信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2021/1/12）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2021/1/12

點擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2021/1/12）

閱讀下列說明，回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
日志分析就是對有關(guān)操作系統(tǒng)、系統(tǒng)應(yīng)用或用戶活動所產(chǎn)生的一系列的計算機安全事件進(jìn)行記錄和分析的過程。在計算機系統(tǒng)中，安全管理員采用日志分析審計系統(tǒng)來監(jiān)視系統(tǒng)的狀態(tài)和活動，并對日志文件進(jìn)行分析、及時發(fā)現(xiàn)系統(tǒng)中存在的安全問題。
一個安全的網(wǎng)絡(luò)系統(tǒng)中的日志分析審計系統(tǒng)，是對網(wǎng)絡(luò)系統(tǒng)中任一或所有安全相關(guān)事件進(jìn)行記錄、分析和再現(xiàn)的處理系統(tǒng)。對于日志分析審計系統(tǒng)的一般要求主要包括：
1、記錄與再現(xiàn)：要求審計系統(tǒng)能夠記錄系統(tǒng)中所有的安全相關(guān)事件，同時，如果有必要，應(yīng)該能夠再現(xiàn)產(chǎn)生某一系統(tǒng)狀態(tài)的主要行為；
2、入侵檢測：分析審計系統(tǒng)應(yīng)能夠檢查出大多數(shù)常見的系統(tǒng)入侵的企圖，同時，經(jīng)過適當(dāng)?shù)脑O(shè)計，應(yīng)該能夠阻止這些入侵行為；
3、記錄入侵行為：分析審計系統(tǒng)應(yīng)該記錄所有的入侵企圖，即使某次入侵己經(jīng)成功，這時候調(diào)查取證和系統(tǒng)恢復(fù)必不可少的；
4、威懾作用：應(yīng)該對系統(tǒng)中具有的日志分析審計系統(tǒng)及其性能進(jìn)行適當(dāng)宣傳，這樣可以對企圖入侵者起到威懾作用，又可以減少合法用戶在無意中違反系統(tǒng)的安全策略；
5、系統(tǒng)本身的安全性：必須保證日志分析審計系統(tǒng)本身的安全性，其中，一方面包括操作系統(tǒng)和軟件的安全性，另一方面包括分析審計數(shù)據(jù)的安全性；一般來說，要保證日志分析審計系統(tǒng)本身的安全，必須與系統(tǒng)中其他安全措施，例如認(rèn)證、授權(quán)、加密措施等相配合。
一個日志分析審計系統(tǒng)的簡單模型包括兩個部分：日志數(shù)據(jù)采集器，它用于采集數(shù)據(jù)；日志數(shù)據(jù)分析器，它負(fù)責(zé)對分析審計數(shù)據(jù)采集器發(fā)送給它的日志數(shù)據(jù)進(jìn)行分析。
【問題1】（2分）
根據(jù)說明，日志分析審計的功能包括（  ）（可多選）
A、對潛在的攻擊者起到震懾或警告
B、對于已經(jīng)發(fā)生的系統(tǒng)破壞行為，提供有效的追糾證據(jù)
C、為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，從而幫助系統(tǒng)管理員及時發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞
D、能檢測并查殺計算機病毒保證計算機系統(tǒng)的安全
【問題2】（3分）
日志分析方法通常有以下三種，請將該描述的選項對應(yīng)到其中。
1、基于正則表達(dá)式的模式匹配日志分析（  ）
2、基于關(guān)聯(lián)分析的日志分析（  ）
3、基于聚類分析的日志分析（  ）
A、用一定數(shù)量的樣本（稱為訓(xùn)練樣本集） ，由這些樣本及其己知類別，給出一套分類判別準(zhǔn)則，使得按照這套分類判別準(zhǔn)則，對待識別模式進(jìn)行分類使錯誤識別率最小。訓(xùn)練完畢后，對任何一個樣本，都可以利用分類器將其歸到某類中。
B、是數(shù)據(jù)挖掘中最活躍的研究方法之一。給定一個日志數(shù)據(jù)庫，通過用戶指定最小支持度和最小可信度來尋找合適關(guān)聯(lián)規(guī)則的過程。
C、可以用于模式匹配和替換的強有力的工具，可以讓用戶通過一系列的特殊字符構(gòu)建匹配模式，然后捏匹配模式與數(shù)據(jù)文件、程序輸入以及 Web 頁面的表單輸入等目標(biāo)對象進(jìn)行比較，根據(jù)比較對象中是否包含匹配模式，執(zhí)行相應(yīng)的程序。它通常在對日志文件的初步分析中使用。
【問題3】（2分）
一般關(guān)聯(lián)規(guī)則挖掘問題可以劃分成兩個子問題，一是通過用戶給定的最小支持度（ minsupport） ，尋找所有頻繁項目集 （Frequent Item set） ，即滿足 support不小于 minsupport 的項目集。事實上，這些頻繁項目集可能具有包含關(guān)系。一般地，我們只關(guān)心那些不被其他頻繁項目集所包含的所謂頻繁大項集 （Frequent Large Item set）的集合。這些頻繁大項集是形成關(guān)聯(lián)規(guī)則基礎(chǔ)。二是通過用戶給定的最小可信度（ minconfidence） ，在每個最大頻繁項目集中，尋找 confidence 不小于minconfidence 的關(guān)聯(lián)規(guī)則。根據(jù)描述寫出這兩個子問題名稱。
【問題4】（8分）
通過典型的基于關(guān)聯(lián)分析的 Apriori 算法進(jìn)行日志分析得出的是特征模式，例如通過對用戶歷史數(shù)據(jù)的分析，發(fā)現(xiàn)如下關(guān)聯(lián)規(guī)則：
模式 ： username = A, timestamp = am， hostip = 192.168.1.119, userip = 192.168. 1.201 [0.98 ,0.60]
則該模式表示用戶A通常在每天的上午登錄，登錄的主機是192.168.1.119，登錄時的IP地址是192.168.1.201，該模式的置信度為98% ，支持度為60%。
（1）根據(jù)上述方法，請分析模式：username = A, command = vi, param=.c[0.45, 0.05]。其中，command表示用戶經(jīng)常執(zhí)行的命令，param表示執(zhí)行命令時所使用的參數(shù)（3分）
如果在 Apriori 算法的基礎(chǔ)上加上一個時間約束則是時間序列分析算法，它用于分析不同審計記錄之間的相關(guān)性。它的形式為：X，Y→Z[C ,S,w]， X,Y,Z為項集，W為時間約束。含義：若X,Y發(fā)生，則在w秒內(nèi)，Z也發(fā)生。
S=Support(XYZ) 是規(guī)則的支持度：滿足規(guī)則的樣本百分比。
C=Support(XYZ)/Support( XY)是置信度：當(dāng)X，Y發(fā)生時Z發(fā)生的條件概率。
系統(tǒng)調(diào)用序列與時間序列分析不同的是它只有一個支持度，沒有時間窗口的限制，也沒有置信度。
如：通過對用戶A所執(zhí)行的命令序列進(jìn)行分析，發(fā)現(xiàn)如下序列模式：
command=vi,param=.c→command=gcc,param=-g-o→command=gdb(0.4)
（2）請分析該模式的含義。（3分）
（3）假設(shè)以上的三個模式是挖掘出的關(guān)聯(lián)規(guī)則和序列模式，試對其進(jìn)行分析。（2分）

