2025年信息系统安全专家自动化用户实体行为分析与异常检测专题试卷及解析.pdf

2025年信息系统安全专家自动化用户实体行为分析与异常检测专题试卷及解析1

2025年信息系统安全专家自动化用户实体行为分析与异常

检测专题试卷及解析

2025年信息系统安全专家自动化用户实体行为分析与异常检测专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在用户实体行为分析（UEBA）系统中，以下哪项技术最适合用于检测从未出现

过的未知攻击模式？

A、基于签名的检测

B、基于规则的检测

C、机器学习异常检测

D、静态代码分析

【答案】C

【解析】正确答案是C。机器学习异常检测通过学习正常行为模式，能够识别偏离

正常的行为，因此能有效检测未知攻击模式。A选项基于签名的检测只能识别已知特

征，B选项基于规则的检测依赖预定义规则，D选项静态代码分析主要用于代码审计，

均不适用于未知攻击检测。知识点：异常检测技术。易错点：容易混淆基于签名和基于

机器学习的检测适用场景。

2、在UEBA系统中，以下哪项数据源对检测内部威胁最有效？

A、防火墙日志

B、DNS查询记录

C、员工工时系统

D、数据库审计日志

【答案】D

【解析】正确答案是D。数据库审计日志能详细记录用户对敏感数据的访问行为，是

检测内部威胁的核心数据源。A、B选项主要用于外部威胁检测，C选项与安全行为分

析关联度较低。知识点：数据源选择。易错点：容易忽视内部威胁检测对细粒度数据的

需求。

3、以下哪项是UEBA系统实施中最常见的挑战？

A、数据采集速度过快

B、正常行为基线难以建立

C、硬件资源不足

D、合规性要求过高

【答案】B

【解析】正确答案是B。正常行为基线建立是UEBA的核心难点，因为用户行为具

有动态性和多样性。A、C选项可通过技术优化解决，D选项是外部约束而非技术挑战。

2025年信息系统安全专家自动化用户实体行为分析与异常检测专题试卷及解析2

知识点：UEBA实施难点。易错点：容易低估行为基线建立的复杂性。

4、在自动化异常检测中，以下哪种方法最适合处理高维数据？

A、主成分分析（PCA）

B、Kmeans聚类

C、决策树

D、朴素贝叶斯

【答案】A

【解析】正确答案是A。PCA能有效降低高维数据的维度，保留主要特征。B选项

聚类效果受维度影响大，C、D选项在高维空间中表现不佳。知识点：高维数据处理。

易错点：容易忽视维度灾难对算法性能的影响。

5、以下哪项指标最适合评估UEBA系统的检测准确性？

A、处理速度

B、误报率

C、数据存储量

D、系统可用性

【答案】B

【解析】正确答案是B。误报率直接反映检测准确性，是UEBA系统的核心评估指

标。A、C、D选项属于性能或运维指标。知识点：评估指标选择。易错点：容易混淆

性能指标和准确性指标。

6、在UEBA系统中，以下哪种行为最可能被标记为异常？

A、员工在正常工作时间访问业务系统

B、管理员在凌晨3点修改核心配置

C、用户定期备份个人数据

D、系统自动更新补丁

【答案】B

【解析】正确答案是B。管理员在非工作时间执行高危操作明显偏离正常行为模式。

A、C、D选项属于常规操作。知识点：异常行为识别。易错点：容易忽视时间因素在行

为分析中的重要性。

7、以下哪项技术最适合实时分析用户行为？

A、批处理MapReduce

B、流处理Kafka

C、离线数据仓库

D、关系型数据库

【答案】B

2025年信息系统安全专家自动化用户实体行为分析与异常检测专题试卷及解析3

【解析】正确答案是B。流处理技术支持实时数据处理，满足UEBA的实时性需求。

A、C选项适用于离线分析，D选项不支持流式处理。知识点：实时处理技术。易错点：

容易混淆批处理和流处理的适用场景。

8、在UEBA系统中，以下哪项措施