《开源安全运维平台OSSIM疑难解析：提升篇》课后习题

时间 2019-11-06

标签开源安全平台 ossim 疑难解析提升课后习题栏目系统安全繁體版

原文原文链接

《开源安全运维平台OSSIM疑难解析：提升篇》

课后习题php

1、多项选择题 OSSIM企业运维疑难问题解析-提升篇

1.为了在OSSIM前端能显示丰富的图形，系统中必须安装库，它是一种图形库，可让PHP绘制各类图形，可以建立Jpg、PNG和BMP图像。前端

A．Zlib B.GD C.Glibcpython

2.下列选项中属于HIDS优点的选项包括（ ），属于HIDS局限性包括（ ）。mysql

A.HIDS须要将代理程序部署到要监视的每一个主机，部署繁琐。jquery

B.HIDS不能检测网络侦察或扫描ios

C.HIDS能够检测到***是否成功redis

D.HIDS监视系统活动算法

E.HIDS可检测文件或应用程序的变化sql

3.下列选项中属于NIDS优点的是（ ），属于NIDS局限性是（ ）。数据库

A.若是部署得当NIDS能监视整个网络的流量

B.因为NIDS只分析网络流量副本，几乎不会影响网络性能。

C. NIDS能够分析加密流量

D.NIDS没法分析加密流量

E.NIDS须要常常升级签名（已知***）和规则

F.NIDS须要特定的配置来接受流量副本

G.NIDS没法阻止***

4.NIDS中外部引用用来加入新的外部参考系统，下列数据源中（ ）使用了外部引用。

A . Snort B . syslog C.Alienvault OTX D.SSH

5.命令suricata --list runmodes的做用是( )。

A .查看全部运行方式 B. 查看Suricata运行状态

6.OSSIM 4.15系统中，下列组件不属于嗅探类软件的是( ) 。

A.snort B .ntop C netflow D nfsen E syslog

7. 为了提升libpcap处理数据包的效率，OSSIM 2.3平台上采用了基于零拷贝思想的( ) 机制，因为这种机制避免了屡次内存复制并减小CPU的干预，故能够在高速网环境下进行数据抓包分析。

A.PF_RING B.NAPI C.DMA

8.手动安装IDS系统过程当中为了实如今WebUI浏览Snort报警须要经历九个安装环节，除去安装虚拟机和操做系统之外，请按安装顺序依次在图1中的A~G标志中选择相应软件包的名称（顺序颠倒则没法经过编译）。循序（ ）

图1 Snort安装阶梯

A.BASE B.Apache PHP C.bardyard2 D.MySQL

E.Snort F. libdnet G. DAQ

9.网络探测化技术能够分为两类: 主动探测和被动探测，主动探测是经过主动扫描来检查监听服务的存在主动探测的优势是扫描快速和结果完整，例如 程序;被动探测通常经过网络嗅探来提取服务端相关信息，例如 程序。

A.Nmap B.p0f C.prads D.traceroute

10.snort规则中由reference选项定义所支持的外部系统，这些网址的内容保存在文件 中。

A . /etc/snort/reference.config B /etc/snort/snort.conf C /etc/snort.conf

11.当Suricata检测到一个可疑数据包时，根据事先设定的规则将整个数据包以（）的方式存储到文件中，目前已经支持（IPv4）、（IPv6）的数据包。其输出格式能够被（）程序处理。该程序能够将Suricata输出的内容存储到数据库中。

