《入侵检测与防御原理及实践（微课版）》-习题 第3章 CISCO IPS 习题

一、选择题在IPS的部署位置上，若企业要求上网优先，通常选择哪种部署方式？A.核心网络B.企业网络出口边界（外部）C.侧挂式D.内联在防火墙之后标准答案：CIPS初始化时，启动WEB服务并允许HTTPS管理的命令是什么？A.serviceweb-serverenable-tlsB.servicehttps-serverenableC.sensor(config)#serviceweb-server；sensor(config-web)#enable-tlstrueD.enableweb-servicehttps标准答案：CIPS策略配置中包含哪些内容？（多选）A.特征定义（SignatureDefinitions）B.事件动作规则（EventActionRules）C.VLAN配置D.防火墙规则标准答案：A,B下列哪个引擎用于检测木马程序的网络流量？A.ATOMICEngineB.TROJANEngineC.SERVICEEngineD.METAEngine标准答案：B在配置SIG的告警频率时，哪个参数用于设置在指定时间内凑足指定事件数后告警？A.EventcounterB.SpecifyAlertIntervalC.SummarizeD.Alertfrequency标准答案：BIPS中的RiskRating（RR）计算不包括以下哪个因素？A.告警的严重级别（ASR）B.目标价值率（TVR）C.防火墙规则匹配度（FWR）D.SIG真实度（SFR）标准答案：CAD（AnomalyDetection）特性使用哪个概念来降低漏报机率？A.VLANB.ZoneC.SubnetD.Interface标准答案：B在CiscoIPS中，哪种特征引擎用于检测非标准流量或异常流量？A.ATOMIC引擎B.SCAN引擎C.META引擎D.TROJAN引擎标准答案：B下列哪个特征引擎主要用于关联事件来产生某种告警？A.ATOMIC引擎B.META引擎C.NORMALIZER引擎D.SERVICE引擎标准答案：B在CiscoIPS中，用于规范化流量的引擎是？A.TROJAN引擎B.NORMALIZER引擎C.SWEEP引擎D.ATOMIC引擎标准答案：B哪种特征引擎可以对FTP与HTTP协议进行彻底的流量分析？A.ALC引擎B.SCAN引擎C.TROJAN引擎D.META引擎标准答案：A下列哪个参数不是所有特征的普通参数？A.告警严重级别B.SIG真实度C.规范化功能D.杂合增量标准答案：CRiskRating（RR）的计算中，哪个因素代表了目标设备的重要性？A.ASRB.SFRC.TVRD.PD标准答案：C在CiscoIPS中，默认的事件动作规则策略名称是什么？A.rules0B.default_rulesC.standard_rulesD.event_rules标准答案：A哪个参数在配置特征时，用于指定告警间隔时间？A.SpecifyAlertIntervalB.EventCounterC.AlertFrequencyD.SummarizeKey标准答案：A在CiscoIPS的ADzones配置中，哪个zone用于设置内部及外部均不可能出现的网段？A.InternalZoneB.ExternalZoneC.IllegalZoneD.DMZZone标准答案：C下列哪个动作不属于CiscoIPS特征的事件动作？A.ProducealertB.LogattackerpacketsC.RequestSNMPtrapD.ResetTCPconnection标准答案：D二、填空题IDS不能阻止______（一种网络数据包类型），也不能阻止一个连接。标准答案：初始化包在VLAN组模式中，每个物理接口或内部接口都可以分成为______子接口。标准答案：VLAN组IPS初始化时，需要利用代码初始化并通过______管理IPS。标准答案：IDM在配置IPS接口时，需要激活监控接口并关联到______。标准答案：virtualsensorCiscoIPS中的______引擎用于提供事件的关联。