《入侵檢測與防御原理及實踐（微課版）》-習題 第3章 CISCO IPS 習題

一、選擇題在IPS的部署位置上，若企業(yè)要求上網(wǎng)優(yōu)先，通常選擇哪種部署方式？A.核心網(wǎng)絡B.企業(yè)網(wǎng)絡出口邊界（外部）C.側(cè)掛式D.內(nèi)聯(lián)在防火墻之后標準答案：CIPS初始化時，啟動WEB服務并允許HTTPS管理的命令是什么？A.serviceweb-serverenable-tlsB.servicehttps-serverenableC.sensor(config)#serviceweb-server；sensor(config-web)#enable-tlstrueD.enableweb-servicehttps標準答案：CIPS策略配置中包含哪些內(nèi)容？（多選）A.特征定義（SignatureDefinitions）B.事件動作規(guī)則（EventActionRules）C.VLAN配置D.防火墻規(guī)則標準答案：A,B下列哪個引擎用于檢測木馬程序的網(wǎng)絡流量？A.ATOMICEngineB.TROJANEngineC.SERVICEEngineD.METAEngine標準答案：B在配置SIG的告警頻率時，哪個參數(shù)用于設置在指定時間內(nèi)湊足指定事件數(shù)后告警？A.EventcounterB.SpecifyAlertIntervalC.SummarizeD.Alertfrequency標準答案：BIPS中的RiskRating（RR）計算不包括以下哪個因素？A.告警的嚴重級別（ASR）B.目標價值率（TVR）C.防火墻規(guī)則匹配度（FWR）D.SIG真實度（SFR）標準答案：CAD（AnomalyDetection）特性使用哪個概念來降低漏報機率？A.VLANB.ZoneC.SubnetD.Interface標準答案：B在CiscoIPS中，哪種特征引擎用于檢測非標準流量或異常流量？A.ATOMIC引擎B.SCAN引擎C.META引擎D.TROJAN引擎標準答案：B下列哪個特征引擎主要用于關聯(lián)事件來產(chǎn)生某種告警？A.ATOMIC引擎B.META引擎C.NORMALIZER引擎D.SERVICE引擎標準答案：B在CiscoIPS中，用于規(guī)范化流量的引擎是？A.TROJAN引擎B.NORMALIZER引擎C.SWEEP引擎D.ATOMIC引擎標準答案：B哪種特征引擎可以對FTP與HTTP協(xié)議進行徹底的流量分析？A.ALC引擎B.SCAN引擎C.TROJAN引擎D.META引擎標準答案：A下列哪個參數(shù)不是所有特征的普通參數(shù)？A.告警嚴重級別B.SIG真實度C.規(guī)范化功能D.雜合增量標準答案：CRiskRating（RR）的計算中，哪個因素代表了目標設備的重要性？A.ASRB.SFRC.TVRD.PD標準答案：C在CiscoIPS中，默認的事件動作規(guī)則策略名稱是什么？A.rules0B.default_rulesC.standard_rulesD.event_rules標準答案：A哪個參數(shù)在配置特征時，用于指定告警間隔時間？A.SpecifyAlertIntervalB.EventCounterC.AlertFrequencyD.SummarizeKey標準答案：A在CiscoIPS的ADzones配置中，哪個zone用于設置內(nèi)部及外部均不可能出現(xiàn)的網(wǎng)段？A.InternalZoneB.ExternalZoneC.IllegalZoneD.DMZZone標準答案：C下列哪個動作不屬于CiscoIPS特征的事件動作？A.ProducealertB.LogattackerpacketsC.RequestSNMPtrapD.ResetTCPconnection標準答案：D二、填空題IDS不能阻止______（一種網(wǎng)絡數(shù)據(jù)包類型），也不能阻止一個連接。標準答案：初始化包在VLAN組模式中，每個物理接口或內(nèi)部接口都可以分成為______子接口。標準答案：VLAN組IPS初始化時，需要利用代碼初始化并通過______管理IPS。標準答案：IDM在配置IPS接口時，需要激活監(jiān)控接口并關聯(lián)到______。標準答案：virtualsensorCiscoIPS中的______引擎用于提供事件的關聯(lián)。標準答案：METAEngine在配置SIG的eventcounter時，如果設置為10，則表示需要______個事件才會有一個告警。