A. 文本 B.二进制 C. JSON D. XML

E . Barnyard2 F . Barnyard

12．如下是OSSIM 5.5系统中Suricata的一段配置文件路径：/etc/suricata/suricata.yaml

第190~192，这3行配置文件的做用是（）。

A．保存全部数据包，最大为1GB B.最大能分析1GB的数据包 C .支持最大网络带宽为1GB

13.Suricata打开alert-debug功能后会产生什么影响？（）

A．对系统无任何影响 B.会致使检测时生成大量信息，使系统处理性能降低

14.OSSIM 5系统中NIDS由Suricata 3.2程序负责，其配置文件位于（ ）。

A . /etc/suricata/suricata.yaml B./etc/suricata.yaml

15.OSSIM 5中Surciata默认的抓包方式为（ ）模式。

A. AF_PACKET B. IPFW C. PF_RING

16.命令suricata -c /etc/suricata/suricata.yaml -i eth0的做用是让Suricata以（ ）模式启动。

A.IDS B. IPS C.DMZ

17.命令suricata --list-runmodes的做用是（ ）。

A．列出Suricata全部运行模式 B.列出Suricata运行参数

18.用（ ）命令能够查看Suricata配置信息。

A．suricata --build-info B． suricata –V

19.Suricata报警输出文件存储在（ ）文件。

A．/var/log/suricata/unified2.alert B. /var/log/auth.log C . /var/log/suricata/

20．分布式OSSIM系统中在（ ）端使用命令行（ ）能够查看各个ossec agent工做状态

A.server B.sensor C./var/ossec/bin/agent_control –lc D./etc/init.d/ossec status

21.OSSIM系统中OSSEC模块将日志存储在 。

A . /var/ossec/logs/alerts/ B . /var/log/ossim/

22. OSSEC Server与Agent之间通讯端口为 。

A.TCP 1514 B.UDP 1514 C.UDP 514

23.若要捕获OSSEC Server与Agent之间的通讯，下列（ ）命令可实现。

A．ngrep –q –d any port 1514 B.tcpdump

24.为了在一台Windows 2008 Server上安装ossec agent，请根据下列选项按顺序写出正确的步骤：

A．在OSSEC官网下载Agent程序

B.将程序进行安装

C.在WebUI上environment→detection

D选择Agents，并选择ADD AGENT按钮输入名称和Windows 2008的IP地址

E.Extract key

F .将key复制到agent ossec G.单击Download preconfigured agent for Windows按钮

25.图2中箭头所示处经过Web UI自动部署HIDS Agent，只能在下列（）系统中安装成功。

A.Linux B.Windows 2000 C .UNIX

图2 部署HIDS Agent

26.OpenVAS采用“openvas-nvt-sync”命令升级漏洞库时主要利用的是命令同步漏洞库信息。

A.HTTP B. FTP C.sync D.Rsync E.SMB F.NFS

27.图3中OSSIM Server和Sensor组成了一套分布式监控系统，如今须要对LAN上的各台服务器进行漏洞扫描，下列选项中是最合适的OpenVAS服务器。

A．192.168.11.160 B . 192.168.11.29

图3 OSSIM扫描拓扑

28.下列选项中不属于OpenVAS服务器端5大功能模块的是（）。

A主控模块 B.认证模块 C.日志模块 D.扫描模块 E.加密模块 F.漏洞同步模块

29.OSSIM中OpenVAS扫描器使用的证书是（）建立。

A．在安装OSSIM期间由Openvas-mkcert命令 B.在安装OSSIM以后由管理员手动

30.如今须要对网段192.168.0.0/16内的服务器进行端口扫描，应选用 ( ) 工具。

A.nmap B. OpenVAS C.Nessus

31.用户须要将编写的OpenVAS插件cross_scrip.nasl，放入系统进行检测，首先将该插件复制到（）目录下，加载插件，最后经过（）命令重建插件数据库。

