入侵检测与防御原理及实践微课版廖旭金课后参考答案

第1章网络入侵与攻击 问题：网络入侵的常见定义是指具有何种技能的人，使用这些技能访问非法或未授权的网络或文件？A.编程和调试计算机程序B.网络设计C.硬件维护D.数据分析答案：A问题：在网络安全中，进行入侵行为的“人”被称为什么？A.黑客B.攻击者C.管理员D.用户答案：B问题：TCP/IP协议在设计之初主要忽略了哪方面的问题？A.网络速度和带宽B.网络信任和信息安全C.数据包的路由选择D.网络服务的扩展性答案：B问题：网络入侵和攻击通常涉及哪些主要阶段？A.准备、进攻、侵入B.收集、攻击、入侵C.扫描、破解、渗透D.攻击、防御、响应答案：A问题：哪类攻击利用了系统的安全漏洞来获取非法权限？A.缓冲区溢出攻击B.网络钓鱼C.社会工程攻击D.端口扫描答案：A问题：APT攻击的特点不包括以下哪一项？A.使用高级漏洞B.迅速而短暂C.长期暗指某个外部力量会持续监控特定目标D.攻击包含人为参与策划答案：B问题：网络入侵中“物理途径”主要是指什么？A.通过互联网进行攻击B.利用管理缺陷或人们的疏忽侵入目标主机C.通过网络渗透D.使用恶意代码攻击答案：B问题：下列哪个工具通常用于网络扫描和安全漏洞发现？A.ShodanB.GmailC.TwitterD.MicrosoftWord答案：A问题：安全审计技术的主要目的是什么？A.防止黑客入侵B.检测网络流量C.监视、记录网络系统的活动，并提出安全意见和建议D.修复系统漏洞答案：C问题：入侵者如何确定要攻击的目标？A.漫无目的地在网络中扫描B.通过搜索引擎搜索敏感信息C.使用漏洞扫描工具探测目标D.以上都可能是确定目标的方法答案：D问题：哪类工具可以用于查找Web服务器上的敏感文件和目录？A.ShodanB.MaltegoC.NMAPD.DirBuster答案：D（注：DirBuster虽未直接在文档中提到，但它是常用于查找敏感文件和目录的工具）问题：APT攻击与哪种威胁相似，强调持续性和隐蔽性？A.DoS攻击B.SQL注入C.网络钓鱼D.间谍软件答案：D（虽然间谍软件不完全等同于APT攻击，但在此情境下更接近其隐蔽性和持续性的特点）问题：GoogleHacking技术主要用于什么？A.收集系统漏洞信息B.进行网站开发C.利用搜索引擎搜索敏感信息D.修复网络安全缺陷答案：C问题：网络攻击通常可以分为哪两大类威胁？A.自然威胁和人为威胁B.内部威胁和外部威胁C.软件威胁和硬件威胁D.主动威胁和被动威胁答案：A问题：在网络安全中，以下哪项不是安全审计技术的范畴？A.主机审计B.网络审计C.病毒检测D.日志审计答案：C以下是基于上传的《第1章网络入侵与攻击》文件内容设计的15道选择题及其标准答案：问题：网络入侵的常见定义是指什么？A.未经授权访问网络资源B.合法使用网络资源C.授权访问网络资源D.远程访问网络资源答案：A问题：网络攻击一般是指什么？A.入侵者进行入侵的技术手段和方法B.入侵者使用的计算机程序C.入侵者进行的合法操作D.入侵者进行的社会工程答案：A问题：网络入侵的产生原因不包括以下哪一项？A.计算机网络系统相对完善B.安全管理薄弱C.TCP/IP协议设计之初未考虑网络信任问题D.早期操作系统忽略安全问题答案：A问题：以下哪一项不是入侵者的入侵途径？A.物理途径B.系统途径C.网络途径D.合法途径答案：D问题：网络入侵与攻击的对象不包括以下哪一项？A.服务器B.安全设备C.办公设备D.数据信息答案：C问题：以下哪个阶段不属于网络入侵流程？A.确定目标B.信息收集C.合法访问D.实施攻击答案：C问题：在信息收集阶段，入侵者通常使用哪些工具？A.防火墙B.搜索引擎（如Google、Shodan）C.入侵检测系统D.加密软件答案：B问题：APT攻击的特点不包括以下哪一项？A.隐匿而持久B.简单易行C.蓄谋已久D.针对特定组织或国家答案：B问题：以下哪种技术不属于入侵与攻击的应对方法？A.访问控制技术B.防火墙技术C.加密技术D.入侵检测技术答案：C问题：网络攻击的层次由浅入深，哪个层次表示远程用户获得特权文件的写权限？A.远程用户获得非授权账号信息B.远程用户获得特权文件的读权限C.远程用户获得特权文件的写权限D.远程用户或系统管理员权限答案：C问题：以下哪种攻击不属于网络攻击的位置分类？A.远程攻击B.本地攻击C.伪远程攻击D.间接攻击答案：D判断题判断题：网络入侵与攻击在流程上具有一定的规律，了解这些规律对于部署入侵检测与防御至关重要。答案：正确判断题：网络入侵和攻击在本质上存在区别，入侵更侧重于行为，而攻击更侧重于技术手段。答案：错误（入侵和攻击在计算机网络中并没有本质的区别，其结果都是入侵）判断题：网络入侵的产生原因之一是计算机网络系统相对不完善或安全管理薄弱。答案：正确判断题：TCP/IP协议在设计之初已经充分考虑了网络信任和信息安全的问题。答案：错误（TCP/IP协议在设计之初没有考虑到网络信任和信息安全的问题）判断题：物理途径是入侵者进行网络入侵的唯一途径。答案：错误（入侵途径包括物理途径、系统途径和网络途径）判断题：服务器是网络入侵与攻击的主要对象之一。答案：正确判断题：管理员可以通过利用常见的攻击手段对系统和网络进行检测，来及时发现漏洞并采取补救措施。答案：正确判断题：网络攻击只有恶意攻击，没有善意攻击。答案：错误（网络攻击有善意和恶意之分）判断题：网络入侵流程通常包括确定目标、信息收集、漏洞挖掘、模拟攻击、实施攻击、留下后门和擦除痕迹七个步骤。答案：正确判断题：入侵者在实施攻击前一定会进行信息收集，但信息收集一定通过主动信息收集完成。答案：错误（信息收集可以是主动信息收集，也可以是被动信息收集）判断题：GoogleHacking技术是利用搜索引擎的搜索语法进行敏感信息搜集的方法。答案：正确判断题：Shodan是一个只能搜索计算机设备的物联网搜索引擎。答案：错误（Shodan可以搜索多种连接到互联网的设备，如网络摄像头、路由器、服务器等）判断题：APT攻击（高级持续性威胁）是近几年出现的一种新型攻击，它通常针对特定组织或国家。答案：正确判断题：网络攻击工具不会随着技术的进步而变得更加复杂和隐蔽。答案：错误（网络攻击工具正变得越来越复杂和隐蔽）判断题：防火墙技术是用来保护内部网络免受外部网络恶意入侵和攻击的唯一技术。答案：错误（防火墙技术是保护内部网络的重要技术之一，但不是唯一技术）判断题：入侵检测技术的目的是检测和响应计算机应用中的安全问题。