网络安全态势感知系统工程师岗位招聘考试试卷及答案

网络安全态势感知系统工程师岗位招聘考试试卷及答案一、填空题（共10题，每题1分）1.网络安全态势感知的三层模型包括______、理解和预测。2.用于检测网络异常流量的常见传感器是______（入侵检测系统）。3.MITREATT&CK框架中，攻击者获取权限的第一步是______阶段。4.支撑威胁识别的重要依据是______情报。5.态势可视化常用开源工具是______（或ELKStack）。6.态势评估核心维度包括威胁、脆弱性和______评估。7.威胁狩猎的核心是______寻找未被检测的潜在威胁。8.态势感知平台核心组件含数据采集、分析、可视化和______。9.适用于时间序列预测的机器学习算法是______（长短期记忆网络）。10.网络流量数据中，______（或sFlow）是重要采集源。一、填空题答案1.感知2.IDS3.初始访问4.威胁5.Grafana6.影响7.主动8.响应9.LSTM10.NetFlow二、单项选择题（共10题，每题2分）1.态势感知“理解”层核心任务是？A.采集原始数据B.关联识别威胁场景C.预测攻击趋势D.生成告警答案：B2.不属于态势感知数据来源的是？A.防火墙日志B.主机审计日志C.员工考勤记录D.威胁情报feed答案：C3.“钓鱼邮件”属于MITREATT&CK的哪个阶段？A.初始访问B.执行C.持久化D.横向移动答案：A4.态势预测适用于时间序列的算法是？A.逻辑回归B.LSTMC.朴素贝叶斯D.K-means答案：B5.主要用于网络流量采集分析的工具是？A.WiresharkB.ExcelC.PhotoshopD.Notepad++答案：A6.态势评估中“脆弱性评估”核心是？A.识别威胁特征B.评估未修补漏洞C.分析业务影响D.预测攻击路径答案：B7.威胁情报来源不包括？A.开源情报B.商业情报C.内部情报D.政府免费情报答案：D8.展示威胁分布的态势可视化图表是？A.饼图B.热力图C.折线图D.散点图答案：B9.不属于态势响应类型的是？A.自动阻断B.人工处置C.威胁狩猎D.被动监控答案：D10.态势感知平台不包含的功能是？A.数据清洗B.关联分析C.员工考核D.可视化展示答案：C二、单项选择题答案1.B2.C3.A4.B5.A6.B7.D8.B9.D10.C三、多项选择题（共10题，每题2分，多选/少选不得分）1.态势感知数据来源包括？A.网络流量B.主机日志C.应用日志D.威胁情报feed答案：ABCD2.MITREATT&CK主要阶段含？A.初始访问B.执行C.持久化D.横向移动答案：ABCD3.态势理解层任务有？A.数据关联B.威胁场景识别C.脆弱性关联D.攻击路径推演答案：ABCD4.威胁狩猎关键步骤含？A.假设形成B.数据收集C.威胁验证D.处置反馈答案：ABCD5.态势可视化核心目标是？A.提升可读性B.辅助决策C.展示威胁分布D.满足美观答案：ABC6.常见威胁情报格式含？A.STIXB.TAXIIC.CSVD.JSON答案：ABCD7.态势预测方法含？A.随机森林B.时间序列分析C.攻击路径推演D.专家经验答案：ABCD8.态势响应自动化手段含？A.自动阻断恶意IPB.隔离感染主机C.下发补丁D.生成报告答案：AB9.态势感知应用场景含？A.威胁预警B.漏洞管理C.应急支撑D.合规审计答案：ABCD10.态势评估维度含？A.威胁评估B.脆弱性评估C.影响评估D.资产价值评估答案：ABCD三、多项选择题答案1.ABCD2.ABCD3.ABCD4.ABCD5.ABC6.ABCD7.ABCD8.AB9.ABCD10.ABCD四、判断题（共10题，每题2分，√/×）1.态势感知仅需采集网络流量数据。（×）2.MITREATT&CK仅覆盖攻击技术，不涉及防御。（×）3.态势预测必须依赖深度学习。（×）4.威胁狩猎是主动寻找未被检测的威胁。（√）5.态势可视化核心是辅助决策。（√）6.态势感知平台可完全替代人工分析。（×）7.漏洞情报属于威胁情报范畴。（√）8.态势评估含威胁、脆弱性、影响三个维度。（√）9.态势响应仅处置已检测威胁，无主动防御。（×）10.态势感知三层模型是固定标准，无变化。（×）四、判断题答案1.×2.×3.×4.√5.√6.×7.√8.√9.×10.×五、简答题（共4题，每题5分，≤200字）1.简述态势感知三层模型及核心任务答案：三层为感知、理解、预测。①感知层：采集网络/主机/应用日志、威胁情报等原始数据，清洗过滤无效信息；②理解层：关联多源数据，识别威胁场景、攻击路径，评估脆弱性与威胁关联；③预测层：基于历史数据与模型，预测攻击趋势、潜在威胁，支撑响应决策。2.态势感知数据采集层主要来源答案：①网络层：NetFlow/sFlow、IDS/IPS/防火墙日志；②主机层：WindowsEventLog、Linux系统日志、进程/文件日志；③应用层：Web/数据库/业务系统日志；④外部层：威胁情报feed（STIX/TAXII）、漏洞情报；⑤其他：资产信息、用户行为日志（UBA）。3.威胁狩猎与传统检测的区别答案：①主动性：狩猎主动找未知威胁，检测被动响应已知特征；②目标：狩猎针对APT等高级威胁，检测针对已知威胁；③方法：狩猎依赖多源关联、假设分析，检测依赖规则匹配；④结果：狩猎补充检测盲区，检测生成告警。4.态势预测常用方法及适用场景答案：①机器学习：随机森林（分类）、LSTM（时间序列）；②时间序列：ARIMA（短期趋势）；③攻击推演：基于ATT&CK模拟路径；④专家经验：结合行业案例判断。适用：短期趋势用LSTM，漏洞路径用推演，已知威胁分类用随机森林。六、讨论题（共2题，每题5分，≤200字）1.如何提升态势感知威胁检测准确率？答案：①多源数据融合：整合网络/主机/情报数据，减少盲区；②规则+机器学习结合：规则覆盖已知威胁，机器学习识别异常（如UBA）；③情报实时更新：同步开源/商业情报，补充特征；④模型迭代：基于历史告警优化（调参、特征工程）；⑤人工反馈：狩猎结果完善规则，提升检测能力。2.态势感知在企业应急响应中的作