《開源安全運維平臺OSSIM疑難解析：提升篇》課後習題

時間 2019-11-06

標籤開源安全平臺 ossim 疑難解析提升課後習題欄目系統安全简体版

原文原文鏈接

《開源安全運維平臺OSSIM疑難解析：提升篇》

課後習題php

1、多項選擇題 OSSIM企業運維疑難問題解析-提升篇

1.爲了在OSSIM前端能顯示豐富的圖形，系統中必須安裝庫，它是一種圖形庫，可讓PHP繪製各類圖形，可以建立Jpg、PNG和BMP圖像。前端

A．Zlib B.GD C.Glibcpython

2.下列選項中屬於HIDS優點的選項包括（ ），屬於HIDS侷限性包括（ ）。mysql

A.HIDS須要將代理程序部署到要監視的每一個主機，部署繁瑣。jquery

B.HIDS不能檢測網絡偵察或掃描ios

C.HIDS能夠檢測到***是否成功redis

D.HIDS監視系統活動算法

E.HIDS可檢測文件或應用程序的變化sql

3.下列選項中屬於NIDS優點的是（ ），屬於NIDS侷限性是（ ）。數據庫

A.若是部署得當NIDS能監視整個網絡的流量

B.因爲NIDS只分析網絡流量副本，幾乎不會影響網絡性能。

C. NIDS能夠分析加密流量

D.NIDS沒法分析加密流量

E.NIDS須要常常升級簽名（已知***）和規則

F.NIDS須要特定的配置來接受流量副本

G.NIDS沒法阻止***

4.NIDS中外部引用用來加入新的外部參考系統，下列數據源中（ ）使用了外部引用。

A . Snort B . syslog C.Alienvault OTX D.SSH

5.命令suricata --list runmodes的做用是( )。

A .查看全部運行方式 B. 查看Suricata運行狀態

6.OSSIM 4.15系統中，下列組件不屬於嗅探類軟件的是( ) 。

A.snort B .ntop C netflow D nfsen E syslog

7. 爲了提升libpcap處理數據包的效率，OSSIM 2.3平臺上採用了基於零拷貝思想的( ) 機制，因爲這種機制避免了屢次內存複製並減小CPU的干預，故能夠在高速網環境下進行數據抓包分析。

A.PF_RING B.NAPI C.DMA

8.手動安裝IDS系統過程當中爲了實如今WebUI瀏覽Snort報警須要經歷九個安裝環節，除去安裝虛擬機和操做系統之外，請按安裝順序依次在圖1中的A~G標誌中選擇相應軟件包的名稱（順序顛倒則沒法經過編譯）。循序（ ）

圖1 Snort安裝階梯

A.BASE B.Apache PHP C.bardyard2 D.MySQL

E.Snort F. libdnet G. DAQ

9.網絡探測化技術能夠分爲兩類: 主動探測和被動探測，主動探測是經過主動掃描來檢查監聽服務的存在主動探測的優勢是掃描快速和結果完整，例如 程序;被動探測通常經過網絡嗅探來提取服務端相關信息，例如 程序。

A.Nmap B.p0f C.prads D.traceroute

10.snort規則中由reference選項定義所支持的外部系統，這些網址的內容保存在文件 中。

A . /etc/snort/reference.config B /etc/snort/snort.conf C /etc/snort.conf

11.當Suricata檢測到一個可疑數據包時，根據事先設定的規則將整個數據包以（）的方式存儲到文件中，目前已經支持（IPv4）、（IPv6）的數據包。其輸出格式能夠被（）程序處理。該程序能夠將Suricata輸出的內容存儲到數據庫中。