A．openvasmd –rebuild B./etc/init.d/openvas restart C ./var/lib/openvas/plug×××/

32.Openvas漏洞脚本采用语言编写。

A．XML B .NASL C ASCII

33为了提升OSSIM中OpenVAS漏洞扫描效率，采用功能，实现脚本经过专用的高速通道来推送消息。

A Redis的Pub/Sub B.memcache缓存 C.squid反向代理

34.在OpenVAS输出报表中用不一样的颜色将漏洞重要程度进行分级，请问在OSSIM系统中很是严重（Serious）的漏洞用颜色表示。

A．紫色 B.红色 C.黑色 D.绿色

35.下列（）命令能够控制openvas-redis功能。

A. alienvault-redis-server-openvas B .redis

36.用Nessus进行漏洞扫描内存占用分为（）两部分，内存动态变化的，大小取决于同时运行的扫描线程数量，扫描线程越多，内存消耗（）。

A．前端管理配置和后台进程的内存占用

B．加载到内存的扫描插件所占用的内存

C． GUI界面所占用的内存

D．不变

E．越大

37.下面那条命令能够将RabbitMQ运行状态报告输出到文件。（）

A．rabbitmyctl report >/root/filename

B．rabbit reportlist > /root/filename

38.下列命令能够检测本地OSSIM服务器Memcache端口是否在监听。

A telnet 127.0.0.1 11211 B.ping 127.0.0.1

39.RabbitMQ采用了语言编写的AMQP服务器。

A．Erlang B.XML C.Python

40.下列选项中不属于OSSIM缓存系统的是。

A．Redis B.memcached C.squid D.samba

41.下列选项中（）属于内存持久化数据库。

A．Redis B.memcache C .MySQL D .Squid

42.下列选项中不是OSSIM内置数据库。

A.SQLite B.Redis C.MySQL D mongoDB E.PostgreSQL F hbase

43. Redis运行高效的缘由是（）。

A.全部数据都在内存

B.Redis和OSSIM Server 之间没有网络延迟

C.Redis避免了线程切换的消耗

D.Redis采用C语言开发

44.在OSSIM平台中的（）都模块采用了Redis技术。

A．日志消息队列 B. Openvas漏洞扫描器 C.OTX D . nmap

45.查看Redis服务器统计信息是（）。

A．redis_cli info B. redis_cli -v

46.RabbitMQ通讯端口为（）。

A.TCP 5672 B.UDP 5672 C.UDP 12001

47.下列哪一种方式中不能用于日志收集的是（ ）。

A．文本方式 B.SNMP Trap方式 C.Syslog D.代理程序 E.端口镜像方式

48.日志服务器IP地址为192.168.11.1，下列rsyslog.conf中（ )配置是实现UDP协议转发，（ ）配置实现TCP协议转发。

A . *.warning @192.168.11.1:514

B. *.warning @@192.168.11.1:514

C *.warn @192.168.11.1:1514

49. Syslog每条消息最大长度为( )，一千万条syslog日志将约占用（）磁盘空间。

A . 1019 byte B.100GB C.1TB D. 10GB

50.根据ISO 27001安全审计要求，原始日志至少保存时间为（）。

A．7天 B.1个月 C.90天 D.1年

51.下列选项中不属于iptables日志记录形式的是（）。

A.log B. ulog C . nflog D dlog

52.Rsyslog （）多线程，它能够经过（）协议实现Syslog日志消息转发和接收。

A．支持 B.不支持 C.TCP D.UDP E.IP

53.OSSIM关联策略配置文件位于（）。

A ./etc/ossim/server/config.xml B ./etc/ossim/agent/config.xml

54.下列风险Risk计算公式正确的是( )

A Risk=（asset*priority*reliability）/25 B Risk=asset*priority*reliability/25

55. 资产Asset 的取值范围为 ( )，asset默认值为2， Asset值（），对资产影响越大，受重视程度越高。优先级Priority 的取值范围为( )，默认值为 1，该参数描述一次成功***，所形成的危害程度，数值越大危害程度（）；可靠性Reliability 的取值范围为 ( )，默认值为 1，其值（），表明越不可靠。

