日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

一、網絡空間戰中的入侵溯源

隨著俄烏戰爭、哈薩克斯坦動亂等國際話題進入人們的視野，網絡安全技術成為各國維護自身國土安全的“利刃”之一的同時也推動了各國重視和發展自身的網絡攻防技術實力。

在攻防視角里，因為進攻方的目標明確，而防守方無從得知進攻點會落在何處，所以進攻方會占據較多的主動性，而防守方則略顯被動。作為防守方，很難知道攻擊會在什么時候發生。在攻擊發生的中、后期階段，防守方如果沒能及時發現、無法及時修復漏洞并加固系的話，攻擊者很有可能會發起二次攻擊，進一步加大后續修補的難度，導致用戶經濟損失加劇。

面對攻防敵我位置不明朗的環境，入侵溯源則能通過系統性地分析受害資產與內網流量，對所有受害資產上存在的異常的行為做整體分析，根據實際攻擊環境給出溯源方案。及時發現受害資產上存在的組件零日漏洞、掌握更多的攻擊者指紋信息，有效遏制二次攻擊帶來的傷害。

二、入侵溯源“難點重重”

傳統的入侵溯源都是通過手動實現的。在手工入侵溯源過程中，尋常的攻擊手段都是能通過系統上的各種日志上找出，比如：異常登錄、異常賬戶、網頁篡改、系統文件加密、系統密碼變更、系統運行時卡頓或是影響整個業務等等。雖然能通過流量日志、系統日志以及網站日志溯源到攻擊者IP、域名等指紋信息，但日志分析員得花費大量的時間與精力，且找到的信息少得可憐。

相比之下，不尋常且不易被記錄到日志的攻擊方法已然成為網絡攻擊的主流。許多黑客在定向攻擊的入侵前都會做充足的信息收集，攻擊者會判斷目標使用何種網絡、服務器架構以及組件，正常網絡通信流量、服務器在處理正常業務時會觸發何種能與攻擊相吻合的操作，比如：使用非交互的命令執行、根據目標架構特性植入的內存馬、利用系統白名單程序繞過檢測規則等等。要想捕捉此類的攻擊，僅僅依靠系統日志就想看出端倪的話，往往是一無所得。而要追蹤攻擊者的入侵痕跡、溯源攻擊鏈更是難上加難。

三、如何讓攻擊者“原形畢露”

在攻防演練趨于常態化的當下，“以攻促防”的新觀念也在逐漸普及。然而，網絡安全的本質在于對抗，對抗的本質是在攻防兩端能力較量。

1、攻防實戰中常見的入侵場景

用戶在面對日常業務系統安全的維護或者特定時期的大型攻防演練期間，經常面臨以下幾種入侵場景：

場景一：WebRce入侵溯源

攻擊場景：攻擊者通過jboss的遠程代碼執行漏洞滲入服務器網段，利用Java組件植入內存木馬，在成功的反彈shell后，繼而將web服務器當作跳板機，橫向移動到內網其它服務器。

溯源解析：在入侵過程中，使用反彈shell、遠程下載惡意文件、端口轉發等方式，將會觸發威脅告警，且會記錄這個域名/IP，提供一個反向信息收集和滲透測試的路徑。

場景二：蠕蟲病毒入侵溯源

攻擊場景：攻擊者通過ssh爆破進入服務器網段，并成功植入蠕蟲挖礦病毒，并通過ssh暴力破解其它內網服務器，植入挖礦病毒。

溯源解析：很多蠕蟲病毒的傳播方法都只是依靠暴力破解或命令執行類的漏洞進行傳播，這種簡單粗暴的攻擊手段往往是最有效果。常見的幾種病毒如：XorDDOS、DDG、XNote系列，普遍也是依靠暴力破解進行傳播。

場景三：webshell入侵溯源

攻擊場景：攻擊者事先通過不同IP的肉雞對web服務器發起網絡掃描，用于探測web服務器漏洞的同時還能隱蔽自己的真實IP，隨后通過任意文件上傳漏洞植入webshell，并執行系統高危命令和反彈shell等操作。

溯源解析：對于webshell的溯源，大多都是通過網站日志和流量日志溯源到攻擊者真實的IP地址，但大量的網站日志和流量日志將會導致溯源無從下手。先通過入侵掃描檢測功能理清攻擊者存在有多少個IP，再通過檢測webshell后續的操作，從進程和流量的角度，分別找出攻擊者執行了何種高危命令、攻擊者的真實IP。

通過對比2018年到2020年期間的安全隱患排名變化，以及分析攻防演練期間的失分點“重災區”，可以發現，內網隱患占比最大、危害最大。在開展（云）主機安全防護工作之前，了解入侵者是如何入侵的，才能事倍功半地做好防護措施。因此，將入侵溯源模型融入（云）主機安全防護管理則很有必要。

