2025年信息系统安全专家云服务提供商威胁狩猎实践专题试卷及解析.pdfVIP

2025年信息系统安全专家云服务提供商威胁狩猎实践专题试卷及解析1

2025年信息系统安全专家云服务提供商威胁狩猎实践专题

试卷及解析

2025年信息系统安全专家云服务提供商威胁狩猎实践专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在云服务提供商的威胁狩猎实践中，以下哪项技术最适合用于检测横向移动行

为？

A、静态代码分析

B、网络流量分析

C、数据加密

D、身份认证

【答案】B

【解析】正确答案是B。网络流量分析能够实时监控云环境中的网络通信模式，识

别异常的横向移动行为。静态代码分析（A）主要用于开发阶段的安全检查，与威胁狩

猎无关。数据加密（D）是保护措施而非检测手段。身份认证（C）是访问控制的基础，

但无法直接检测横向移动。知识点：云环境威胁检测技术。易错点：容易混淆检测技术

与防护技术的区别。

2、云服务提供商的威胁狩猎团队在分析日志时，发现某虚拟机实例在短时间内多

次尝试连接外部IP地址，这种行为最可能表明什么？

A、正常系统更新

B、数据备份操作

C、命令与控制通信

D、负载均衡测试

【答案】C

【解析】正确答案是C。短时间内多次尝试连接外部IP是典型的命令与控制（C2）

通信特征。正常系统更新（A）通常有固定时间窗口和官方源地址。数据备份（B）会使

用指定存储端点。负载均衡测试（D）不会频繁尝试不同外部IP。知识点：恶意行为识

别。易错点：容易将异常流量误判为正常运维操作。

3、在云威胁狩猎中，MITREATTCK框架的主要作用是什么？

A、加密云数据

B、提供攻击技术分类

C、管理用户权限

D、优化网络性能

【答案】B

2025年信息系统安全专家云服务提供商威胁狩猎实践专题试卷及解析2

【解析】正确答案是B。MITREATTCK框架是攻击技术的知识库，帮助威胁狩

猎团队系统化识别攻击行为。加密数据（A）是安全防护措施。管理权限（C）属于IAM

范畴。优化性能（D）与威胁狩猎无关。知识点：威胁狩猎框架应用。易错点：容易混

淆框架与工具的区别。

4、云服务提供商的威胁狩猎团队应优先关注以下哪种日志类型？

A、系统启动日志

B、应用性能日志

C、身份认证日志

D、网络延迟日志

【答案】C

【解析】正确答案是C。身份认证日志能直接反映异常访问行为，是威胁狩猎的核

心数据源。系统启动日志（A）和应用性能日志（B）安全价值较低。网络延迟日志（D）

主要用于性能优化。知识点：日志分析优先级。易错点：容易忽视身份日志的重要性。

5、在云环境中，以下哪项技术最适合检测无文件攻击？

A、磁盘镜像分析

B、内存取证

C、防火墙规则检查

D、SSL证书验证

【答案】B

【解析】正确答案是B。无文件攻击主要在内存中执行，内存取证是唯一有效的检

测手段。磁盘镜像（A）无法捕获内存活动。防火墙（C）和SSL（D）属于网络层防护。

知识点：无文件攻击检测。易错点：容易依赖传统基于文件的检测方法。

6、云威胁狩猎中，“异常时间访问”通常指什么？

A、非工作时间访问

B、高并发访问

C、跨区域访问

D、加密流量访问

【答案】A

【解析】正确答案是A。异常时间访问特指在非正常工作时间（如凌晨）的访问行

为。高并发（B）和跨区域（C）属于其他异常类型。加密流量（D）需要专门分析。知

识点：行为基线分析。易错点：容易将所有异常行为混为一谈。

7、以下哪项是云服务提供商威胁狩猎的典型挑战？

A、硬件资源不足

B、日志数据量过大

C、网络带宽限制

2025年信息系统安全专家云服务提供商威胁狩猎实践专题试卷及解析3

D、存储容量不足

【答案】B

【解析】正确答案是B。云环境产生的海量日志是威胁狩猎的主要挑战。硬件（A）、

带宽（C）和存