標準答案：10IPS中的RiskRating（RR）是一個0到______的數(shù)值，用來量化網(wǎng)絡在一個特定事件的風險程度。標準答案：100在配置Blocking技術時，IPS可以通過網(wǎng)管口登陸______等外部設備實現(xiàn)流量控制。標準答案：ASA、ROUTER、SWITCH6500等AD特性使用______的概念，通過把網(wǎng)絡劃分為不同的zone，降低漏報的機率。標準答案：zoneCiscoIPS使用特征引擎，通過查找相似的特征，檢查網(wǎng)絡流量的入侵行為。其中，______引擎對每個IP包內(nèi)的特定字段進行匹配。標準答案：ATOMIC在CiscoIPS中，特征引擎的分類包括META、NORMALIZER、ATOMIC以及______等。標準答案：SERVICE（或其他具體引擎，如SCAN、TROJAN等，但根據(jù)提供的資料，SERVICE是明確提到的另一個分類）RiskRating（RR）是一個0到100的數(shù)值，用來量化網(wǎng)絡在一個特定事件的風險程度。該值越高，風險越______，告警重要程度越______。標準答案：大；高在配置CiscoIPS的特征時，可以通過設置______參數(shù)來指定在多長時間內(nèi)湊足一定數(shù)量的事件后才會觸發(fā)告警。標準答案：SpecifyAlertIntervalCiscoIPS的______特性使用zone的概念，將網(wǎng)絡劃分為不同的zone，以降低漏報的機率。標準答案：ADzones在CiscoIPS中，為了計算RR值，需要知道是否有關聯(lián)上目標操作系統(tǒng)，這通常通過檢測TCP報文的______和ACK包的特定字段來判斷。標準答案：SYNCiscoIPS的事件動作規(guī)則允許用戶根據(jù)RiskRating（RR）的值來增加或減少事件動作，其中RR值的計算公式為：B=(A*T*______)/10000+B-P+W。標準答案：100（注意，這里的100是公式中的常數(shù)部分，用于計算ASR和TVR的乘積的縮放）在CiscoIPS的AD配置中，LearningAcceptMode是一種學習模式，它設置學習的開始時間及學習時長，以學習一個______。標準答案：基準線（或“正常流量模式”）三、判斷題CISCOIDS能夠阻止初始化包和整個連接。答案：錯。CISCOIPS不能阻止初始化包，也不能阻止一個連接，比較容易逃避檢查。VLAN組模式允許傳感器模擬多接口，即使傳感器只有幾個物理接口。答案：對。VLAN組模式允許傳感器模擬多接口，傳感器可以只有幾個接口，但看上去擁有很多個接口。CISCOIPS通常部署在流量巨大的核心網(wǎng)絡上。答案：錯。IPS不太可能部署在流量巨大的核心網(wǎng)絡，一般IPS會放在企業(yè)網(wǎng)絡出口邊界。在邊界上部署IPS時，內(nèi)外一起放置是最佳實踐。答案：錯。雖然有錢可以內(nèi)外一起放，但一般情況只需要一個就足夠了。IPS的VLAN對模式需要對每個VLAN對進行單獨的策略配置。答案：錯。VLAN組模式提供對同一傳感器應用多個策略的能力，但不一定需要對每個VLAN對進行單獨的策略配置。IPS的SERVICE引擎可以檢測所有類型的服務流量。答案：錯。TRAFFIC引擎可以檢測ICMPTUNNEL和80端口的TELNET流量異常。答案：對。TRAFFIC引擎可以檢測非標準流量或異常流量，如ICMPTUNNEL和80端口的TELNET。IPS的NORMALIZER引擎用于規(guī)范化流量，保障IPS告警更準確。答案：對。NORMALIZER引擎可以規(guī)范化流量，以保障IPS告警更準確。CISCOIPS的告警頻率和事件計數(shù)器是獨立的配置參數(shù)。答案：對。告警頻率和事件計數(shù)器是IPS中獨立的配置參數(shù)，用于控制告警的觸發(fā)條件和頻率。AD（異常檢測）組件在學習模式下也會進行流量檢測。答案：錯。AD組件在學習模式下不會進行流量檢測，而是在最初的24小時內(nèi)記錄網(wǎng)絡正常情況，創(chuàng)建基準線。CiscoIPS的特征引擎SignatureEngine中，每個引擎的特殊參數(shù)和普通參數(shù)都相同。答案：錯誤。每個引擎的特殊參數(shù)不同，普通參數(shù)所有引擎都相同。ATOMIC引擎可以匹配單個IP包內(nèi)的特定字段，如ICMP請求的類型值。答案：正確。ATOMIC引擎能夠?qū)σ粋€單一的IP包內(nèi)的特定字段進行匹配，例如ICMP請求的類型值。