信息安全工程師案例分析當天每日一練試題地址：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：http://m.xiexiliangjiufa.com/class27-2-1.aspx

信息安全工程師案例分析每日一練試題（2017/3/15）在線測試：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2017/3/15

信息安全工程師案例分析每日一練試題內(nèi)容（2017/3/15）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應欄內(nèi)。
【說明】
日志分析就是對有關(guān)操作系統(tǒng)、系統(tǒng)應用或用戶活動所產(chǎn)生的一系列的計算機安全事件進行記錄和分析的過程。在計算機系統(tǒng)中，安全管理員采用日志分析審計系統(tǒng)來監(jiān)視系統(tǒng)的狀態(tài)和活動，并對日志文件進行分析、及時發(fā)現(xiàn)系統(tǒng)中存在的安全問題。
一個安全的網(wǎng)絡(luò)系統(tǒng)中的日志分析審計系統(tǒng)，是對網(wǎng)絡(luò)系統(tǒng)中任一或所有安全相關(guān)事件進行記錄、分析和再現(xiàn)的處理系統(tǒng)。對于日志分析審計系統(tǒng)的一般要求主要包括：
1、記錄與再現(xiàn)：要求審計系統(tǒng)能夠記錄系統(tǒng)中所有的安全相關(guān)事件，同時，如果有必要，應該能夠再現(xiàn)產(chǎn)生某一系統(tǒng)狀態(tài)的主要行為；
2、入侵檢測：分析審計系統(tǒng)應能夠檢查出大多數(shù)常見的系統(tǒng)入侵的企圖，同時，經(jīng)過適當?shù)脑O(shè)計，應該能夠阻止這些入侵行為；
3、記錄入侵行為：分析審計系統(tǒng)應該記錄所有的入侵企圖，即使某次入侵己經(jīng)成功，這時候調(diào)查取證和系統(tǒng)恢復必不可少的；
4、威懾作用：應該對系統(tǒng)中具有的日志分析審計系統(tǒng)及其性能進行適當宣傳，這樣可以對企圖入侵者起到威懾作用，又可以減少合法用戶在無意中違反系統(tǒng)的安全策略；
5、系統(tǒng)本身的安全性：必須保證日志分析審計系統(tǒng)本身的安全性，其中，一方面包括操作系統(tǒng)和軟件的安全性，另一方面包括分析審計數(shù)據(jù)的安全性；一般來說，要保證日志分析審計系統(tǒng)本身的安全，必須與系統(tǒng)中其他安全措施，例如認證、授權(quán)、加密措施等相配合。
一個日志分析審計系統(tǒng)的簡單模型包括兩個部分：日志數(shù)據(jù)采集器，它用于采集數(shù)據(jù)；日志數(shù)據(jù)分析器，它負責對分析審計數(shù)據(jù)采集器發(fā)送給它的日志數(shù)據(jù)進行分析。
【問題1】（2分）
根據(jù)說明，日志分析審計的功能包括（  ）（可多選）
A、對潛在的攻擊者起到震懾或警告
B、對于已經(jīng)發(fā)生的系統(tǒng)破壞行為，提供有效的追糾證據(jù)
C、為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞
D、能檢測并查殺計算機病毒保證計算機系統(tǒng)的安全
【問題2】（3分）
日志分析方法通常有以下三種，請將該描述的選項對應到其中。
1、基于正則表達式的模式匹配日志分析（  ）
2、基于關(guān)聯(lián)分析的日志分析（  ）
3、基于聚類分析的日志分析（  ）
A、用一定數(shù)量的樣本（稱為訓練樣本集） ，由這些樣本及其己知類別，給出一套分類判別準則，使得按照這套分類判別準則，對待識別模式進行分類使錯誤識別率最小。訓練完畢后，對任何一個樣本，都可以利用分類器將其歸到某類中。
B、是數(shù)據(jù)挖掘中最活躍的研究方法之一。給定一個日志數(shù)據(jù)庫，通過用戶指定最小支持度和最小可信度來尋找合適關(guān)聯(lián)規(guī)則的過程。
