《入侵检测与防御原理及实践（微课版）》-习题 第4章 开源入侵检测系统Snort2 习题.docx

一、选择题

Snort是哪个类型的系统？

A.闭源商业入侵检测系统

B.开源跨平台轻量级网络入侵检测系统

C.专有硬件安全设备

D.云服务安全解决方案

答案：B

Snort是用什么语言开发的？

A.Python

B.Java

C.C

D.Ruby

答案：C

Snort主要依赖哪个库进行数据包捕获？

A.WinPcap

B.OpenSSL

C.LibPcap

D.NTP

答案：C（注意：虽然Windows下使用WinPcap，但LibPcap是跨平台的基础库）

Snort中，哪个模块负责将捕获的数据包进行解码？

A.预处理器

B.报警输出

C.包解码器

D.检测引擎

答案：C

在Snort的配置文件中，哪个部分用于设置网络相关变量？

A.[preproc_rules]

B.[rule_path]

C.[ipvar]

D.[output]

答案：C

Snort的工作模式不包括以下哪一项？

A.嗅探器模式

B.数据包记录器模式

C.防火墙模式

D.入侵检测模式

答案：C

Snort的规则库是在哪个阶段被加载到系统中的？

A.Snort启动前

B.Snort运行时动态加载

C.数据包捕获后

D.预处理完成后

答案：A

以下哪个不是Snort可以输出的报警信息格式？

A.日志文件

B.数据库

C.电子邮件

D.控制台输出

答案：C（虽然可以通过配置实现邮件报警，但直接选项中未提及，通常说的是日志文件、数据库等标准输出）

Snort的预处理器主要用于什么目的？

A.数据包捕获

B.数据包解码

C.数据包预处理和规范化

D.规则匹配

答案：C

在高数据流量环境下，为了提高Snort的运行效率，应该使用哪种输出模式？

A.标准输出

B.快速输出（fast）

C.详细输出（verbose）

D.ASCII输出

答案：B

二、填空题

Snort是著名的____、跨平台、轻量级的网络入侵检测系统。

答案：开源

Snort采用基于____的网络信息有哪些信誉好的足球投注网站机制，对数据包进行内容的模式匹配。

答案：规则

Snort的____模块用于将捕获的数据包进行解码，并存放到Snort定义的结构体中。

答案：包解码器

Snort2的配置文件通常命名为____。

答案：snort.conf

在Snort的配置文件中，通过____部分可以配置预处理器。

答案：preprocessor（或具体配置项如dynamicpreprocessor等，但更通用的是preprocessor这个大类）

三、判断题

Snort是一个商业的、闭源的网络入侵检测系统。

答案：错误。Snort是著名的开源、跨平台、轻量级的网络入侵检测系统。

Snort最早是由MartyRoesch在2000年开发的。

答案：错误。Snort最早是由MartyRoesch在1998年开发的。

Snort只能在Linux系统上运行。

答案：错误。Snort是跨平台的，可以在Linux和Windows等系统上运行。

Snort的包捕获器模块可以直接从网卡获得数据包。

答案：错误。Snort本身没有捕获数据包的模块，它借助Linux的Libpcap或Windows的Winpcap/Npcap来捕获数据包。

Snort的预处理器只能对数据包进行规范化处理，不能进行入侵检测。

答案：错误。预处理器也可以检测数据包是否有明显的错误，并进行入侵检测生成告警。

Snort的规则库是静态的，无法自定义或扩展。

答案：错误。Snort的规则库可以自定义和扩展，用户可以根据自己的需求添加或修改规则。

Snort作为IDS部署时，必须串联在网络中。

答案：错误。Snort作为IDS部署时，通常以并联的方式挂接在所关注流量必经的链路上。

Snort的报警输出只能以日志文件的形式保存。

答案：错误。Snort的报警输出可以以日志文件形式保存，也可以保存在MySQL、Oracle等数据库系统中。

Snort的解码器只能解码IP数据包。

答案：错误。Snort的解码器可以解码多种类型的数据包，包括IP、TCP、UDP等。

Snort的命令行参数-Afast表示记录详细的报警信息。

答案：错误。-Afast表示只写入时间戳、messages、IPs、ports到文件中，以加快记录速度。

四、简答题

简述Snort的体系结构。

答案：Snort的体系结构包括包捕获器、包解码器、预处理器、检测引擎、报警输出、规则库和日志文件或数据库。包捕获器负责捕获数据包，包解码器对数据包进行解码，预处理器对解码后的数据包进行预处理，检测引擎根据规则库判断数据包是否存在入侵行为，报警输出模块负责记录并报警，规则库是检测引擎的依据，日志文件或数据库用于记录报警信息。

Snort有哪