《工業(yè)控制系統(tǒng)安全與實踐》 習(xí)題及答案 4

4.5習(xí)題一、選擇題1、以下哪種數(shù)據(jù)不能作為指紋庫的特征？DA.MAC地址B.時鐘偏移C.協(xié)議端口D.內(nèi)存大小2、資產(chǎn)探測技術(shù)分為哪幾種？DA.被動探測B.主動探測C.基于搜索引擎的探測D.以上都是3、以下哪一個不是工控設(shè)備的通用協(xié)議？DA.地址解析協(xié)議B.域名解析協(xié)議C.傳輸控制協(xié)議D.用戶數(shù)據(jù)包協(xié)議4、以下哪個應(yīng)用沒有使用搜索引擎的探測技術(shù)？DA.FofaB.ZoomEyeC.shodanD.hydra簡答題請簡要介紹一下工業(yè)控制系統(tǒng)中的資產(chǎn)都包括什么？相應(yīng)的資產(chǎn)都有哪些信息？答：控制器（Controller）：包括可編程邏輯控制器（PLC）、遠(yuǎn)程終端單元（RTU）等，用于接收和執(zhí)行控制指令。監(jiān)測設(shè)備（Sensors）：包括各類傳感器，如溫度傳感器、壓力傳感器、流量傳感器等，用于采集和監(jiān)測目標(biāo)系統(tǒng)或過程的參數(shù)。執(zhí)行設(shè)備（Actuators）：包括執(zhí)行機(jī)構(gòu)、閥門、驅(qū)動器等，用于根據(jù)控制指令執(zhí)行具體的動作。通信設(shè)備（CommunicationDevices）：包括網(wǎng)絡(luò)交換機(jī)、路由器、無線設(shè)備等，用于實現(xiàn)各個設(shè)備之間的通信和數(shù)據(jù)傳輸。存儲設(shè)備（StorageDevices）：包括各類存儲介質(zhì)和服務(wù)器，用于存儲和管理系統(tǒng)的配置信息、數(shù)據(jù)記錄和日志等。你知道哪些基于搜索引擎的探測技術(shù)的應(yīng)用軟件，以及它們都有什么功能？答：Fofa：Fofa是一款基于搜索引擎的網(wǎng)絡(luò)空間搜索和資產(chǎn)識別工具。它能夠通過針對特定關(guān)鍵詞、語法和過濾器的搜索查詢，發(fā)現(xiàn)和識別暴露在公開網(wǎng)絡(luò)上的各種網(wǎng)絡(luò)設(shè)備和敏感信息，如IP地址、端口、域名、網(wǎng)站、協(xié)議等。Fofa還提供了強(qiáng)大的過濾和導(dǎo)出功能，方便用戶對搜索結(jié)果進(jìn)行篩選和導(dǎo)出。ZoomEye：ZoomEye是一個網(wǎng)絡(luò)空間搜索引擎，旨在幫助用戶發(fā)現(xiàn)和識別與網(wǎng)絡(luò)安全相關(guān)的設(shè)備和信息。它可以通過搜索關(guān)鍵字、過濾器和語法，快速定位特定類型的設(shè)備或信息，如服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)攝像頭等。ZoomEye還提供了漏洞掃描和Web應(yīng)用探測等功能，幫助用戶評估目標(biāo)設(shè)備和應(yīng)用的安全性。Shodan：Shodan被稱為全球首個和最古老的搜索引擎，專門用于搜索與互聯(lián)網(wǎng)上連接的設(shè)備相關(guān)的信息。它可以掃描和識別各種設(shè)備，包括工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)設(shè)備、攝像頭、路由器等，并提供關(guān)于這些設(shè)備的詳細(xì)信息，如開放的端口、協(xié)議、國家/地區(qū)分布等。Shodan還提供了漏洞搜索和訂閱功能，幫助用戶發(fā)現(xiàn)存在的安全風(fēng)險?；跈C(jī)器學(xué)習(xí)的資產(chǎn)探測技術(shù)總體思路是什么？