A. 文本 B.二進制 C. JSON D. XML

E . Barnyard2 F . Barnyard

12．如下是OSSIM 5.5系統中Suricata的一段配置文件路徑：/etc/suricata/suricata.yaml

第190~192，這3行配置文件的做用是（）。

A．保存全部數據包，最大爲1GB B.最大能分析1GB的數據包 C .支持最大網絡帶寬爲1GB

13.Suricata打開alert-debug功能後會產生什麼影響？（）

A．對系統無任何影響 B.會致使檢測時生成大量信息，使系統處理性能降低

14.OSSIM 5系統中NIDS由Suricata 3.2程序負責，其配置文件位於（ ）。

A . /etc/suricata/suricata.yaml B./etc/suricata.yaml

15.OSSIM 5中Surciata默認的抓包方式爲（ ）模式。

A. AF_PACKET B. IPFW C. PF_RING

16.命令suricata -c /etc/suricata/suricata.yaml -i eth0的做用是讓Suricata以（ ）模式啓動。

A.IDS B. IPS C.DMZ

17.命令suricata --list-runmodes的做用是（ ）。

A．列出Suricata全部運行模式 B.列出Suricata運行參數

18.用（ ）命令能夠查看Suricata配置信息。

A．suricata --build-info B． suricata –V

19.Suricata報警輸出文件存儲在（ ）文件。

A．/var/log/suricata/unified2.alert B. /var/log/auth.log C . /var/log/suricata/

20．分佈式OSSIM系統中在（ ）端使用命令行（ ）能夠查看各個ossec agent工做狀態

A.server B.sensor C./var/ossec/bin/agent_control –lc D./etc/init.d/ossec status

21.OSSIM系統中OSSEC模塊將日誌存儲在 。

A . /var/ossec/logs/alerts/ B . /var/log/ossim/

22. OSSEC Server與Agent之間通訊端口爲 。

A.TCP 1514 B.UDP 1514 C.UDP 514

23.若要捕獲OSSEC Server與Agent之間的通訊，下列（ ）命令可實現。

A．ngrep –q –d any port 1514 B.tcpdump

24.爲了在一臺Windows 2008 Server上安裝ossec agent，請根據下列選項按順序寫出正確的步驟：

A．在OSSEC官網下載Agent程序

B.將程序進行安裝

C.在WebUI上environment→detection

D選擇Agents，並選擇ADD AGENT按鈕輸入名稱和Windows 2008的IP地址

E.Extract key

F .將key複製到agent ossec G.單擊Download preconfigured agent for Windows按鈕

25.圖2中箭頭所示處經過Web UI自動部署HIDS Agent，只能在下列（）系統中安裝成功。

A.Linux B.Windows 2000 C .UNIX

圖2 部署HIDS Agent

26.OpenVAS採用「openvas-nvt-sync」命令升級漏洞庫時主要利用的是命令同步漏洞庫信息。

A.HTTP B. FTP C.sync D.Rsync E.SMB F.NFS

27.圖3中OSSIM Server和Sensor組成了一套分佈式監控系統，如今須要對LAN上的各臺服務器進行漏洞掃描，下列選項中是最合適的OpenVAS服務器。

A．192.168.11.160 B . 192.168.11.29

圖3 OSSIM掃描拓撲

28.下列選項中不屬於OpenVAS服務器端5大功能模塊的是（）。

A主控模塊 B.認證模塊 C.日誌模塊 D.掃描模塊 E.加密模塊 F.漏洞同步模塊

29.OSSIM中OpenVAS掃描器使用的證書是（）建立。

A．在安裝OSSIM期間由Openvas-mkcert命令 B.在安裝OSSIM以後由管理員手動

30.如今須要對網段192.168.0.0/16內的服務器進行端口掃描，應選用 ( ) 工具。

A.nmap B. OpenVAS C.Nessus

31.用戶須要將編寫的OpenVAS插件cross_scrip.nasl，放入系統進行檢測，首先將該插件複製到（）目錄下，加載插件，最後經過（）命令重建插件數據庫。

