案例
真题
(2022年下半年)
试题三(18分)
阅读下列说明和图,回答问题1至问题9,将解答填入答题纸的对应栏内。
【说明】
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
有—天,王工在夜间的例行安全巡检过程中,发现有异常日志告警,通过查看NTA全流量分析设备,找到了对应的可疑流量,请分析其中可能的安全事件。
【问题1】(2分)
Windows系统提供的日志有三种类型,分别是系统日志、应用程序日志和安全日志,请问图3-1的日志最有可能来自哪种类型的日志?
【问题2】(2分)
请选择Windows系统所采用的记录日志信息的文件格式后缀名。
备选项:
A.log B.txt C.xml D.evt
【问题3】(2分)
访问Windows系统中的日志记录有多种方法,请问通过命令行窗快速访问日志的命令名字(事件查看器)是什么?
【问题4】(2分)
Windows系统通过事件ID来记录不同的系统行为,图3-1的事件ID为4625,请结合任务类别,判断导致上述日志的最有可能的情况。
备选项:
A.本地成功登录
B.网络失败登录
C.网络成功登录
D.本地失败登录
【问题5】(2分)
王工通过对攻击流量的关联分析定位到了图3-2所示的网络分组,请指出上述攻击针对的是哪—个端口。
【问题6】(2分)
如果要在Wireshark当中过滤出上述流量分组,请写出在显示过滤框中应输入的过滤表达式。
【问题7】(2分)
Windows系统为了实现安全的远程登录使用了tls协议,请问图3-2中,服务器的数字证书是在哪—个数据包中传递的?通信双方是从哪—个数据包开始传递加密数据的?请给出对应数据包的序号。
【问题8】(2分)
网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。请问上述攻击属于哪—种网络安全事件?
【问题9】(2分)
此类攻击针对的是三大安全目标即保密性、完整性、可用性中的哪—个?
阅读下列说明和图,回答问题1至问题9,将解答填入答题纸的对应栏内。
【说明】
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
有—天,王工在夜间的例行安全巡检过程中,发现有异常日志告警,通过查看NTA全流量分析设备,找到了对应的可疑流量,请分析其中可能的安全事件。
【问题1】(2分)
Windows系统提供的日志有三种类型,分别是系统日志、应用程序日志和安全日志,请问图3-1的日志最有可能来自哪种类型的日志?
【问题2】(2分)
请选择Windows系统所采用的记录日志信息的文件格式后缀名。
备选项:
A.log B.txt C.xml D.evt
【问题3】(2分)
访问Windows系统中的日志记录有多种方法,请问通过命令行窗快速访问日志的命令名字(事件查看器)是什么?
【问题4】(2分)
Windows系统通过事件ID来记录不同的系统行为,图3-1的事件ID为4625,请结合任务类别,判断导致上述日志的最有可能的情况。
备选项:
A.本地成功登录
B.网络失败登录
C.网络成功登录
D.本地失败登录
【问题5】(2分)
王工通过对攻击流量的关联分析定位到了图3-2所示的网络分组,请指出上述攻击针对的是哪—个端口。
【问题6】(2分)
如果要在Wireshark当中过滤出上述流量分组,请写出在显示过滤框中应输入的过滤表达式。
【问题7】(2分)
Windows系统为了实现安全的远程登录使用了tls协议,请问图3-2中,服务器的数字证书是在哪—个数据包中传递的?通信双方是从哪—个数据包开始传递加密数据的?请给出对应数据包的序号。
【问题8】(2分)
网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。请问上述攻击属于哪—种网络安全事件?
【问题9】(2分)
此类攻击针对的是三大安全目标即保密性、完整性、可用性中的哪—个?