信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2020/8/20）在線測(cè)試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2020/8/20

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2020/8/20）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。
【說明】
日志分析就是對(duì)有關(guān)操作系統(tǒng)、系統(tǒng)應(yīng)用或用戶活動(dòng)所產(chǎn)生的一系列的計(jì)算機(jī)安全事件進(jìn)行記錄和分析的過程。在計(jì)算機(jī)系統(tǒng)中，安全管理員采用日志分析審計(jì)系統(tǒng)來監(jiān)視系統(tǒng)的狀態(tài)和活動(dòng)，并對(duì)日志文件進(jìn)行分析、及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的安全問題。
一個(gè)安全的網(wǎng)絡(luò)系統(tǒng)中的日志分析審計(jì)系統(tǒng)，是對(duì)網(wǎng)絡(luò)系統(tǒng)中任一或所有安全相關(guān)事件進(jìn)行記錄、分析和再現(xiàn)的處理系統(tǒng)。對(duì)于日志分析審計(jì)系統(tǒng)的一般要求主要包括：
1、記錄與再現(xiàn)：要求審計(jì)系統(tǒng)能夠記錄系統(tǒng)中所有的安全相關(guān)事件，同時(shí)，如果有必要，應(yīng)該能夠再現(xiàn)產(chǎn)生某一系統(tǒng)狀態(tài)的主要行為；
2、入侵檢測(cè)：分析審計(jì)系統(tǒng)應(yīng)能夠檢查出大多數(shù)常見的系統(tǒng)入侵的企圖，同時(shí)，經(jīng)過適當(dāng)?shù)脑O(shè)計(jì)，應(yīng)該能夠阻止這些入侵行為；
3、記錄入侵行為：分析審計(jì)系統(tǒng)應(yīng)該記錄所有的入侵企圖，即使某次入侵己經(jīng)成功，這時(shí)候調(diào)查取證和系統(tǒng)恢復(fù)必不可少的；
4、威懾作用：應(yīng)該對(duì)系統(tǒng)中具有的日志分析審計(jì)系統(tǒng)及其性能進(jìn)行適當(dāng)宣傳，這樣可以對(duì)企圖入侵者起到威懾作用，又可以減少合法用戶在無意中違反系統(tǒng)的安全策略；
5、系統(tǒng)本身的安全性：必須保證日志分析審計(jì)系統(tǒng)本身的安全性，其中，一方面包括操作系統(tǒng)和軟件的安全性，另一方面包括分析審計(jì)數(shù)據(jù)的安全性；一般來說，要保證日志分析審計(jì)系統(tǒng)本身的安全，必須與系統(tǒng)中其他安全措施，例如認(rèn)證、授權(quán)、加密措施等相配合。
一個(gè)日志分析審計(jì)系統(tǒng)的簡(jiǎn)單模型包括兩個(gè)部分：日志數(shù)據(jù)采集器，它用于采集數(shù)據(jù)；日志數(shù)據(jù)分析器，它負(fù)責(zé)對(duì)分析審計(jì)數(shù)據(jù)采集器發(fā)送給它的日志數(shù)據(jù)進(jìn)行分析。
【問題1】（2分）
根據(jù)說明，日志分析審計(jì)的功能包括（  ）（可多選）
A、對(duì)潛在的攻擊者起到震懾或警告
B、對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為，提供有效的追糾證據(jù)
C、為系統(tǒng)管理員提供有價(jià)值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞
D、能檢測(cè)并查殺計(jì)算機(jī)病毒保證計(jì)算機(jī)系統(tǒng)的安全
【問題2】（3分）
日志分析方法通常有以下三種，請(qǐng)將該描述的選項(xiàng)對(duì)應(yīng)到其中。
1、基于正則表達(dá)式的模式匹配日志分析（  ）
2、基于關(guān)聯(lián)分析的日志分析（  ）
3、基于聚類分析的日志分析（  ）
A、用一定數(shù)量的樣本（稱為訓(xùn)練樣本集） ，由這些樣本及其己知類別，給出一套分類判別準(zhǔn)則，使得按照這套分類判別準(zhǔn)則，對(duì)待識(shí)別模式進(jìn)行分類使錯(cuò)誤識(shí)別率最小。訓(xùn)練完畢后，對(duì)任何一個(gè)樣本，都可以利用分類器將其歸到某類中。
