2025年信息系统安全专家身份认证系统日志审计与异常行为分析专题试卷及解析.pdfVIP

2025年信息系统安全专家身份认证系统日志审计与异常行为分析专题试卷及解析1

2025年信息系统安全专家身份认证系统日志审计与异常行

为分析专题试卷及解析

2025年信息系统安全专家身份认证系统日志审计与异常行为分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在进行身份认证系统日志审计时，以下哪项是识别异常登录行为的最关键指标？

A、登录失败次数

B、登录时间分布

C、登录IP地址变化

D、用户代理字符串

【答案】C

【解析】正确答案是C。登录IP地址的异常变化（如短时间内跨地域登录）是识别

账户被盗用或异常访问的最直接指标。A选项虽然重要但可能是正常密码输入错误；B

选项需要结合用户行为基线判断；D选项更多用于技术分析而非安全判断。知识点：异

常行为识别关键指标。易错点：容易被A选项迷惑，但单一失败次数不能直接判定异

常。

2、在SIEM系统中，以下哪种关联规则最适合检测横向移动攻击？

A、同一账户多次登录失败

B、不同账户登录同一异常IP

C、短时间内同一账户登录多台主机

D、非工作时间管理员操作

【答案】C

【解析】正确答案是C。横向移动的典型特征是攻击者利用一个账户访问多个系统。

A选项是暴力破解特征；B选项可能是共享IP；D选项需要结合具体操作判断。知识

点：攻击行为模式识别。易错点：容易忽略”同一账户”这个关键限定条件。

3、关于Kerberos认证日志，以下哪个事件ID最需要重点关注？

A、TGT请求成功

B、TGT请求失败

C、服务票据请求

D、预认证失败

【答案】D

【解析】正确答案是D。预认证失败(4768/4771)通常表示密码猜测或黄金票据攻

击。A和B是正常现象；C需要结合具体服务判断。知识点：Windows认证日志分析。

易错点：容易被”失败”字样误导而选择B，但预认证失败危害更大。

4、在分析多因素认证日志时，以下哪种情况最可能表示攻击？

2025年信息系统安全专家身份认证系统日志审计与异常行为分析专题试卷及解析2

A、短信验证码延迟

B、推送认证多次拒绝

C、备用验证码使用

D、设备信任状态变更

【答案】C

【解析】正确答案是C。备用验证码通常在紧急情况下使用，频繁使用可能表示账

户已被控制。A是网络问题；B可能是用户误操作；D需要结合其他因素判断。知识点：

MFA安全事件分析。易错点：容易忽略备用验证码的特殊安全意义。

5、以下哪种日志格式最适合进行机器学习异常检测？

A、纯文本格式

B、JSON格式

C、二进制格式

D、自定义格式

【答案】B

【解析】正确答案是B。JSON格式结构化程度高，便于特征提取和模型训练。A需

要复杂解析；C难以直接处理；D通用性差。知识点：日志数据预处理。易错点：容易

被”自定义”吸引，但标准化更重要。

6、在检测暴力破解攻击时，以下哪个阈值设置最合理？

A、1分钟内5次失败

B、10分钟内20次失败

C、1小时内50次失败

D、24小时内100次失败

【答案】B

【解析】正确答案是B。这个时间窗口和失败次数组合能有效识别自动化攻击同时

减少误报。A太敏感；C时间太长；D基本无效。知识点：安全策略阈值设定。易错点：

容易选择最严格的A，但会导致高误报率。

7、关于SSO单点登录日志，以下哪个事件最需要调查？

A、跨域认证成功

B、会话超时

C、令牌刷新失败

D、注销请求异常

【答案】A

【解析】正确答案是A。跨域认证成功可能表示权限提升或未授权访问。B是正常

现象；C可能是网络问题；D需要结合上下文。知识点：SSO安全监控。易错点：容易

被”失败”类事件吸引，但成功事件可能更危险。

2025年信息系统安全专家身份认证系统日志审计与异常行为分析专题试卷及解析3

8、在分析生物识别日志时，以下哪种模式最可疑？

A、匹配分数波动

B、拒绝率上升

C、多次尝试成功

D、模板更新