2025年信息系统安全专家基于MITREATTCK框架的自动化防御专题试卷及解析.pdfVIP

2025年信息系统安全专家基于MITREATTCK框架的自动化防御专题试卷及解析1

2025年信息系统安全专家基于MITREATTCK框架的

自动化防御专题试卷及解析

2025年信息系统安全专家基于MITREATTCK框架的自动化防御专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、在MITREATTCK框架中，攻击者通过滥用系统自带的计划任务功能实现持

久化，这属于哪个战术？

A、初始访问

B、执行

C、持久化

D、横向移动

【答案】C

【解析】正确答案是C。计划任务滥用是典型的持久化技术（T1053），攻击者通过

它确保恶意代码在系统重启后仍能运行。A选项初始访问是入侵入口，B选项执行关注

代码运行，D选项横向移动涉及网络扩散。知识点：ATTCK战术分类。易错点：容

易将持久化与执行混淆，但执行强调单次运行，持久化强调长期驻留。

2、以下哪项技术属于ATTCK框架中的”防御规避”战术？

A、PasstheHash

B、Rootkit

C、凭证转储

D、钓鱼邮件

【答案】B

【解析】正确答案是B。Rootkit通过隐藏恶意活动来规避检测，属于防御规避

（T1014）。A选项PasstheHash是横向移动技术，C选项凭证转储属于凭证访问，

D选项钓鱼邮件属于初始访问。知识点：ATTCK技术分类逻辑。易错点：防御规避

与横向移动的技术常被混淆，需关注其核心目的是隐藏还是扩散。

3、自动化防御系统检测到异常PowerShell行为时，应优先关联ATTCK的哪个

技术ID？

A、T1059.001

B、T1548.002

C、T1027

D、T1078

【答案】A

2025年信息系统安全专家基于MITREATTCK框架的自动化防御专题试卷及解析2

【解析】正确答案是A。T1059.001特指PowerShell命令行滥用，是ATTCK中

明确的恶意行为特征。B选项是绕过UAC，C选项是代码混淆，D选项是有效账户使

用。知识点：ATTCK技术ID的精确匹配。易错点：容易忽略子技术编号（如.001）

导致误判。

4、在自动化防御中，基于ATTCK的检测规则最应关注哪个维度？

A、攻击者地理位置

B、战术技术实现路径

C、恶意文件哈希值

D、网络带宽消耗

【答案】B

【解析】正确答案是B。ATTCK的核心价值在于描述攻击行为链，自动化防御需

按战术→技术→实现的逻辑构建检测。A、C、D选项是传统特征检测维度，无法覆

盖行为模式。知识点：ATTCK的应用方法论。易错点：容易过度依赖静态特征而忽

视行为关联。

5、攻击者使用”合法工具滥用”技术时，自动化防御系统应如何应对？

A、直接阻断所有系统工具

B、建立行为基线并检测异常

C、仅检查工具数字签名

D、依赖人工分析

【答案】B

【解析】正确答案是B。合法工具滥用需通过行为基线（如PowerShell罕见参数组

合）来检测，而非简单阻断。A选项影响业务连续性，C选项无法识别被签名的恶意工

具，D选项不符合自动化要求。知识点：白名单工具的检测策略。易错点：容易陷入”

阻断一切”或”完全信任”的极端。

6、ATTCK框架中”数据渗出”战术的典型技术是？

A、T1041

B、T1055

C、T1567

D、T1190

【答案】C

【解析】正确答案是C。T1567是数据渗出技术的总ID，包含通过C2、Web服务

等子技术。A选项是入侵诱饵，B选项是进程注入，D选项是漏洞利用。知识点：战术

与技术ID的对应关系。易错点：需记住常见战术的核心技术ID范围。

7、自动化防御系统在关联ATTCK时，“T1078”最可能触发哪种响应？

A、隔离终端

2025年信息系统安全专家基于MITREATTCK框架的自动化防御专题试卷及解析3

B、重置密码

C、阻断C2通信

D、更新补丁

【答案】B

【解析】正确答案是B。T1078是有效账户使