B、是數(shù)據(jù)挖掘中最活躍的研究方法之一。給定一個(gè)日志數(shù)據(jù)庫，通過用戶指定最小支持度和最小可信度來尋找合適關(guān)聯(lián)規(guī)則的過程。
C、可以用于模式匹配和替換的強(qiáng)有力的工具，可以讓用戶通過一系列的特殊字符構(gòu)建匹配模式，然后捏匹配模式與數(shù)據(jù)文件、程序輸入以及 Web 頁面的表單輸入等目標(biāo)對(duì)象進(jìn)行比較，根據(jù)比較對(duì)象中是否包含匹配模式，執(zhí)行相應(yīng)的程序。它通常在對(duì)日志文件的初步分析中使用。
【問題3】（2分）
一般關(guān)聯(lián)規(guī)則挖掘問題可以劃分成兩個(gè)子問題，一是通過用戶給定的最小支持度（ minsupport） ，尋找所有頻繁項(xiàng)目集 （Frequent Item set） ，即滿足 support不小于 minsupport 的項(xiàng)目集。事實(shí)上，這些頻繁項(xiàng)目集可能具有包含關(guān)系。一般地，我們只關(guān)心那些不被其他頻繁項(xiàng)目集所包含的所謂頻繁大項(xiàng)集 （Frequent Large Item set）的集合。這些頻繁大項(xiàng)集是形成關(guān)聯(lián)規(guī)則基礎(chǔ)。二是通過用戶給定的最小可信度（ minconfidence） ，在每個(gè)最大頻繁項(xiàng)目集中，尋找 confidence 不小于minconfidence 的關(guān)聯(lián)規(guī)則。根據(jù)描述寫出這兩個(gè)子問題名稱。
【問題4】（8分）
通過典型的基于關(guān)聯(lián)分析的 Apriori 算法進(jìn)行日志分析得出的是特征模式，例如通過對(duì)用戶歷史數(shù)據(jù)的分析，發(fā)現(xiàn)如下關(guān)聯(lián)規(guī)則：
模式 ： username = A, timestamp = am， hostip = 192.168.1.119, userip = 192.168. 1.201 [0.98 ,0.60]
則該模式表示用戶A通常在每天的上午登錄，登錄的主機(jī)是192.168.1.119，登錄時(shí)的IP地址是192.168.1.201，該模式的置信度為98% ，支持度為60%。
（1）根據(jù)上述方法，請(qǐng)分析模式：username = A, command = vi, param=.c[0.45, 0.05]。其中，command表示用戶經(jīng)常執(zhí)行的命令，param表示執(zhí)行命令時(shí)所使用的參數(shù)（3分）
如果在 Apriori 算法的基礎(chǔ)上加上一個(gè)時(shí)間約束則是時(shí)間序列分析算法，它用于分析不同審計(jì)記錄之間的相關(guān)性。它的形式為：X，Y→Z[C ,S,w]， X,Y,Z為項(xiàng)集，W為時(shí)間約束。含義：若X,Y發(fā)生，則在w秒內(nèi)，Z也發(fā)生。
S=Support(XYZ) 是規(guī)則的支持度：滿足規(guī)則的樣本百分比。
C=Support(XYZ)/Support( XY)是置信度：當(dāng)X，Y發(fā)生時(shí)Z發(fā)生的條件概率。
系統(tǒng)調(diào)用序列與時(shí)間序列分析不同的是它只有一個(gè)支持度，沒有時(shí)間窗口的限制，也沒有置信度。
如：通過對(duì)用戶A所執(zhí)行的命令序列進(jìn)行分析，發(fā)現(xiàn)如下序列模式：
command=vi,param=.c→command=gcc,param=-g-o→command=gdb(0.4)
（2）請(qǐng)分析該模式的含義。（3分）
（3）假設(shè)以上的三個(gè)模式是挖掘出的關(guān)聯(lián)規(guī)則和序列模式，試對(duì)其進(jìn)行分析。（2分）

信管網(wǎng)cnitpm30999688195：
1:abc＜br＞2: 1c2b3a＜br＞3.最小支持度關(guān)聯(lián)規(guī)則/最小可信度關(guān)聯(lián)規(guī)則＜br＞4:（1）用戶a執(zhí)行vi .c命令置信度為＜br＞45％，支持度為5％＜br＞（2）執(zhí)行命令vi .c后，會(huì)再執(zhí)行g(shù)cc -g -o gdb 命令＜br＞（3）用戶a通常在每天的上午登錄。。