2025年信息系统安全专家数据库用户实体行为分析应用专题试卷及解析.pdfVIP

2025年信息系统安全专家数据库用户实体行为分析应用专题试卷及解析1

2025年信息系统安全专家数据库用户实体行为分析应用专

题试卷及解析

2025年信息系统安全专家数据库用户实体行为分析应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在数据库用户实体行为分析中，用于识别异常登录行为最直接的数据源是？

A、数据库性能监控日志

B、数据库审计日志

C、网络流量数据

D、服务器系统日志

【答案】B

【解析】正确答案是B。数据库审计日志详细记录了用户登录时间、IP地址、登录

方式等关键信息，是识别异常登录行为的核心数据源。A选项性能监控日志主要关注资

源使用情况；C选项网络流量数据范围过广且缺乏数据库上下文；D选项系统日志不包

含数据库层面的用户行为细节。知识点：数据源选择与日志分析。易错点：容易混淆不

同类型日志的用途，误选网络流量数据。

2、基于用户行为基线的异常检测方法，其核心假设是？

A、所有用户行为都是可预测的

B、正常用户行为具有统计规律性

C、异常行为必然导致系统故障

D、用户行为模式不会随时间变化

【答案】B

【解析】正确答案是B。基线检测法假设正常行为会形成稳定的统计特征，偏离基

线的行为即为异常。A选项过于绝对；C选项将异常与故障混为一谈；D选项忽略了行

为模式可能存在的合理变化。知识点：异常检测基本原理。易错点：容易忽视基线方法

的统计特性，误选绝对化描述的选项。

3、在数据库权限审计中，最需要重点关注的用户实体是？

A、只读查询用户

B、临时访客账户

C、拥有DBA权限的账户

D、报表生成用户

【答案】C

【解析】正确答案是C。DBA权限账户具有最高权限，其异常行为可能造成最严重

的安全后果。A、D选项用户权限有限；B选项临时账户虽然风险高但通常权限受限。

2025年信息系统安全专家数据库用户实体行为分析应用专题试卷及解析2

知识点：权限分级管理。易错点：容易被”临时账户”字面意思误导，忽视实际权限等级

的重要性。

4、以下哪种行为最可能触发SQL注入攻击警报？

A、短时间内大量SELECT查询

B、包含UNION和注释符的输入

C、非工作时间数据导出

D、使用存储过程执行操作

【答案】B

【解析】正确答案是B。UNION操作和注释符是SQL注入攻击的典型特征。A选

项可能是正常业务高峰；C选项需要结合用户角色判断；D选项存储过程本身是安全实

践。知识点：SQL注入特征识别。易错点：容易将正常高频查询误判为攻击行为。

5、用户实体行为分析系统（UEBA）中，“冷启动”问题指的是？

A、系统首次部署时的配置问题

B、新用户缺乏历史行为数据

C、数据库服务器重启后数据丢失

D、分析算法初始化失败

【答案】B

【解析】正确答案是B。冷启动特指新用户因缺乏足够历史数据而难以建立准确行

为基线的问题。A、C、D选项属于系统运维问题，不属于行为分析范畴。知识点：UEBA

系统局限性。易错点：容易将技术术语”冷启动”泛化理解。

6、在数据库行为分析中，“横向移动”攻击的典型特征是？

A、同一账户多次登录失败

B、不同账户间异常权限传递

C、单次查询返回大量数据

D、长时间保持数据库连接

【答案】B

【解析】正确答案是B。横向移动指攻击者通过控制一个账户后尝试获取其他账户

权限的行为。A选项是暴力破解特征；C选项可能是数据泄露；D选项可能是正常业务

需求。知识点：攻击模式识别。易错点：容易混淆不同攻击行为的特征。

7、基于机器学习的异常检测模型中，最适合处理无标签数据的算法是？

A、决策树

B、支持向量机

C、Kmeans聚类

D、逻辑回归

【答案】C

2025年信息系统安全专家数据库用户实体行为分析应用专题试卷及解析