2025年信息系统安全专家威胁行为体归因分析与溯源技术专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁行为体归因分析与溯源技术专题试卷及解析1

2025年信息系统安全专家威胁行为体归因分析与溯源技术

专题试卷及解析

2025年信息系统安全专家威胁行为体归因分析与溯源技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁行为体归因分析中，以下哪项技术主要用于通过分析攻击代码的编程风

格、语法习惯等特征来识别攻击者身份？

A、IP地址定位

B、恶意软件逆向工程

C、代码同源性分析

D、网络流量分析

【答案】C

【解析】正确答案是C。代码同源性分析通过比对不同攻击样本中的代码特征（如

编程风格、注释习惯、函数命名等）来判断是否来自同一攻击者或组织，是归因分析的

重要技术手段。A选项IP地址定位容易被代理或跳转技术误导；B选项逆向工程主要

分析恶意软件功能而非作者特征；D选项网络流量分析更多用于攻击行为检测而非身

份归因。知识点：归因分析技术分类。易错点：混淆技术手段与其应用场景。

2、APT29（CozyBear）组织通常与以下哪个国家关联？

A、朝鲜

B、伊朗

C、俄罗斯

D、中国

【答案】C

【解析】正确答案是C。APT29是俄罗斯情报机构关联的威胁行为体，多次被报告

针对政府机构和外交目标实施攻击。A选项朝鲜关联LazarusGroup；B选项伊朗关联

APT33；D选项中国关联APT41等组织。知识点：主流APT组织归属。易错点：混

淆不同国家关联的APT组织。

3、在威胁溯源中，“钻石模型”（DiamondModel）的核心要素不包括以下哪项？

A、受害者

B、攻击能力

C、基础设施

D、社会工程

【答案】D

【解析】正确答案是D。钻石模型包含四个核心要素：受害者、攻击能力、基础设

施和攻击者意图，社会工程属于攻击手段而非模型要素。知识点：威胁分析模型。易错

2025年信息系统安全专家威胁行为体归因分析与溯源技术专题试卷及解析2

点：混淆攻击手段与模型要素。

4、以下哪项技术常用于识别攻击者使用的命令与控制（C2）服务器？

A、沙箱分析

B、域名生成算法（DGA）检测

C、内存取证

D、蜜罐技术

【答案】B

【解析】正确答案是B。DGA检测通过识别算法生成的动态域名来发现C2服务器，

是APT攻击中常用的隐蔽通信手段。A选项沙箱分析用于恶意软件行为检测；C选项

内存取证用于实时攻击分析；D选项蜜罐技术用于诱捕攻击者。知识点：C2通信检测

技术。易错点：混淆不同技术的应用场景。

5、在威胁情报共享中，STIX（StructuredThreatInformationeXpression）标准主

要用于解决什么问题？

A、加密通信

B、数据格式标准化

C、身份认证

D、流量匿名化

【答案】B

【解析】正确答案是B。STIX是威胁情报结构化表达的标准格式，解决不同系统间

情报共享的兼容性问题。A选项加密通信属于传输层安全；C选项身份认证由其他协议

（如SAML）处理；D选项流量匿名化是隐私保护技术。知识点：威胁情报标准。易错

点：混淆不同标准的功能定位。

6、以下哪项特征最可能指向国家背景的APT攻击？

A、使用公开可用的攻击工具

B、攻击时间集中在工作日

C、长期潜伏且目标明确

D、勒索赎金为主要目的

【答案】C

【解析】正确答案是C。国家背景APT攻击通常具有长期潜伏、目标明确、资源

充足等特点。A选项公开工具常见于普通黑客；B选项工作日攻击更多见于企业内网攻

击；D选项勒索赎金是网络犯罪团伙的典型特征。知识点：APT攻击特征分析。易错

点：混淆不同攻击者的行为模式。

7、在威胁归因中，“时间关联性”分析主要关注什么？

A、攻击代码相似度

B、攻击发生的时间模式

2025年信息系统安全专家威胁行为体归因分析与溯源技术专题试卷及解析