2025年信息系统安全专家入侵检测系统中的行为分析与用户实体行为分析专题试卷及解析.pdfVIP

2025年信息系统安全专家入侵检测系统中的行为分析与用户实体行为分析专题试卷及解析1

2025年信息系统安全专家入侵检测系统中的行为分析与用

户实体行为分析专题试卷及解析

2025年信息系统安全专家入侵检测系统中的行为分析与用户实体行为分析专题试

卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在入侵检测系统中，基于行为的分析方法主要关注的是？

A、已知攻击的特征码

B、系统或用户行为的异常模式

C、网络流量的数据包大小

D、系统日志的时间戳

【答案】B

【解析】正确答案是B。基于行为的分析方法（异常检测）通过监控正常行为模式，

识别偏离基线的异常活动。A选项是特征码检测（误用检测）的特点；C和D是具体

数据点，而非行为模式分析的核心。知识点：行为分析的核心是模式识别。易错点：混

淆异常检测与误用检测的区别。

2、用户实体行为分析（UEBA）系统最常用于检测以下哪种威胁？

A、已知的病毒签名

B、内部人员的恶意行为

C、网络钓鱼邮件

D、未打补丁的系统漏洞

【答案】B

【解析】正确答案是B。UEBA专注于用户和实体的行为模式，特别擅长检测内部

威胁（如权限滥用）。A、C、D属于其他安全领域（反病毒、邮件安全、漏洞管理）。知

识点：UEBA的核心价值在于内部威胁检测。易错点：误认为UEBA能检测所有类型

的威胁。

3、在UEBA中，“实体”通常不包括以下哪项？

A、用户账户

B、服务器IP地址

C、网络交换机

D、数据库表

【答案】D

【解析】正确答案是D。UEBA中的”实体”指可产生行为数据的对象（如用户、设

备、IP），而数据库表是静态数据结构。知识点：实体需具备可观测的行为特征。易错

点：将所有IT资产都视为实体。

2025年信息系统安全专家入侵检测系统中的行为分析与用户实体行为分析专题试卷及解析2

4、行为分析系统建立基线时，最理想的周期是？

A、24小时

B、1周

C、1个月

D、根据业务周期动态调整

【答案】D

【解析】正确答案是D。不同业务的行为模式周期不同（如零售业周末高峰），需动

态调整。固定周期可能导致基线不准确。知识点：基线需反映真实业务波动。易错点：

忽视业务特性对行为模式的影响。

5、以下哪项是UEBA系统最依赖的数据源？

A、防火墙日志

B、DNS查询记录

C、身份认证日志

D、网络流量镜像

【答案】C

【解析】正确答案是C。身份认证日志直接反映用户行为（登录时间、地点、设备），

是UEBA的核心数据源。其他数据源为辅助。知识点：用户行为分析需以身份为中心。

易错点：过度依赖网络层数据而忽略身份信息。

6、行为分析中”上下文信息”的主要作用是？

A、增加数据存储量

B、提高检测准确性

C、加快处理速度

D、简化规则配置

【答案】B

【解析】正确答案是B。上下文（如时间、地点、设备）帮助区分正常异常（如异地

登录）和真实威胁。A、C、D是副作用或无关项。知识点：上下文是异常检测的关键

要素。易错点：忽视上下文对误报率的影响。

7、以下哪种行为最可能触发UEBA告警？

A、用户每天9点登录

B、管理员凌晨3点重启服务

C、用户突然访问从未接触过的敏感文件

D、系统自动备份

【答案】C

【解析】正确答案是C。偏离历史行为模式的敏感文件访问是典型异常。A是正常

行为，B可能是维护操作，D是计划任务。知识点：行为偏离度是告警触发条件。易错

2025年信息系统安全专家入侵检测系统中的行为分析与用户实体行为分析专题试卷及解析3

点：将所有非常规行为都视为威胁。

8、在UEBA系统中，“风险评分”通常基于？

A、固定阈值

B、机器学习模型

C、管理员手动设置

D、随机生成

【答案】B

【解析】正确答案是B。现代UEBA通过机器学习综合多维度行为计算风险评分。

固定阈值（A）缺乏灵活性，手动设置（C）效率低，随机生成（D）无意义。知识点：

动态风险评估需要算法支持。易错点：混淆规则引擎