2026年360机器学习笔试题及答案

2026年360机器学习笔试题及答案

一、单项选择题（每题2分，共20分）1.在360安全浏览器的恶意URL检测模型中，若采用XGBoost作为基学习器，下列哪项参数对降低过拟合最直接有效A.max_depth B.learning_rate C.subsample D.n_estimators2.当使用360冰刃平台做APT样本家族聚类时，若特征维度高达千万级，下列哪种降维方式在保持哈希特征可解释性的同时能最大限度保留区分度A.PCA B.随机投影 C.FeatureHashing D.t-SNE3.360QUAKE网络空间测绘引擎每天新增上万亿条banner，若用流式主动学习筛选未知组件，下列哪种采样策略对“零日”banner发现召回率最高A.Uncertainty B.Diversity C.Density-weighted D.Query-by-Committee4.在360Netlab的DGA域名检测中，若将字符级Bi-LSTM替换为FastText+GRU，推理延迟下降明显但F1下降0.8%，最合适的补救手段是A.增加GRU隐单元 B.引入注意力机制 C.使用蒸馏让Bi-LSTM当老师 D.扩大n-gram窗口5.360威胁情报云使用图神经网络追踪挖矿团伙，若边特征包含“钱包地址共用次数”，下列哪项技术可缓解“边权重噪声”导致的过度平滑A.残差连接 B.异构meta-path C.边dropout D.节点特征增广6.在360杀毒PE文件检测中，若采用MalConv并加入对抗训练，下列哪种扰动方式对Windows可执行格式既保持合法性又降低检出率A.节区填充扰动 B.入口点篡改 C.Richheader混淆 D.数字签名伪造7.360安全卫士的弹窗拦截模型用多任务学习同时预测“是否广告”“是否诱导下载”，若两个任务标签存在因果链，下列哪种结构最合理A.共享层+任务独立输出 B.级联输出：任务A结果作为任务B输入 C.多门控Mixture-of-Experts D.任务间梯度反转8.360CERT在分析Log4Shell漏洞利用时，需从WAF日志中抽取0daypayload，下列哪种无监督序列挖掘算法最适合发现“长度可变、关键字漂移”的payload片段A.PrefixSpan B.SPADE C.GrammarViz D.LSTM自编码器9.360云沙箱的样本相似度搜索使用SimHash，当哈希桶候选集过大时，下列哪项策略可在保证Top-K精度的前提下减少内存A.加权Hamming距离 B.多段索引 C.局部敏感哈希层叠 D.布隆过滤器剪枝10.在360猎网平台的诈骗电话识别中，若采用联邦学习且客户端为安卓APP，下列哪项加密机制可在低算力终端上完成梯度聚合A.Paillier同态 B.Diffie–Hellman共享 C.SecureAggregationwithSecretSharing D.RSA盲签名二、填空题（每题2分，共20分）11.360杀毒在检测勒索软件时，使用______（三字缩写）指标来平衡加密文件数量与误删用户文档的风险。12.在360流量检测引擎中，为了对抗C&C心跳包的“时间抖动”，通常将时间序列做______变换后再输入TCN。13.360Netlab发现Mirai新变种时，用______聚类算法对嵌入式系统的UPX脱壳失败样本进行家族划分。14.当360安全大脑用强化学习做漏洞POC自动生成时，状态空间若定义为“程序路径条件”，则动作空间通常取______集合。15.360QUAKE在识别暗网服务时，把Tor协议的______握手特征作为图神经网络初始节点特征。16.360冰刃做宏病毒检测时，为缓解VBA字符串分裂混淆，采用______匹配算法恢复原始字符串。17.在360云沙箱的API序列嵌入中，若使用Word2Vec，窗口大小通常设为______以保证系统调用局部性。18.360浏览器拦截挖矿脚本时，若特征包含WebAssembly函数签名，需先对字节码做______归一化。19.360威胁情报云在评估IoC可信度时，采用______模型融合人工资质与机器学习输出。20.360猎网平台识别杀猪盘话术时，把对话拆成“回合”，用______神经网络捕捉情感状态转移。