答案：正确判断题：安全审计技术主要用于监视和记录网络系统的活动，而不是进行风险评估。答案：错误（安全审计技术既可用于监视和记录网络系统的活动，也可用于进行风险评估）判断题：自然威胁是网络和主机系统面临的主要威胁。答案：错误（人为威胁是网络和主机系统面临的主要威胁）判断题：信息收集是网络攻击的第一步，通常通过被动收集和主动收集两种方式进行。答案：正确判断题：伪远程攻击是内部人员为了掩盖身份，从外部远程发起攻击的行为。答案：正确希望这些题目及其答案能满足您的需求。填空题填空题：网络入侵的常见定义是指具有熟练编写和调试计算机程序的技巧的人，使用这些技巧访问非法或未授权的网络或文件，入侵企业内部网的行为。答案：非法或未授权填空题：攻击一般是指入侵者进行入侵所采取的技术手段和方法。答案：技术手段和方法填空题：网络入侵的整个过程包括入侵准备、进攻、侵入三个阶段。答案：侵入填空题：TCP/IP协议在设计之初没有考虑到网络信任和信息安全的问题。答案：网络信任和信息安全填空题：入侵者的入侵途径一般包括物理途径、系统途径和网络途径。答案：系统途径填空题：服务器是网络上对外提供服务的节点，如WEB服务器、FTP服务器、邮件服务器等。答案：邮件服务器填空题：信息收集阶段，入侵者会通过各种途径对所要攻击的目标进行多方面的了解，收集目标机的IP地址、操作系统类型和版本等信息。答案：操作系统类型和版本填空题：漏洞挖掘阶段，常用的工具有NMAP、OpenVAS、Burpsuite等。答案：OpenVAS填空题：入侵者成功入侵目标后，会留下后门以便持续访问该系统。答案：后门填空题：APT（AdvancedPersistentThreat）攻击是指隐匿而持久的入侵过程，通常由某些人员精心策划。答案：APT（AdvancedPersistentThreat）填空题：安全扫描技术是对计算机及网络系统设备进行相关安全检测，以查找安全隐患和可能被攻击者利用的漏洞。答案：安全隐患填空题：远程攻击是指外部攻击者通过各种手段，从该子网以外的地方向该子网或者该子网内的系统发动攻击。答案：攻击填空题：GoogleHacking技术利用搜索引擎的搜索语法，进行针对性的敏感信息搜集。答案：敏感信息搜集填空题：在信息收集过程中，使用GoogleHacking技术时，可以用site参数搜索和指定站点相关的页面。答案：站点填空题：Shodan是一个物联网搜索引擎，可以搜索连接到互联网的设备，如计算机、网络摄像头、路由器等。答案：路由器填空题：在信息收集阶段，被动信息收集是指在不引起目标注意的前提下尽可能多地收集目标系统的信息，确定网络范围内的目标。答案：目标填空题：访问控制技术是网络安全保护和防范的核心策略之一，其主要目的是确保网络资源不被非法访问和非法利用。答案：访问控制技术填空题：网络攻击的层次由浅入深可以分为简单拒绝服务、本地用户获得非授权读权限、远程用户获得非授权账号信息等。答案：账号信息填空题：APT攻击的特点包括使用高级漏洞、复杂精密的恶意软件及技术，并包含高级、长期、威胁三个要素。答案：高级填空题：安全管理技术一般是指为实现信息系统安全的目标而采取的一系列管理制度和技术手段。答案：管理制度和技术手段简答题简述APT攻击的三个主要特点，并给出一个例子。答案：APT攻击的三个主要特点是高级、长期和威胁。高级指的是使用高级漏洞、复杂精密的恶意软件及技术；长期指某个外部力量会持续监控特定目标，并从其获取数据；威胁则指人为参与策划的攻击。例如，某APT攻击可能针对一家金融机构，通过长时间的信息收集，发现并利用了系统中的高级漏洞，长期潜伏在系统中窃取敏感数据。描述SQL注入攻击的基本原理，并给出预防措施。答案：SQL注入攻击的基本原理是攻击者通过输入恶意SQL代码，欺骗后端数据库服务器执行非预期的SQL语句，从而获取、修改或删除数据。预防措施包括：对用户输入进行严格的验证和过滤；使用预处理语句（PreparedStatements）和参数化查询；限制数据库账户的权限，避免使用高权限的数据库连接；定期审计和更新数据库系统等。列举并简述三种常见的Web应用安全漏洞及其防御策略。答案：SQL注入：通过用户输入注入SQL代码。防御策略包括使用参数化查询、输入验证和最小权限原则。跨站脚本（XSS）：攻击者将恶意脚本注入到受信任的网页中。防御策略包括输入验证、输出编码和设置合适的HTTP响应头（如Content-Security-Policy）。安全配置错误：系统或应用配置不当导致的安全漏洞。防御策略包括实施安全安装过程、最小权限安装、定期审计和更新配置等。分析并论述网络攻击中口令入侵的常用方法及防御策略。答案：网络攻击中口令入侵的常用方法包括：弱口令猜解：利用用户设置的简单、常见或默认口令进行猜解。中间人攻击：通过ARP欺骗等方式截获网络通信中的数据流，包括口令认证信息。暴力破解：使用海量口令字典尝试所有可能的组合方式，强行破解用户口令。利用系统漏洞：直接侵入系统或运行木马程序以获取口令。防御策略包括：加强口令管理：要求用户设置复杂、不易猜测的口令，并定期更换。使用加密技术：对传输的数据流进行加密，防止中间人攻击。部署入侵检测系统：及时发现并阻止暴力破解等攻击行为。定期更新系统补丁：修复系统漏洞，防止攻击者利用漏洞入侵系统。多因素认证：除了口令外，增加其他认证因素（如手机验证码、指纹识别等），提高账户安全性。第2章入侵检测与防御原理下面哪种方法无法在交换网络环境下进行数据捕获：A.将数据包捕获程序放在网关或代理服务器上B.给交换机配置端口镜像C.实现ARP欺骗D.给交换机配置VLAN答案：D入侵检测/防御系统在网络安全中的角色是什么？A.防火墙的替代品B.防火墙的必要补充C.不需要防火墙即可独立运行D.与防火墙无关答案：B入侵检测与防御系统能够发现哪种类型的攻击？A.仅外部攻击B.仅内部攻击C.外部和内部攻击D.误操作但无法发现攻击答案：C入侵检测系统的核心功能不包括以下哪项？A.监视用户活动B.识别已知攻击模式C.阻止恶意流量D.评估系统和数据文件的完整性答案：C入侵防御系统（IPS）与入侵检测系统（IDS）的主要区别在于？A.IPS不能检测攻击B.IDS可以阻止攻击C.IPS可以实时阻断攻击D.IPS不能检测异常行为答案：C以下哪项不是入侵检测系统的部署方式？A.基于主机B.基于网络C.串联部署D.旁路部署答案：C在哪个位置部署网络入侵检测系统通常最有效？A.远离攻击源B.远离受保护源C.