2025年网络安全事件处理培训考试题库及答案(案例分析试题).docxVIP

2025年网络安全事件处理培训考试题库及答案(案例分析试题)

一、单选题（每题2分，共20分）

请从A、B、C、D四个选项中选出最符合题意的一项，并将其字母编号填入括号内。

1.2025年3月，某市“智慧医疗”平台凌晨2:15出现批量异常登录，5分钟内登录失败次数达18万次，源IP分布于120个国家。安全运营中心（SOC）值班员小周首先应执行的处置动作是（）。

A.立即封禁全部境外IP段

B.触发“暴力破解”剧本，将源IP加入动态黑名单并通知WAF联动

C.先通报业务科室，等待业务确认后再处置

D.收集日志后等待白班分析

答案：B

解析：暴力破解属于高频高危场景，playbook已预置联动机制，秒级封禁可最大限度降低撞库成功概率，同时保留日志供后续溯源。

2.某大型电商在6·18大促前夜进行蓝队演练，红队通过GraphQL接口的“别名重复”技巧一次性拖走2300万条用户昵称+手机号片段。事后复盘发现缺失的关键控制点最可能是（）。

A.缺少API网关限流

B.未对GraphQL查询深度做静态分析

C.数据库未加密

D.未部署RASP

答案：B

解析：GraphQL别名重复可在单次请求中构造爆炸式笛卡尔积，绕过传统DDoS限速。静态查询复杂度分析可在解析阶段拒绝恶意别名叠加。

3.2025年1月，某新能源车企的OTA服务器被上传伪装成“电池校准程序”的勒索固件，签名证书显示合法。调查人员首先应验证（）。

A.证书吊销列表（CRL）是否被篡改

B.固件哈希与Git仓库commit是否一致

C.签名时间戳与证书有效期是否匹配

D.证书颁发机构（CA）是否被入侵

答案：C

解析：攻击者常利用“延迟签名”手法：先申请证书，再倒填时间戳。优先校验时间戳与有效期可快速判断是否为失窃证书后补签名。

4.某银行APP在客户端集成第三方OCRSDK，2025年4月被发现偷偷上传用户相册。安全团队欲在CI/CD阶段拦截此类行为，最佳技术方案是（）。

A.在Jenkins中调用MobSF做动态沙箱扫描

B.使用Frida对SDKAPI进行静态污点分析

C.采用Gradle插件在编译期注入网络访问白名单

D.将APP放入FireEye沙箱跑24小时

答案：C

解析：编译期注入白名单可在构建阶段直接拒绝非授信域名，左移安全，无需等待动态分析，且性能开销最低。

5.2025年7月，某政务云发生“虚拟机逃逸”事件，攻击者从低安全域的容器跳到宿主机并关闭SELinux。以下哪条审计日志最能直接证明攻击者已获取宿主机root？

A.type=AVCmsg=audit(…):avc:denied{setenforce}

B.type=SYSCALLmsg=audit(…):arch=c000003esyscall=62success=yes

C.type=USER_ACCTmsg=audit(…):userpid=1uid=0

D.type=CRED_REFRmsg=audit(audit(…):newselinux_context=unconfined_u:unconfined_r:unconfined_t

答案：B

解析：syscall=62对应sys_setenforce，成功返回说明已关闭SELinux，且uid=0，直接证明宿主机root权限。

6.某高校AI超算集群被植入“挖矿+模型投毒”双用途木马，进程名伪装成systemd-init。蓝队使用哪条eBPF指令可在内核态实时发现隐藏进程？

A.bpf_probe_read_kernel_str

B.bpf_get_current_task

C.bpf_override_return

D.bpf_iter_task

答案：D

解析：bpf_iter_task可遍历内核task_struct链表，发现被rootkitunlink的隐藏进程，无需依赖用户态ps。

7.2025年9月，某跨国企业收到FBI通报：其域名被用作DNS隧道C2。下列日志字段中最能快速确认隧道特征的是（）。

A.querytype=A

B.queryname长度63字符且entropy5.5

C.responsecode=NXDOMAIN

D.TTL=86400

答案：B

解析：DNS隧道子域携带加密载荷，长度与熵值异常是最强信号，可秒级检出。

8.某视频平台使用WebAssembly播放DRM内容，2025年10月被爆出“内存越