《入侵检测与防御原理及实践（微课版）》-习题 第5章 开源入侵检测系统Snort3 习题

一、选择题Snort3也被称为什么？A.Snort++B.Snort--C.SnortProD.SnortX答案：ASnort3相比Snort2，在架构上最大的改进是什么？A.增加了新的检测引擎B.采用了全新的C++设计和模块化代码库C.增加了更多的预处理器D.改进了用户界面答案：BSnort3的规则语法与Snort2相比，有哪些显著优势？A.更加复杂B.更加冗余C.更简洁，易于编写和理解D.仅支持LUA格式答案：CSnort3的规则可以采用哪种格式？A.仅有Sigma格式B.仅有LUA格式C.LUA和Sigma格式均可D.不支持任何格式答案：BSnort3使用了多少个插件的完整插件系统？A.50个B.100个C.超过200个D.无限个答案：CSnort3重写了哪个处理模块？A.UDP处理B.TCP处理C.ICMP处理D.HTTP处理答案：BSnort3的哪个功能组件可以使Snort识别网络上正在使用的应用程序？A.PulledPorkB.OpenAppIDC.Stream5D.Normalize答案：BSnort3的规则集中，哪一类规则是免费提供的？A.CommunityB.RegisteredC.SubscriptionD.Alloftheabove答案：ASnort3中，用于管理规则集的工具是什么？A.PulledPorkB.InspectorC.OpenAppIDD.Stream5答案：ASnort3的安装包中，哪个是用于数据采集的组件？A.snortrules-snapshotB.libdaqC.pulledpork3D.gperftools答案：B二、填空题Snort3是Cisco团队历经______年的时间，用C++重新设计的下一代IPS。答案：7Snort3的TCP处理相比Snort2有了显著的______。答案：重写Snort3的规则头中的协议、源目地址、端口和方向操作符在规则中是______的。答案：可选Snort3的插件系统中，用户可以根据网络情况进行______设置。答案：自定义Snort3的______功能组件可以使Snort识别、控制和测量网络上正在使用的应用程序。答案：OpenAppIDSnort3的规则可以采用______格式，使规则更易于编写和理解。答案：LUASnort3的______检查器用于对解码后的数据包进行错误检测和预处理。答案：InspectorSnort3的______组件可以用于下载和合并Snort规则集。答案：PulledPorkSnort3安装包中，______是提高Snort性能、减少内存使用的工具集。答案：gperftoolsSnort3的______版本是免费提供的规则集。答案：Community三、判断题Snort3，也称为Snort++，是由Cisco团队用C语言重新设计的。答案：错误。Snort3是由Cisco团队用C++重新设计的。Snort3的规则语法比Snort2更复杂。答案：错误。Snort3的规则语法更简洁，方便用户创建规则，减少规则冗余。Snort3只能安装在KaliLinux上。答案：错误。Snort3可以手动编译安装在多种基于Linux的操作系统上，如Kali、CentOS、FreeBSD等。Snort3的规则不能采用LUA格式。答案：错误。Snort3的规则可以采用LUA格式，并且规则语法更简洁。Snort3没有使用插件系统。答案：错误。Snort3使用了超过200个插件的完整插件系统。Snort3的TCP处理与Snort2完全相同。答案：错误。Snort3重写了TCP处理。Snort3不能识别网络上正在使用的应用程序。答案：错误。通过安装OpenAppID等功能组件，Snort3能够识别网络上正在使用的应用程序。Snort3没有性能监视器。答案：错误。Snort3使用了新的性能监视器和新的时间和空间分析方法。Snort3的检查器（Inspector）与Snort2的预处理器功能完全不同。答案：错误。Snort3的检查器功能相当于Snort2的预处理器，用于对解码后的数据包进行错误检测和预处理。Snort3有2中类别的规则可供使用。答案：错误。