尽可能靠近攻击源和受保护源D.任意位置答案：C入侵检测系统的功能不包括以下哪项？A.监视和分析用户活动B.阻止网络攻击C.审计系统弱点D.评估操作系统审计追踪答案：B分布式入侵检测系统的优点不包括？A.实时性高B.减少网络通信负担C.提高系统的可扩展性D.避免单点故障答案：BIPS（入侵防御系统）如何防止DDoS攻击？A.通过丢弃或限流恶意流量B.仅通过报警C.无法防止DDoS攻击D.仅通过升级特征库答案：A哪种类型的入侵检测系统依赖于主机的审计记录？A.基于网络的IDSB.基于主机的IDSC.分布式IDSD.串联部署的IPS答案：BDenning模型是哪种类型的入侵检测模型？A.集中式B.层次化C.集成式D.分布式答案：AIPS与防火墙的主要区别不包括？A.IPS可以检测内部攻击B.防火墙是静态防御C.IPS可以阻止所有流量D.IPS是动态防御答案：C以下哪个选项不是IPS的功能？A.入侵防护B.应用保护C.网络架构保护D.数据加密答案：D入侵检测与防御技术的发展趋势不包括？A.分布式入侵检测B.更广泛的信息源C.减少处理能力D.可扩展性问题答案：C哪种模型假设入侵行为可以通过检查系统的审计记录来发现？A.Denning模型B.IDM模型C.SNMP-IDSM模型D.都不对答案：A入侵检测系统的部署要求是？A.直接接入链路B.旁路监听设备C.部署在防火墙之前D.无需任何特殊要求答案：B哪种入侵检测模型强调了智能代理的协同工作？A.Denning模型B.IDM模型C.SNMP-IDSM模型D.都不是答案：B入侵防御系统（IPS）在发现入侵行为时，通常会采取什么措施？A.仅报警B.实时阻断C.忽略D.转发给防火墙答案：B以下哪项不是IPS的优势？A.实时阻断攻击B.深层防护C判断题：入侵检测/防御系统是防火墙的必要补充，为网络安全提供第二道防线。答案：正确判断题：入侵检测/防御系统（IDS/IPS）只能检测外部网络攻击，无法检测内部恶意行为。答案：错误判断题：入侵检测系统（IDS）的功能之一是监视和分析用户及系统活动。答案：正确判断题：所有类型的入侵检测系统（IDS）都需要直接接入网络链路。答案：错误判断题：基于网络的入侵检测系统（NIDS）通常采用旁路部署方式。答案：正确判断题：入侵防御系统（IPS）能够实时识别和拦截黑客攻击，但不能阻止DoS攻击。答案：错误判断题：入侵防御系统（IPS）部署在网络边界时，通常采用串联部署方式。答案：正确判断题：IDS与IPS的主要区别在于IPS具有实时阻断攻击的功能，而IDS只能检测并报警。答案：正确判断题：防火墙是动态安全技术的核心技术之一，能够主动出击寻找潜在的攻击者。答案：错误判断题：IPS的实时性要求高于IDS，因为IPS需要分析实时数据。答案：正确判断题：分布式入侵检测系统相比传统集中式系统，能有效解决信息传输时延开销问题。答案：正确判断题：Denning模型是一个基于主机的入侵检测模型，依赖于对系统审计记录的分析。答案：正确判断题：Denning模型的行为模型不包含任何阈值设置。答案：错误判断题：层次化入侵检测模型（IDM）是StevenSnapp等人提出的，用于设计和开发分布式入侵检测系统。答案：正确判断题：IDS与防火墙都可以阻止所有来自网络的恶意流量。答案：错误判断题：IPS的部署位置一般在防火墙之后，用于二次防御。答案：正确判断题：IPS的并联部署方式等同于IDS，不具备实时阻断功能。答案：正确判断题：IPS的特征库可以定期升级，以应对新型安全威胁。答案：正确判断题：IDS的功能之一是评估重要系统和数据文件的完整性。答案：正确判断题：传统的集中式入侵检测系统不存在任何缺陷，能够完美应对各种安全威胁。答案：错误20道填空题及其标准答案：入侵检测/防御系统是防火墙之后的第____道安全防线。答案：二入侵检测与防御是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中____或异常现象的技术。答案：未授权入侵检测系统的建立依赖于____的发展。答案：入侵检测技术入侵检测系统的核心功能之一是监视、分析____及系统活动。答案：用户入侵检测系统（IDS）的功能之一是____反映已知进攻的活动模式并报警。答案：识别入侵检测系统的部署方案根据类型和应用环境的不同而有所____。答案：差别基于____的入侵检测系统一般用于保护关键主机或服务器。答案：主机IPS是一种发现入侵行为时能____的入侵检测系统。答案：实时阻断IPS能够保护各种应用系统，如Web服务器、____系统等。答案：数据库IPS的性能保护功能可以阻断或限制应用程序占用____或系统资源。答案：网络IPS的部署方式主要有____部署和并联部署两种。答案：串联IPS的____防护功能使其能够识别和拦截各种恶意流量。答案：入侵IPS与防火墙的主要区别在于，IPS可以发现____的恶意行为。答案：内部分布式入侵检测系统的优势在于可以有效避免信息传输的____开销。答案：时延Denning模型是一个基于____的入侵检测模型。答案：主机Denning模型中，____是指系统操作的主动发起者。答案：主体在Denning模型中，____是用来保存主体正常活动的有关信息。答案：行为模型IDM是____的入侵检测模型的简称。答案：层次化入侵检测技术的发展趋势之一是分布式入侵检测，这可以有效解决集中式体系结构的____问题。答案：瓶颈IPS的____功能使其能够对入侵活动和攻击性网络流量进行拦截。答案：实时阻断这些填空题覆盖了文件中关于入侵检测与防御系统的基本概念、功能、部署、类型以及发展趋势等多个方面。以下是基于上传文件《第2章入侵检测与防御原理.docx》的10道简答题及其标准答案：1.简述入侵检测与防御系统的基本概念。标准答案：入侵检测与防御系统（IDS/IPS）是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它可以检测计算机网络中违反安全策略的行为，是一种积极主动的安全防御技术，帮助系统对付网络攻击，扩展系统管理员的安全管理能力。2.入侵检测系统与入侵防御系统的主要区别是什么？标准答案：（1）功能不同：IDS侧重于检测恶意行为并报警，而IPS可以实时阻断恶意行为。（2）实时性要求不同：IPS需要分析实时数据，IDS可以基于历史数据做事后分析。（3）部署方式不同：IDS一般通过端口镜像进行旁路部署，IPS一般串联部署在防火墙和网络设备之间。