2025年信息系统安全专家威胁狩猎发展历程与趋势专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎发展历程与趋势专题试卷及解析1

2025年信息系统安全专家威胁狩猎发展历程与趋势专题试

卷及解析

2025年信息系统安全专家威胁狩猎发展历程与趋势专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、威胁狩猎（ThreatHunting）的核心理念是什么？

A、被动响应已知的告警

B、主动搜索未知的威胁

C、修复系统漏洞

D、配置防火墙规则

【答案】B

【解析】正确答案是B。威胁狩猎的核心在于“主动”，即安全分析师基于假设，在环

境中主动搜寻尚未被自动化工具发现的潜在威胁和攻击活动。A选项描述的是事件响

应的被动特性；C和D选项属于系统加固和防御措施，与威胁狩猎的主动搜索理念不

符。知识点：威胁狩猎的定义与核心思想。易错点：容易将威胁狩猎与事件响应混淆，

前者是主动发现，后者是被动处理。

2、现代威胁狩猎方法论中，通常不依赖于以下哪种数据源？

A、终端检测与响应（EDR）日志

B、网络流量数据

C、威胁情报feeds

D、已知的病毒签名数据库

【答案】D

【解析】正确答案是D。威胁狩猎旨在发现绕过传统防御措施的未知威胁，因此更

侧重于行为分析和异常检测，而不是依赖已知的病毒签名。A、B、C都是威胁狩猎中

常用的关键数据源，分别提供了终端行为、网络通信和外部威胁背景信息。知识点：威

胁狩猎的数据源。易错点：可能会误认为病毒签名数据库是所有安全活动的基础，但在

威胁狩猎场景下，其作用有限。

3、基于假设的威胁狩猎（HypothesisbasedHunting）通常起始于什么？

A、一个随机的系统警报

B、一个关于攻击者TTPs（战术、技术和过程）的假设

C、一个用户投诉

D、一个定期的扫描任务

【答案】B

【解析】正确答案是B。基于假设的狩猎是威胁狩猎的一种主要方法，它始于一个

具体的、可验证的假设，例如“攻击者正在利用PowerShell进行无文件攻击”。A和C是

2025年信息系统安全专家威胁狩猎发展历程与趋势专题试卷及解析2

被动触发的，D是例行操作，都不符合主动假设驱动的狩猎模式。知识点：威胁狩猎的

执行模式。易错点：容易将“假设”与任何形式的“起点”混淆，关键在于假设是基于威胁

情报和攻击者行为的主动构想。

4、MITREATTCK框架在威胁狩猎中主要起到什么作用？

A、加密网络流量

B、提供标准化的攻击者行为知识库

C、自动修复漏洞

D、管理用户身份

【答案】B

【解析】正确答案是B。MITREATTCK框架是一个全球公认的攻击者战术、技

术和过程知识库，它为威胁狩猎提供了结构化的语言和参考模型，帮助猎人构建假设、

设计狩猎查询。A、C、D均与ATTCK框架的功能无关。知识点：MITREATTCK

框架的应用。易错点：可能知道ATTCK重要，但说不清其在威胁狩猎中的具体作用，

即作为“蓝图”或“词典”。

5、威胁狩猎的成熟度模型中，最高级别的特征通常是什么？

A、完全依赖自动化工具进行狩猎

B、具备机器学习辅助的自动化、持续性的威胁狩猎能力

C、偶尔进行的手动狩猎

D、仅在发生重大事件后进行狩猎

【答案】B

【解析】正确答案是B。威胁狩猎成熟度模型描述了从初级（被动响应）到高级（自

动化、智能化）的发展过程。最高级别通常表现为将人工狩猎的知识转化为机器学习模

型，实现自动化、持续性的狩猎，极大提升效率和覆盖面。A选项“完全依赖”不现实，C

和D是较低成熟度的表现。知识点：威胁狩猎成熟度模型。易错点：可能误认为“自动

化”就是最高级，但忽略了“机器学习辅助”和“持续性”这两个关键特征。

6、在威胁狩猎流程中，发现异常活动后的下一步关键操作是什么？

A、立即封禁相关IP地址

B、进行调查、验证和丰富化（Enrichment）

C、向管理层提交报告

D、忽略，等待更多证据

【答案】B