答：數(shù)據(jù)收集：首先，需要收集網(wǎng)絡(luò)流量數(shù)據(jù)、服務(wù)器日志、網(wǎng)絡(luò)掃描結(jié)果等多種數(shù)據(jù)源，這些數(shù)據(jù)包含了網(wǎng)絡(luò)中各種資產(chǎn)的信息。數(shù)據(jù)預(yù)處理：對收集到的數(shù)據(jù)進(jìn)行預(yù)處理，包括數(shù)據(jù)清洗、去噪、特征提取等操作，以準(zhǔn)備好用于機(jī)器學(xué)習(xí)模型的輸入數(shù)據(jù)。特征工程：根據(jù)需要，進(jìn)行特征工程，即根據(jù)數(shù)據(jù)特點和問題要求，提取一些能夠代表資產(chǎn)特征和屬性的指標(biāo)或特征。這可能涉及到網(wǎng)絡(luò)協(xié)議分析、端口掃描結(jié)果分析、主機(jī)特征分析等。數(shù)據(jù)標(biāo)注：對已知的資產(chǎn)進(jìn)行標(biāo)注，即給定正樣本（已知的資產(chǎn)）和負(fù)樣本（非資產(chǎn)），為了訓(xùn)練機(jī)器學(xué)習(xí)模型。模型訓(xùn)練：使用標(biāo)注好的數(shù)據(jù)集，訓(xùn)練機(jī)器學(xué)習(xí)模型。常用的機(jī)器學(xué)習(xí)算法包括決策樹、支持向量機(jī)（SVM）、神經(jīng)網(wǎng)絡(luò)、隨機(jī)森林等。模型評估和優(yōu)化：評估訓(xùn)練好的模型在驗證集或測試集上的性能，如準(zhǔn)確度、召回率、F1值等。根據(jù)評估結(jié)果，優(yōu)化模型參數(shù)、調(diào)整特征選擇和優(yōu)化算法。資產(chǎn)探測：使用訓(xùn)練好的模型對新的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)測，識別和判斷未知的網(wǎng)絡(luò)資產(chǎn)。根據(jù)模型輸出結(jié)果，標(biāo)記或分類網(wǎng)絡(luò)中的資產(chǎn)與非資產(chǎn)。結(jié)果展示和應(yīng)用：根據(jù)資產(chǎn)探測結(jié)果，生成報告或可視化結(jié)果，提供給安全團(tuán)隊或管理員。結(jié)果可以用于漏洞評估、網(wǎng)絡(luò)掃描和資產(chǎn)管理等方面。4、基于規(guī)則生成引擎(ARE)收集事務(wù)數(shù)據(jù)集的步驟是什么？答：確定數(shù)據(jù)來源：首先需要確定數(shù)據(jù)集的來源，包括可能涉及的數(shù)據(jù)源，比如數(shù)據(jù)庫、日志文件、傳感器數(shù)據(jù)等。這些數(shù)據(jù)來源應(yīng)當(dāng)覆蓋需要分析的業(yè)務(wù)或系統(tǒng)范圍。數(shù)據(jù)提取：根據(jù)確定的數(shù)據(jù)來源，執(zhí)行數(shù)據(jù)提取操作，獲取事務(wù)數(shù)據(jù)集需要的原始數(shù)據(jù)。這可能涉及編寫數(shù)據(jù)庫查詢、使用API接口獲取數(shù)據(jù)、或者直接讀取日志文件等操作。數(shù)據(jù)清洗：在數(shù)據(jù)提取之后，可能需要進(jìn)行數(shù)據(jù)清洗，包括去除重復(fù)數(shù)據(jù)、填補(bǔ)缺失值、處理異常值等，以確保數(shù)據(jù)的質(zhì)量和可用性。數(shù)據(jù)轉(zhuǎn)換：在數(shù)據(jù)收集過程中，可能需要對原始數(shù)據(jù)進(jìn)行一定的轉(zhuǎn)換操作，以便后續(xù)分析和建模。這可能包括將數(shù)據(jù)格式轉(zhuǎn)換為適合分析的格式，進(jìn)行數(shù)據(jù)規(guī)范化等操作。標(biāo)記與標(biāo)識：在數(shù)據(jù)收集的過程中，針對需要進(jìn)行規(guī)則生成的數(shù)據(jù)，可能需要