2、安全狗云眼重磅升級

云眼作為受到Gartner、IDC等國內外權威機構認可的（云）主機安全產品，在新版本中也內置了“入侵溯源模型”，能有效支撐云眼的溯源功能。

云眼·新一代（云）主機入侵監測及安全管理系統

云眼是安全狗借鑒Gartner提出的CWPP設計思路，采用先進的端點檢測及響應（EDR）技術模型、自適應安全架構及ATT&CK在Server EDR中的應用相結合的理念所構建的新一代(云)主機入侵監測及安全管理系統，解決私有云、混合云中主機安全監測及防護問題。

云眼溯源分析模塊通過內置溯源模型規則，與告警數據進行自動化匹配，還原黑客入侵軌跡，有利于用戶及時針對入侵路徑里包含的漏洞、風險點等進行修補，避免二次入侵的發生。

3、云眼有效溯源，精準追蹤入侵

通常，入侵溯源工作需要“知己”，了解異常服務器部署的業務情況和技術框架、異常服務器的網絡是否處在DMZ區、是否開放有公網訪問、開放了哪些端口、系統補丁修復情況、最近是否有過什么資產變更等等。另外，入侵溯源工作需要“知彼”，需要有大量的真實攻擊數據建立場景模型。

在開始建立溯源模型前，需要先有建模前的兩個準備工作：

明確告警源：是誰檢測出的告警？在哪個位置檢測出的告警？觸發了什么告警？

明確告警類型：是需要進一步分析的關鍵告警（如漏洞攻擊、內存木馬等）還是佐證判斷的告警（如掃描事件）？

在做好這兩個建模前的準備工作后，需要通過以下幾個步驟來確立溯源模型：

步驟一

模型通過收集并處理異常服務上的流量訪問、網頁更改、路徑、源IP、端口、操作審計、系統篡改、內存篡改之類的異常信息，對攻擊者所使用的關鍵攻擊手段識別并作為關鍵攻擊節點，從而定位到攻擊入口點。

常見的一些攻擊入口點舉例如下：

1.針對不同web應用的EXP，比如遠程代碼命令執行、邏輯漏洞等通用性強且應用范圍廣的攻擊載荷；

2.應用的功能過濾不嚴格，比如圖片上傳界面的過濾不嚴格導致的上傳漏洞或是注入漏洞；

3.系統弱口令問題，比如管理員權限賬戶存在弱口令；

4.系統漏洞或應用（三方軟件）漏洞未做及時的更新與修復；

5.蠕蟲病毒。

步驟二

模型通過分析研判異常服務上的各類異常告警，如遠程代碼執行、異常掃描、系統異常內存、系統異常命令執行之類的異常行為信息，捕獲攻擊者的關鍵攻擊手段，記錄異常行為告警中的關鍵信息，比如攻擊者IP、指紋，從而定位到下一個攻擊行為。

常見的一些攻擊行為舉例如下：

1.可疑C&C連接行為。

2.拒絕服務攻擊行為。

3.惡意軟件、惡意病毒行為。

4.零日漏洞利用攻擊行為。

步驟三

最后，模型將通過前兩步驟獲取到的各類異常信息從整體上串聯起來，會根據捕獲到的時間、資產以及指紋等信息排列組成一條攻擊鏈。攻擊鏈上將記錄攻擊者入侵的前、中、后三個階段所用到的攻擊手段。

通過這些步驟，云眼可為用戶建立起有效的溯源模型，讓每一入侵者的“蛛絲馬跡”原形畢露。

4、云眼多維功能，全面做好入侵防護

通過新版云眼中一鍵溯源、定時溯源、主機殺傷鏈視圖、主機關系圖、時間滑塊、手動溯源等多個功能，用戶能多維度地做好主機入侵安全防護。

云眼支持一鍵溯源（立即溯源）、定時溯源（定時周期性自動化溯源）。溯源結果支持多視圖展示，讓用戶對攻擊者的“一舉一動”一目了然。

主機殺傷鏈視圖以殺傷鏈的視角展示模型命中的告警的分布，橫軸代表殺傷鏈的階段，縱軸代表不同的風險等級。借此功能，用戶能高效安排處理風險高的問題，讓有限的資源效益最大化。

主機關系圖中，將規則中的所有主機、主機命中的告警、主機間的攻擊進行可視化展示。明確攻擊進程，主機安全可控。

通過滑動視圖底部的時間滑塊，可變化展示在不同時間區間內的主機及告警分布情況。用戶能結合二八法則，針對最重要的主機做好對應的安全處置，保證重要業務系統順利運行不受影響。

結合支持手動溯源功能，可對具體的告警時進行研判與處置操作，溯源數據支持生成溯源報告一鍵導出。用戶未來主機安全防護有數據可依，有處置方法可用。

通過入侵溯源在主機安全的落地與實踐，有利于用戶更好地定位攻擊者，提升后續的修復漏洞與系統加固效率。安全狗云眼新版本中也具備更多新功能，希望借此提升千行百業用戶的攻防思維，為云安全提供更加全面的防護與處置響應。