A．openvasmd –rebuild B./etc/init.d/openvas restart C ./var/lib/openvas/plug×××/

32.Openvas漏洞腳本採用語言編寫。

A．XML B .NASL C ASCII

33爲了提升OSSIM中OpenVAS漏洞掃描效率，採用功能，實現腳本經過專用的高速通道來推送消息。

A Redis的Pub/Sub B.memcache緩存 C.squid反向代理

34.在OpenVAS輸出報表中用不一樣的顏色將漏洞重要程度進行分級，請問在OSSIM系統中很是嚴重（Serious）的漏洞用顏色表示。

A．紫色 B.紅色 C.黑色 D.綠色

35.下列（）命令能夠控制openvas-redis功能。

A. alienvault-redis-server-openvas B .redis

36.用Nessus進行漏洞掃描內存佔用分爲（）兩部分，內存動態變化的，大小取決於同時運行的掃描線程數量，掃描線程越多，內存消耗（）。

A．前端管理配置和後臺進程的內存佔用

B．加載到內存的掃描插件所佔用的內存

C． GUI界面所佔用的內存

D．不變

E．越大

37.下面那條命令能夠將RabbitMQ運行狀態報告輸出到文件。（）

A．rabbitmyctl report >/root/filename

B．rabbit reportlist > /root/filename

38.下列命令能夠檢測本地OSSIM服務器Memcache端口是否在監聽。

A telnet 127.0.0.1 11211 B.ping 127.0.0.1

39.RabbitMQ採用了語言編寫的AMQP服務器。

A．Erlang B.XML C.Python

40.下列選項中不屬於OSSIM緩存系統的是。

A．Redis B.memcached C.squid D.samba

41.下列選項中（）屬於內存持久化數據庫。

A．Redis B.memcache C .MySQL D .Squid

42.下列選項中不是OSSIM內置數據庫。

A.SQLite B.Redis C.MySQL D mongoDB E.PostgreSQL F hbase

43. Redis運行高效的緣由是（）。

A.全部數據都在內存

B.Redis和OSSIM Server 之間沒有網絡延遲

C.Redis避免了線程切換的消耗

D.Redis採用C語言開發

44.在OSSIM平臺中的（）都模塊採用了Redis技術。

A．日誌消息隊列 B. Openvas漏洞掃描器 C.OTX D . nmap

45.查看Redis服務器統計信息是（）。

A．redis_cli info B. redis_cli -v

46.RabbitMQ通訊端口爲（）。

A.TCP 5672 B.UDP 5672 C.UDP 12001

47.下列哪一種方式中不能用於日誌收集的是（ ）。

A．文本方式 B.SNMP Trap方式 C.Syslog D.代理程序 E.端口鏡像方式

48.日誌服務器IP地址爲192.168.11.1，下列rsyslog.conf中（ )配置是實現UDP協議轉發，（ ）配置實現TCP協議轉發。

A . *.warning @192.168.11.1:514

B. *.warning @@192.168.11.1:514

C *.warn @192.168.11.1:1514

49. Syslog每條消息最大長度爲( )，一千萬條syslog日誌將約佔用（）磁盤空間。

A . 1019 byte B.100GB C.1TB D. 10GB

50.根據ISO 27001安全審計要求，原始日誌至少保存時間爲（）。

A．7天 B.1個月 C.90天 D.1年

51.下列選項中不屬於iptables日誌記錄形式的是（）。

A.log B. ulog C . nflog D dlog

52.Rsyslog （）多線程，它能夠經過（）協議實現Syslog日誌消息轉發和接收。

A．支持 B.不支持 C.TCP D.UDP E.IP

53.OSSIM關聯策略配置文件位於（）。

A ./etc/ossim/server/config.xml B ./etc/ossim/agent/config.xml

54.下列風險Risk計算公式正確的是( )

A Risk=（asset*priority*reliability）/25 B Risk=asset*priority*reliability/25

55. 資產Asset 的取值範圍爲 ( )，asset默認值爲2， Asset值（），對資產影響越大，受重視程度越高。優先級Priority 的取值範圍爲( )，默認值爲 1，該參數描述一次成功***，所形成的危害程度，數值越大危害程度（）；可靠性Reliability 的取值範圍爲 ( )，默認值爲 1，其值（），表明越不可靠。

