2025年信息系统安全专家安全运营中心网络流量监控与数据包捕获分析专题试卷及解析.pdfVIP

2025年信息系统安全专家安全运营中心网络流量监控与数据包捕获分析专题试卷及解析1

2025年信息系统安全专家安全运营中心网络流量监控与数

据包捕获分析专题试卷及解析

2025年信息系统安全专家安全运营中心网络流量监控与数据包捕获分析专题试卷

及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全运营中心（SOC）中，用于实时监控网络流量并检测异常行为的核心技

术是？

A、防火墙规则配置

B、入侵检测系统（IDS）

C、数据加密技术

D、用户身份认证

【答案】B

【解析】正确答案是B。入侵检测系统（IDS）是专门用于监控网络流量并检测异常

行为的核心技术，它通过分析数据包内容和行为模式来识别潜在威胁。A选项防火墙

规则配置主要用于访问控制，而非实时监控；C选项数据加密技术侧重于数据保护，而

非流量分析；D选项用户身份认证是验证用户身份的技术，与流量监控无关。知识点：

IDS在SOC中的作用。易错点：容易混淆防火墙和IDS的功能，防火墙是被动防御，

IDS是主动检测。

2、在数据包捕获分析中，Wireshark工具最常用的过滤表达式是？

A、ip.addr==

B、tcp.port==80

C、http.request.method==“GET”

D、以上都是

【答案】D

【解析】正确答案是D。Wireshark支持多种过滤表达式，A选项用于过滤特定IP

地址，B选项用于过滤特定TCP端口，C选项用于过滤HTTPGET请求，这些都

是Wireshark中常用的过滤方式。知识点：Wireshark过滤表达式。易错点：容易忽略

Wireshark的灵活性，误以为只有一种过滤方式。

3、在流量监控中，DDoS攻击的典型特征是？

A、单一IP发送大量数据包

B、大量不同IP同时发送请求

C、数据包大小异常

D、加密流量占比高

【答案】B

2025年信息系统安全专家安全运营中心网络流量监控与数据包捕获分析专题试卷及解析2

【解析】正确答案是B。DDoS攻击通常通过大量不同IP同时发送请求来耗尽目标

资源，这是其典型特征。A选项单一IP发送大量数据包可能是误报或正常行为；C选

项数据包大小异常可能是其他类型的攻击；D选项加密流量占比高与DDoS攻击无直

接关联。知识点：DDoS攻击特征。易错点：容易将DDoS与单点攻击混淆。

4、在数据包捕获中，TCP三次握手的第一步是？

A、发送SYN包

B、发送ACK包

C、发送FIN包

D、发送RST包

【答案】A

【解析】正确答案是A。TCP三次握手的第一步是客户端发送SYN包，请求建立

连接。B选项ACK包是第二步或第三步；C选项FIN包用于终止连接；D选项RST

包用于重置连接。知识点：TCP三次握手过程。易错点：容易混淆SYN和ACK的顺

序。

5、在流量分析中，用于识别恶意软件通信的常用方法是？

A、分析DNS查询

B、检查HTTP头部

C、监控SSL/TLS握手

D、以上都是

【答案】D

【解析】正确答案是D。恶意软件通信可能通过DNS查询、HTTP头部或SSL/TLS

握手进行识别，因此以上方法均适用。知识点：恶意软件通信识别。易错点：容易忽略

多种方法的综合应用。

6、在SOC中，网络流量监控的主要目的是？

A、优化网络性能

B、检测和响应安全威胁

C、管理带宽使用

D、监控用户行为

【答案】B

【解析】正确答案是B。SOC的核心职责是检测和响应安全威胁，网络流量监控是

实现这一目标的重要手段。A、C、D选项虽然也是流量监控的用途，但不是SOC的主

要目的。知识点：SOC的核心职能。易错点：容易将流量监控的次要用途误认为主要目

的。

7、在数据包捕获中，UDP协议的特点是？

A、可靠传输

2025年信息系统安全专家安全运营中心网络流量监控与数据包捕获分析专题试卷及解析3

B、面向连接

C、无连接

D、流量控制

【答案】C