SERVICE引擎是針對特定的應用層服務的攻擊進行監(jiān)測的。答案：正確。SERVICE引擎專門用于監(jiān)測針對特定應用層服務的攻擊，如MSSQL、NTP等。SWEEP引擎主要用于檢測網(wǎng)絡掃描，它能夠發(fā)現(xiàn)所有類型的掃描攻擊。答案：錯誤。SWEEP引擎主要用于檢測網(wǎng)絡掃描，但并非能夠發(fā)現(xiàn)所有類型的掃描攻擊，特別是特殊掃描可能難以被檢測。META引擎用于提供事件的關聯(lián)，它不處理數(shù)據(jù)。答案：正確。META引擎基于多個獨立特征，在很短的時間間隔內(nèi)以相關方式發(fā)生的事件進行關聯(lián)，不處理數(shù)據(jù)。TRAFFIC引擎可以檢測非標準流量或異常流量，如ICMPTUNNEL。答案：正確。TRAFFIC引擎能夠檢測非標準或異常流量，如ICMPTUNNEL等。AlCEngine（應用層監(jiān)控和控制引擎）只能對FTP協(xié)議進行流量分析。答案：錯誤。AlCEngine不僅能夠?qū)TP協(xié)議進行流量分析，還能對HTTP協(xié)議進行徹底的流量分析。NORMALIZEREngine規(guī)范化引擎可以配置IP和TCP標準化功能。答案：正確。NORMALIZEREngine可以配置IP和TCP標準化功能，為與IP和TCP標準化相關的特征事件提供配置。TROJANEngine只能檢測BO2K和TFN2K兩種木馬程序的網(wǎng)絡流量。答案：錯誤。TROJANEngine能夠檢測多種木馬程序的網(wǎng)絡流量，包括BO2K和TFN2K，但不僅限于此。所有特征的普通參數(shù)都是相同的，但特殊參數(shù)（引擎參數(shù)）可能不同。答案：正確。所有特征的普通參數(shù)確實都是相同的，但特殊參數(shù)（即引擎參數(shù)）根據(jù)引擎的不同而有所不同。四、簡答題簡述CISCOIPS的VLAN組模式的特點。答案：VLAN組模式允許每個物理接口或內(nèi)部接口被分成為VLAN組子接口，每個特定的子接口上包含一組VLAN。該模式提供對同一傳感器應用多個策略的能力，允許傳感器模擬多接口，即使傳感器只有幾個物理接口。在配置CISCOIPS時，為什么需要注意IPS的處理流量限制？答案：IPS處理流量是有限制的，如果部署在流量超過其處理能力的網(wǎng)絡上，IPS可能無法正常工作或?qū)е戮W(wǎng)絡性能下降。因此，在配置CISCOIPS時，需要注意其處理流量限制，并根據(jù)實際情況選擇合適的部署位置和模式。描述CISCOIPS的SERVICE引擎的功能。答案：SERVICE引擎是CISCOIPS中的一個特征引擎，用于檢測特定類型的服務流量。它可以識別并處理來自不同服務的網(wǎng)絡流量，如HTTP、FTP、SMTP等。通過配置SERVICE引擎，IPS可以針對這些服務流量進行監(jiān)控和告警，從而提高網(wǎng)絡的安全性。簡述CISCOIPS的事件動作重寫（EventActionOverrides）的作用。答案：事件動作重寫（EventActionOverrides）允許用戶根據(jù)RiskRating（風險等級）的值來增加或減少事件動作。通過配置事件動作重寫策略，用戶可以對IPS的調(diào)整進行更精細的控制，以適應不同的安全需求和場景。例如，可以根據(jù)RR值的不同范圍來定義不同的動作，如丟棄報文、告警等。簡述CiscoIPS中特征引擎SignatureEngine的分類及其主要功能。答案：CiscoIPS中的特征引擎SignatureEngine主要包括ATOMIC、SERVICE、SWEEP、META、TRAFFIC、AlC、NORMALIZER、TROJAN等。它們分別用于匹配單個IP包內(nèi)的特定字段、監(jiān)測特定應用層服務的攻擊、檢測網(wǎng)絡掃描、提供事件的關聯(lián)、檢測非標準或異常流量、對FTP與HTTP協(xié)議進行流量分析、規(guī)范化流量以及檢測木馬程序的網(wǎng)絡流量等功能。什么是META引擎，并簡述其在CiscoIPS中的作用。答案：META引擎是基于多個獨立特征，在很短的時間間隔內(nèi)以相關方式發(fā)生的事件進行關聯(lián)的引擎。它在CiscoIPS中不處理數(shù)據(jù)，主要用于關聯(lián)一些事件來產(chǎn)生某種告警，幫助管理員更好地理解網(wǎng)絡中的安全事件。簡述NORMALIZEREngine的主要功能及其配置選項。答案：NORMALIZERE