A．越高 B.越低 C.1~5 D.1~10

56．OSSIM下資產掃描分爲主動監測和被動監測掃描兩種，其中_ ___屬於主動檢測，_____屬於被動監測。

A．prads B.p0f C Nmap

57.現須要調整Risk的值，可經過設置______實現。

A .Pririty B.Reliability C.asset D.plugin_ID

58.如下命令的做用是（ ）。

#/etc/init.d/nagios3 restart

A 重啓Nagios服務 B 加載Nagios插件

59.如下命令的做用是（ ）

#nagios3 -v /etc/nagios3/nagios.cfg

A．檢驗Nagios配置是否正確

B．查看Nagios版本

C．加載Naigos服務

60.下列選項中不屬於RRD Tool繪圖流程的是（ ）。

A．建立RRD文件

B．更新RRD數據

C. 繪圖

D．刷新圖像

61.OSSIM系統的Nagios、Ntop、Munin以及Netflow子系統中圖像文件存儲在下列( )數據庫中

A .Redis B.RRD Tools C.MySQL

62.OSSIM系統中Nagios插件位於（）。

A．/usr/lib/nagios/plug×××/

B． /etc/nagios/plug×××/

C. /etc/agent/plug×××/

63.OSSIM 5.0 中爲了使Ntop分析數據包提升性能採用了技術。

A.PFRING B.libpcap C端口鏡像

64.Ntop將圖形數據存入數據庫中。

A.MySQL B.rrd C. Redis

65．Netflow數據是經過（）協議傳輸。

A．TCP B.IP C.UDP D.SAN

66.下列（）命令可實如今思科路由器上啓用NetFlow，並轉發送接收服務器192.168.100.1的555端口。

A．show ip cache flow

B．ip flow-export destination 192.168.100.1 555

67.在NetFlow模塊由中，( )用於數據採集、過濾及存儲，（）用於將藉口收集的數據轉化爲NetFlow格式，（）用於生成圖形化分析界面。

A. nfdump B. fprobe C . nfsen D. nfcapd E.nfprofile F.nfreplay

68.下列（）命令能夠快速查看fprobe進程及通訊端口。

A ps -ef |grep fprobe B netstat

69.混合方式安裝的OSSIM系統，默認由fprobe程序將收集的數據按照必定規則換爲Netflow格式，而後轉發到系統的（）端口。

A. 555 B.12000 C 12001

70.Prads 是被動實時資產檢測的簡稱，它採用（）獲取網絡資產信息，可實現資產信息監測服務。

A.數字指紋 B.日誌採集技術 C.全網掃描

71.PARDS程序可從嗅探到的數據包中分析MAC、TCP、UDP，再經過和本身所帶的指紋庫對比，從而獲得統一的狀態表。OSSIM中這種指紋庫文件存儲路徑爲 ___擴展名爲_______ 。

A /etc/prads B /etc/pads C .pf D XML

72.局域網爆發尼姆達蠕蟲病毒時，不能經過OSSIM_____功能感知到網絡異常行爲。

A.RAW log B.WebUI中儀表盤 C.NetFlow D.SIEM事件控制檯 E.Ntop

73.在分佈式環境中，抓取傳感器（IP地址爲192.168.11.29），如圖4所示。OSSIM服務器IP爲192.168.11.160，OSSIM傳感器IP爲192.168.11.29。

