2025年信息系统安全专家安全事件告警验证与筛选专题试卷及解析.pdfVIP

2025年信息系统安全专家安全事件告警验证与筛选专题试卷及解析1

2025年信息系统安全专家安全事件告警验证与筛选专题试

卷及解析

2025年信息系统安全专家安全事件告警验证与筛选专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在安全事件告警验证过程中，当收到一条“可疑的SQL注入攻击”告警时，以下

哪种验证方法最能有效确认该告警的真实性？

A、检查源IP地址是否为内网地址

B、分析日志中的SQL语句是否包含恶意载荷

C、查看目标服务器的CPU使用率是否异常

D、确认告警时间是否为业务高峰期

【答案】B

【解析】正确答案是B。SQL注入攻击的核心特征是恶意SQL语句，因此直接分析

日志中的SQL语句是最直接的验证方法。A选项仅能排除部分误报，不能确认攻击真

实性；C选项可能受多种因素影响，不是直接证据；D选项与攻击真实性无直接关联。

知识点：SQL注入攻击验证方法。易错点：容易被非直接证据（如IP地址、系统性能）

误导。

2、以下哪种告警筛选策略最适合用于减少误报率？

A、仅保留来自外部IP的告警

B、设置告警优先级阈值

C、结合威胁情报库进行关联分析

D、忽略所有低风险等级告警

【答案】C

【解析】正确答案是C。威胁情报库能提供已知恶意IP、域名等信息，结合关联分

析能有效过滤误报。A选项可能遗漏内部威胁；B选项仅能减少告警数量，不一定降低

误报率；D选项可能遗漏真实低风险事件。知识点：告警筛选策略。易错点：误认为简

单过滤就能减少误报。

3、在验证“暴力破解攻击”告警时，以下哪项日志信息最关键？

A、登录失败次数

B、登录成功时间

C、用户代理字符串

D、目标端口号

【答案】A

【解析】正确答案是A。暴力破解攻击的核心特征是短时间内大量登录失败，因此

失败次数是关键指标。B选项仅能确认攻击是否成功；C选项可能被伪造；D选项与暴

2025年信息系统安全专家安全事件告警验证与筛选专题试卷及解析2

力破解无直接关联。知识点：暴力破解攻击验证。易错点：容易被次要信息分散注意力。

4、以下哪种工具最适合用于自动化告警验证？

A、Wireshark

B、Splunk

C、Nmap

D、Metasploit

【答案】B

【解析】正确答案是B。Splunk是日志分析平台，支持自动化告警验证和关联分析。

A选项用于网络抓包，不适合自动化；C选项用于端口扫描；D选项用于渗透测试。知

识点：自动化告警验证工具。易错点：混淆工具用途。

5、在筛选“DDoS攻击”告警时，以下哪项指标最值得关注？

A、数据包大小

B、流量来源分布

C、目标服务器响应时间

D、攻击持续时间

【答案】B

【解析】正确答案是B。DDoS攻击通常来自大量分散IP，流量来源分布是关键指

标。A选项可能受多种因素影响；C选项可能因其他原因变慢；D选项仅能反映攻击规

模。知识点：DDoS攻击告警筛选。易错点：忽略流量分布特征。

6、以下哪种情况最可能表明告警为误报？

A、源IP地址为已知的恶意IP

B、目标端口为非标准端口

C、日志时间戳不连续

D、告警内容与业务逻辑冲突

【答案】D

【解析】正确答案是D。告警内容与业务逻辑冲突是误报的典型特征。A选项表明

攻击可能性高；B选项可能为正常业务；C选项可能是日志采集问题。知识点：误报识

别。易错点：过度依赖技术指标而忽略业务逻辑。

7、在验证“文件完整性监控”告警时，以下哪项操作最必要？

A、检查文件修改时间

B、对比文件哈希值

C、查看文件权限

D、分析文件内容

【答案】B

2025年信息系统安全专家安全事件告警验证与筛选专题试卷及解析3

【解析】正确答案是