（4）检测攻击的方法不同：IPS能实施深层防御安全策略，在应用层检测并阻断攻击。3.入侵检测系统的基本功能有哪些？标准答案：（1）监视、分析用户及系统活动。（2）系统构造的审计和系统弱点的审计。（3）识别反映已知进攻的活动模式并报警。（4）对异常行为模式进行统计分析。（5）对重要系统和数据文件的完整性进行评估。（6）对操作系统的审计追踪管理。（7）识别用户违反安全策略的行为。4.简述入侵防御系统的部署方式及其特点。标准答案：入侵防御系统（IPS）主要有串联部署和并联部署两种方式：串联部署：直接串联接入网络，如部署在网络边界，能实时监控所有传输数据，实时阻断攻击，但一旦死机可能需要硬件Bypass开启网络全通功能。并联部署：以旁路部署方式并联接入网络中的交换机，此时IPS功能等同于IDS，不会对网络传输形成瓶颈，一旦设备死机不会造成网络中断。5.入侵检测系统的部署位置有哪些常见选择？标准答案：（1）基于主机的入侵检测系统通常部署在关键主机或服务器中。（2）基于网络的入侵检测系统通常部署在服务器区域的交换机、Internet接入路由器之后的第一台交换机、重点保护网段的局域网交换机上，需要开启交换机的端口镜像功能。6.简述入侵检测与防御技术的发展趋势。标准答案：（1）分布式入侵检测：通过智能代理技术实现多个代理协同工作，提升入侵检测能力。（2）更广泛的信息源：收集更全面的系统、网络和应用信息，提升检测的准确性。（3）更快速的处理能力：改进硬件体系、软件结构和处理算法，提升入侵检测系统的运行速度和工作效率。（4）可扩展性问题：解决时间和空间上的可扩展性，应对复杂攻击。（5）综合的安全态势感知：提升从海量数据中检测潜在威胁的能力，准确预测网络的安全态势。7.Denning模型的基本组成部分有哪些？标准答案：Denning模型由主体（Subject）、对象（Object）、审计记录（AuditRecord）、行为模型（ActivityProfile）、异常记录（AnomalyRecord）和活动规则（ActivityRules）六个主要部分组成。8.什么是IDS的旁路部署方式？标准答案：IDS的旁路部署方式是指IDS不直接接入任何链路，而是通过端口镜像等技术获取所有关注流量的数据进行分析，不会对网络流量产生任何影响，主要用于监测和分析。9.简述IPS如何保护Web安全？标准答案：IPS通过基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地拦截Web威胁。10.IPS相比防火墙有哪些优势？标准答案：（1）IPS能发现从外部和内部的恶意行为，而防火墙只能发现流经它的恶意流量。（2）IPS是主动出击寻找潜在的攻击者，而防火墙是被动防御。（3）IPS默认通行所有网络流量，除了明确设置为阻止的，灵活性更高。（4）IPS具备深层防护能力，能在应用层检测并阻断攻击，而防火墙通常基于TCP/IP的过滤。一、选择题在IPS的部署位置上，若企业要求上网优先，通常选择哪种部署方式？A.核心网络B.企业网络出口边界（外部）C.侧挂式D.内联在防火墙之后标准答案：CIPS初始化时，启动WEB服务并允许HTTPS管理的命令是什么？A.serviceweb-serverenable-tlsB.servicehttps-serverenableC.sensor(config)#serviceweb-server；sensor(config-web)#enable-tlstrueD.enableweb-servicehttps标准答案：CIPS策略配置中包含哪些内容？（多选）A.特征定义（SignatureDefinitions）B.事件动作规则（EventActionRules）C.VLAN配置D.防火墙规则标准答案：A,B下列哪个引擎用于检测木马程序的网络流量？A.ATOMICEngineB.TROJANEngineC.SERVICEEngineD.METAEngine标准答案：B在配置SIG的告警频率时，哪个参数用于设置在指定时间内凑足指定事件数后告警？A.EventcounterB.SpecifyAlertIntervalC.SummarizeD.Alertfrequency标准答案：BIPS中的RiskRating（RR）计算不包括以下哪个因素？A.告警的严重级别（ASR）B.目标价值率（TVR）C.防火墙规则匹配度（FWR）D.SIG真实度（SFR）标准答案：CAD（AnomalyDetection）特性使用哪个概念来降低漏报机率？A.VLANB.ZoneC.SubnetD.Interface标准答案：B在CiscoIPS中，哪种特征引擎用于检测非标准流量或异常流量？A.ATOMIC引擎B.SCAN引擎C.META引擎D.TROJAN引擎标准答案：B下列哪个特征引擎主要用于关联事件来产生某种告警？A.ATOMIC引擎B.META引擎C.NORMALIZER引擎D.SERVICE引擎标准答案：B在CiscoIPS中，用于规范化流量的引擎是？A.TROJAN引擎B.NORMALIZER引擎C.SWEEP引擎D.ATOMIC引擎标准答案：B哪种特征引擎可以对FTP与HTTP协议进行彻底的流量分析？A.ALC引擎B.SCAN引擎C.TROJAN引擎D.META引擎标准答案：A下列哪个参数不是所有特征的普通参数？A.告警严重级别B.SIG真实度C.规范化功能D.杂合增量标准答案：CRiskRating（RR）的计算中，哪个因素代表了目标设备的重要性？A.ASRB.SFRC.TVRD.PD标准答案：C在CiscoIPS中，默认的事件动作规则策略名称是什么？A.rules0B.default_rulesC.standard_rulesD.event_rules标准答案：A哪个参数在配置特征时，用于指定告警间隔时间？A.SpecifyAlertIntervalB.EventCounterC.AlertFrequencyD.SummarizeKey标准答案：A在CiscoIPS的ADzones配置中，哪个zone用于设置内部及外部均不可能出现的网段？A.InternalZoneB.ExternalZoneC.IllegalZoneD.DMZZone标准答案：C下列哪个动作不属于CiscoIPS特征的事件动作？A.ProducealertB.LogattackerpacketsC.RequestSNMPtrapD.ResetTCPconnection标准答案：D二、填空题IDS不能阻止______（一种网络数据包类型），也不能阻止一个连接。