《入侵检测与防御原理及实践（微课版）》-习题 第6章 Snort的规则 习题

一、选择题Snort是一个基于什么的检测系统？A.签名B.特征C.行为D.流量答案：B.特征Snort规则库中的规则主要存放在什么文件中？A..bin文件B..rules文件C..conf文件D..lua文件答案：B..rules文件在Snort3中，规则文件的包含语句是什么？A.include_rulesB.import_rulesC.includeD.require答案：C.includeSnort3的规则中，哪个选项提供了有关规则的信息但在检测过程中没有影响？A.PayloadB.GeneralC.non-payloadD.post-detection答案：B.GeneralSnort规则中，用于定义规则唯一标识符的选项是？A.gidB.sidC.cidD.uid答案：B.sid在Snort3中，用于检测HTTP内容的协议关键字是什么？A.TCPB.UDPC.HTTPD.ICMP答案：C.HTTPSnort规则中，哪个选项用于查找数据包有效负载中的数据？A.PayloadB.GeneralC.non-payloadD.http_inspect答案：A.PayloadSnort3的规则中，用于记录日志到用户指定文件的选项是？A.logtoB.alertC.sessionD.react答案：A.logtoSnort3的规则中，用于定义一个会话并记录其应用层信息的选项是？A.PayloadB.sessionC.non-payloadD.post-detection答案：B.sessionSnort规则中，用于在规则触发后发出警告信息的选项是？A.msgB.sidC.warnD.react答案：D.react（注意，这里更精确的说法是react选项中包含发出警告信息的动作，但选项中直接对应的是react）二、填空题Snort是一个基于______检测的轻量级网络入侵检测系统。答案：特征Snort规则文件中的规则通过______语句包含在配置文件中。答案：includeSnort3中，规则的唯一标识符（SID）不允许为______，且小于100的SID保留给未来扩充时使用。答案：0Snort规则中，______选项提供了有关规则的信息，但在检测过程中没有任何影响。答案：General在Snort3中，用于检测HTTP内容的协议关键字是______。答案：HTTPSnort规则中，用于查找数据包有效负载中数据的选项是______。答案：PayloadSnort规则可以通过______选项将日志记录到用户指定的文件。答案：logtoSnort3中，______检查器用于对解码后的数据包进行错误检测和预处理。答案：InspectorSnort规则中，用于定义一个会话并记录其应用层信息的选项是______。答案：session在Snort规则中，如果希望规则触发后发出警告信息，可以使用______选项中的相关参数。答案：react三、判断题Snort是一个基于特征检测的网络入侵检测系统。答案：正确。Snort规则库中的规则可以随意存放在任何位置，不需要分类存放。答案：错误。规则需要分类存放在不同的规则文件中，且每个规则文件都是文本文件。在Snort3中，规则文件必须以“.rules”为后缀。答案：正确。但需要注意，这是规则文件的通常命名约定，并非绝对要求，关键是要在配置文件中正确引用。Snort3的规则文件中，暂时不用的规则必须用“#”注释掉。答案：错误。虽然可以用“#”注释掉暂时不用的规则，但这不是必须的操作。Snort3中，sid选项的值可以为0。答案：错误。Snort3规定，所有规则必须有sid选项，且sid不允许为0。Snort3的规则中，metadata选项对检测过程有影响。答案：错误。metadata选项提供了有关规则的信息，但在检测过程中没有任何影响。Snort3中，可以使用“logto”选项将日志记录到标准输出文件以外的文件。答案：正确。Snort3的规则中，不能使用“react”选项来定义规则匹配后的动作。答案：错误。可以使用“react”选项来定义规则匹配后的基本反应和附加修改器。Snort3的规则中，协议关键字HTTP只能用于检测使用标准端口的HTTP流量。答案：错误。Snort3中，无论HTTP是否使用标准端口，都可以使用HTTP关键字进行检测。在Snort3中，规则文件必须用include语句包含在配置文件中。答案：正确。需要使用的规则文件应该用include语句包含在配置文件（如snort.lua）中。四、简答题简述Snort规则的基本语法要求。答案：Snort规则的基本语法要求包括：规则分类存放在不同的规则文件中，每个规则文件都是文本文件；需要使用的规则文件应该用include语句包含在配置文件中；若想禁用已包含在配置文件中的规则文件，可以在句首加“#”将其注释掉；在每个规则文件中可以添加一条或多条规则，每条规则占一行；暂时不用的规则可以用“#”注释掉；Snort3增加了#begin和#end注释，允许规则编写者轻松注释多行。Snort规则中的sid选项有什么作用？其取值范围有哪些规定？答案：sid选项用于唯一标识一条规则。其取值范围规定如下：小于100的值保留给未来扩充时使用；100-1000000的值用于Snort官方预设配置的规则项目；大于1000000的值用于本地自定义的规则项目。在Snort3中，如何使用自定义规则文件？答案：在Snort3中，使用自定义规则文件需要先创建自定义的规则文件，并在其中创建用户自定义的规则。然后，在对Snort进行配置时，使用include语句将自定义的规则文件包含在配置文件中，或者使用-R选项在命令行中直接指定自定义的规则文件。简述Snort规则中metadata选项的作用。答案：metadata选项用于提供有关规则的信息，如规则的政策、分类、优先级等，但这些信息在检测过程中没有任何影响。它主要用于对规则进行描述和分类，方便规则的管理和使用。Snort3中规则文件的包含方式是怎样的？答案：在Snort3中，规则文件通过include语句包含在配置文件中，语法格式为“include<includefile_path/name>”。Snort规则中，如何指定IP地址范围？答案：在Snort规则中，可以使用IP地址范围表示法来指定IP地址范围，例如使用“/24”表示从到55的IP地址范围。请解释Snort规则中的“alert”动作。答案：“alert”动作是Snort规则中用于触发报警的动作之一。当检测引擎发现与规则匹配的数据包时，会触发报警，并将相关信息记录到指定的日志文件或输出到控制台。Snort规则中如何使用“msg”选项？答案：在Snort规则中，“msg”选项用于指定规则的描述信息，即当规则触发报警时，将显示该描述信息以提供有关报警的详细信息。请列举Snort3中新增的协议关键字，并解释其作用。答案：Snort3中新增了协议关键字HTTP，用于进行HTTP内容检测。这提供了无论HTTP是否使用标准端口，Snort都可以进行检测并对HTTP内容进行告警的好处，规则编写者无需担心恶意软件通信的端口是否为标准端口。Snort规则中如何指定端口范围？答案：在Snort规则中，可以使用端口范围表示法来指定端口