魔天记忘语小说,小说排行榜完结版

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

淺談網(wǎng)絡(luò)攻擊溯源技術(shù)之二

引言

成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),阿拉爾企業(yè)網(wǎng)站建設(shè),阿拉爾品牌網(wǎng)站建設(shè),網(wǎng)站定制,阿拉爾網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,阿拉爾網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶成長自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

隨著互聯(lián)網(wǎng)的不斷發(fā)展，越來越多的企業(yè)把信息存儲(chǔ)到與互聯(lián)網(wǎng)連接的設(shè)備上。一些不法分子企圖利用網(wǎng)絡(luò)漏洞竊取企業(yè)的重要信息和機(jī)密文件，攻擊者通過向目標(biāo)主機(jī)發(fā)送特定的攻擊數(shù)據(jù)包執(zhí)行惡意行為。如何追蹤這些攻擊數(shù)據(jù)的來源，定位背后的攻擊者，成為了業(yè)內(nèi)人員重點(diǎn)關(guān)注的問題。

網(wǎng)絡(luò)攻擊溯源技術(shù)通過綜合利用各種手段主動(dòng)地追蹤網(wǎng)絡(luò)攻擊發(fā)起者、定位攻擊源，結(jié)合網(wǎng)絡(luò)取證和威脅情報(bào)，有針對(duì)性地減緩或反制網(wǎng)絡(luò)攻擊，爭取在造成破壞之前消除隱患，在網(wǎng)絡(luò)安全領(lǐng)域具有非常重要的現(xiàn)實(shí)意義。

上周介紹了網(wǎng)絡(luò)攻擊溯源技術(shù)背景及攻擊溯源過程。本周主要介紹攻擊溯源工具及威脅場(chǎng)景構(gòu)建。

攻擊溯源工具

安全分析師需要檢查系統(tǒng)和網(wǎng)絡(luò)上發(fā)生的歷史操作記錄和當(dāng)前狀態(tài)詳細(xì)信息，因此需要依靠多種工具和數(shù)據(jù)源來協(xié)助溯源分析，常用的工具包括：

1. 安全監(jiān)控工具：安全分析師使用不同來源的監(jiān)控?cái)?shù)據(jù)，例如防火墻、終端防護(hù)、網(wǎng)絡(luò)入侵檢測(cè)、內(nèi)部威脅檢測(cè)以及其他安全工具的監(jiān)控?cái)?shù)據(jù)，用以描繪駐留在網(wǎng)絡(luò)中的攻擊者所進(jìn)行的活動(dòng)。

2. 可視化分析工具：幫助安全分析師通過使用交互式儀表板來實(shí)現(xiàn)復(fù)雜關(guān)系數(shù)據(jù)可視化，發(fā)現(xiàn)不同數(shù)據(jù)集之間的隱藏關(guān)聯(lián)關(guān)系。

3. SIEM解決方案[14]：SIEM解決方案從網(wǎng)絡(luò)環(huán)境中的各種來源收集結(jié)構(gòu)化日志數(shù)據(jù)，提供對(duì)數(shù)據(jù)的實(shí)時(shí)分析并向相關(guān)部門發(fā)出安全警報(bào)。SIEM解決方案可幫助安全分析師自動(dòng)收集并利用來自安全監(jiān)視工具和其他來源的大量日志數(shù)據(jù)，從而識(shí)別潛在安全威脅。

4. 網(wǎng)絡(luò)威脅情報(bào)[15]：威脅情報(bào)提高了分析人員識(shí)別相關(guān)威脅并及時(shí)做出響應(yīng)的能力，通過開源的威脅情報(bào)庫實(shí)現(xiàn)信息交換，得到威脅分析所需的惡意IP地址、惡意軟件哈希值等信息。

5. 其他工具：一些特定功能的分析工具對(duì)攻擊溯源也有很好的幫助，例如檢查PDF操作、PowerShell操作等。

威脅場(chǎng)景構(gòu)建

攻擊溯源假設(shè)有潛伏在信息系統(tǒng)內(nèi)部未被檢測(cè)出的威脅，需要安全分析師在溯源數(shù)據(jù)中識(shí)別攻擊者的惡意行為，重建攻擊場(chǎng)景。近年來也出現(xiàn)了很多APT威脅分析場(chǎng)景下進(jìn)行攻擊溯源的研究工作。

Poirot[16]將網(wǎng)絡(luò)威脅狩獵定義為一個(gè)威脅情報(bào)子圖模式匹配問題，在起源圖中找到表示威脅行為的嵌入圖來檢測(cè)網(wǎng)絡(luò)攻擊，圖5展示了Poirot方法概述圖。

圖5 Poirot方法概述

HOLMES[17]將底層實(shí)體行為映射為ATT&CK矩陣中的技術(shù)和戰(zhàn)術(shù)，同時(shí)生成一個(gè)高級(jí)攻擊場(chǎng)景圖實(shí)時(shí)總結(jié)攻擊者行動(dòng)，幫助研判人員進(jìn)行分析，圖6展示了Holmes方法框架。

圖6 Holmes:從審計(jì)記錄到高級(jí)APT階段

總結(jié)

在全球信息化的背景下，網(wǎng)絡(luò)活動(dòng)安全性和威脅防范能力越來越受到業(yè)界的重視，采取主動(dòng)的攻擊溯源技術(shù)尤為重要。網(wǎng)絡(luò)攻擊溯源分析需要對(duì)網(wǎng)絡(luò)攻擊進(jìn)行全面地深入了解，結(jié)合各種防御技術(shù)積累安全數(shù)據(jù)。得到充足的數(shù)據(jù)后利用機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等算法，實(shí)現(xiàn)自動(dòng)化分析達(dá)到高成熟度攻擊溯源。

網(wǎng)絡(luò)攻擊溯源技術(shù)還有著巨大的發(fā)展空間，如何追溯到更多的有用數(shù)據(jù)，如何多維度地對(duì)得到的數(shù)據(jù)進(jìn)行分析，以及如何提高攻擊溯源技術(shù)的有效性等方面依舊任重而道遠(yuǎn)。

本文題目：淺談網(wǎng)絡(luò)攻擊溯源技術(shù)之二
網(wǎng)頁路徑：http://fisionsoft.com.cn/article/dpoipgj.html

新聞中心

其他資訊