Snort3有免费版（Community）、注册版（Registered）、收费版（Subscription）三类规则。安装Snort3不需要更新系统。答案：错误。在安装Snort3之前，通常建议更新系统以确保兼容性和安全性。Snort3不能识别网络上正在使用的应用程序。答案：错误。通过安装OpenAppID等功能组件，Snort3能够识别网络上正在使用的应用程序。Snort3不支持将告警信息写入JSON格式的文本文件。答案：错误。Snort3支持启用JSON输出插件，将告警信息写入JSON格式的文本文件。Snort3不能自动在系统启动时运行。答案：错误。可以通过配置自启动脚本，使Snort3在系统启动时自动运行。Snort3只能用于检测ICMP流量。答案：错误。Snort3可以检测多种网络流量和协议，不仅限于ICMP。四、简答题简述Snort3与Snort2的主要区别。答案：Snort3采用了全新的C++设计，具有更高的性能、更快的处理速度、更好的可扩展性和可用性。Snort3的规则语法更简洁，使用了超过200个插件的完整插件系统，并重写了TCP处理。此外，Snort3还改进了共享对象规则，包括为零日漏洞添加规则的能力，并使用了新的性能监视器和新的时间和空间分析方法。Snort3的规则可以采用哪些格式？答案：Snort3的规则可以采用传统的Snort规则格式，也可以采用LUA格式。LUA格式的规则语法更简洁，方便用户创建规则，减少规则冗余。如何安装Snort3？答案：Snort3目前只有源码版，可以手动编译安装在基于Linux的操作系统上，如Kali、CentOS等。安装过程包括系统更新、安装依赖包、下载并编译Snort3源码等步骤。Snort3的检查器（Inspector）有哪些功能？答案：Snort3的检查器功能相当于Snort2的预处理器，用于对解码后的数据包进行错误检测和预处理，方便检测引擎的检测。Snort3内置了一些常用的检查器，如normalize、stream5、http_inspect等，用户可以根据需要有选择地使用，也可根据添加自定义的检查器。Snort3有哪些可选的功能组件或第三方软件可以增强其功能？答案：Snort3有很多可选的功能组件或第三方的软件可以增强其功能，如OpenAppID（使Snort能够识别网络上正在使用的应用程序）、PulledWork（管理Snort规则集的工具）、Splunk（SIEM工具，可对信息进行统一、实时的监控和分析）等。简述Snort3的规则匹配过程。答案：Snort3的规则匹配过程包括捕获数据包、解码数据包、预处理数据包、规则匹配和报警输出等步骤。首先，Snort3使用数据包捕获库捕获网络上的数据包；然后，使用解码器对数据包进行解码；接着，使用预处理器对解码后的数据包进行预处理；之后，将预处理后的数据包与规则库中的规则进行匹配；最后，如果数据包匹配到规则，则根据规则定义的动作进行报警输出。Snort的工作流程是怎样的？答案：Snort的工作流程包括调用初始化函数、获取数据源、获取数据包、启动抓包流程等步骤。捕获到的数据包会经过包解码器、预处理器、检测引擎等模块的处理，最终根据检测规则进行报警或记录。如何配置Snort3以使用自定义规则？答案：可以通过编辑Snort3的配置文件（如snort.lua），并在其中包含自定义规则文件的路径来配置Snort3以使用自定义规则。然后，在启动Snort3时指定该配置文件和自定义规则文件。Snort3的检查器有哪些常用类型？答案：Snort3的检查器（Inspector）常用类型包括normalize、stream5、http_inspect、http2_inspect、RPCDecode、bo、smtp、arpspoof、ssh、dce、dns、ssl、sip、imap、pop、modbus、dnp3等。简述Snort3的PulledWork功能。答案：PulledWork是Snort3中的一个功能组件，用于管理Snort规则集。它可以帮助用户更方便地更新、组织和优化规则集，从而提高Snort3的检测效率和准确性。如何在Snort3中启用JSON输出插件？答案：要在Snort3中启用JSON输出插件，需要在Snort