2025年信息系统安全专家威胁狩猎生命周期管理专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎生命周期管理专题试卷及解析1

2025年信息系统安全专家威胁狩猎生命周期管理专题试卷

及解析

2025年信息系统安全专家威胁狩猎生命周期管理专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎生命周期中，哪个阶段主要涉及基于假设的主动搜索，以发现现有

安全工具未能检测到的威胁？

A、威胁情报收集

B、假设生成

C、狩猎执行

D、响应与缓解

【答案】C

【解析】正确答案是C。狩猎执行阶段是威胁狩猎的核心环节，安全专家在此阶段

根据前期生成的假设，主动在系统日志、网络流量等数据源中搜索潜在威胁。A选项威

胁情报收集是前期准备工作，B选项假设生成是狩猎前的构思阶段，D选项响应与缓解

是发现威胁后的处理阶段。知识点：威胁狩猎生命周期各阶段的核心任务。易错点：容

易混淆假设生成与狩猎执行，前者是提出问题，后者是实际搜索验证。

2、以下哪项技术最常用于威胁狩猎中的异常行为检测？

A、基于签名的检测

B、用户与实体行为分析（UEBA）

C、防火墙规则匹配

D、静态代码分析

【答案】B

【解析】正确答案是B。UEBA通过建立正常行为基线，能够有效识别偏离常规的

异常活动，非常适合威胁狩猎中寻找未知威胁。A选项基于签名的检测主要用于已知威

胁，C选项防火墙规则匹配是被动防御手段，D选项静态代码分析用于软件开发阶段。

知识点：威胁狩猎中常用的检测技术。易错点：容易将UEBA与基于签名的检测混淆，

前者是行为分析，后者是特征匹配。

3、在威胁狩猎生命周期中，“假设生成”阶段的主要输入是什么？

A、狩猎结果报告

B、威胁情报和资产价值

C、安全事件告警

D、系统补丁状态

【答案】B

2025年信息系统安全专家威胁狩猎生命周期管理专题试卷及解析2

【解析】正确答案是B。假设生成需要结合外部威胁情报（如TTPs）和内部资产价

值评估，才能形成有针对性的狩猎假设。A选项是狩猎的输出，C选项是被动响应的输

入，D选项是漏洞管理的输入。知识点：威胁狩猎假设生成的依据。易错点：容易忽略

资产价值对假设方向的影响。

4、以下哪项是威胁狩猎与事件响应的主要区别？

A、威胁狩猎是主动的，事件响应是被动的

B、威胁狩猎关注已知威胁，事件响应关注未知威胁

C、威胁狩猎使用自动化工具，事件响应依赖人工分析

D、威胁狩猎是短期活动，事件响应是长期过程

【答案】A

【解析】正确答案是A。威胁狩猎的核心特征是主动搜索潜在威胁，而事件响应是

对已发生安全事件的被动处理。B选项说法相反，C选项两者都结合自动化与人工，D

选项威胁狩猎是持续过程。知识点：威胁狩猎与事件响应的本质区别。易错点：容易混

淆两者的主动/被动特性。

5、在威胁狩猎中，“杀伤链”模型主要用于什么？

A、评估系统漏洞

B、分析攻击者的阶段性行为

C、量化安全风险

D、监控网络流量

【答案】B

【解析】正确答案是B。杀伤链模型将攻击过程分解为侦察、武器化、传递等阶段，

帮助狩猎者理解攻击逻辑并制定针对性假设。A选项是漏洞扫描工具的功能，C选项是

风险评估模型，D选项是网络监控工具的功能。知识点：威胁狩猎中常用的分析模型。

易错点：容易混淆杀伤链与MITREATTCK框架的应用场景。

6、以下哪项数据源对威胁狩猎中的横向移动检测最有价值？

A、Web代理日志

B、DNS查询记录

C、身份认证日志

D、终端进程日志

【答案】C

【解析】正确答案是C。身份认证日志能记录用户在不同系统间的登录行为，是检

测横向移动的关键数据源。A选项主要记录Web访问，B选项用于检测C2通信，D

选项用于终端行为分析。知识点：威胁狩猎中不同数据源的应用场景。易错点：容易忽

视认证日志在横向移动检测中的核心作用。

7、在威胁狩猎生命周期中，“经验提炼”阶段的主要产出是什么？

2025