《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 基于ATT&CK框架的域威脅檢測
基于ATT&CK框架的域威脅檢測
信息技術與網絡安全 12期
何樹果1,袁 瑗2,朱 震1,盧圣龍1,陳嘉磊1,畢鑫泰1
(1.北京升鑫網絡科技有限公司 青藤云安全人工智能實驗室,北京101111; 2.西南大學 計算機與信息科學學院,重慶400715)
摘要: 保障企業域環境中的敏感信息與數據的安全一直是安全研究人員所面臨的挑戰之一。針對這一難題,提出將ATT&CK框架所提供的攻擊行為知識庫與域安全防御結合,對ATT&CK中涉及的域安全相關戰術和技術進行全覆蓋,在模擬環境中分析實時產生的日志數據,監控并捕獲敏感日志事件和連續異常的日志事件。最后,組織安全領域技術人員進行紅藍實戰對抗。對抗結果表明,基于ATT&CK框架能夠有效檢測域攻擊姿勢。
中圖分類號: TP309.1
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.003
引用格式: 何樹果,袁瑗,朱震,等. 基于ATT&CK框架的域威脅檢測[J].信息技術與網絡安全,2021,40(12):15-18,25.
Domain threat detection based on ATT&CK framework
He Shuguo1,Yuan Yuan2,Zhu Zhen1,Lu Shenglong1,Chen Jialei1,Bi Xintai1
(1.Qingteng AI Lab,Shengxin Network Technology Co.,Ltd.,Beijing 101111,China; 2.College of Computer & Information Science,Southwest University,Chongqing 400715,China)
Abstract: It has always been one of the challenges faced by security researchers about how to ensure the security of sensitive information and data in the enterprise domain environment. In response to this problem, it is proposed to combine the attack behavior knowledge base provided by the ATT&CK framework with the domain security defense to fully cover the domain security-related tactics and technologies involved in ATT&CK. Real-time log data generated in a simulated environment is analyzed, and sensitive log events and continuous abnormal log events are monitored and captured. Finally, technical personnel in the security field are organized to conduct a red-blue exercise. The results of the exercise show that under the guidance of the ATT&CK framework, the domain attack posture can be well detected.
Key words : ATT&CK framework;domain penetration;domain security;threat intelligence

0 引言

互聯網企業規模不斷擴張,隨之而來的是計算機數量的逐年增加。微軟為管理員提供了兩種方式管理計算機,即域和工作組。默認情況下,計算機會加入工作組,但是工作組在管理上屬于分散型,很難用于集中管理,更加適用于小型網絡。其中,為提升大型網絡的管理效率以及安全性,微軟提供了域技術來管理大型網絡中的計算機,輔助管理人員對計算機進行集中管理[1]。在域中,使用域控制器(Domain Controller,DC)進行管理,使用服務器為申請連接的計算機進行驗證,DC中存放著域賬戶、密碼以及隸屬于域的計算機信息等。如果某臺計算機想要連接這個域,域控制器會根據賬戶和密碼來判定這臺計算機是否屬于這個域,從一定程度上對網絡安全管理進行了加強。

使用域技術進行管理是目前很多企業、工廠都會采用的一個常見管理方法。由于DC中涵蓋了域的敏感信息,因此域管理下的網絡安全是需要建立在DC的安全之上的[2]。一旦域管理員的賬號和密碼泄露,黑客便可以利用盜取的高權限賬戶來操縱域環境,進行信息盜取、投放病毒、留后門維持訪問等操作,因此域滲透已經成為了黑客入侵企業網絡的主要手段之一。一旦域控服務器被黑客攻陷,可能會導致企業的敏感信息泄露、工作進度癱瘓、被黑客勒索等后果,會給企業帶來非常嚴重的損失[3]。保障域安全是域管理的重要環節,傳統的防御方式主要是從防御者的角度去提出解決方案,但往往面臨著覆蓋范圍不全面、難以檢測新的未知威脅等問題[4]。



本文詳細內容請下載:http://m.xxav2194.com/resource/share/2000003890







作者信息:

何樹果1,袁  瑗2,朱  震1,盧圣龍1,陳嘉磊1,畢鑫泰1

(1.北京升鑫網絡科技有限公司 青藤云安全人工智能實驗室,北京101111;

2.西南大學 計算機與信息科學學院,重慶400715)


此內容為AET網站原創,未經授權禁止轉載。
主站蜘蛛池模板: 日本欧美久久久久免费播放网| 精品久久免费视频| 欧美人善交videosg| 四虎成人精品在永久免费| 182tv在线观看国产路线一| 无人在线观看视频高清视频8| 亚洲免费在线视频播放| 百合h肉动漫无打码在线观看| 国产午夜鲁丝片AV无码免费 | 丰满多毛的大隂户毛茸茸| 美女被免网站在线视频| 国产精品久久久久久久小唯西川| 一级片在哪里看| 欧美精品第一页| 国产91精品久久| 99re热视频这里只精品| 日本三级不卡视频| 亚洲剧场午夜在线观看| 男女一边摸一边做刺激的视频| 国产精品国产高清国产av| 一区二区三区无码视频免费福利 | 欧美伊人久久大香线蕉综合 | 北条麻妃在线一区二区| 麻豆国产精品一二三在线观看| 岳双腿间已经湿成一片视频| 久久精品国产精品亚洲| 精品国产自在现线看| 国产影片中文字幕| 4jzbtv四季彩app下载| 日本久久久久亚洲中字幕| 亚洲午夜国产精品| 特级毛片www| 午夜无码国产理论在线| 超薄肉色丝袜一区二区| 在线精品免费视频无码的| 中文字幕丰满乱孑伦无码专区| 最近免费韩国电影hd免费观看 | 天堂资源中文在线| 在线人成精品免费视频| 一区二区免费视频| 无码A级毛片日韩精品|