返回
威胁情报的层次分析_汪列军

威胁情报的层次分析_汪列军

ID:41157747

大小:1.53 MB

页数:6页

时间:2019-08-17

威胁情报的层次分析_汪列军_第1页
威胁情报的层次分析_汪列军_第2页
威胁情报的层次分析_汪列军_第3页
威胁情报的层次分析_汪列军_第4页
威胁情报的层次分析_汪列军_第5页
资源描述:

《威胁情报的层次分析_汪列军》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、SpecialScheme特别策划威胁情报的层次分析●汪列军/奇虎360科技有限公司威胁情报,作为近几年来兴起的安全热点,法机构,无法对这些情报采取什么缓解威胁的已经从理念到技术再到平台逐步开始落地。不管措施。是老牌的安全公司还是新兴的厂商都正在这方面对一般的公司,部署相对低端的入侵指示器探索,包括可行的技术方案、交换标准及商业模(IndicatorOfCompromise,IOC)可能更为实式。本文在探讨威胁情报的作用的基础上,着重际些,它由可被边界安全设备和主机安全防护软为读者介绍一下威胁情报的层次,并结合自身的件所使用的数据所构成,典型的入侵指示器有文实践,提出一个金字塔模型,希望有

2、助于提升业件HASH、IP、域名、程序运行路径、注册表项界对威胁情报的认知。等,这类威胁情报将在下文进行详细分析。通过对威胁情报的交换和共享,联合安全业一、威胁情报的作用界各方的力量,整合信息资源实现更大范围内的快速响应,以对抗也在不停进化的安全威胁,笔目前,Gartner对于威胁情报的定义比较广者认为这就是威胁情报的作用。图1Webroot小纪地被引用,这是一个比较理想化的定义,对情报应该包含的信息量提出了明确的要求,面向高端用户提供决策依据的完整情报样式,可以认为是狭义的威胁情报。事实上,大多数的组织机构得不到那样准确和全面的情报服务,即便得到也无法采取应对措施。想象一下,即使有安全厂

3、商能够告诉某个大公司一个安全威胁的背后组织、国家背景甚至人员信息(这些都是高端威胁情报的必要组成部分),那又能如何?通常的组织机构不是执图1Webroot小纪念品22

4、保密科学技术

5、2016年6月SpecialScheme特别策划念品上的图非常形象地表现了这点。说,文件样本是整个事件分析的起点和基础性数当用户试图分析一个可疑事件时,威胁情据,其重要性相当于刑事案件调查中最主要的物报可以为用户判定可疑事件的恶意性提供有用的证,比如凶器。用于标记文件的各种HASH是最参考资料,比如事件所涉及的IP是否在某些已知基本的威胁情报信息,可以方便地用于在目标的黑名单之中,相关的域名是否被已知的APT活

6、系统上进行搜索,如果一个木马文件在系统上动使用等。准确及时的入侵指示数据可以帮助用被发现则对象被感染的可能性就非常大。表1是户快速处理已经或正在发生的威胁,比如黑样本Symantec发布的Butterfly攻击活动相关的部分文的HASH、对外连接的C&C及Downloader服务件HASH列表。器的IP或域名,网络边界设备或运行于主机上的绝大多数文件HASH的主要问题在于特异性Agent可以通过简单的匹配就能发现并采用自动太强,无论是MD5、SHA1、SHA256,只要文化的应对措施。件出现一个比特位的变化就会导致完全不同的二、威胁情报的层次人员信息量组织增大图2是我们构建的一个展示威胁情

7、报层次的金事件特征字塔图,下面从下到上逐层解释每个层次的信息工具集、技术、稳定性过程(TTP)构成,所能发挥的作用及分析获取的方法。增强主机特征网络特征(一)文件HASHMutex、运行IP、域名、路径、注册表项URL、通信协议获取难度增加最底层威胁情报由文件构成,主要涉及文件样本HASH恶意网络活动相关的各种恶意代码:Trojan、Backdoor、Downloader、Dropper等。一般来图2威胁情报层次金字塔2016年6月

8、保密科学技术

9、23SpecialScheme特别策划表1Butterfly攻击活动相关的部分文件HASH列表HASH值,这个特性在避免误报的同时也使攻击者可以

10、通过最简单的内容修改来躲过检测,所以一旦被公开揭露,几乎立即过期。因此,文件HASH作为入侵指示器基本只能用来发现已发生的事件,对防御方来说需要用自动化的搜索匹配机制,尽可能用其来缩短从事件发生到发现的时间窗口,以最大程度减少损失。(二)主机和网络特征在文件HASH之上的是通过分析文件样本得图3木马内置的主机与网络特征数据到的直接关联的各类基于主机和网络的特征,这些数据可以被用来作为入侵指示器。简单来(三)事件层次情报说,主机特征可能包含恶意代码在机器上运行时产生的有区分能力的数据,比如程序运行时的在单个样本相关的信息以上为事件层次的威Mutex、写入的注册表项、文件路径等,网络特胁情报。

11、当我们得到了大量文件样本相关的细节征可能包含对外连接的C&C或组件下载的IP/域以后,通过分析其各个维度上的相似度就可以实名、访问的URL、通信协议等信息。图3是一个现样本家族的分类。图4是三个疑似欧洲来源的木马内置的主机与网络特征数据的例子。秘密监控软件基于样本特征的同源性分析,可以这些数据大多可以通过使样本运行于受控看到一些关键特征保持一致,暗示它们有共同的环境(沙箱和虚拟机)来获取,对于对抗强度较源头。高的或无法运

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。