标准答案：初始化包在VLAN组模式中，每个物理接口或内部接口都可以分成为______子接口。标准答案：VLAN组IPS初始化时，需要利用代码初始化并通过______管理IPS。标准答案：IDM在配置IPS接口时，需要激活监控接口并关联到______。标准答案：virtualsensorCiscoIPS中的______引擎用于提供事件的关联。标准答案：METAEngine在配置SIG的eventcounter时，如果设置为10，则表示需要______个事件才会有一个告警。标准答案：10IPS中的RiskRating（RR）是一个0到______的数值，用来量化网络在一个特定事件的风险程度。标准答案：100在配置Blocking技术时，IPS可以通过网管口登陆______等外部设备实现流量控制。标准答案：ASA、ROUTER、SWITCH6500等AD特性使用______的概念，通过把网络划分为不同的zone，降低漏报的机率。标准答案：zoneCiscoIPS使用特征引擎，通过查找相似的特征，检查网络流量的入侵行为。其中，______引擎对每个IP包内的特定字段进行匹配。标准答案：ATOMIC在CiscoIPS中，特征引擎的分类包括META、NORMALIZER、ATOMIC以及______等。标准答案：SERVICE（或其他具体引擎，如SCAN、TROJAN等，但根据提供的资料，SERVICE是明确提到的另一个分类）RiskRating（RR）是一个0到100的数值，用来量化网络在一个特定事件的风险程度。该值越高，风险越______，告警重要程度越______。标准答案：大；高在配置CiscoIPS的特征时，可以通过设置______参数来指定在多长时间内凑足一定数量的事件后才会触发告警。标准答案：SpecifyAlertIntervalCiscoIPS的______特性使用zone的概念，将网络划分为不同的zone，以降低漏报的机率。标准答案：ADzones在CiscoIPS中，为了计算RR值，需要知道是否有关联上目标操作系统，这通常通过检测TCP报文的______和ACK包的特定字段来判断。标准答案：SYNCiscoIPS的事件动作规则允许用户根据RiskRating（RR）的值来增加或减少事件动作，其中RR值的计算公式为：B=(A*T*______)/10000+B-P+W。标准答案：100（注意，这里的100是公式中的常数部分，用于计算ASR和TVR的乘积的缩放）在CiscoIPS的AD配置中，LearningAcceptMode是一种学习模式，它设置学习的开始时间及学习时长，以学习一个______。标准答案：基准线（或“正常流量模式”）三、判断题CISCOIDS能够阻止初始化包和整个连接。答案：错。CISCOIPS不能阻止初始化包，也不能阻止一个连接，比较容易逃避检查。VLAN组模式允许传感器模拟多接口，即使传感器只有几个物理接口。答案：对。VLAN组模式允许传感器模拟多接口，传感器可以只有几个接口，但看上去拥有很多个接口。CISCOIPS通常部署在流量巨大的核心网络上。答案：错。IPS不太可能部署在流量巨大的核心网络，一般IPS会放在企业网络出口边界。在边界上部署IPS时，内外一起放置是最佳实践。答案：错。虽然有钱可以内外一起放，但一般情况只需要一个就足够了。IPS的VLAN对模式需要对每个VLAN对进行单独的策略配置。答案：错。VLAN组模式提供对同一传感器应用多个策略的能力，但不一定需要对每个VLAN对进行单独的策略配置。IPS的SERVICE引擎可以检测所有类型的服务流量。答案：错。TRAFFIC引擎可以检测ICMPTUNNEL和80端口的TELNET流量异常。答案：对。TRAFFIC引擎可以检测非标准流量或异常流量，如ICMPTUNNEL和80端口的TELNET。IPS的NORMALIZER引擎用于规范化流量，保障IPS告警更准确。答案：对。NORMALIZER引擎可以规范化流量，以保障IPS告警更准确。CISCOIPS的告警频率和事件计数器是独立的配置参数。答案：对。告警频率和事件计数器是IPS中独立的配置参数，用于控制告警的触发条件和频率。AD（异常检测）组件在学习模式下也会进行流量检测。答案：错。AD组件在学习模式下不会进行流量检测，而是在最初的24小时内记录网络正常情况，创建基准线。CiscoIPS的特征引擎SignatureEngine中，每个引擎的特殊参数和普通参数都相同。答案：错误。每个引擎的特殊参数不同，普通参数所有引擎都相同。ATOMIC引擎可以匹配单个IP包内的特定字段，如ICMP请求的类型值。答案：正确。ATOMIC引擎能够对一个单一的IP包内的特定字段进行匹配，例如ICMP请求的类型值。SERVICE引擎是针对特定的应用层服务的攻击进行监测的。答案：正确。SERVICE引擎专门用于监测针对特定应用层服务的攻击，如MSSQL、NTP等。SWEEP引擎主要用于检测网络扫描，它能够发现所有类型的扫描攻击。答案：错误。SWEEP引擎主要用于检测网络扫描，但并非能够发现所有类型的扫描攻击，特别是特殊扫描可能难以被检测。META引擎用于提供事件的关联，它不处理数据。答案：正确。META引擎基于多个独立特征，在很短的时间间隔内以相关方式发生的事件进行关联，不处理数据。TRAFFIC引擎可以检测非标准流量或异常流量，如ICMPTUNNEL。答案：正确。TRAFFIC引擎能够检测非标准或异常流量，如ICMPTUNNEL等。AlCEngine（应用层监控和控制引擎）只能对FTP协议进行流量分析。答案：错误。AlCEngine不仅能够对FTP协议进行流量分析，还能对HTTP协议进行彻底的流量分析。NORMALIZEREngine规范化引擎可以配置IP和TCP标准化功能。答案：正确。NORMALIZEREngine可以配置IP和TCP标准化功能，为与IP和TCP标准化相关的特征事件提供配置。TROJANEngine只能检测BO2K和TFN2K两种木马程序的网络流量。答案：错误。TROJANEngine能够检测多种木马程序的网络流量，包括BO2K和TFN2K，但不仅限于此。所有特征的普通参数都是相同的，但特殊参数（引擎参数）可能不同。答案：正确。所有特征的普通参数确实都是相同的，但特殊参数（即引擎参数）根据引擎的不同而有所不同。