标准答案：METAEngine在配置SIG的eventcounter时，如果设置为10，则表示需要______个事件才会有一个告警。标准答案：10IPS中的RiskRating（RR）是一个0到______的数值，用来量化网络在一个特定事件的风险程度。标准答案：100在配置Blocking技术时，IPS可以通过网管口登陆______等外部设备实现流量控制。标准答案：ASA、ROUTER、SWITCH6500等AD特性使用______的概念，通过把网络划分为不同的zone，降低漏报的机率。标准答案：zoneCiscoIPS使用特征引擎，通过查找相似的特征，检查网络流量的入侵行为。其中，______引擎对每个IP包内的特定字段进行匹配。标准答案：ATOMIC在CiscoIPS中，特征引擎的分类包括META、NORMALIZER、ATOMIC以及______等。标准答案：SERVICE（或其他具体引擎，如SCAN、TROJAN等，但根据提供的资料，SERVICE是明确提到的另一个分类）RiskRating（RR）是一个0到100的数值，用来量化网络在一个特定事件的风险程度。该值越高，风险越______，告警重要程度越______。标准答案：大；高在配置CiscoIPS的特征时，可以通过设置______参数来指定在多长时间内凑足一定数量的事件后才会触发告警。标准答案：SpecifyAlertIntervalCiscoIPS的______特性使用zone的概念，将网络划分为不同的zone，以降低漏报的机率。标准答案：ADzones在CiscoIPS中，为了计算RR值，需要知道是否有关联上目标操作系统，这通常通过检测TCP报文的______和ACK包的特定字段来判断。标准答案：SYNCiscoIPS的事件动作规则允许用户根据RiskRating（RR）的值来增加或减少事件动作，其中RR值的计算公式为：B=(A*T*______)/10000+B-P+W。标准答案：100（注意，这里的100是公式中的常数部分，用于计算ASR和TVR的乘积的缩放）在CiscoIPS的AD配置中，LearningAcceptMode是一种学习模式，它设置学习的开始时间及学习时长，以学习一个______。标准答案：基准线（或“正常流量模式”）三、判断题CISCOIDS能够阻止初始化包和整个连接。答案：错。CISCOIPS不能阻止初始化包，也不能阻止一个连接，比较容易逃避检查。VLAN组模式允许传感器模拟多接口，即使传感器只有几个物理接口。答案：对。VLAN组模式允许传感器模拟多接口，传感器可以只有几个接口，但看上去拥有很多个接口。CISCOIPS通常部署在流量巨大的核心网络上。答案：错。IPS不太可能部署在流量巨大的核心网络，一般IPS会放在企业网络出口边界。在边界上部署IPS时，内外一起放置是最佳实践。答案：错。虽然有钱可以内外一起放，但一般情况只需要一个就足够了。IPS的VLAN对模式需要对每个VLAN对进行单独的策略配置。答案：错。VLAN组模式提供对同一传感器应用多个策略的能力，但不一定需要对每个VLAN对进行单独的策略配置。IPS的SERVICE引擎可以检测所有类型的服务流量。答案：错。TRAFFIC引擎可以检测ICMPTUNNEL和80端口的TELNET流量异常。答案：对。TRAFFIC引擎可以检测非标准流量或异常流量，如ICMPTUNNEL和80端口的TELNET。IPS的NORMALIZER引擎用于规范化流量，保障IPS告警更准确。答案：对。NORMALIZER引擎可以规范化流量，以保障IPS告警更准确。CISCOIPS的告警频率和事件计数器是独立的配置参数。答案：对。告警频率和事件计数器是IPS中独立的配置参数，用于控制告警的触发条件和频率。AD（异常检测）组件在学习模式下也会进行流量检测。答案：错。AD组件在学习模式下不会进行流量检测，而是在最初的24小时内记录网络正常情况，创建基准线。CiscoIPS的特征引擎SignatureEngine中，每个引擎的特殊参数和普通参数都相同。答案：错误。每个引擎的特殊参数不同，普通参数所有引擎都相同。