《入侵检测与防御原理及实践（微课版）》-习题 第4章 开源入侵检测系统Snort2 习题

一、选择题Snort是哪个类型的系统？A.闭源商业入侵检测系统B.开源跨平台轻量级网络入侵检测系统C.专有硬件安全设备D.云服务安全解决方案答案：BSnort是用什么语言开发的？A.PythonB.JavaC.CD.Ruby答案：CSnort主要依赖哪个库进行数据包捕获？A.WinPcapB.OpenSSLC.LibPcapD.NTP答案：C（注意：虽然Windows下使用WinPcap，但LibPcap是跨平台的基础库）Snort中，哪个模块负责将捕获的数据包进行解码？A.预处理器B.报警输出C.包解码器D.检测引擎答案：C在Snort的配置文件中，哪个部分用于设置网络相关变量？A.[preproc_rules]B.[rule_path]C.[ipvar]D.[output]答案：CSnort的工作模式不包括以下哪一项？A.嗅探器模式B.数据包记录器模式C.防火墙模式D.入侵检测模式答案：CSnort的规则库是在哪个阶段被加载到系统中的？A.Snort启动前B.Snort运行时动态加载C.数据包捕获后D.预处理完成后答案：A以下哪个不是Snort可以输出的报警信息格式？A.日志文件B.数据库C.电子邮件D.控制台输出答案：C（虽然可以通过配置实现邮件报警，但直接选项中未提及，通常说的是日志文件、数据库等标准输出）Snort的预处理器主要用于什么目的？A.数据包捕获B.数据包解码C.数据包预处理和规范化D.规则匹配答案：C在高数据流量环境下，为了提高Snort的运行效率，应该使用哪种输出模式？A.标准输出B.快速输出（fast）C.详细输出（verbose）D.ASCII输出答案：B二、填空题Snort是著名的____、跨平台、轻量级的网络入侵检测系统。答案：开源Snort采用基于____的网络信息搜索机制，对数据包进行内容的模式匹配。答案：规则Snort的____模块用于将捕获的数据包进行解码，并存放到Snort定义的结构体中。答案：包解码器Snort2的配置文件通常命名为____。答案：snort.conf在Snort的配置文件中，通过____部分可以配置预处理器。答案：preprocessor（或具体配置项如dynamicpreprocessor等，但更通用的是preprocessor这个大类）三、判断题Snort是一个商业的、闭源的网络入侵检测系统。答案：错误。Snort是著名的开源、跨平台、轻量级的网络入侵检测系统。Snort最早是由MartyRoesch在2000年开发的。答案：错误。Snort最早是由MartyRoesch在1998年开发的。Snort只能在Linux系统上运行。答案：错误。Snort是跨平台的，可以在Linux和Windows等系统上运行。Snort的包捕获器模块可以直接从网卡获得数据包。答案：错误。Snort本身没有捕获数据包的模块，它借助Linux的Libpcap或Windows的Winpcap/Npcap来捕获数据包。Snort的预处理器只能对数据包进行规范化处理，不能进行入侵检测。答案：错误。预处理器也可以检测数据包是否有明显的错误，并进行入侵检测生成告警。Snort的规则库是静态的，无法自定义或扩展。答案：错误。Snort的规则库可以自定义和扩展，用户可以根据自己的需求添加或修改规则。Snort作为IDS部署时，必须串联在网络中。答案：错误。Snort作为IDS部署时，通常以并联的方式挂接在所关注流量必经的链路上。Snort的报警输出只能以日志文件的形式保存。答案：错误。Snort的报警输出可以以日志文件形式保存，也可以保存在MySQL、Oracle等数据库系统中。Snort的解码器只能解码IP数据包。答案：错误。Snort的解码器可以解码多种类型的数据包，包括IP、TCP、UDP等。Snort的命令行参数-Afast表示记录详细的报警信息。答案：错误。-Afast表示只写入时间戳、messages、IPs、ports到文件中，以加快记录速度。四、简答题简述Snort的体系结构。答案：Snort的体系结构包括包捕获器、包解码器、预处理器、检测引擎、报警输出、规则库和日志文件或数据库。包捕获器负责捕获数据包，包解码器对数据包进行解码，预处理器对解码后的数据包进行预处理，检测引擎根据规则库判断数据包是否存在入侵行为，报警输出模块负责记录并报警，规则库是检测引擎的依据，日志文件或数据库用于记录报警信息。Snort有哪些主要的部署方式？答案：Snort的主要部署方式包括作为IDS（入侵检测系统）使用，以并联方式挂接在所关注流量必经的链路上；也可以作为IPS（入侵防御系统）使用，但功能相对较弱。具体的部署方案有部署在防火墙外、部署在防火墙内、以及防火墙内外分别部署。Snort的工作模式有哪些？答案：Snort有三种工作模式：嗅探器模式、数据包记录器模式和入侵检测模式。嗅探器模式相当于数据包捕获工具，可以实时查看网络接口流量；数据包记录器模式将抓取的数据包存储到本地硬盘中；入侵检测模式是最核心的模式，将捕获的数据包与检测规则进行模式匹配，发现入侵行为。如何配置Snort的规则路径？答案：在Snort的配置文件snort.conf中，可以通过设置varRULE_PATH来配置规则路径。例如，设置为varRULE_PATHD:\snort\rules，表示规则文件存放在D:\snort\rules目录下。简述Snort预处理器的作用。答