四、简答题简述CISCOIPS的VLAN组模式的特点。答案：VLAN组模式允许每个物理接口或内部接口被分成为VLAN组子接口，每个特定的子接口上包含一组VLAN。该模式提供对同一传感器应用多个策略的能力，允许传感器模拟多接口，即使传感器只有几个物理接口。在配置CISCOIPS时，为什么需要注意IPS的处理流量限制？答案：IPS处理流量是有限制的，如果部署在流量超过其处理能力的网络上，IPS可能无法正常工作或导致网络性能下降。因此，在配置CISCOIPS时，需要注意其处理流量限制，并根据实际情况选择合适的部署位置和模式。描述CISCOIPS的SERVICE引擎的功能。答案：SERVICE引擎是CISCOIPS中的一个特征引擎，用于检测特定类型的服务流量。它可以识别并处理来自不同服务的网络流量，如HTTP、FTP、SMTP等。通过配置SERVICE引擎，IPS可以针对这些服务流量进行监控和告警，从而提高网络的安全性。简述CISCOIPS的事件动作重写（EventActionOverrides）的作用。答案：事件动作重写（EventActionOverrides）允许用户根据RiskRating（风险等级）的值来增加或减少事件动作。通过配置事件动作重写策略，用户可以对IPS的调整进行更精细的控制，以适应不同的安全需求和场景。例如，可以根据RR值的不同范围来定义不同的动作，如丢弃报文、告警等。简述CiscoIPS中特征引擎SignatureEngine的分类及其主要功能。答案：CiscoIPS中的特征引擎SignatureEngine主要包括ATOMIC、SERVICE、SWEEP、META、TRAFFIC、AlC、NORMALIZER、TROJAN等。它们分别用于匹配单个IP包内的特定字段、监测特定应用层服务的攻击、检测网络扫描、提供事件的关联、检测非标准或异常流量、对FTP与HTTP协议进行流量分析、规范化流量以及检测木马程序的网络流量等功能。什么是META引擎，并简述其在CiscoIPS中的作用。答案：META引擎是基于多个独立特征，在很短的时间间隔内以相关方式发生的事件进行关联的引擎。它在CiscoIPS中不处理数据，主要用于关联一些事件来产生某种告警，帮助管理员更好地理解网络中的安全事件。简述NORMALIZEREngine的主要功能及其配置选项。答案：NORMALIZEREngine的主要功能是规范化流量，保障IPS告警更准确。它可以配置IP和TCP标准化功能，为与IP和TCP标准化相关的特征事件提供配置。这有助于解决攻击流量中的逃避技术，提高IPS的检测准确性。在CiscoIPS中，如何配置一个特征（Signature）以使其对特定主机的PING请求产生告警？答案：在CiscoIPS中，要配置一个特征以使其对特定主机的PING请求产生告警，需要调整该特征的参数，包括设置告警级别、指定目的主机IP地址、配置事件告警条件（如每个事件告警一次、连续多个PING包去往特定主机时告警等）。这通常需要在IPS的管理界面中进行详细的配置。一、选择题Snort是哪个类型的系统？A.闭源商业入侵检测系统B.开源跨平台轻量级网络入侵检测系统C.专有硬件安全设备D.云服务安全解决方案答案：BSnort是用什么语言开发的？A.PythonB.JavaC.CD.Ruby答案：CSnort主要依赖哪个库进行数据包捕获？A.WinPcapB.OpenSSLC.LibPcapD.NTP答案：C（注意：虽然Windows下使用WinPcap，但LibPcap是跨平台的基础库）Snort中，哪个模块负责将捕获的数据包进行解码？A.预处理器B.报警输出C.包解码器D.检测引擎答案：C在Snort的配置文件中，哪个部分用于设置网络相关变量？A.[preproc_rules]B.[rule_path]C.[ipvar]D.[output]答案：CSnort的工作模式不包括以下哪一项？A.嗅探器模式B.数据包记录器模式C.防火墙模式D.入侵检测模式答案：CSnort的规则库是在哪个阶段被加载到系统中的？A.Snort启动前B.Snort运行时动态加载C.数据包捕获后D.预处理完成后答案：A以下哪个不是Snort可以输出的报警信息格式？A.日志文件B.数据库C.电子邮件D.控制台输出答案：C（虽然可以通过配置实现邮件报警，但直接选项中未提及，通常说的是日志文件、数据库等标准输出）Snort的预处理器主要用于什么目的？A.数据包捕获B.数据包解码C.数据包预处理和规范化D.规则匹配答案：C在高数据流量环境下，为了提高Snort的运行效率，应该使用哪种输出模式？A.标准输出B.快速输出（fast）C.详细输出（verbose）D.ASCII输出答案：B二、填空题Snort是著名的____、跨平台、轻量级的网络入侵检测系统。答案：开源Snort采用基于____的网络信息搜索机制，对数据包进行内容的模式匹配。答案：规则Snort的____模块用于将捕获的数据包进行解码，并存放到Snort定义的结构体中。答案：包解码器Snort2的配置文件通常命名为____。答案：snort.conf在Snort的配置文件中，通过____部分可以配置预处理器。答案：preprocessor（或具体配置项如dynamicpreprocessor等，但更通用的是preprocessor这个大类）三、判断题Snort是一个商业的、闭源的网络入侵检测系统。答案：错误。Snort是著名的开源、跨平台、轻量级的网络入侵检测系统。Snort最早是由MartyRoesch在2000年开发的。答案：错误。Snort最早是由MartyRoesch在1998年开发的。Snort只能在Linux系统上运行。答案：错误。Snort是跨平台的，可以在Linux和Windows等系统上运行。Snort的包捕获器模块可以直接从网卡获得数据包。答案：错误。Snort本身没有捕获数据包的模块，它借助Linux的Libpcap或Windows的Winpcap/Npcap来捕获数据包。Snort的预处理器只能对数据包进行规范化处理，不能进行入侵检测。答案：错误。预处理器也可以检测数据包是否有明显的错误，并进行入侵检测生成告警。Snort的规则库是静态的，无法自定义或扩展。答案：错误。Snort的规则库可以自定义和扩展，用户可以根据自己的需求添加或修改规则。Snort作为IDS部署时，必须串联在网络中。答案：错误。