ATOMIC引擎可以匹配单个IP包内的特定字段，如ICMP请求的类型值。答案：正确。ATOMIC引擎能够对一个单一的IP包内的特定字段进行匹配，例如ICMP请求的类型值。SERVICE引擎是针对特定的应用层服务的攻击进行监测的。答案：正确。SERVICE引擎专门用于监测针对特定应用层服务的攻击，如MSSQL、NTP等。SWEEP引擎主要用于检测网络扫描，它能够发现所有类型的扫描攻击。答案：错误。SWEEP引擎主要用于检测网络扫描，但并非能够发现所有类型的扫描攻击，特别是特殊扫描可能难以被检测。META引擎用于提供事件的关联，它不处理数据。答案：正确。META引擎基于多个独立特征，在很短的时间间隔内以相关方式发生的事件进行关联，不处理数据。TRAFFIC引擎可以检测非标准流量或异常流量，如ICMPTUNNEL。答案：正确。TRAFFIC引擎能够检测非标准或异常流量，如ICMPTUNNEL等。AlCEngine（应用层监控和控制引擎）只能对FTP协议进行流量分析。答案：错误。AlCEngine不仅能够对FTP协议进行流量分析，还能对HTTP协议进行彻底的流量分析。NORMALIZEREngine规范化引擎可以配置IP和TCP标准化功能。答案：正确。NORMALIZEREngine可以配置IP和TCP标准化功能，为与IP和TCP标准化相关的特征事件提供配置。TROJANEngine只能检测BO2K和TFN2K两种木马程序的网络流量。答案：错误。TROJANEngine能够检测多种木马程序的网络流量，包括BO2K和TFN2K，但不仅限于此。所有特征的普通参数都是相同的，但特殊参数（引擎参数）可能不同。答案：正确。所有特征的普通参数确实都是相同的，但特殊参数（即引擎参数）根据引擎的不同而有所不同。四、简答题简述CISCOIPS的VLAN组模式的特点。答案：VLAN组模式允许每个物理接口或内部接口被分成为VLAN组子接口，每个特定的子接口上包含一组VLAN。该模式提供对同一传感器应用多个策略的能力，允许传感器模拟多接口，即使传感器只有几个物理接口。在配置CISCOIPS时，为什么需要注意IPS的处理流量限制？答案：IPS处理流量是有限制的，如果部署在流量超过其处理能力的网络上，IPS可能无法正常工作或导致网络性能下降。因此，在配置CISCOIPS时，需要注意其处理流量限制，并根据实际情况选择合适的部署位置和模式。描述CISCOIPS的SERVICE引擎的功能。答案：SERVICE引擎是CISCOIPS中的一个特征引擎，用于检测特定类型的服务流量。它可以识别并处理来自不同服务的网络流量，如HTTP、FTP、SMTP等。通过配置SERVICE引擎，IPS可以针对这些服务流量进行监控和告警，从而提高网络的安全性。简述CISCOIPS的事件动作重写（EventActionOverrides）的作用。答案：事件动作重写（EventActionOverrides）允许用户根据RiskRating（风险等级）的值来增加或减少事件动作。通过配置事件动作重写策略，用户可以对IPS的调整进行更精细的控制，以适应不同的安全需求和场景。例如，可以根据RR值的不同范围来定义不同的动作，如丢弃报文、告警等。简述CiscoIPS中特征引擎SignatureEngine的分类及其主要功能。答案：CiscoIPS中的特征引擎SignatureEngine主要包括ATOMIC、SERVICE、SWEEP、META、TRAFFIC、AlC、NORMALIZER、TROJAN等。它们分别用于匹配单个IP包内的特定字段、监测特定应用层服务的攻击、检测网络扫描、提供事件的关联、检测非标准或异常流量、对FTP与HTTP协议进行流量分析、规范化流量以及检测木马程序的网络流量等功能。什么是META引擎，并简述其在CiscoIPS中的作用。答案：META引擎是基于多个独立特征，在很短的时间间隔内以相关方式发生的事件进行关联的引擎。它在CiscoIPS中不处理数据，主要用于关联一些事件来产生某种告警，帮助管理员更好地理解网络中的安全事件。简述NORMALIZEREngine的主要功能及其配置选项。答案：NORMALIZERE