2026年SOC安全运营工程师考试题库（附答案和详细解析）（0515）.docxVIP

SOC安全运营工程师岗位能力认证考试试卷

一、单项选择题（共10题，每题1分，共10分）

在SOC运营中，当分析员发现某台服务器在短时间内产生了大量异常的TCP连接请求，且目标端口为非业务端口时，最可能发生的攻击类型是：A.服务器端拒绝服务攻击B.DDoS攻击C.中间人攻击D.跨站脚本攻击

下列哪种日志记录通常用于检测权限提升或未授权的系统配置更改行为？A.应用程序访问日志B.系统安全日志C.网络流量日志D.勒索软件样本日志

在安全运营中心（SOC）的SOC1级阶段，运营团队的主要职责是：A.深度威胁狩猎与主动防御B.7x24小时监控、告警管理与事件响应C.制定全局安全战略与架构设计D.渗透测试与漏洞挖掘

使用Wireshark抓包分析网络流量时，若发现数据包头部Flags字段中SYN和ACK标志位同时置位，这通常表示什么状态？A.握手完成B.主动连接C.确认收到D.连接重置

下列哪项技术主要用于防御SQL注入攻击？A.WAF（Web应用防火墙）B.IPS（入侵防御系统）C.DLP（数据防泄漏）D.IDS（入侵检测系统）

安全事件响应流程（IRP）中，遏制阶段的主要目标是：A.阻止攻击者继续破坏或扩散威胁B.评估事件的影响范围和严重程度C.恢复受损的业务系统和数据D.分析攻击手段并提取