2025年信息系统安全专家网络流量分析与异常检测专题试卷及解析.pdfVIP

2025年信息系统安全专家网络流量分析与异常检测专题试卷及解析1

2025年信息系统安全专家网络流量分析与异常检测专题试

卷及解析

2025年信息系统安全专家网络流量分析与异常检测专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在进行网络流量分析时，下列哪种技术主要用于识别加密流量中的异常行为？

A、深度包检测（DPI）

B、基于流特征的机器学习

C、端口扫描检测

D、DNS查询分析

【答案】B

【解析】正确答案是B。基于流特征的机器学习技术通过分析流量元数据（如包大

小、时间间隔等）来识别加密流量中的异常模式，无需解密内容。A选项DPI依赖包内

容分析，对加密流量效果有限；C选项端口扫描检测主要针对未授权访问尝试；D选项

DNS查询分析侧重于域名解析行为。知识点：加密流量分析技术。易错点：混淆DPI

与机器学习在加密场景下的适用性。

2、在异常检测中，下列哪种指标最适合评估模型对少数类（异常）样本的识别能

力？

A、准确率（Accuracy）

B、精确率（Precision）

C、召回率（Recall）

D、F1分数

【答案】C

【解析】正确答案是C。召回率衡量模型正确识别异常样本的能力，在异常检测中

尤为重要，因为漏报的代价通常高于误报。A选项准确率在数据不平衡时容易产生误

导；B选项精确率关注预测为异常的样本中实际异常的比例；D选项F1分数是精确率

和召回率的调和平均，但召回率单独更能反映异常检测的核心需求。知识点：异常检测

评估指标。易错点：忽视数据不平衡对指标选择的影响。

3、下列哪种网络协议常被用于命令与控制（C2）通信，且难以通过传统防火墙检

测？

A、HTTP/HTTPS

B、DNS

C、FTP

D、SSH

【答案】B

2025年信息系统安全专家网络流量分析与异常检测专题试卷及解析2

【解析】正确答案是B。DNS协议常被恶意软件用于隐蔽的C2通信，因为其流量

通常被防火墙允许通过，且查询内容可能被编码隐藏。A选项HTTP/HTTPS虽常见，

但可通过内容分析检测；C选项FTP流量特征明显；D选项SSH虽加密，但连接模式

相对固定。知识点：隐蔽C2通信技术。易错点：低估DNS协议在恶意通信中的滥用

风险。

4、在流量异常检测中，下列哪种方法属于无监督学习？

A、随机森林

B、支持向量机（SVM）

C、Kmeans聚类

D、决策树

【答案】C

【解析】正确答案是C。Kmeans聚类通过将流量数据分组，无需标签即可识别异常

簇，属于无监督学习。A、B、D选项均为有监督学习方法，依赖标注数据训练。知识

点：机器学习分类。易错点：混淆有监督与无监督学习的适用场景。

5、下列哪种流量特征最能反映DDoS攻击的典型模式？

A、包大小分布异常

B、流量突发性增长

C、协议分布不均

D、源IP地址分散

【答案】B

【解析】正确答案是B。DDoS攻击通常表现为流量量的突发性增长，超出正常阈

值。A选项包大小分布异常可能反映其他攻击；C选项协议分布不均可能由正常应用引

起；D选项源IP分散是DDoS的特征之一，但非核心指标。知识点：DDoS攻击特征。

易错点：将次要特征误判为关键指标。

6、在流量分析中，下列哪种工具主要用于实时捕获和解析网络数据包？

A、Wireshark

B、Snort

C、Ntop

D、ElasticStack

【答案】A

【解析】正确答案是A。Wireshark是广泛使用的网络协议分析器，支持实时捕获和

深度解析数据包。B选项Snort是入侵检测系统；C选项Ntop侧重流量监控；D选项

ElasticStack用于日志分析。知识点：流量分析工具。易错点：混淆工具的核心功能定

位。

7、下列哪种异常检测方法对新型攻击（零日攻击）最有效？

20