2025年信息系统安全专家威胁情报与主动防御专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁情报与主动防御专题试卷及解析1

2025年信息系统安全专家威胁情报与主动防御专题试卷及

解析

2025年信息系统安全专家威胁情报与主动防御专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁情报的生命周期中，哪个阶段主要负责将原始数据转化为有价值的情报

信息？

A、收集阶段

B、处理阶段

C、分析阶段

D、分发阶段

【答案】C

【解析】正确答案是C。分析阶段是威胁情报生命周期中的核心环节，负责对收集

和处理后的数据进行深度分析，识别威胁模式、关联攻击行为，最终形成具有可操作性

的情报。A选项收集阶段仅负责获取原始数据，B选项处理阶段侧重于数据清洗和标准

化，D选项分发阶段是将情报传递给相关方，均不涉及情报的深度分析和价值转化。知

识点：威胁情报生命周期。易错点：容易混淆处理阶段和分析阶段的功能，前者是数据

准备，后者是情报生成。

2、以下哪项技术不属于主动防御体系的典型组成部分？

A、入侵检测系统（IDS）

B、欺骗防御技术

C、威胁狩猎平台

D、沙箱分析环境

【答案】A

【解析】正确答案是A。入侵检测系统（IDS）主要用于检测和报警，属于被动防御

技术，而非主动防御。B选项欺骗防御技术通过蜜罐等手段主动诱捕攻击者，C选项威

胁狩猎平台主动搜寻潜在威胁，D选项沙箱分析环境通过动态分析主动识别恶意行为，

均属于主动防御范畴。知识点：主动防御技术分类。易错点：IDS常与IPS（入侵防御

系统）混淆，IPS具备阻断能力，可视为主动防御，但IDS仅检测。

3、在威胁情报的共享标准中，STIX/TAXII主要用于解决什么问题？

A、情报的加密传输

B、情报的标准化表示与交换

C、情报的实时告警

D、情报的存储优化

【答案】B

2025年信息系统安全专家威胁情报与主动防御专题试卷及解析2

【解析】正确答案是B。STIX（结构化威胁信息表达）和TAXII（可信自动化情报

交换）是威胁情报领域的核心标准，前者定义了情报的标准化格式，后者提供了情报交

换的通信协议，共同解决情报的互操作性问题。A选项加密传输由TLS等协议保障，C

选项实时告警是情报应用场景，D选项存储优化与标准无关。知识点：威胁情报共享标

准。易错点：容易将STIX/TAXII的功能与具体技术实现混淆。

4、威胁狩猎活动中，基于假设的狩猎方法通常适用于哪种场景？

A、已确认的攻击事件响应

B、未知威胁的早期发现

C、日常安全巡检

D、合规性审计

【答案】B

【解析】正确答案是B。基于假设的威胁狩猎是一种主动探索方法，通过构建攻击

假设（如“是否存在横向移动行为”）来搜寻未知威胁，适用于早期发现潜在攻击。A选

项属于事件响应，C选项是例行检查，D选项是合规性工作，均不涉及假设驱动的狩猎

逻辑。知识点：威胁狩猎方法论。易错点：容易将假设狩猎与基于指标的狩猎混淆，后

者依赖已知威胁特征。

5、以下哪项指标最能体现威胁情报的战术价值？

A、攻击者的IP地址

B、攻击工具的哈希值

C、攻击者的TTPs（战术、技术和过程）

D、恶意域名的URL

【答案】C

【解析】正确答案是C。TTPs描述了攻击者的行为模式和攻击手法，是战术层面的

核心情报，可直接指导防御策略的调整。A、B、D选项均为技术指标，属于战术或操

作层面的基础情报，价值相对有限。知识点：威胁情报的分层价值。易错点：容易忽视

TTPs的战术指导意义，过度关注技术指标。

6、在欺骗防御技术中，蜜罐的主要作用是什么？

A、直接阻断攻击流量

B、诱捕攻击者并收集行为数据

C、加密敏感数据

D、过滤垃圾邮件

【答案】B

【解析】正确答案是B。蜜罐通过模拟真实系统或服