引言随着互联网的不断发展,越来越多的企业将信息存储在连接到互联网的设备上。一些不法分子企图利用网络漏洞窃取企业的重要信息和机密文件,攻击者通过向目标主机发送特定的攻击数据包进行恶意操作。如何追溯这些攻击数据的来源,定位背后的攻击者,成为业界关注的重点。网络攻击溯源技术采用多种手段,主动跟踪网络攻击始作俑者,定位攻击源头,结合网络取证和威胁情报,有针对性地减缓或反击网络攻击,努力消除隐患在造成损坏之前。安全领域具有非常重要的现实意义。上周介绍了网络攻击溯源的技术背景和攻击溯源的过程。本周主要介绍攻击溯源工具和威胁场景构建。攻击溯源工具安全分析师需要查看系统和网络的历史操作记录和当前状态详情,因此需要依赖多种工具和数据源来辅助溯源分析。常用的工具包括:1.安全监控工具:安全分析分析人员使用来自不同来源的监控数据,例如防火墙、端点保护、网络入侵检测、内部威胁检测和其他安全工具,以映射驻留在网络上的攻击者的活动。网络。2.可视化分析工具:帮助安全分析师通过交互式仪表板可视化复杂的关系数据,发现不同数据集之间隐藏的关联。3.SIEM解决方案[14]:SIEM解决方案从网络环境中的各种来源收集结构化日志数据,提供对数据的实时分析,并向相关部门发出安全警报。SIEM解决方案可帮助安全分析师自动收集和利用来自安全监控工具和其他来源的大量日志数据,以识别潜在的安全威胁。4.网络威胁情报[15]:威胁情报提高了分析人员识别相关威胁并及时做出反应的能力。通过开源威胁情报库实现信息交换,获取威胁分析所需的恶意IP地址和恶意软件哈希值。价值和其他信息。5.其他工具:具有特定功能的分析工具对攻击溯源也很有帮助,比如检查PDF操作、PowerShell操作等。威胁场景构建攻击溯源假设信息系统内部潜伏着未被发现的威胁,安全分析师需要在溯源数据中识别攻击者的恶意行为,重构攻击场景。近年来,针对APT威胁分析场景下的攻击溯源也有大量的研究工作。Poirot[16]将网络威胁狩猎定义为威胁情报子图模式匹配问题,在原始图中寻找代表威胁行为的嵌入图来检测网络攻击。图5显示了Poirot方法的概览。图5Poirot方法概述HOLMES[17]将底层实体的行为映射到ATT&CK矩阵中的技战术,并生成高级攻击场景图实时总结攻击者的动作,以帮助研究人员进行分析。图6显示了Holmes方法的框架。图6Holmes:从审计记录到高级APT阶段总结在全球信息化背景下,网络活动安全和威胁防御能力越来越受到业界的重视,采用主动攻击溯源技术显得尤为重要。网络攻击溯源分析需要对网络攻击有全面深入的了解,结合各种防御技术积累安全数据。在获得足够的数据后,利用机器学习、深度学习等算法实现自动化分析,实现高成熟度的攻击溯源。网络攻击溯源技术仍有巨大的发展空间。如何追溯更有用的数据,如何对获取的数据进行多维度分析,如何提升攻击溯源技术的有效性,还有很长的路要走。参考文献[14]BhattS,ManadhataPK,ZomlotL.安全信息和事件管理系统的操作作用[J]。IEEE安全与隐私,2014,12(5):35-41.[15]C.米。网络威胁情报。英国,2014.[16]MilajerdiSM、EsheteB、GjomemoR等。Poirot:Aligningattackbehaviorwithkernelauditrecordsforcyberthreathunting[C]//2019ACMSIGSAC计算机和通信安全会议,2019:1795-1812.[17]MilajerdiSM,GjomemoR,EsheteB,etal.Holmes:real-timeaptdetectionthroughcorrelationofsusgiousinformationflows[C]//2019IEEE安全与隐私研讨会(SP),2019:1137-1152.【本文为专栏作者《中国保密协会科学技术分会》原创稿件,转载请联系原作者】点此查看该作者更多好文
