2025年信息系统安全专家入侵检测系统在僵尸网络检测中的应用专题试卷及解析.pdfVIP

2025年信息系统安全专家入侵检测系统在僵尸网络检测中的应用专题试卷及解析1

2025年信息系统安全专家入侵检测系统在僵尸网络检测中

的应用专题试卷及解析

2025年信息系统安全专家入侵检测系统在僵尸网络检测中的应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在僵尸网络检测中，基于流量的入侵检测系统（IDS）主要通过分析以下哪种特

征来识别僵尸主机？

A、系统文件完整性

B、网络流量模式

C、用户登录行为

D、CPU使用率

【答案】B

【解析】正确答案是B。基于流量的IDS专注于分析网络数据包和流量统计特征，

僵尸网络活动通常会产生异常的流量模式，如周期性回连、大量相似连接等。A选项属

于主机级检测，C选项属于行为分析，D选项属于系统资源监控，均非流量检测范畴。

知识点：网络入侵检测原理。易错点：混淆不同类型IDS的检测维度。

2、僵尸网络常用的CC通信协议中，最容易被传统防火墙阻断的是？

A、HTTP/HTTPS

B、DNS隧道

C、IRC协议

D、P2P协议

【答案】C

【解析】正确答案是C。IRC协议使用固定端口（如6667），且非标准业务流量，容

易被防火墙规则识别和阻断。A选项伪装成正常网页流量，B选项利用DNS协议，D

选项采用分布式连接，都具有较好的隐蔽性。知识点：僵尸网络通信协议特性。易错点：

忽视协议标准化程度对检测的影响。

3、基于机器学习的僵尸网络检测模型中，最适合处理非结构化网络日志的是？

A、决策树

B、支持向量机

C、循环神经网络

D、朴素贝叶斯

【答案】C

【解析】正确答案是C。RNN擅长处理序列数据，能捕捉网络日志中的时序依赖关

系，适合分析僵尸网络的周期性行为。A、B、D选项更适合结构化特征数据。知识点：

机器学习算法适用场景。易错点：未考虑数据类型与算法的匹配性。

2025年信息系统安全专家入侵检测系统在僵尸网络检测中的应用专题试卷及解析2

4、僵尸网络检测中，“快闪僵尸”（FlashBot）的主要特征是？

A、长期潜伏

B、短时高强度攻击

C、缓慢渗透

D、多态变形

【答案】B

【解析】正确答案是B。快闪僵尸在极短时间内发起大量攻击后立即休眠，难以被

实时检测系统捕获。A选项对应潜伏型僵尸，C选项属于APT攻击特征，D选项是病

毒变种技术。知识点：僵尸网络攻击模式分类。易错点：混淆攻击持续时间与检测难度

的关系。

5、以下哪种技术能有效对抗僵尸网络的域名生成算法（DGA）？

A、端口扫描检测

B、沙箱分析

C、被动DNS分析

D、流量加密识别

【答案】C

【解析】正确答案是C。被动DNS记录可分析域名查询模式，识别DGA生成的非

常规域名。A选项检测端口活动，B选项分析恶意代码，D选项关注加密流量，均不直

接针对DGA。知识点：DGA检测技术。易错点：忽视DNS日志在僵尸网络检测中的

价值。

6、在物联网僵尸网络检测中，最需要关注的异常行为是？

A、固件更新频率

B、设备功耗变化

C、异常外联行为

D、传感器数据偏差

【答案】C

【解析】正确答案是C。物联网设备被控后通常表现为异常的外联行为（如连接未

知CC服务器）。A、B、D选项属于设备自身状态变化，不直接反映僵尸网络活动。

知识点：IoT安全检测重点。易错点：混淆设备正常状态与被控行为的区别。

7、基于信誉的僵尸网络检测方法主要依赖？

A、流量统计特征

B、IP/域名黑名单

C、协议指纹识别

D、行为基线分析

【答案】B

2025年信息系统安全专家入侵检测系统在僵尸网络检测中的应用专题试卷及解析3

【解析】正确答案是B。信誉检测通过比对已知恶意IP/域名黑名单快速识别威胁。

A、C、D选项属于动态检测技术，不依赖预先收集的情报。知识点：静态检测与动态

检测区别。易错点：忽视黑名单机制的实时性局限。

8、僵尸网络检测中，“沙箱逃逸”技术主要针对？

A、流量分析系统

B、蜜罐环境