Snort作为IDS部署时，通常以并联的方式挂接在所关注流量必经的链路上。Snort的报警输出只能以日志文件的形式保存。答案：错误。Snort的报警输出可以以日志文件形式保存，也可以保存在MySQL、Oracle等数据库系统中。Snort的解码器只能解码IP数据包。答案：错误。Snort的解码器可以解码多种类型的数据包，包括IP、TCP、UDP等。Snort的命令行参数-Afast表示记录详细的报警信息。答案：错误。-Afast表示只写入时间戳、messages、IPs、ports到文件中，以加快记录速度。四、简答题简述Snort的体系结构。答案：Snort的体系结构包括包捕获器、包解码器、预处理器、检测引擎、报警输出、规则库和日志文件或数据库。包捕获器负责捕获数据包，包解码器对数据包进行解码，预处理器对解码后的数据包进行预处理，检测引擎根据规则库判断数据包是否存在入侵行为，报警输出模块负责记录并报警，规则库是检测引擎的依据，日志文件或数据库用于记录报警信息。Snort有哪些主要的部署方式？答案：Snort的主要部署方式包括作为IDS（入侵检测系统）使用，以并联方式挂接在所关注流量必经的链路上；也可以作为IPS（入侵防御系统）使用，但功能相对较弱。具体的部署方案有部署在防火墙外、部署在防火墙内、以及防火墙内外分别部署。Snort的工作模式有哪些？答案：Snort有三种工作模式：嗅探器模式、数据包记录器模式和入侵检测模式。嗅探器模式相当于数据包捕获工具，可以实时查看网络接口流量；数据包记录器模式将抓取的数据包存储到本地硬盘中；入侵检测模式是最核心的模式，将捕获的数据包与检测规则进行模式匹配，发现入侵行为。如何配置Snort的规则路径？答案：在Snort的配置文件snort.conf中，可以通过设置varRULE_PATH来配置规则路径。例如，设置为varRULE_PATHD:\snort\rules，表示规则文件存放在D:\snort\rules目录下。简述Snort预处理器的作用。答案：Snort的预处理器用于对解码器解码后的数据包进行预处理操作，使之规范化，方便检测引擎的检测。预处理器也可以检测数据包是否有明显的错误，如果有则直接报警输出。此外，当某些入侵行为无法使用检测规则检测时，还可以将检测算法以预处理器的形式实现。一、选择题Snort3也被称为什么？A.Snort++B.Snort--C.SnortProD.SnortX答案：ASnort3相比Snort2，在架构上最大的改进是什么？A.增加了新的检测引擎B.采用了全新的C++设计和模块化代码库C.增加了更多的预处理器D.改进了用户界面答案：BSnort3的规则语法与Snort2相比，有哪些显著优势？A.更加复杂B.更加冗余C.更简洁，易于编写和理解D.仅支持LUA格式答案：CSnort3的规则可以采用哪种格式？A.仅有Sigma格式B.仅有LUA格式C.LUA和Sigma格式均可D.不支持任何格式答案：BSnort3使用了多少个插件的完整插件系统？A.50个B.100个C.超过200个D.无限个答案：CSnort3重写了哪个处理模块？A.UDP处理B.TCP处理C.ICMP处理D.HTTP处理答案：BSnort3的哪个功能组件可以使Snort识别网络上正在使用的应用程序？A.PulledPorkB.OpenAppIDC.Stream5D.Normalize答案：BSnort3的规则集中，哪一类规则是免费提供的？A.CommunityB.RegisteredC.SubscriptionD.Alloftheabove答案：ASnort3中，用于管理规则集的工具是什么？A.PulledPorkB.InspectorC.OpenAppIDD.Stream5答案：ASnort3的安装包中，哪个是用于数据采集的组件？A.snortrules-snapshotB.libdaqC.pulledpork3D.gperftools答案：B二、填空题Snort3是Cisco团队历经______年的时间，用C++重新设计的下一代IPS。答案：7Snort3的TCP处理相比Snort2有了显著的______。答案：重写Snort3的规则头中的协议、源目地址、端口和方向操作符在规则中是______的。答案：可选Snort3的插件系统中，用户可以根据网络情况进行______设置。答案：自定义Snort3的______功能组件可以使Snort识别、控制和测量网络上正在使用的应用程序。答案：OpenAppIDSnort3的规则可以采用______格式，使规则更易于编写和理解。答案：LUASnort3的______检查器用于对解码后的数据包进行错误检测和预处理。答案：InspectorSnort3的______组件可以用于下载和合并Snort规则集。答案：PulledPorkSnort3安装包中，______是提高Snort性能、减少内存使用的工具集。答案：gperftoolsSnort3的______版本是免费提供的规则集。答案：Community三、判断题Snort3，也称为Snort++，是由Cisco团队用C语言重新设计的。答案：错误。Snort3是由Cisco团队用C++重新设计的。Snort3的规则语法比Snort2更复杂。答案：错误。Snort3的规则语法更简洁，方便用户创建规则，减少规则冗余。Snort3只能安装在KaliLinux上。答案：错误。Snort3可以手动编译安装在多种基于Linux的操作系统上，如Kali、CentOS、FreeBSD等。Snort3的规则不能采用LUA格式。答案：错误。Snort3的规则可以采用LUA格式，并且规则语法更简洁。Snort3没有使用插件系统。答案：错误。Snort3使用了超过200个插件的完整插件系统。Snort3的TCP处理与Snort2完全相同。答案：错误。Snort3重写了TCP处理。Snort3不能识别网络上正在使用的应用程序。答案：错误。通过安装OpenAppID等功能组件，Snort3能够识别网络上正在使用的应用程序。Snort3没有性能监视器。答案：错误。Snort3使用了新的性能监视器和新的时间和空间分析方法。Snort3的检查器（Inspector）与Snort2的预处理器功能完全不同。答案：错误。Snort3的检查器功能相当于Snort2的预处理器，用于对解码后的数据包进行错误检测和预处理。Snort3有2中类别的规则可供使用。答案：错误。