2025年信息系统安全专家威胁情报关联分析方法与技巧专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁情报关联分析方法与技巧专题试卷及解析1

2025年信息系统安全专家威胁情报关联分析方法与技巧专

题试卷及解析

2025年信息系统安全专家威胁情报关联分析方法与技巧专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁情报分析中，以下哪项不属于STIX（StructuredThreatInformationeX-

pression）模型的核心组件？

A、攻击模式（TTP）

B、威胁行为者（ThreatActor）

C、受害者属性（VictimAttribute）

D、可观测数据（Observable）

【答案】C

【解析】正确答案是C。STIX模型包含攻击模式、威胁行为者、可观测数据等12

个核心组件，但”受害者属性”不属于其标准组件。知识点：STIX是威胁情报共享的标

准化语言框架。易错点：考生可能误将所有相关概念都纳入STIX组件，需注意其官方

定义的12个组件范围。

2、在进行威胁情报关联分析时，以下哪种技术最适合发现不同攻击事件间的隐含

关联？

A、简单关键词匹配

B、图数据库分析

C、时间序列分析

D、哈希值比对

【答案】B

【解析】正确答案是B。图数据库能有效展示多维度实体关系，适合发现复杂关联。

A选项过于表面，C选项侧重时间维度，D选项仅适用于已知特征匹配。知识点：关联

分析技术选择。易错点：考生可能忽视图数据库在复杂关系挖掘中的优势。

3、威胁情报生命周期中，“处理”阶段的主要任务不包括？

A、数据清洗

B、信息融合

C、威胁狩猎

D、标准化处理

【答案】C

【解析】正确答案是C。处理阶段主要进行数据清洗、融合和标准化，威胁狩猎属

于应用阶段。知识点：威胁情报生命周期六个阶段。易错点：容易混淆处理与应用阶段

的任务边界。

2025年信息系统安全专家威胁情报关联分析方法与技巧专题试卷及解析2

4、以下哪项指标最能反映威胁情报的时效性？

A、置信度评分

B、首次观测时间

C、共享频率

D、影响范围评估

【答案】B

【解析】正确答案是B。首次观测时间直接反映情报的新鲜度。A选项表示可信度，

C选项反映共享活跃度，D选项表示危害程度。知识点：威胁情报质量评估指标。易错

点：考生可能混淆时效性与其他质量维度。

5、在威胁情报关联分析中，“钻石模型”（DiamondModel）主要关注哪四个核心要

素？

A、攻击者、能力、基础设施、受害者

B、漏洞、利用、影响、修复

C、预防、检测、响应、恢复

D、资产、威胁、脆弱性、风险

【答案】A

【解析】正确答案是A。钻石模型由adversary、capability、infrastructure、victim

四要素构成。B选项是漏洞分析框架，C选项是应急响应流程，D选项是风险评估要

素。知识点：威胁分析模型。易错点：容易与其他安全框架混淆。

6、以下哪种威胁情报共享平台主要采用自动化标准化格式？

A、MISP

B、Reddit安全版块

C、行业邮件列表

D、即时通讯群组

【答案】A

【解析】正确答案是A。MISP支持STIX/TAXII等标准化格式，其他选项多为非

结构化共享。知识点：威胁情报共享平台特性。易错点：考生可能忽视不同平台的自动

化程度差异。

7、在进行威胁情报关联分析时，“上下文信息”主要指？

A、攻击代码特征

B、攻击发生时的环境信息

C、恶意软件家族

D、C2服务器地址

【答案】B

2025年信息系统安全专家威胁情报关联分析方法与技巧专题试卷及解析3

【解析】正确答案是B。上下文信息包括时间、地理位置、目标行业等环境因素。A、

C、D选项属于技术指标。知识点：威胁情报要素分类。易错点：容