信息安全工程師案例分析當天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2021/4/29）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2021/4/29

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容（2021/4/29）

2.閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應欄內。
【說明】
日志分析就是對有關操作系統(tǒng)、系統(tǒng)應用或用戶活動所產生的一系列的計算機安全事件進行記錄和分析的過程。在計算機系統(tǒng)中，安全管理員采用日志分析審計系統(tǒng)來監(jiān)視系統(tǒng)的狀態(tài)和活動，并對日志文件進行分析、及時發(fā)現系統(tǒng)中存在的安全問題。
一個安全的網絡系統(tǒng)中的日志分析審計系統(tǒng)，是對網絡系統(tǒng)中任一或所有安全相關事件進行記錄、分析和再現的處理系統(tǒng)。對于日志分析審計系統(tǒng)的一般要求主要包括：
1、記錄與再現：要求審計系統(tǒng)能夠記錄系統(tǒng)中所有的安全相關事件，同時，如果有必要，應該能夠再現產生某一系統(tǒng)狀態(tài)的主要行為；
2、入侵檢測：分析審計系統(tǒng)應能夠檢查出大多數常見的系統(tǒng)入侵的企圖，同時，經過適當的設計，應該能夠阻止這些入侵行為；
3、記錄入侵行為：分析審計系統(tǒng)應該記錄所有的入侵企圖，即使某次入侵己經成功，這時候調查取證和系統(tǒng)恢復必不可少的；
4、威懾作用：應該對系統(tǒng)中具有的日志分析審計系統(tǒng)及其性能進行適當宣傳，這樣可以對企圖入侵者起到威懾作用，又可以減少合法用戶在無意中違反系統(tǒng)的安全策略；
5、系統(tǒng)本身的安全性：必須保證日志分析審計系統(tǒng)本身的安全性，其中，一方面包括操作系統(tǒng)和軟件的安全性，另一方面包括分析審計數據的安全性；一般來說，要保證日志分析審計系統(tǒng)本身的安全，必須與系統(tǒng)中其他安全措施，例如認證、授權、加密措施等相配合。
一個日志分析審計系統(tǒng)的簡單模型包括兩個部分：日志數據采集器，它用于采集數據；日志數據分析器，它負責對分析審計數據采集器發(fā)送給它的日志數據進行分析。
【問題1】（2分）
根據說明，日志分析審計的功能包括（ ）（可多選）
A、對潛在的攻擊者起到震懾或警告
B、對于已經發(fā)生的系統(tǒng)破壞行為，提供有效的追糾證據
C、為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時發(fā)現系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞
D、能檢測并查殺計算機病毒保證計算機系統(tǒng)的安全
【問題2】（3分）
日志分析方法通常有以下三種，請將該描述的選項對應到其中。
1、基于正則表達式的模式匹配日志分析（  ）
2、基于關聯分析的日志分析（ ）
3、基于聚類分析的日志分析（ ）
A、用一定數量的樣本（稱為訓練樣本集） ，由這些樣本及其己知類別，給出一套分類判別準則，使得按照這套分類判別準則，對待識別模式進行分類使錯誤識別率最小。訓練完畢后，對任何一個樣本，都可以利用分類器將其歸到某類中。
B、是數據挖掘中最活躍的研究方法之一。給定一個日志數據庫，通過用戶指定最小支持度和最小可信度來尋找合適關聯規(guī)則的過程。
C、可以用于模式匹配和替換的強有力的工具，可以讓用戶通過一系列的特殊字符構建匹配模式，然后捏匹配模式與數據文件、程序輸入以及 Web 頁面的表單輸入等目標對象進行比較，根據比較對象中是否包含匹配模式，執(zhí)行相應的程序。它通常在對日志文件的初步分析中使用。
【問題3】（2分）
一般關聯規(guī)則挖掘問題可以劃分成兩個子問題，一是通過用戶給定的最小支持度（ minsupport） ，尋找所有頻繁項目集 （Frequent Item set） ，即滿足 support不小于 minsupport 的項目集。事實上，這些頻繁項目集可能具有包含關系。一般地，我們只關心那些不被其他頻繁項目集所包含的所謂頻繁大項集 （Frequent Large Item set）的集合。這些頻繁大項集是形成關聯規(guī)則基礎。二是通過用戶給定的最小可信度（ minconfidence） ，在每個最大頻繁項目集中，尋找 confidence 不小于minconfidence 的關聯規(guī)則。根據描述寫出這兩個子問題名稱。
【問題4】（8分）
通過典型的基于關聯分析的 Apriori 算法進行日志分析得出的是特征模式，例如通過對用戶歷史數據的分析，發(fā)現如下關聯規(guī)則：
模式 ： username = A, timestamp = am， hostip = 192.168.1.119, userip = 192.168. 1.201 [0.98 ,0.60]
則該模式表示用戶A通常在每天的上午登錄，登錄的主機是192.168.1.119，登錄時的IP地址是192.168.1.201，該模式的置信度為98% ，支持度為60%。
（1）根據上述方法，請分析模式：username = A, command = vi, param=.c[0.45, 0.05]。其中，command表示用戶經常執(zhí)行的命令，param表示執(zhí)行命令時所使用的參數（3分）
（2）請分析該模式的含義。（3分）
（3）假設以上的三個模式是挖掘出的關聯規(guī)則和序列模式，試對其進行分析。（2分）信管網試題答案與解析：m.xiexiliangjiufa.com/st/3821918612.html

信管網考友試題答案分享：

信管網cnitpm1538754134：
abc，cba,用戶a使用vi. c命令，該模式置信度為45％，支持度在5％。用戶a嘗試編輯命令，然而失敗。

信管網cnitpm439753710：
【1】abc 【2】（1）c （2）b （3）a 【3】 【4】（1）用戶a經常執(zhí)行vi命令，執(zhí)行命令時使用的參數為.c，該模式的置信度為45％，支持度為5％ （2）

信管網試題答案與解析：m.xiexiliangjiufa.com/st/3821918612.html