在使用的應(yīng)用程序）、PulledWork（管理Snort規(guī)則集的工具）、Splunk（SIEM工具，可對信息進(jìn)行統(tǒng)一、實時的監(jiān)控和分析）等。簡述Snort3的規(guī)則匹配過程。答案：Snort3的規(guī)則匹配過程包括捕獲數(shù)據(jù)包、解碼數(shù)據(jù)包、預(yù)處理數(shù)據(jù)包、規(guī)則匹配和報警輸出等步驟。首先，Snort3使用數(shù)據(jù)包捕獲庫捕獲網(wǎng)絡(luò)上的數(shù)據(jù)包；然后，使用解碼器對數(shù)據(jù)包進(jìn)行解碼；接著，使用預(yù)處理器對解碼后的數(shù)據(jù)包進(jìn)行預(yù)處理；之后，將預(yù)處理后的數(shù)據(jù)包與規(guī)則庫中的規(guī)則進(jìn)行匹配；最后，如果數(shù)據(jù)包匹配到規(guī)則，則根據(jù)規(guī)則定義的動作進(jìn)行報警輸出。Snort的工作流程是怎樣的？答案：Snort的工作流程包括調(diào)用初始化函數(shù)、獲取數(shù)據(jù)源、獲取數(shù)據(jù)包、啟動抓包流程等步驟。捕獲到的數(shù)據(jù)包會經(jīng)過包解碼器、預(yù)處理器、檢測引擎等模塊的處理，最終根據(jù)檢測規(guī)則進(jìn)行報警或記錄。如何配置Snort3以使用自定義規(guī)則？答案：可以通過編輯Snort3的配置文件（如snort.lua），并在其中包含自定義規(guī)則文件的路徑來配置Snort3以使用自定義規(guī)則。然后，在啟動Snort3時指定該配置文件和自定義規(guī)則文件。Snort3的檢查器有哪些常用類型？答案：Snort3的檢查器（Inspector）常用類型包括normalize、stream5、http_inspect、http2_inspect、RPCDecode、bo、smtp、arpspoof、ssh、dce、dns、ssl、sip、imap、pop、modbus、dnp3等。簡述Snort3的PulledWork功能。答案：PulledWork是Snort3中的一個功能組件，用于管理Snort規(guī)則集。它可以幫助用戶更方便地更新、組織和優(yōu)化規(guī)則集，從而提高Snort3的檢測效率和準(zhǔn)確性。如何在Snort3中啟用JSON輸出插件？答案：要在Snort3中啟用JSON輸出插件，需要在Snort