2025年信息系统安全专家安全事件检测方法与技术专题试卷及解析.pdfVIP

2025年信息系统安全专家安全事件检测方法与技术专题试卷及解析1

2025年信息系统安全专家安全事件检测方法与技术专题试

卷及解析

2025年信息系统安全专家安全事件检测方法与技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全事件检测中，哪种技术通过分析网络流量的统计特征来识别异常行为？

A、基于签名的检测

B、基于异常的检测

C、基于蜜罐的检测

D、基于沙箱的检测

【答案】B

【解析】正确答案是B。基于异常的检测技术通过建立正常行为基线，识别偏离基

线的异常行为，适用于未知攻击检测。A选项基于签名依赖已知特征库，无法检测新型

攻击；C选项蜜罐主要用于诱捕攻击者；D选项沙箱用于恶意代码动态分析。知识点：

异常检测原理。易错点：混淆异常检测与签名检测的适用场景。

2、以下哪种日志类型最适合用于检测横向移动攻击？

A、防火墙日志

B、DNS查询日志

C、系统启动日志

D、应用程序错误日志

【答案】B

【解析】正确答案是B。DNS日志能记录内部主机对其他主机的查询行为，是检测

横向移动的关键数据源。A选项防火墙日志主要记录网络边界流量；C选项系统启动日

志与横向移动关联性低；D选项错误日志通常不包含网络连接信息。知识点：日志分析

在攻击链中的应用。易错点：忽视DNS在内部通信中的重要性。

3、在威胁狩猎过程中，假设驱动的方法主要依赖什么？

A、自动化工具

B、已知攻击指标

C、攻击者行为假设

D、实时告警

【答案】C

【解析】正确答案是C。假设驱动方法基于攻击者TTPs构建假设，主动验证威胁

存在。A选项自动化工具属于数据驱动方法；B选项已知指标属于被动检测；D选项实

时告警是响应而非狩猎过程。知识点：威胁狩猎方法论。易错点：混淆假设驱动与数据

驱动的区别。

2025年信息系统安全专家安全事件检测方法与技术专题试卷及解析2

4、以下哪种技术最适合检测加密流量中的恶意活动？

A、深度包检测

B、行为分析

C、端口扫描检测

D、协议分析

【答案】B

【解析】正确答案是B。加密流量无法进行内容检测，行为分析通过流量模式识别

异常。A选项深度包检测无法解密内容；C选项端口扫描仅检测特定行为；D选项协议

分析依赖明文协议特征。知识点：加密流量检测技术。易错点：忽视加密对传统检测方

法的影响。

5、在EDR解决方案中，哪个功能模块最有助于识别无文件攻击？

A、进程监控

B、注册表监控

C、内存扫描

D、网络连接监控

【答案】C

【解析】正确答案是C。无文件攻击主要驻留内存，内存扫描可直接检测恶意代码。

A选项进程监控可能被隐藏；B选项注册表监控不覆盖内存活动；D选项网络监控无法

检测本地恶意行为。知识点：无文件攻击检测技术。易错点：过度依赖传统文件系统监

控。

6、以下哪种数据源对检测凭证滥用最有效？

A、Web代理日志

B、身份认证日志

C、数据库审计日志

D、物理门禁记录

【答案】B

【解析】正确答案是B。认证日志直接记录登录成功/失败事件，是凭证滥用检测的

核心数据源。A选项Web代理记录HTTP请求；C选项数据库日志关注数据操作；D

选项门禁记录物理访问。知识点：身份认证安全监控。易错点：忽视认证日志在权限滥

用检测中的价值。

7、在机器学习模型中，哪种算法更适合处理不平衡的安全事件数据？

A、决策树

B、逻辑回归

C、随机森林

D、支持向量机

2025年信息系统安全专家安全事件检测方法与技术专题试卷及解析3

【答案】C

【解析】正确答案是C。随机森林通过集成学习降低过拟合，对不平衡数据表现较

好。A选项决策树容易过拟合；B选项逻辑回归对类别敏感；D选项SV