A．越高 B.越低 C.1~5 D.1~10

56．OSSIM下资产扫描分为主动监测和被动监测扫描两种，其中_ ___属于主动检测，_____属于被动监测。

A．prads B.p0f C Nmap

57.现须要调整Risk的值，可经过设置______实现。

A .Pririty B.Reliability C.asset D.plugin_ID

58.如下命令的做用是（ ）。

#/etc/init.d/nagios3 restart

A 重启Nagios服务 B 加载Nagios插件

59.如下命令的做用是（ ）

#nagios3 -v /etc/nagios3/nagios.cfg

A．检验Nagios配置是否正确

B．查看Nagios版本

C．加载Naigos服务

60.下列选项中不属于RRD Tool绘图流程的是（ ）。

A．建立RRD文件

B．更新RRD数据

C. 绘图

D．刷新图像

61.OSSIM系统的Nagios、Ntop、Munin以及Netflow子系统中图像文件存储在下列( )数据库中

A .Redis B.RRD Tools C.MySQL

62.OSSIM系统中Nagios插件位于（）。

A．/usr/lib/nagios/plug×××/

B． /etc/nagios/plug×××/

C. /etc/agent/plug×××/

63.OSSIM 5.0 中为了使Ntop分析数据包提升性能采用了技术。

A.PFRING B.libpcap C端口镜像

64.Ntop将图形数据存入数据库中。

A.MySQL B.rrd C. Redis

65．Netflow数据是经过（）协议传输。

A．TCP B.IP C.UDP D.SAN

66.下列（）命令可实如今思科路由器上启用NetFlow，并转发送接收服务器192.168.100.1的555端口。

A．show ip cache flow

B．ip flow-export destination 192.168.100.1 555

67.在NetFlow模块由中，( )用于数据采集、过滤及存储，（）用于将借口收集的数据转化为NetFlow格式，（）用于生成图形化分析界面。

A. nfdump B. fprobe C . nfsen D. nfcapd E.nfprofile F.nfreplay

68.下列（）命令能够快速查看fprobe进程及通讯端口。

A ps -ef |grep fprobe B netstat

69.混合方式安装的OSSIM系统，默认由fprobe程序将收集的数据按照必定规则换为Netflow格式，而后转发到系统的（）端口。

A. 555 B.12000 C 12001

70.Prads 是被动实时资产检测的简称，它采用（）获取网络资产信息，可实现资产信息监测服务。

A.数字指纹 B.日志采集技术 C.全网扫描

71.PARDS程序可从嗅探到的数据包中分析MAC、TCP、UDP，再经过和本身所带的指纹库对比，从而获得统一的状态表。OSSIM中这种指纹库文件存储路径为 ___扩展名为_______ 。

A /etc/prads B /etc/pads C .pf D XML

72.局域网爆发尼姆达蠕虫病毒时，不能经过OSSIM_____功能感知到网络异常行为。

A.RAW log B.WebUI中仪表盘 C.NetFlow D.SIEM事件控制台 E.Ntop

73.在分布式环境中，抓取传感器（IP地址为192.168.11.29），如图4所示。OSSIM服务器IP为192.168.11.160，OSSIM传感器IP为192.168.11.29。

