2020/03/22 -
文章[1]对威胁情报的部分进行了介绍,但是他介绍的角度主要是从威胁情报的平台构建上来说的,有些可能是从网络环境中抽取情报,但有些是业务逻辑上的东西。
我觉得,他的一个小节《全流量威胁狩猎》还能看看。
威胁狩猎是企业机构基于威胁情报的自我查验。威胁狩猎需要提前掌握攻击者某些基本模糊特征和线索,即威胁情报,然后基于情报,通过旁路流量检测、系统日志检测或主机行为检测来挖掘正在进行的攻击行为或已经失陷的内网主机,其效果随着线索或情报的准确性、及时性和多样性而变化
- 威胁检测分析模型
该架构拥有威胁检测模型十类,包括基于威胁情报的大数据碰撞模型、DNS隐蔽信道检测模型、动态沙箱检测模型、DGA随机域名生成检测模型、内网横向渗透检测模型、深度学习算法自学习检测模型等。检测覆盖阶段包括嗅探、漏洞利用、武器投递、远控、横向移动、对外攻击、行动(勒索、挖矿、数据窃取),识别的攻击与威胁类型至少包括:端口扫描、应用扫描、子域名暴破、远程溢出、WEB攻击、SQL注入、配置漏洞、命令注入、CC破坏性攻击、XSS、SSRF、文件泄露、目录遍历、暴力破解、网页木马、木马执行、webshell、僵木蠕检测、高危漏洞利用、勒索软件、挖矿木马、高级APT组织、隐蔽信道通信等。
依托可视化关联分析技术,对威胁情报、网络原始日志、终端日志、告警日志进行关联分析,从攻击者视角完整还原攻击路径,从被控主机视角完整描绘被控主机网络行为,完整呈现威胁全貌。
2020/03/24 -
威胁情报是个啥
这篇文章中,对威胁情报进行了自己的定义,而对我而言,情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。
并以web安全为例,列举了HTTP请求中的一些信息;
最后他总结威胁情报是两部分:威胁信息和防御信息。我个人觉得,防御信息不能算是威胁情报,应该算是衍生的后续对抗手段。
2020/04/14 -
文章[2]中提到,利用威胁情报数据,是检测APT攻击最有效的办法。
他的威胁情报都有哪些呢?主要包括一下内容。
威胁情报
网友评论