网站安全防护

服务咨询热线:

17202014336

网站被黑,网站安全防护,渗透测试服务

网站安全防护服务为网络攻击者的IP溯源提供了一个导言!

当前位置: 首页> 安全研究> 网站安全防护服务为网络攻击者的IP溯源提供了一个导言!
时间:2021-06-15

  在网络环境下,攻击者的行为具有复杂性和变化性。对攻击事件进行识别后,对攻击路径进行跟踪,对网站安全防护服务的技术人员具有重要意义。回溯如同大海捞针,困难之多、挑战之大,都是追溯图太大,找不到攻击者的关键攻击路径。


  第一种情况是,蚁剑Webshell1通过文件漏洞上传到高防服务器;第二种情况是,Webshell应用于目标虚拟终端,获得信息并获得授权(通过网站服务器上的权限,可以控制全局);第三种情况是,蚁剑Webshell1实现对目标的持续控制,从目标开始,向内部网横向移动,见图1。针对这种攻击方式,结合网络端和终端端的数据,建立有效的追溯体系,是解决问题的关键。跟踪图主要是指挖掘过程、文件、IP、注册表、业务等实体之间的关系。这种依赖还存在于正常的用户行为。与普通用户行为相比,攻击者在整个追踪地图上的攻击路径只占一小部分。以上面的场景为例,追溯图包含1000多个顶点和200多万条边线,而安全操作人员将重点放在图1中的简单攻击路径上。因此,攻击溯源首先要解决的是从复杂的大规模溯源图中寻找攻击者的攻击路径,也就是所谓的依赖型爆炸问题,这就给溯源带来了极大的挑战。


  如何认识,如何学习。在此之前,我的团队已经通过无监督学习建立了许多业务基准,分析了各种攻击手段的相似性,发现了多种警报事件,并通过警报事件跟踪可疑攻击路径,但专家们判断,这些路径是否是真正的攻击途径,最终验证效果并不理想。

网站安全防护服务
  其原因在于这些算法只具有“智能”,没有体现“人工”,且很多可疑报警或报警路径仅具有相关性,不能真正处理报警。然后引入攻防专家,通过识别攻击意图,如区分探测或使用,最后给出TOP10推荐。


  警报器(刚好在保安组半天的处理时间),效果不错,因为这些警报器确实是保安组需要及时处理的。


  当前,我们可以通过人工智能算法来识别出某些重要的警报,但要达到自我认知的程度,就需要生成TP2(Tactics,TeanndiquebleakProcedors,战术、技术和过程)威胁情报元数据(IndicatorofComprise,IoC),高层次的情报(例如攻击链和帮派)需要依次关联的警报、事件、攻击路径,最后才是攻击者,每一层都需要引入更多的相关知识,比如TACT&CK[3],CAPCA[4],及其CVE[5],这些都是系统工程、发展和信息技术支持的非营利组织的潜在知识库。


  无论是攻击意图的识别,还是MITRE的知识库,在目前的阶段都无法直接帮助人工智能进行识别,两者之间存在着巨大的差距。当前,这些知识库的主要用途是解释已发生的攻击,例如恢复APT攻击链(PreventionAssistantAssistantAssistant攻击),但不能根据知识库的未知攻击链自动推导。


  以上就是小编帮大家整理的内容,希望能帮助到您,更多请您关注我们的创途安全官网新闻!

上一篇:渗透测试服务安全架构是什么?如何进行渗透测试服务? 下一篇:网站安全检测服务审查是什么?网站被黑如何处理?
最新文章
渗透测试
17202014336
渗透测试
网站安全检测
APP安全检测