2025年信息系统安全专家安全运营中心开源威胁情报收集与利用专题试卷及解析.pdfVIP

2025年信息系统安全专家安全运营中心开源威胁情报收集与利用专题试卷及解析1

2025年信息系统安全专家安全运营中心开源威胁情报收集

与利用专题试卷及解析

2025年信息系统安全专家安全运营中心开源威胁情报收集与利用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全运营中心（SOC）中，开源威胁情报（OSINT）的主要价值体现在？

A、完全替代商业威胁情报源

B、提供零成本的实时攻击预警

C、补充商业情报盲区并增强态势感知

D、自动修复所有系统漏洞

【答案】C

【解析】正确答案是C。开源威胁情报的核心价值在于其广泛性和多样性，能够有

效补充商业情报可能遗漏的威胁信息，特别是新兴威胁和区域性攻击模式。A错误是因

为OSINT应与商业情报互补而非替代；B错误是因为OSINT需要专业分析才能转化

为预警；D错误是因为情报本身不具备修复能力。知识点：威胁情报价值链。易错点：

误认为开源情报可以完全替代付费情报。

2、以下哪个平台最适合收集与特定恶意软件家族相关的技术细节？

A、LinkedIn

B、VirusTotal

C、Instagram

D、YouTube

【答案】B

【解析】正确答案是B。VirusTotal是专业的恶意软件分析平台，提供样本哈希、行

为分析、关联域名等关键信息。A是职业社交平台，C是图片分享平台，D是视频平台，

均不适合技术细节收集。知识点：威胁情报源选择。易错点：混淆社交媒体与专业安全

平台的使用场景。

3、威胁情报生命周期中，“处理”阶段的主要任务是？

A、原始数据收集

B、情报分发共享

C、数据清洗与结构化

D、制定防御策略

【答案】C

【解析】正确答案是C。处理阶段的核心是将原始数据转化为可分析的格式，包括

去重、标准化、富化等操作。A属于收集阶段，B属于分发阶段，D属于应用阶段。知

识点：威胁情报生命周期模型。易错点：混淆处理与收集阶段的边界。

2025年信息系统安全专家安全运营中心开源威胁情报收集与利用专题试卷及解析2

4、STIX/TAXII标准主要用于解决威胁情报领域的什么问题？

A、数据加密传输

B、情报格式标准化与自动化交换

C、恶意代码逆向分析

D、漏洞扫描自动化

【答案】B

【解析】正确答案是B。STIX提供结构化威胁情报表达，TAXII实现自动化交换，

两者共同解决情报共享的标准化问题。A是传输层问题，C是分析技术，D是漏洞管

理。知识点：威胁情报标准框架。易错点：误认为STIX/TAXII包含分析功能。

5、在验证开源情报可信度时，最应优先考虑的因素是？

A、信息发布时间

B、来源机构权威性

C、内容长度

D、语言种类

【答案】B

【解析】正确答案是B。权威机构发布的情报经过专业验证，可信度更高。A是时

效性指标但非首要因素，C和D与可信度无直接关联。知识点：情报可信度评估模型。

易错点：过度关注时效性而忽视来源权威性。

6、以下哪种技术最适合自动化收集暗网威胁情报？

A、网络爬虫

B、人工定期访问

C、蜜罐系统

D、Tor网络专用爬虫

【答案】D

【解析】正确答案是D。暗网需要通过Tor等匿名网络访问，专用爬虫能处理其特

殊协议。A无法访问暗网，B效率低下，C用于诱捕攻击者而非收集情报。知识点：暗

网情报收集技术。易错点：误用常规爬虫技术。

7、威胁情报中的”IOC”最准确的定义是？

A、攻击者的动机

B、可观测的恶意活动指标

C、漏洞利用方法

D、攻击组织背景

【答案】B

【解析】正确答案是B。IOC（IndicatorsofCompromise）是可检测的恶意活动证

据，如IP、域名、文件哈希等。A是TTP要素，C是攻击细节，D是背景信息。知识

2025年信息系统安全专家安全运营中心开源威胁情报收集与利用专题试卷及解析3

点：威胁情报要素分类。易错点：混淆IOC与TTP概念。

8、在SOC中集成开源情报时，最需要避免的操作是