圖4 分佈式系統中選擇傳感器

圖4中的數據包，抓包文件位於（）。

A.OSSIM服務器 /var/ossim/traffice/目錄

B.傳感器192.168.11.29 /var/ossim/traffic/目錄

74 .在目錄/var/cache/nfdump/flow/live/下刪除NetFlow產生的過時數據（）影響查看NetFlow歷史流量信息。

A .會 B.不會 C.不肯定

75.OSSIM系統中源碼文件jquery.base64.js主要用途是（）。

A加密/解密 B.數據編碼

76.(___ )軟件包可讓Python支持MySQL數據庫。

A.python-mysqldb B.mysqldb

77.OSSIM系統中/usr/share/ossim/www/js/jquery.base64.js文件的做用是（）。

A.加密解密 B. 登陸系統時保存用戶名和密碼

78.OSSIM系統中/usr/share/ossim/www/js/jquery.cookie.js文件的做用是（）。

A.加密解密 B. 登陸系統時保存用戶名和密碼

79.須要查看系統加載了哪些PHP擴展模塊輸入命令。

A.php -m B . php -version

80. 爲了限制PHP上傳文件的大小能夠修改php.ini文件中的參數。

A. post_max_size B.upload_max_filesize

81.命令「php —ini」的做用是

A. 查找PHP CLI的ini文件位置 B. 初始化PHP程序

82.小張剛裝完OSSIM系統，當即在Web瀏覽器輸入服務器IP（假定爲a.b.c.d），https://a.b.c.d/，等了很長時間卻沒法打開Web界面，隨即採用w3m命令在命令行下檢測Web，

輸入命令：w3m https://a.b.c.d/後獲得如圖5所示界面。

圖5 w3m訪問OSSIM的界面

以上信息說明了這臺OSSIM平臺Web Server服務在（），爲了驗證還能夠採用（）命令。

A.中止狀態 B.啓動狀態 C.沒法判斷 D.netstat –na |grep 443 E.ps -ef |grep apache2

83.下列命令沒法實現命令行下訪問Web Server。

A https B .lynx C .w3m D.httpie

2、判斷題《開源OSSIM企業運維疑難問題解析》提升篇課後練習題

1.OSSIM 5中Suricata默認不支持PF_Ring。（）

2.命令「suricata --build-info」能夠查看Suricata工做模式（）

3.NIDS一般以混雜模式工做，經過監視網絡流量的副本。它經過將流量與已知***（也稱爲簽名）的數據庫進行比較或經過檢測流量模式中的異常來分析流量。若是被識別，則生成NIDS事件告警。（）

4.Snort能夠把它產生報警的全部封包內容徹底記錄下來。（）

5. 當Suricata工做在IDS模式下，可以使用drop操做的規則，這些丟掉的數據包信息就會存儲在drop.log文件中。（）

6.Suricata和snort都是單線程處理程序，只不過Suricata比Snort有更新的檢測規則。（）

7.Suricata在對流量檢測以前須要將全部的規則簽名加載到內存。（）

8.Suricata 啓用自帶的IPS功能就可攔截網絡中有害數據包。（）

9.經過vi /var/log/suricata/unified2.alert.1514956476命令能夠文本方式查看suricata日誌。（）

10.OSSEC日誌由純文本格式的文件組成。（）

11.OSSIM中HIDS數據經過在交換機設置端口鏡像（SPAN）獲取。（）

12.若Sensor系統重裝致使OSSEC Server的密鑰失效，那麼全部OSSEC Agent鏈接失效。（）

13.OSSIM Server防火牆規則中默認放行1514端口，故在Windows 7/8/2012 系統上安裝OSSEC Agent須要客戶端上無需關閉防火牆。（）

14．OpenVAS中的NASL是由***腳本組成，因此用OpenVAS進行測試就是網絡***行爲。（）

15.OSSIM系統中的OpenVas漏洞庫文件放置在/var/cache/openvas/目錄下。（）

16.在進行漏洞掃描過程當中X-scan的CPU佔用率相對於Nessus要低。（）

17.Redis利用消息隊列技術將並多個Sensor併發傳遞來的日誌消息變爲串行訪問，消除了MySQL數據庫串行控制的開銷。（）

18. OSSIM平臺下Redis採用單進程，單線程模式工做。（）

19．Memcached是具備身份驗證功能的緩存服務系統，它的多線程模式能夠充分利用CPU功能。（）

20. Memcached不具有身份驗證功能。（）

21.Rsyslog是Syslog的升級版實現了多線程傳輸日誌，Rsyslog能夠經過TCP/UDP協議實現syslgo日誌消息轉發和接收，但不支持多路日誌轉發，也就是不支持將同一條日誌轉發到兩臺日誌收集器 ( )。

22.syslog協議可將日誌以加密形式存儲。（）

23.OSSIM關聯指令規則不能夠遞歸但能夠嵌套。（）

24. 在OSSIM系統運行以前，必須爲已知的***場景創建對應的樹形規則集，在啓動時，系統將預先定義好的指令讀入內存，在接收到一個事件後，先將該事件與以前已經匹配，而尚未匹配完的指令中的規則進行匹配，而後在與其餘規則匹配。（）