信管網(wǎng)cnitpm3817195998：
[問題1]＜br＞bc＜br＞[問題2]＜br＞1:c     2:b     3:a＜br＞[問題3]＜br＞＜br＞[問題4]＜br＞（1）:用戶a經(jīng)常使用vi命令，使用的參數(shù)是c，該模式的置信度是45％，支持度是5％＜br＞（2）:執(zhí)行vi命令，當(dāng)參數(shù)為.c時，執(zhí)行g(shù)cc命令，當(dāng)參數(shù)為-g-o時執(zhí)行g(shù)db，該模式的支持度是40％＜br＞（3）用戶a常在上午登錄，登錄時的ip是192.168.1.201，登陸的主機是ip是192.168.1.119，經(jīng)常使用命令vi，參數(shù)為.c時……

信管網(wǎng)cnitpm439753710：
【1】abc 【2】1-c；2-b；3-a 【3】發(fā)現(xiàn)頻繁項目集、生成關(guān)聯(lián)規(guī)則 【4】用戶a經(jīng)常執(zhí)行的命令為vi，執(zhí)行命令的參數(shù)為.c，置信度為45％，支持度為5％。該用戶經(jīng)常執(zhí)行命令的序列為:首先用vi編譯，通過gcc再編譯，最后通過gbd調(diào)試。該用戶為c程序員，經(jīng)常上午工作，使用192.168.1.201的客戶機登錄到192.168.1.199的主機進(jìn)行工作。

信管網(wǎng)cnitpm439753710：
【1】bc 【2】1-c；2-b；1-a 【3】頻繁項目集、關(guān)聯(lián)規(guī)則集 【4】（1）用戶經(jīng)常執(zhí)行的命令表示使用vi編輯器；param執(zhí)行命令時的參數(shù)表示該模式的置信度45％，支持度為5％； （2）執(zhí)行命令vi，打開vi編輯器，將文件保存為.c格式，執(zhí)行該c語言文件 （3）用戶a是一名c語言的程序員，每天上午登錄主機ip為192.168.1.119，登錄時的ip地址為192.168.1.201，執(zhí)行命令vi，打開vi編輯器，編寫c語言后執(zhí)行c語言文件。

信管網(wǎng)cnitpm57427373058：
abc,cba＜br＞生成頻繁項目集，尋找關(guān)聯(lián)規(guī)則＜br＞用戶a經(jīng)常執(zhí)行命令vi，執(zhí)行命令所用的參數(shù)是文件后綴名為.c的文件，該模式的置信度為45％，支持度為5％＜br＞用戶經(jīng)常用vi編輯c語言程序。然后用gcc進(jìn)行編譯，再用gdb進(jìn)行調(diào)試該模式的置信度是40％

信管網(wǎng)wl.2017：
問題1：a，b，c。＜br＞問題2：1c，2b，3a。＜br＞問題3：挖掘頻繁項集，根據(jù)挖掘出的頻繁項集產(chǎn)生用戶感興趣的關(guān)聯(lián)規(guī)則。＜br＞問題4：（1）用戶a經(jīng)常執(zhí)行的命令為vi，執(zhí)行命令的參數(shù)為.c，置信度為45％，支持度為5％。＜br＞（2）用戶a經(jīng)常執(zhí)行命令的序列為首先用vi編輯，通過gcc再編譯，通過gbd調(diào)試。＜br＞（3）用戶a為c程序員，經(jīng)常上午工作，使用192.168.1.201的客戶機登錄到192.168.1.199的主機進(jìn)行工作。