【问题5】（8分）

根据李工提供的网络拓扑图，王工建议部署开源的Snort入侵检测系统以提高整体的安全检测和态势感知能力。

（1）针对王工建议，李工查阅了入侵检测系统的基本组成和技术原理等资料。请问以下有关Snort入侵检测系统的描述哪两项是正确的？（2分）

A. 基于异常的检测系统 B. 基于误用的检测系统

C. 基于网络的入侵检测系统D. 基于主机的入侵检测系统

（2）为了部署Snort入侵检测系统，李工应该把入侵检测系统连接到图1-1 网络拓扑中的哪台交换机？（1分）

（3）李工还需要把网络流量导入入侵检测系统才能识别流量中的潜在攻击。图1-1中使用的均为华为交换机，李工要将交换机网口GigabitEthernet1/0/2的流量镜像到部署 Snort的网口 GigabitEthernet1/0/1上，他应该选择下列选项中哪一个配置？（2分）

A. observe-port 1 interface GigabitEthernet1/0/2

interface GigabitEthemet1/0/1

  port-mirroring to observe-port 1 inbound/outbound/both

B. observe-port 2 interface GigabitEthernet1/0/2

  interface GigabitEthemet1/0/1

  port-mirroring to observe-port 1 inbound/outbound/both

C.port-mirroring to observe-port 1 inbound/outbound/both

  observe-port 1 interfaceGigabiEthenet1/0/2

  interface GigabitEthenet1/0/1

D.observe-port 1 interface GigabitEthernet1/0/1

  interface GigabitEthemet1/0/2

port-mirroring to observe-port 1 inbound/outbound/both

（4）Snort入侵检测系统部署不久，就发现了一起网络攻击。李工打开攻击分组查看，发现很多字符看起来不像是正常字母，如图1-2所示，请问该用哪种编码方式去解码该网络分组内容？（1分）

图1-2

（5）针对图1-2所示的网络分组，李工查看了该攻击对应的Snort 检测规则，以更好地掌握Snort入侵检测系统的工作机制。请完善以下规则，填充空（a）、（b）处的内容。（2分）

（a） tcp any any -> any any (msg:"XXX";content:" （b） ";nocase;sid:1106;)

答案：

解析：