Snort3有免费版（Community）、注册版（Registered）、收费版（Subscription）三类规则。安装Snort3不需要更新系统。答案：错误。在安装Snort3之前，通常建议更新系统以确保兼容性和安全性。Snort3不能识别网络上正在使用的应用程序。答案：错误。通过安装OpenAppID等功能组件，Snort3能够识别网络上正在使用的应用程序。Snort3不支持将告警信息写入JSON格式的文本文件。答案：错误。Snort3支持启用JSON输出插件，将告警信息写入JSON格式的文本文件。Snort3不能自动在系统启动时运行。答案：错误。可以通过配置自启动脚本，使Snort3在系统启动时自动运行。Snort3只能用于检测ICMP流量。答案：错误。Snort3可以检测多种网络流量和协议，不仅限于ICMP。四、简答题简述Snort3与Snort2的主要区别。答案：Snort3采用了全新的C++设计，具有更高的性能、更快的处理速度、更好的可扩展性和可用性。Snort3的规则语法更简洁，使用了超过200个插件的完整插件系统，并重写了TCP处理。此外，Snort3还改进了共享对象规则，包括为零日漏洞添加规则的能力，并使用了新的性能监视器和新的时间和空间分析方法。Snort3的规则可以采用哪些格式？答案：Snort3的规则可以采用传统的Snort规则格式，也可以采用LUA格式。LUA格式的规则语法更简洁，方便用户创建规则，减少规则冗余。如何安装Snort3？答案：Snort3目前只有源码版，可以手动编译安装在基于Linux的操作系统上，如Kali、CentOS等。安装过程包括系统更新、安装依赖包、下载并编译Snort3源码等步骤。Snort3的检查器（Inspector）有哪些功能？答案：Snort3的检查器功能相当于Snort2的预处理器，用于对解码后的数据包进行错误检测和预处理，方便检测引擎的检测。Snort3内置了一些常用的检查器，如normalize、stream5、http_inspect等，用户可以根据需要有选择地使用，也可根据添加自定义的检查器。Snort3有哪些可选的功能组件或第三方软件可以增强其功能？答案：Snort3有很多可选的功能组件或第三方的软件可以增强其功能，如OpenAppID（使Snort能够识别网络上正在使用的应用程序）、PulledWork（管理Snort规则集的工具）、Splunk（SIEM工具，可对信息进行统一、实时的监控和分析）等。简述Snort3的规则匹配过程。答案：Snort3的规则匹配过程包括捕获数据包、解码数据包、预处理数据包、规则匹配和报警输出等步骤。首先，Snort3使用数据包捕获库捕获网络上的数据包；然后，使用解码器对数据包进行解码；接着，使用预处理器对解码后的数据包进行预处理；之后，将预处理后的数据包与规则库中的规则进行匹配；最后，如果数据包匹配到规则，则根据规则定义的动作进行报警输出。Snort的工作流程是怎样的？答案：Snort的工作流程包括调用初始化函数、获取数据源、获取数据包、启动抓包流程等步骤。捕获到的数据包会经过包解码器、预处理器、检测引擎等模块的处理，最终根据检测规则进行报警或记录。如何配置Snort3以使用自定义规则？答案：可以通过编辑Snort3的配置文件（如snort.lua），并在其中包含自定义规则文件的路径来配置Snort3以使用自定义规则。然后，在启动Snort3时指定该配置文件和自定义规则文件。Snort3的检查器有哪些常用类型？答案：Snort3的检查器（Inspector）常用类型包括normalize、stream5、http_inspect、http2_inspect、RPCDecode、bo、smtp、arpspoof、ssh、dce、dns、ssl、sip、imap、pop、modbus、dnp3等。简述Snort3的PulledWork功能。答案：PulledWork是Snort3中的一个功能组件，用于管理Snort规则集。它可以帮助用户更方便地更新、组织和优化规则集，从而提高Snort3的检测效率和准确性。如何在Snort3中启用JSON输出插件？答案：要在Snort3中启用JSON输出插件，需要在Snort的配置文件中（如snort.lua）配置相应的输出插件选项，指定输出格式为JSON，并设置输出文件的路径。然后，在启动Snort3时加载该配置文件即可。Snort3如何识别网络上正在使用的应用程序？答案：Snort3可以通过安装OpenAppID等功能组件来识别网络上正在使用的应用程序。OpenAppID利用深度包检测等技术对网络流量进行分析，从而识别出正在运行的应用程序类型。一、选择题Snort是一个基于什么的检测系统？A.签名B.特征C.行为D.流量答案：B.特征Snort规则库中的规则主要存放在什么文件中？A..bin文件B..rules文件C..conf文件D..lua文件答案：B..rules文件在Snort3中，规则文件的包含语句是什么？A.include_rulesB.import_rulesC.includeD.require答案：C.includeSnort3的规则中，哪个选项提供了有关规则的信息但在检测过程中没有影响？A.PayloadB.GeneralC.non-payloadD.post-detection答案：B.GeneralSnort规则中，用于定义规则唯一标识符的选项是？A.gidB.sidC.cidD.uid答案：B.sid在Snort3中，用于检测HTTP内容的协议关键字是什么？A.TCPB.UDPC.HTTPD.ICMP答案：C.HTTPSnort规则中，哪个选项用于查找数据包有效负载中的数据？A.PayloadB.GeneralC.non-payloadD.http_inspect答案：A.PayloadSnort3的规则中，用于记录日志到用户指定文件的选项是？A.logtoB.alertC.sessionD.react答案：A.logtoSnort3的规则中，用于定义一个会话并记录其应用层信息的选项是？A.PayloadB.sessionC.non-payloadD.post-detection答案：B.sessionSnort规则中，用于在规则触发后发出警告信息的选项是？A.msgB.sidC.warnD.react答案：D.react（注意，这里更精确的说法是react选项中包含发出