2026年360安全笔试题及答案

2026年360安全笔试题及答案

一、单项选择题（每题2分，共20分）1.在360安全卫士的主动防御体系中，最先拦截未知木马的技术模块是A.云查杀引擎B.QVM人工智能引擎C.鲲鹏引擎D.核晶引擎2.360“数据驱动安全”理念中，用于将原始日志归并成安全事件的算法层称为A.ETLB.STIXC.CEPD.IOC3.360天擎终端安全管理中，实现非法外联检测的核心协议是A.SNMPB.ICMPC.DNSD.SYSLOG4.在360漏洞响应流程里，首次评级为“高危”的漏洞CVSSv3分数下限是A.7.0B.7.5C.8.0D.8.55.360安全浏览器沙箱采用的进程隔离技术基于A.JobObjectB.DockerC.VT-xD.微内核6.360烽火台威胁情报平台中，用来描述攻击者基础设施的STIX对象类型是A.TTPB.CampaignC.InfrastructureD.IntrusionSet7.360“0day漏洞雷达”发现的可疑PoC首次上传位置是A.GithubB.PastebinC.Exploit-DBD.暗网论坛8.360核心安全事业部提出的“漏洞利用链评分”模型中，权重最高的维度是A.利用稳定性B.绕过能力C.影响范围D.交互等级9.360手机卫士对勒索软件加密行为进行回滚依赖的底层技术是A.文件过滤驱动B.卷影复制C.系统还原点D.区块链存证10.360安全大脑在城域网DDoS清洗场景中，默认牵引路由协议是A.BGPFlowspecB.SNMPTrapC.NetFlowD.GRETunnel二、填空题（每题2分，共20分）11.360冰刃实验室将Windows内核常见提权漏洞分为池溢出、栈溢出、______、双重释放四类。12.360云查杀引擎的“秒级响应”依赖全国______个CDN边缘节点推送特征。13.360核晶引擎在硬件虚拟化层使用的IntelVT扩展指令为______。14.360天擎EDR的ATT&CK映射字段中，描述“权限提升”的战术编号是______。15.360漏洞众测平台“补天”对有效漏洞的奖金结算货币为______。16.360安全卫士“文件堡垒”功能默认保护的文件扩展名首位是______。17.360天眼APT检测探针默认镜像口采用的旁路模式为______模式。18.360手机先赔险中，用户单笔最高赔付金额为______元。19.360安全大脑与公安技侦对接的数据接口规范代号是______。20.360内部漏洞编号“360-QAX-2026-0001”中，年份后的三位数字表示______。三、判断题（每题2分，共20分）21.360QVM引擎训练样本全部来自VirusTotal公开样本集。22.360“实网攻防演练”红方可以合法使用DDoS攻击外网目标。23.360安全浏览器对EV证书会在地址栏显示绿色小锁图标。24.360天擎EDR的RASP探针支持Java、.NET、PHP三种运行时。25.360漏洞响应规范要求，涉及政府客户的漏洞必须48小时内修复。26.360烽火台TIX平台支持STIX2.1和JSON两种格式导出。27.360“行车卫士”物联网产品采用AES-128-CBC加密车机CAN数据。28.360核心安全事业部每年发布《中国手机安全生态报告》白皮书。29.360零信任架构中，SDP控制器与网关默认使用QUIC协议通信。30.360安全卫士的“一键体检”功能会扫描注册表启动项、计划任务、服务三项。四、简答题（每题5分，共20分）31.简述360QVM人工智能引擎在检测未知木马时采用的“主动学习”流程。32.概述360“漏洞利用链评分”模型中衡量“绕过能力”的具体指标。33.说明360天眼探针在发现APT横向移动阶段所依赖的两项关键日志源。34.总结360安全大脑对城域网DDoS进行“近源清洗”的三步调度策略。五、讨论题（每题5分，共20分）35.结合360“数据驱动安全”理念，讨论海量日志在隐私合规前提下如何用于威胁狩猎。36.360提出“内生安全”概念，请评析该理念对传统企业边界防御模型的冲击。37.360在实网攻防演练中引入“紫队”机制，请分析其对红蓝对抗演化的价值。38.360将大模型应用于安全运营，请探讨生成式AI在误报降噪与攻击摘要中的局限。答案与解析一、单项选择题1.B2.C3.C4.B5.A6.C7.B8.B9.A10.A二、填空题11.类型混淆12.280013.VMXON14.TA000415.人民币16..doc17.SPAN18.10万19.GA/T1400-202620.年度序号三、判断题21×22×23√24√25×26√27√28√29×30√四、简答题31.QVM主动学习流程：1.特征提取器对PE、脚本、流量三类样本向量化；2.初始模型用已知黑白样本训练；3.对高置信度未知样本自动标注并加入训练集；4.低置信度样本送入人工沙箱分析；5.每周增量更新模型并推送边缘节点，实现闭环。32.绕过能力指标：1.是否绕过DEP、ASLR、CFG等系统缓解；2.是否绕过360核晶、PatchGuard等安全产品自保；3.是否绕过浏览器沙箱或Office受保护视图；4.是否无需高权限即可触发；5.是否具备多版本系统通用性。33.关键日志源：1.Windows事件ID4624/4625登录日志，用于发现异常账号；2.Sysmon事件ID3网络连接日志，用于发现异常横向端口；两者结合可定位IPC$、WMI、PsExec等横向工具。34.近源清洗策略：1.秒级Flowspec下发至城域网核心路由器，牵引可疑流量至清洗中心；2.清洗中心基于360自研DPI引擎识别攻击特征，丢弃或限速；3.清洗后流量通过GRE隧道回注原路径，并同步攻击指纹至安全大脑情报库。五、讨论题35.隐私合规威胁狩猎：采用数据脱敏、差分隐私、联邦学习技术，对日志中的身份证号、手机号、坐标等敏感字段进行哈希加盐或k-匿名处理；建立数据分级授权机制，分析师仅接触脱敏后属性；利用同态加密在密文状态完成关联分析；最终输出威胁线索时再经“重标识仲裁”还原必要信息，实现“数据可用不可见”。36.内生安全冲击：传统边界模型依赖防火墙、IPS、VPN三层防御，内生安全强调“业务即防御”，把安全能力嵌入芯片、操作系统、云原生微服务；导致边界设备价值下降，安全预算转向开发安全、运行时免疫、可信计算；IT架构需重构为“零信任+微隔离+动态度量”，安全团队从网络组转向业务DevSecOps组。37.紫队价值：紫队由红蓝骨干共同组成，在演练前共享TTPs，降低红队试错成本；演练中实时评审蓝队处置脚本是否误伤业务；演练后联合输出“攻击知识库”与“检测规则”，避免传统红蓝对立导致经验流失；通过紫队迭代，组织可获得可落地的“检测+响应”双优化，提升整体安全运营成熟度。