2025年信息系统安全专家攻击行为特征识别与建模专题试卷及解析.pdfVIP

2025年信息系统安全专家攻击行为特征识别与建模专题试卷及解析1

2025年信息系统安全专家攻击行为特征识别与建模专题试

卷及解析

2025年信息系统安全专家攻击行为特征识别与建模专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在攻击行为建模中，以下哪种技术最适合用于识别未知类型的攻击模式？

A、基于签名的检测

B、异常检测

C、状态机分析

D、协议分析

【答案】B

【解析】正确答案是B。异常检测通过建立正常行为基线，能够有效识别偏离正常

模式的未知攻击。A选项基于签名只能识别已知攻击；C选项状态机分析适用于已知协

议状态转换；D选项协议分析主要针对协议合规性。知识点：异常检测原理。易错点：

混淆异常检测与基于签名检测的适用场景。

2、在APT攻击的纵向渗透阶段，最典型的行为特征是？

A、大规模DDoS流量

B、权限提升尝试

C、垃圾邮件传播

D、Web页面篡改

【答案】B

【解析】正确答案是B。APT攻击纵向渗透的核心目标是获取更高权限，因此权限

提升尝试是其典型特征。A选项是DDoS攻击特征；C选项是初始入侵阶段特征；D选

项是网站篡改攻击特征。知识点：APT攻击生命周期。易错点：混淆不同攻击阶段的

特征表现。

3、以下哪种机器学习算法最适合处理攻击行为数据中的高维特征？

A、决策树

B、朴素贝叶斯

C、支持向量机

D、Kmeans聚类

【答案】C

【解析】正确答案是C。支持向量机通过核函数能有效处理高维特征空间。A选项

决策树容易过拟合；B选项朴素贝叶斯假设特征独立；D选项Kmeans是无监督算法。

知识点：高维数据处理算法。易错点：忽略算法对高维数据的适应性。

4、在Web应用攻击中，SQL注入攻击最显著的网络流量特征是？

2025年信息系统安全专家攻击行为特征识别与建模专题试卷及解析2

A、异常大的POST请求

B、包含SQL关键字的参数

C、频繁的404响应

D、非标准端口通信

【答案】B

【解析】正确答案是B。SQL注入攻击会在参数中包含SELECT、UNION等SQL

关键字。A选项可能是文件上传攻击；C选项是目录遍历特征；D选项是端口扫描特

征。知识点：Web攻击流量特征。易错点：混淆不同Web攻击的流量特征。

5、攻击者使用域前置技术的主要目的是？

A、隐藏C2服务器真实IP

B、提高攻击速度

C、绕过WAF检测

D、加密通信内容

【答案】A

【解析】正确答案是A。域前置通过CDN隐藏真实C2服务器IP。B选项与该技

术无关；C选项是WAF绕过技术；D选项是加密通信目的。知识点：C2通信隐藏技

术。易错点：混淆域前置与其他隐藏技术的目的。

6、在攻击行为时间序列分析中，以下哪种模式最可能表示慢速DDoS攻击？

A、周期性突发流量

B、持续低频请求

C、瞬时流量激增

D、多源同步攻击

【答案】B

【解析】正确答案是B。慢速DDoS攻击特征是持续低频请求。A选项是周期性攻

击；C选项是传统DDoS；D选项是分布式攻击特征。知识点：DDoS攻击类型识别。

易错点：忽略慢速攻击的特殊性。

7、以下哪种行为最符合内部威胁的典型特征？

A、异常工作时间访问

B、使用VPN登录

C、频繁密码修改

D、多设备同时登录

【答案】A

【解析】正确答案是A。内部威胁常表现为非工作时间的异常访问。B选项是正常

远程办公；C选项可能是安全意识提高；D选项可能是多终端办公。知识点：内部威胁

行为特征。易错点：将正常行为误判为威胁。

2025年信息系统安全专家攻击行为特征识别与建模专题试卷及解析3

8、在攻击链建