2025年信息系统安全专家云原生环境下的木马检测工具与平台应用专题试卷及解析.pdfVIP

2025年信息系统安全专家云原生环境下的木马检测工具与平台应用专题试卷及解析1

2025年信息系统安全专家云原生环境下的木马检测工具与

平台应用专题试卷及解析

2025年信息系统安全专家云原生环境下的木马检测工具与平台应用专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、在云原生环境中，容器逃逸是木马攻击的常见手段。以下哪项技术能有效防止

容器逃逸？

A、容器镜像签名

B、命名空间隔离

C、只读根文件系统

D、安全上下文约束

【答案】D

【解析】正确答案是D。安全上下文约束（如Kubernetes的PodSecurityPolicies

或OPAGatekeeper）能限制容器的权限范围，防止其获取宿主机权限。A选项确保镜

像完整性但不防逃逸；B选项是基础隔离但可被绕过；C选项限制文件写入但无法阻止

系统调用滥用。知识点：容器安全防护机制。易错点：混淆基础隔离与权限控制。

2、云原生木马检测工具Falco主要依赖以下哪种技术？

A、静态代码分析

B、系统调用监控

C、网络流量分析

D、蜜罐诱捕

【答案】B

【解析】正确答案是B。Falco通过监控容器和主机的系统调用行为检测异常。A选

项适用于开发阶段；C选项是网络检测工具（如Calico）的功能；D选项是主动防御手

段。知识点：运行时安全监控技术。易错点：误选C，因网络监控也是常见检测手段。

3、在Kubernetes集群中，以下哪项是检测恶意Pod的最佳实践？

A、定期扫描镜像漏洞

B、监控APIServer审计日志

C、限制容器资源配额

D、使用ServiceMesh

【答案】B

【解析】正确答案是B。审计日志能记录所有API操作，包括异常Pod创建。A选

项预防漏洞但不检测运行时行为；C选项限制资源但不防恶意代码；D选项侧重流量管

理。知识点：Kubernetes安全审计。易错点：忽略审计日志的实时监控价值。

2025年信息系统安全专家云原生环境下的木马检测工具与平台应用专题试卷及解析2

4、云原生环境中的无服务器（Serverless）木马检测主要挑战是？

A、缺乏持久化存储

B、函数生命周期短暂

C、网络隔离严格

D、权限控制复杂

【答案】B

【解析】正确答案是B。函数的短暂生命周期导致传统检测工具难以持续监控。A选

项是特性而非挑战；C选项是安全优势；D选项虽复杂但非核心挑战。知识点：Serverless

安全特殊性。易错点：误选D，因权限管理是通用问题。

5、以下哪项是云原生木马检测平台的核心能力？

A、镜像仓库管理

B、跨集群威胁关联

C、自动扩缩容

D、CI/CD集成

【答案】B

【解析】正确答案是B。跨集群关联能识别分布式攻击（如Kubernetes集群间的横

向移动）。A、D是DevOps工具能力；C是基础设施功能。知识点：威胁情报分析。易

错点：混淆DevOps与安全平台功能。

6、在容器运行时，eBPF技术相比传统内核模块的优势是？

A、性能更高

B、无需重启内核

C、支持更多架构

D、开发更简单

【答案】B

【解析】正确答案是B。eBPF可在不修改内核的情况下动态加载监控逻辑。A选项

性能相近；C选项支持度类似；D选项开发难度更高。知识点：eBPF技术特性。易错

点：误选A，因eBPF性能优化是近年才实现。

7、云原生环境中的供应链攻击检测应重点关注？

A、容器镜像来源

B、API访问频率

C、节点资源利用率

D、服务网格配置

【答案】A

【解析】正确答案是A。供应链攻击常通过篡改镜像注入木马。B、C是运行时指标；

D是网络配置。知识点：软件供应链安全。易错点：忽略镜像来源验证的重要性。

2025年信息系统安全专家云原生环境下的木马检测工具与平台应用专题试卷及解析3

8、以下哪项是检测容器内进程异常行为的有效指标？

A、CPU使用率峰值

B、非预期网络连接

C、镜像大小变化