C、可以用于模式匹配和替換的強有力的工具，可以讓用戶通過一系列的特殊字符構(gòu)建匹配模式，然后捏匹配模式與數(shù)據(jù)文件、程序輸入以及 Web 頁面的表單輸入等目標對象進行比較，根據(jù)比較對象中是否包含匹配模式，執(zhí)行相應的程序。它通常在對日志文件的初步分析中使用。
【問題3】（2分）
一般關(guān)聯(lián)規(guī)則挖掘問題可以劃分成兩個子問題，一是通過用戶給定的最小支持度（ minsupport） ，尋找所有頻繁項目集 （Frequent Item set） ，即滿足 support不小于 minsupport 的項目集。事實上，這些頻繁項目集可能具有包含關(guān)系。一般地，我們只關(guān)心那些不被其他頻繁項目集所包含的所謂頻繁大項集 （Frequent Large Item set）的集合。這些頻繁大項集是形成關(guān)聯(lián)規(guī)則基礎(chǔ)。二是通過用戶給定的最小可信度（ minconfidence） ，在每個最大頻繁項目集中，尋找 confidence 不小于minconfidence 的關(guān)聯(lián)規(guī)則。根據(jù)描述寫出這兩個子問題名稱。
【問題4】（8分）
通過典型的基于關(guān)聯(lián)分析的 Apriori 算法進行日志分析得出的是特征模式，例如通過對用戶歷史數(shù)據(jù)的分析，發(fā)現(xiàn)如下關(guān)聯(lián)規(guī)則：
模式 ： username = A, timestamp = am， hostip = 192.168.1.119, userip = 192.168. 1.201 [0.98 ,0.60]
則該模式表示用戶A通常在每天的上午登錄，登錄的主機是192.168.1.119，登錄時的IP地址是192.168.1.201，該模式的置信度為98% ，支持度為60%。
（1）根據(jù)上述方法，請分析模式：username = A, command = vi, param=.c[0.45, 0.05]。其中，command表示用戶經(jīng)常執(zhí)行的命令，param表示執(zhí)行命令時所使用的參數(shù)（3分）
如果在 Apriori 算法的基礎(chǔ)上加上一個時間約束則是時間序列分析算法，它用于分析不同審計記錄之間的相關(guān)性。它的形式為：X，Y→Z[C ,S,w]， X,Y,Z為項集，W為時間約束。含義：若X,Y發(fā)生，則在w秒內(nèi)，Z也發(fā)生。
S=Support(XYZ) 是規(guī)則的支持度：滿足規(guī)則的樣本百分比。
C=Support(XYZ)/Support( XY)是置信度：當X，Y發(fā)生時Z發(fā)生的條件概率。
系統(tǒng)調(diào)用序列與時間序列分析不同的是它只有一個支持度，沒有時間窗口的限制，也沒有置信度。
如：通過對用戶A所執(zhí)行的命令序列進行分析，發(fā)現(xiàn)如下序列模式：
command=vi,param=.c→command=gcc,param=-g-o→command=gdb(0.4)
（2）請分析該模式的含義。（3分）
（3）假設(shè)以上的三個模式是挖掘出的關(guān)聯(lián)規(guī)則和序列模式，試對其進行分析。（2分）

信管網(wǎng)ningning：
1、abc；
      2、cba；
      3、發(fā)現(xiàn)頻繁的項目集，生成關(guān)聯(lián)規(guī)則；
      4、

信管網(wǎng)河北省唐山市聯(lián)通ADSL考友：
一 abc 二 cba 三 發(fā)現(xiàn)頻繁項目集、生成關(guān)聯(lián)規(guī)則 四 用戶a經(jīng)常執(zhí)行的命令為vi，執(zhí)行命令的參數(shù)為.c，置信度為45％，支持度為5％。 該用戶經(jīng)常執(zhí)行命令的序列為：首先用vi編譯，通過gcc再編譯，最后通過gbd調(diào)試。 該用戶為c程序員，經(jīng)常上午工作，使用192.168.1.201的客戶機登錄到192.168.1.199的主機進行工作。。。。

信管網(wǎng)903847639：
問題一答案：a,b,c
問題二答案：c,b,a
問題三答案：不會
問題四答案：
（1）：a用戶使用vi命令，并且命令帶有c參數(shù)，參數(shù)包括0.45和0.05兩種。