图4 分布式系统中选择传感器

图4中的数据包，抓包文件位于（）。

A.OSSIM服务器 /var/ossim/traffice/目录

B.传感器192.168.11.29 /var/ossim/traffic/目录

74 .在目录/var/cache/nfdump/flow/live/下删除NetFlow产生的过时数据（）影响查看NetFlow历史流量信息。

A .会 B.不会 C.不肯定

75.OSSIM系统中源码文件jquery.base64.js主要用途是（）。

A加密/解密 B.数据编码

76.(___ )软件包可让Python支持MySQL数据库。

A.python-mysqldb B.mysqldb

77.OSSIM系统中/usr/share/ossim/www/js/jquery.base64.js文件的做用是（）。

A.加密解密 B. 登陆系统时保存用户名和密码

78.OSSIM系统中/usr/share/ossim/www/js/jquery.cookie.js文件的做用是（）。

A.加密解密 B. 登陆系统时保存用户名和密码

79.须要查看系统加载了哪些PHP扩展模块输入命令。

A.php -m B . php -version

80. 为了限制PHP上传文件的大小能够修改php.ini文件中的参数。

A. post_max_size B.upload_max_filesize

81.命令“php —ini”的做用是

A. 查找PHP CLI的ini文件位置 B. 初始化PHP程序

82.小张刚装完OSSIM系统，当即在Web浏览器输入服务器IP（假定为a.b.c.d），https://a.b.c.d/，等了很长时间却没法打开Web界面，随即采用w3m命令在命令行下检测Web，

输入命令：w3m https://a.b.c.d/后获得如图5所示界面。

图5 w3m访问OSSIM的界面

以上信息说明了这台OSSIM平台Web Server服务在（），为了验证还能够采用（）命令。

A.中止状态 B.启动状态 C.没法判断 D.netstat –na |grep 443 E.ps -ef |grep apache2

83.下列命令没法实现命令行下访问Web Server。

A https B .lynx C .w3m D.httpie

2、判断题《开源OSSIM企业运维疑难问题解析》提升篇课后练习题

1.OSSIM 5中Suricata默认不支持PF_Ring。（）

2.命令“suricata --build-info”能够查看Suricata工做模式（）

3.NIDS一般以混杂模式工做，经过监视网络流量的副本。它经过将流量与已知***（也称为签名）的数据库进行比较或经过检测流量模式中的异常来分析流量。若是被识别，则生成NIDS事件告警。（）

4.Snort能够把它产生报警的全部封包内容彻底记录下来。（）

5. 当Suricata工做在IDS模式下，可以使用drop操做的规则，这些丢掉的数据包信息就会存储在drop.log文件中。（）

6.Suricata和snort都是单线程处理程序，只不过Suricata比Snort有更新的检测规则。（）

7.Suricata在对流量检测以前须要将全部的规则签名加载到内存。（）

8.Suricata 启用自带的IPS功能就可拦截网络中有害数据包。（）

9.经过vi /var/log/suricata/unified2.alert.1514956476命令能够文本方式查看suricata日志。（）

10.OSSEC日志由纯文本格式的文件组成。（）

11.OSSIM中HIDS数据经过在交换机设置端口镜像（SPAN）获取。（）

12.若Sensor系统重装致使OSSEC Server的密钥失效，那么全部OSSEC Agent链接失效。（）

13.OSSIM Server防火墙规则中默认放行1514端口，故在Windows 7/8/2012 系统上安装OSSEC Agent须要客户端上无需关闭防火墙。（）

14．OpenVAS中的NASL是由***脚本组成，因此用OpenVAS进行测试就是网络***行为。（）

15.OSSIM系统中的OpenVas漏洞库文件放置在/var/cache/openvas/目录下。（）

16.在进行漏洞扫描过程当中X-scan的CPU占用率相对于Nessus要低。（）

17.Redis利用消息队列技术将并多个Sensor并发传递来的日志消息变为串行访问，消除了MySQL数据库串行控制的开销。（）

18. OSSIM平台下Redis采用单进程，单线程模式工做。（）

19．Memcached是具备身份验证功能的缓存服务系统，它的多线程模式能够充分利用CPU功能。（）

20. Memcached不具有身份验证功能。（）

21.Rsyslog是Syslog的升级版实现了多线程传输日志，Rsyslog能够经过TCP/UDP协议实现syslgo日志消息转发和接收，但不支持多路日志转发，也就是不支持将同一条日志转发到两台日志收集器 ( )。

22.syslog协议可将日志以加密形式存储。（）

23.OSSIM关联指令规则不能够递归但能够嵌套。（）

24. 在OSSIM系统运行以前，必须为已知的***场景创建对应的树形规则集，在启动时，系统将预先定义好的指令读入内存，在接收到一个事件后，先将该事件与以前已经匹配，而尚未匹配完的指令中的规则进行匹配，而后在与其余规则匹配。（）

