欧美日韩精品欧美黑xB一区 ,51免费希岛爱理一区二区三区 ,国产AⅤ辛尤里

隨著俄烏地緣沖突、疫情因素導致網絡安全問題越發嚴峻, 如北京健康寶在今年4月份和冬奧會等使用高峰期遭受來自境外的網絡攻擊，北京健康寶保障團隊進行了及時有效應對，受攻擊期間健康寶相關服務未受影響。

境外網絡攻擊主要有DDOS攻擊與APT攻擊。DDOS攻擊意圖在于針對國內關鍵設施進行攻擊破壞；APT攻擊（高級可持續威脅攻擊）則是一種隱蔽性強、攻擊量大的高級別網絡攻擊，意圖主要在于對我國高新技術和政治軍事領域的情報進行竊取。這種攻擊往往會為了某個目標進行長久準備，通過一切方式（使用大量在野0day和未及時修復的高危漏洞進行攻擊，攻擊組織會不停的更新武器庫和反檢測技術，配合攻擊供應鏈和高度定制化的釣魚攻擊等多種方法方式進行持續性攻擊）繞過基于代碼建構的傳統安全方案，并更長時間地潛伏在系統中，讓傳統防御體系難以偵測。

無論是哪種攻擊，攻擊行為本質上還是屬于數據的交互，而數據交互肯定會產生網絡流量，那么，通過對流量的分析就可以順藤摸瓜找出整個攻擊行為。智維數據nCompass網絡流量分析平臺（簡稱“NPM”）通過旁路部署方式，在不影響現網業務的前提下，采集并分析網絡流量數據，實現對網絡流量可視化、異常流量訪問行為的檢測和溯源追蹤取證。

像上文中提到過的DDOS攻擊，智維數據NPM能夠根據基線算法對DDOS流量攻擊進行檢測與預警機制，根據歷史流量生成流量基線，突發的流量超過該基線可直接進行預警，通過Syslog、Email、Kafka、企業微信、釘釘等方式進行告警通知；

圖1 基線展示圖

（上圖為demo數據演示）

圖2 根據基線配置告警圖

（上圖為demo數據演示）

而針對上文提到的APT攻擊防御，平臺可以使用智維數據的畫像技術，畫像立足訪問關系發現攻擊。不依賴傳統命中特征庫的方式發現異常，而是基于歷史行為作為健康基線，專注發現新增的異常訪問連接、展示新增異常訪問的路徑圖，解決攻擊組織通過0day（或其他繞過檢測的方法）進入內網，橫向擴散，進行機密數據竊取問題。因為攻擊組織想要竊取數據，必然要訪問內部服務器信息，就會產生新增訪問關系。NPM能夠針對新增訪問的客戶端IP地址聯動漏洞掃描工具進行二次掃描并將掃描的初步結果，以Syslog、Email、Kafka、企業微信、釘釘等方式發送告警通知，人工研判后加入白名單或應急處置；

圖3 新增發現異常訪問行為

（上圖為demo數據演示）

圖4 新增訪問的訪問關系路徑圖

（上圖為demo數據演示）

若發現新增客戶端的攻擊行為，NPM平臺則可以根據訪問路徑圖排查是否被橫向滲透，還可以根據發現的攻擊特征進行全網流量大檢查，防止出現漏網之魚。

以美國中央情報局（CIA）常用的“蜂巢”（Hive）惡意代碼攻擊控制武器平臺為例子，美國中央情報局（CIA）攻擊人員首先根據任務需求和目標平臺特點，使用生成器（hive-patcher）生成待植入的定制化受控端惡意代碼程序（即hived）投放到被攻擊的目標系統，自檢可正常運行后進入靜默期，等待遠程攻擊指令的喚醒，進行攻擊行動（如ilm connect X.X.X.X 連接被控端IP，File delete 刪除指定文件）。

智維數據NPM平臺能夠根據攻擊指令特征配置相應的檢索條件，并進行展示。