2025年信息系统安全专家威胁狩猎中的加密通信识别专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎中的加密通信识别专题试卷及解析1

2025年信息系统安全专家威胁狩猎中的加密通信识别专题

试卷及解析

2025年信息系统安全专家威胁狩猎中的加密通信识别专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎中，以下哪种网络流量特征最可能表明存在加密的C2通信？

A、大量HTTPGET请求

B、固定间隔的心跳包，且载荷高度随机

C、DNS查询频率异常增高

D、ICMP流量中包含可读文本

【答案】B

【解析】正确答案是B。固定间隔的心跳包是恶意软件维持与C2服务器连接的典

型行为，而载荷高度随机则表明数据被加密。A选项的HTTPGET请求虽然常见，但

未明确加密特征；C选项的DNS查询异常可能与DNS隧道相关，但不是直接的加密

通信特征；D选项的ICMP流量包含可读文本说明未加密。知识点：加密通信识别中的

流量模式分析。易错点：容易将所有异常流量都归为加密通信，需结合载荷特征判断。

2、以下哪种加密协议最容易被用于恶意软件的C2通信，因为其流量特征与正常

HTTPS流量难以区分？

A、SSH

B、TLS

C、IPsec

D、PPTP

【答案】B

【解析】正确答案是B。TLS（即HTTPS使用的协议）因其广泛使用和流量特征难

以区分，常被恶意软件滥用。A选项的SSH虽然加密，但流量特征较明显；C选项的

IPsec主要用于VPN，较少用于C2；D选项的PPTP安全性较差，已较少使用。知识

点：加密协议的滥用与识别。易错点：误认为所有加密协议都难以区分，需结合实际使

用场景分析。

3、在分析加密流量时，以下哪种方法最有助于识别潜在的恶意通信？

A、解密流量内容

B、分析流量元数据（如连接时长、数据包大小）

C、检查证书有效性

D、监控端口使用情况

【答案】B

2025年信息系统安全专家威胁狩猎中的加密通信识别专题试卷及解析2

【解析】正确答案是B。由于加密流量内容无法直接读取，分析元数据是识别恶意

通信的有效方法。A选项解密流量内容通常不可行；C选项检查证书有效性只能识别部

分问题；D选项监控端口使用情况作用有限，因为恶意软件常使用常见端口。知识点：

加密流量分析技术。易错点：过度依赖解密方法，忽视元数据的重要性。

4、以下哪种行为最可能表明存在加密的数据窃取？

A、大量出站HTTPS流量

B、固定时间的小型加密数据包

C、异常大的加密文件传输

D、频繁的DNS查询

【答案】C

【解析】正确答案是C。异常大的加密文件传输可能是窃取大量数据的迹象。A选

项的HTTPS流量常见，不一定恶意；B选项的小型数据包可能是心跳包；D选项的

DNS查询与数据窃取无直接关联。知识点：数据窃取的流量特征。易错点：误将所有

加密流量都视为可疑，需结合流量大小和模式判断。

5、在威胁狩猎中，以下哪种工具最适合用于检测加密通信中的异常行为？

A、Wireshark

B、Snort

C、Zeek(Bro)

D、Nmap

【答案】C

【解析】正确答案是C。Zeek擅长分析网络流量行为，适合检测加密通信中的异常。

A选项的Wireshark主要用于抓包分析；B选项的Snort基于规则，对加密流量检测有

限；D选项的Nmap用于端口扫描，与流量行为分析无关。知识点：威胁狩猎工具的选

择。易错点：误认为Wireshark适合实时检测，实际更适合离线分析。

6、以下哪种加密通信特征最可能表明存在恶意行为？

A、使用自签名证书

B、流量高峰在工作时间

C、连接到知名云服务

D、使用标准TLS版本

【答案】A

【解析】正确答案是A。自签名证书常被恶意软件使用，因为无需权威机构验证。B

选项的流量高峰在工作时间可能是正常行为；C选项的云服务连接常见；D选项的标准

TLS版本无异常。