25. 资产扫描时因为指纹库不全会出现扫描的操做系统和实际操做系统版本不一致的状况 ( )

26. 当事件的风险值Risk大于等于1时，SIEM控制台会将Alert升级为Alarm（）

27.在菜单Configuration→Threat Intelligence→DataSource中能够调整可靠性和优先级的值（）

28. 关联引擎（Server）是OSSIM安全集成管理系统的核心部分，它支持分布式运行，负责将Agents传送来的归一化安全事件进行关联，并对网络资产进行风险评估。（）

29.为监控资产可靠性可在Sensor上调整配置Nagios的conf文件。（）

30.Ntop中产生的网络流向图，名为network_map.png，每120秒被刷新一次（）

31.在OSSIM中能够经过命令“service netflow restart”重启NetFlow服务。（）

32.OSSIM系统中使用Nmap和Netflow工具，它们主要区别是Nmap发出的双向交互流量信息，而Netflow是被动接收单向流量并采集（）

33.NetFlow流量监测能够发现SQL注入、HTTP Get、Sync flooding网络***。（）

34.NetFlow选用简单高效UDP传输协议方式，但数据传输的可靠性是不保证（）

35.Netflow接收数据采用UDP协议，sFlow协议采用TCP协议，端口为6343。（）

36.基于NetFlow流量采集，因为经过软件算法实现，使用过程当中对网络带宽影响很大（）

37.OSSIM平台一脚本jquery.datatables.js具备自动分页处理、即时表格数据过滤、数据排序以及数据类型自动检测及自动处理列宽度的功能。（）

3、简答题《开源OSSIM企业运维疑难问题解析》提升篇课后练习题

1. 当Snort检测到匹配的数据包时，有几种处理方式？

2.在/etc/snort/rules/local.rules文件添加一条检测规则，为什么不生效？

3.Nginx支持Syslog日志转发功能吗？

4.图6中Risk风险数值如何计算出来？如何手动改变Risk值？

图6 Risk风险数值 $说明: C:\Users\win\Documents\Tencent Files\101035730\Image\C2C\4B69762E1C2EABD081A1E8EF08EA76D3.jpg$

5. 风险评估三要素是什么？

6.在下列给出一段的树型关联规则代码实例中，如图7所示，参数Occurrence表示什么含义？

图7 ***扫描指令示例

7.对于由OSSEC和Snort工具所产生的对同一***行为的重复报警信息的采用什么方法合并？

8.在仪表盘中Risk显示的Risk Metric的C、A值表示什么含义？

9.内网一台邮件服务器资产值设定为5，而Priority和Reliability的默认值设置为3，试问这台服务器Risk值为多少？

10.调整了Nagios配置文件后，如何检验配置是否正确？

11. OSSIM平台经过NetFlow采集的数据存放在什么位置？

12.请解释指定参数的含义。

OSSIM的Python环境下经过MySQLdb提供了connect方法用来链接数据库，请正确填入下划线参数的含义。

在/usr/share/ossim/scripts/checkEvents.py脚本中有以下语句

conn=MySQLdb.connect(host="localhost",user="dbUser",passwd="dbPass",db="snort"

解释：

host:

user:

passwd:

db:

13．如何查看PHP信息？PHP配置文件在何处？

14.如何详细了解OSSIM系统进程的网络带宽占用状况？

15.如何对OSSIM目录大小进行排序？

16. 如何将tcpdump抓包存入文件?

17.分布式OSSIM系统中，在分析远程某个网段的数据包时，捕获的pcap文件存储在什么位置？

18.将PHP模块名称和对于含义，用线段正确链接。

《开源安全运维平台OSSIM疑难解析：提升篇》 课后习题