25. 資產掃描時因爲指紋庫不全會出現掃描的操做系統和實際操做系統版本不一致的狀況 ( )

26. 當事件的風險值Risk大於等於1時，SIEM控制檯會將Alert升級爲Alarm（）

27.在菜單Configuration→Threat Intelligence→DataSource中能夠調整可靠性和優先級的值（）

28. 關聯引擎（Server）是OSSIM安全集成管理系統的核心部分，它支持分佈式運行，負責將Agents傳送來的歸一化安全事件進行關聯，並對網絡資產進行風險評估。（）

29.爲監控資產可靠性可在Sensor上調整配置Nagios的conf文件。（）

30.Ntop中產生的網絡流向圖，名爲network_map.png，每120秒被刷新一次（）

31.在OSSIM中能夠經過命令「service netflow restart」重啓NetFlow服務。（）

32.OSSIM系統中使用Nmap和Netflow工具，它們主要區別是Nmap發出的雙向交互流量信息，而Netflow是被動接收單向流量並採集（）

33.NetFlow流量監測能夠發現SQL注入、HTTP Get、Sync flooding網絡***。（）

34.NetFlow選用簡單高效UDP傳輸協議方式，但數據傳輸的可靠性是不保證（）

35.Netflow接收數據採用UDP協議，sFlow協議採用TCP協議，端口爲6343。（）

36.基於NetFlow流量採集，因爲經過軟件算法實現，使用過程當中對網絡帶寬影響很大（）

37.OSSIM平臺一腳本jquery.datatables.js具備自動分頁處理、即時表格數據過濾、數據排序以及數據類型自動檢測及自動處理列寬度的功能。（）

3、簡答題《開源OSSIM企業運維疑難問題解析》提升篇課後練習題

1. 當Snort檢測到匹配的數據包時，有幾種處理方式？

2.在/etc/snort/rules/local.rules文件添加一條檢測規則，爲什麼不生效？

3.Nginx支持Syslog日誌轉發功能嗎？

4.圖6中Risk風險數值如何計算出來？如何手動改變Risk值？

圖6 Risk風險數值 $說明: C:\Users\win\Documents\Tencent Files\101035730\Image\C2C\4B69762E1C2EABD081A1E8EF08EA76D3.jpg$

5. 風險評估三要素是什麼？

6.在下列給出一段的樹型關聯規則代碼實例中，如圖7所示，參數Occurrence表示什麼含義？

圖7 ***掃描指令示例

7.對於由OSSEC和Snort工具所產生的對同一***行爲的重複報警信息的採用什麼方法合併？

8.在儀表盤中Risk顯示的Risk Metric的C、A值表示什麼含義？

9.內網一臺郵件服務器資產值設定爲5，而Priority和Reliability的默認值設置爲3，試問這臺服務器Risk值爲多少？

10.調整了Nagios配置文件後，如何檢驗配置是否正確？

11. OSSIM平臺經過NetFlow採集的數據存放在什麼位置？

12.請解釋指定參數的含義。

OSSIM的Python環境下經過MySQLdb提供了connect方法用來鏈接數據庫，請正確填入下劃線參數的含義。

在/usr/share/ossim/scripts/checkEvents.py腳本中有以下語句

conn=MySQLdb.connect(host="localhost",user="dbUser",passwd="dbPass",db="snort"

解釋：

host:

user:

passwd:

db:

13．如何查看PHP信息？PHP配置文件在何處？

14.如何詳細瞭解OSSIM系統進程的網絡帶寬佔用狀況？

15.如何對OSSIM目錄大小進行排序？

16. 如何將tcpdump抓包存入文件?

17.分佈式OSSIM系統中，在分析遠程某個網段的數據包時，捕獲的pcap文件存儲在什麼位置？

18.將PHP模塊名稱和對於含義，用線段正確鏈接。

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。

《開源安全運維平臺OSSIM疑難解析：提升篇》 課後習題