三、判断题（每题2分，共20分，正确写“T”，错误写“F”）21.360杀毒使用CNN检测宏病毒时，把VBA代码直接按字节转成灰度图即可训练，无需词法分析。22.在360DGA检测中，若采用字符级Transformer，位置编码使用正弦函数比可学习参数更利于捕捉域名长度变化。23.360冰刃平台用孤立森林检测脱壳异常时，若样本量超过千万，必须将树深度限制在10以内，否则内存溢出。24.360安全卫士的弹窗图片识别模型中，加入FocalLoss主要解决“诱导关闭按钮”类别样本过少的问题。25.360QUAKE使用BERT提取Web指纹时，对HTTPS页面先解密再输入模型可提升指纹准确率。26.360CERT在分析XSSpayload时，用n-gram语言模型比用正则更能发现多态变形。27.360云沙箱的相似样本搜索采用SimHash，当文件增大时，SimHash值计算复杂度呈线性增长。28.360威胁情报云使用GNN追踪APT时，若移除“邮件社交边”，团伙划分F1会下降，但孤立点减少。29.360猎网平台在联邦学习场景下，采用差分隐私加噪后，模型AUC必然下降，无法通过调参恢复。30.360冰刃用深度强化学习生成对抗样本时，若奖励函数只考虑检出率下降，则生成的PE文件必定无法运行。四、简答题（每题5分，共20分）31.简述360安全浏览器在检测钓鱼网页时，如何利用视觉相似度与URL特征进行多模态融合，并说明为何需要加入“品牌白名单”校正。32.360Netlab面对TLS1.3加密流量，如何在不解密的前提下利用上下文侧信道特征实现恶意C&C识别，请给出特征构造与模型选择要点。33.360云沙箱使用图神经网络对样本家族聚类时，若节点为API调用图，边权为调用次数，说明如何缓解“大文件导致图规模爆炸”的两种工程手段。34.360QUAKE在发现未知Web组件时，采用自监督对比学习，请阐述负样本构造策略与防止“同域不同组件”被误拉远的损失设计。五、讨论题（每题5分，共20分）35.360威胁情报云计划将大语言模型用于自动生成IoC描述，讨论如何缓解“幻觉”导致误报扩散，需从数据、模型、运营三层面给出可落地方案。36.360冰刃平台考虑用扩散模型生成对抗PE样本以检验检测鲁棒性，讨论如何确保生成文件可执行且不被数字签名机制阻断，并评估法律合规风险。37.360安全大脑拟在联邦学习场景下引入模型水印以追踪泄露渠道，讨论在梯度量化与差分隐私同时存在时，如何保持水印鲁棒性与检测精度平衡。38.360猎网平台面对“杀猪盘”话术快速演变，讨论如何构建持续学习框架，在保护用户隐私的前提下实现小时级模型更新，并防止灾难性遗忘。答案与解析一、1C2C3C4C5C6A7B8C9D10C二、11FNR12DTW13DBSCAN14字节码变异15RELAY16最长公共子序列17518线性19Beta分布20HMM三、21F22T23F24T25F26T27T28F29F30F四、31视觉分支用截屏+SIFT提取关键点，再经FV编码；URL分支用字符级CNN；双塔输出余弦相似度后与白名单品牌logo库比对，若相似度高于阈值且域名不在白名单则触发拦截，防止误杀官方页面。32利用SNI长度、握手包时序、JA3指纹、TCP窗口大小等侧信道特征，构造148维向量；用轻量级GRU+注意力捕获时序，最后经全连接输出恶意概率，训练数据来自已知黑样本与CDN白样本。33一、按调用频率截断Top-K边，稀疏化后重构图；二、对超大图做metis分区，分布式GNN训练后再合并嵌入，既降内存又保结构。34负样本取同域不同URL组件、不同域同组件、随机组件三类；损失采用监督对比损失+域标签正则，确保同域不同组件在嵌入空间保持边界，温度系数0.07，训练轮次20。五、35数据层：IoC描述对齐到STIX标准，过滤无来源文本；模型层：用检索增强生成，先查可信情报库再生成，限制token概率top-p=0.9；运营层：上线前红队对抗测试，描述末尾加置信度水印，低置信强制人工复核。36扩散模型以合法PE段为初始噪声，加入“可执行”约束损失，确保入口点、段表合法；签名机制通过保留原签名段长度但填充无效证书绕过；法律上需内部授权、生成样本不对外传播，并建立审计日志。37水