网络安全事件管理习题

syslog安全事件采集协议的消息形如<34>Oct 11 22:14:15 mymachine su: 'su root' failed for login lonvick on /dev/pts/8，它工作在UDP514端口。

下图为IDMEF草案数据模型的一部分，填空：

DetectTime

Heartbeat

Alert

CPE定义了

安全漏洞和其他安全问题的标准化的统一名字列表
平台/产品的标准化的统一名字列表
安全相关的系统配置项的标准化的统一名字列表

告警关联的十步模型中，哪些步骤需要用到资产数据库？

标准化
预处理
融合
查证
线程重构
会话重构
焦点识别
多步关联
影响分析
优先级分配

网络IDS产生256条告警：59.78.20.24试图连接202.120.2.0:3389，59.78.20.24试图连接202.120.2.1:3389，……，59.78.20.24试图连接202.120.2.255:3389。在十步模型的哪个步骤中，上述告警可以被识别为端口扫描？

标准化
预处理
融合
查证
线程重构
会话重构
焦点识别
多步关联
影响分析
优先级分配

简述告警关联十步模型中每个步骤的作用

(只给一个joke答案；不准转载)

标准化：“04:34:02，そこはオフィスビルを入力しても人のことです by ウェブカメラ1”=>“04:34:02，有人进入办公大楼 by 摄像头1”
预处理：“04:35，我看到办公室窗被打开 by 保安”=>“04:35:00，我看到办公室窗被打开 by 保安”
融合：“04:34:02，有人进入办公大楼 by 摄像头1”、“04:34:02，有人进入办公大楼 by 摄像头2”=>“04:34:02，有人进入办公大楼 by 摄像头1&摄像头2”
查证：办公室是否装有防盗门？“没有”
线程重构：“有人撞门”、“有人推门”、“有人撬门”=>“有人试图开门”
会话重构：“04:35:00，我看到办公室窗被打开 by 保安”、“04:35:24，办公室窗被打开 by 窗磁系统”=>“04:35:24，办公室窗被打开 by 保安&窗磁系统”
焦点识别：“高个子进入办公室A”、“矮个子进入办公室A”=>“有人进入办公室A”
多步关联：“04:34:02，有人进入办公大楼”、“04:34:43，有人试图开门”、“04:34:46，有人进入办公室A”、“04:35:24，办公室窗被打开”=>“有人从办公大楼开门进入办公室A，并打开窗户”
影响分析：办公室A内有重要图纸，可能被翻拍
优先级分配：优先级=6.5

已知超告警类型
SadmindBufferOverflow=({VictimIP,VictimPort},ExistHost(VictimIP)∧VulnerableSadmind(VictimIP),{GainRootAccess(VictimIP)})
，并且有SadmindBufferOverflow类型的超告警
{(VictimIP=152.1.19.5,VictimPort=1235),(VictimIP=152.1.19.7,VictimPort=1235)}
。可以推断，下列哪些是正确的？

在152.1.19.5、152.1.19.7上都存在主机
在152.1.19.5、152.1.19.7上至少存在一台主机
152.1.19.5:1235和152.1.19.7:1235上都存在有漏洞的Sadmind服务
攻击者一定获得了root权限
攻击者可能获得了root权限

已知h_SadmindPing prepares-for h_SadmindBOF，那么要实施SadmindBufferOverflow攻击就必须先实施SadmindPing攻击。

攻击者可能(盲目)进行后面的攻击步骤

超告警的“结果”部分定义为“可能结果”、而不是“实际结果”，为什么要这样定义？

IDS，尤其是网络IDS，没有足够的信息来推断攻击是否成功
即使前一步攻击没有成功，攻击者可能并不知道这个失败(例如利用脚本发动的攻击)；于是，攻击者仍然执行了下一步攻击。对于这种情况，前后两步攻击仍然应该进行关联

在TIAA中，要查看针对交大校内FTP2(202.120.58.162)的超告警，应该选用：

告警聚合/分解
聚焦分析
聚类分析
频率分析
连接分析
关联分析

在TIAA中，要查看各个源IP地址(SrcIP)超告警的次数，应该：

执行告警聚合/分解
对每个SrcIP取值分别执行聚焦分析
根据SrcIP执行聚类分析
对SrcIP变量执行频率分析(计数模式)
对SrcIP变量执行频率分析(加权模式)

清除所有答题记录

你的阳光 学习频道

你的阳光学习频道