2025年信息系统安全专家威胁狩猎实施指南专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎实施指南专题试卷及解析1

2025年信息系统安全专家威胁狩猎实施指南专题试卷及解

析

2025年信息系统安全专家威胁狩猎实施指南专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎过程中，以下哪项是假设驱动的狩猎方法的核心特征？

A、完全依赖自动化工具进行威胁检测

B、基于威胁情报和攻击者行为模式主动构建假设

C、被动等待安全告警触发调查

D、定期对所有系统日志进行全量扫描

【答案】B

【解析】正确答案是B。假设驱动的威胁狩猎强调基于已知威胁情报、攻击战术、技

术和程序（TTPs）以及环境特性，主动提出关于潜在威胁的假设，然后通过数据分析

和验证来证实或推翻这些假设。选项A错误，因为威胁狩猎需要人机结合，不能完全

依赖自动化。选项C描述的是被动响应，而非主动狩猎。选项D效率低下，不符合假

设驱动的精准性。知识点：威胁狩猎方法论。易错点：混淆假设驱动与被动响应或盲目

扫描的区别。

2、在构建威胁狩猎平台时，以下哪项数据源对于检测横向移动活动最为关键？

A、Web代理日志

B、DNS查询日志

C、终端进程创建日志

D、防火墙访问控制日志

【答案】C

【解析】正确答案是C。终端进程创建日志（如SysmonEventID1）能详细记录系

统上执行的进程及其父子关系、命令行参数等，是检测异常进程链、横向移动工具（如

PsExec）执行的核心数据源。选项A（Web代理）主要关注HTTP/S流量，对横向移

动检测有限。选项B（DNS）可用于检测C2通信，但非横向移动直接证据。选项D（防

火墙ACL）能记录网络连接，但缺乏终端上下文。知识点：威胁狩猎数据源。易错点：

忽视终端日志在检测横向移动中的核心地位。

3、MITREATTCK框架在威胁狩猎中的主要作用是？

A、替代SIEM系统进行告警关联

B、提供标准化的攻击者行为知识库以指导狩猎假设

C、自动生成威胁狩猎报告

D、实时监控网络流量异常

【答案】B

2025年信息系统安全专家威胁狩猎实施指南专题试卷及解析2

【解析】正确答案是B。MITREATTCK框架提供了基于真实世界观察的攻击者

战术、技术和程序分类，威胁狩猎团队可利用其构建假设、设计检测逻辑并评估防御覆

盖度。选项A错误，ATTCK是知识库而非工具。选项C错误，报告生成需人工或工

具辅助。选项D错误，流量监控是IDS/IPS的功能。知识点：威胁狩猎框架应用。易

错点：混淆知识库与工具的功能边界。

4、在威胁狩猎中，“异常检测”与”基线检测”的主要区别在于？

A、异常检测需要历史数据，基线检测不需要

B、异常检测关注偏离已知模式的行为，基线检测关注偏离正常范围的行为

C、异常检测仅用于网络数据，基线检测仅用于终端数据

D、异常检测是自动化的，基线检测是人工的

【答案】B

【解析】正确答案是B。异常检测通过机器学习等手段识别与已知恶意模式相似的

行为，而基线检测通过建立正常行为基线（如登录时间、进程频率）来发现偏离。选项

A错误，两者通常都需要历史数据。选项C错误，两者均可应用于多源数据。选项D

错误，两者均可结合自动化与人工分析。知识点：威胁狩猎检测方法。易错点：混淆”已

知模式”与”正常范围”的区别。

5、以下哪项是威胁狩猎团队在验证假设时最常用的分析技术？

A、社会工程学测试

B、时间序列分析

C、逆向工程恶意软件

D、渗透测试

【答案】B

【解析】正确答案是B。时间序列分析（如统计异常登录时间、进程频率）是验证

假设的核心技术，尤其适用于检测长期潜伏威胁。选项A（社会工程学）属于安全意识

范畴。选项C（逆向工程）是恶意软件分析技术，非狩猎通用方法。选项D（渗透测试）

是主动攻击模拟，与狩猎的防御视角不同。知识点：威胁狩猎分析技术。易错点：将威

胁狩猎与其他安全领域技术混淆。