威胁检测与分析--云图大师

威胁检测与分析--云图大师

当 Internet 在 1960 年代创建时，被设想为一个革命性的计算机网络，供几千名研究人员使用。创建这个快速可靠的网络使用了许多资源，其开发人员考虑的安全措施主要是为了防止军事威胁和潜在的强大入侵者。

在那个时代，互联网被认为是一个乌托邦。似乎人们可以责怪互联网的创始人没有实施足够的安全措施，但现实是我们今天仍然没有所有这些适当的措施，我们没办法强迫60年代的人。

1. 计算机病毒

我们都听说过他们，我们都有自己的恐惧。对于日常互联网用户而言，计算机病毒是网络安全中最常见的网络威胁之一。统计数据显示，大约 33% 的家用计算机受到某种类型的恶意软件的影响，其中一半以上是病毒。

计算机病毒是旨在从一台计算机传播到另一台计算机的软件片段。它们通常作为电子邮件附件发送或从特定网站下载，目的是通过使用您网络上的系统来感染您的计算机以及您联系人列表中的其他计算机。众所周知，病毒会发送垃圾邮件、禁用您的安全设置、破坏和窃取您计算机中的数据（包括密码等个人信息），甚至删除您硬盘上的所有内容。

1. 流氓安全软件

利用对计算机病毒的恐惧，诈骗者找到了一种新的网络诈骗方式。

流氓安全软件是误导用户相信他们存在网络安全问题的恶意软件，最常见的是在他们的计算机上安装了计算机病毒或者他们的安全措施不是最新的。然后他们提供安装或更新用户的安全设置。他们会要求您下载他们的程序以删除所谓的病毒，或者为工具付费。这两种情况都会导致在您的计算机上安装实际的恶意软件。

1. 特洛伊木马

打个比方，“特洛伊木马”是指诱骗某人邀请攻击者进入安全保护区。在计算中，它具有非常相似的含义 — 特洛伊木马或“特洛伊木马”是一种恶意攻击代码或软件，通过隐藏在合法程序后面诱使用户自愿运行它。

它们经常通过电子邮件传播；它可能显示为来自您认识的人的电子邮件，当您单击该电子邮件及其包含的附件时，您已立即将恶意软件下载到您的计算机。当您点击虚假广告时，特洛伊木马也会传播。

一旦进入您的计算机，特洛伊木马就可以通过记录击键、劫持您的网络摄像头以及窃取您计算机上可能拥有的任何敏感数据来记录您的密码。

1. 广告软件和间谍软件

对于“广告软件”，我们认为任何旨在跟踪您的浏览习惯数据并据此向您展示广告和弹出窗口的软件。广告软件会在您同意的情况下收集数据——对于允许用户免费试用其软件但在使用该软件时会显示广告的公司来说，它甚至是一种合法的收入来源。广告软件条款通常隐藏在相关的用户协议文档中，但可以通过在安装软件时仔细阅读您接受的任何内容来检查。您计算机上存在的广告软件只会在这些弹出窗口中出现，有时它会降低您计算机的处理器和互联网连接速度。

如果未经同意下载广告软件，则视为恶意软件。

间谍软件的工作原理与广告软件类似，但会在您不知情的情况下安装在您的计算机上。它可能包含记录个人信息（包括电子邮件地址、密码甚至信用卡号码）的键盘记录器，由于身份盗用的风险很高，因此很危险。

1. 计算机蠕虫

计算机蠕虫是恶意软件程序的一部分，它们可以快速复制并从一台计算机传播到另一台计算机。蠕虫通过将自身发送到计算机的所有联系人，然后立即发送到其他计算机的联系人，从受感染的计算机传播。

蠕虫通过将自身发送到计算机的所有联系人，然后立即发送到其他计算机的联系人，从受感染的计算机传播

有趣的是，它们并不总是旨在造成伤害；有些蠕虫只是为了传播。蠕虫的传播也经常通过利用软件漏洞来完成。虽然我们今天对它们的了解不多，但计算机蠕虫是最常见的计算机网络威胁之一。

1. DOS 和 DDOS 攻击

您是否发现自己在焦急地等待产品的在线发布，而您急切地等待购买？您不断刷新页面，等待产品上线的那一刻。然后，当您最后一次按 F5 时，页面显示错误：“服务不可用”。服务器一定超载了！

确实有这样的情况，网站的服务器因流量过载而崩溃，有时是在新闻报道中断时。但更常见的是，这是网站在 DoS 攻击或拒绝服务期间发生的情况，这是一种恶意流量过载，当攻击者使网站流量过载时发生。当网站流量过多时，它无法向访问者提供其内容。

DoS 攻击由一台机器及其互联网连接执行，通过用数据包淹没网站并使合法用户无法访问被淹没网站的内容。幸运的是，您不能再用单个其他服务器或 PC 真正使服务器过载。在过去的几年里，它并没有那么普遍，然后是协议中的缺陷。

DDoS 攻击或分布式拒绝服务攻击与 DoS 类似，但更强大。克服 DDoS 攻击更难。它是从多台计算机启动的，所涉及的计算机数量可以从几台到几千台甚至更多。

由于很可能并非所有这些机器都属于攻击者，因此它们会受到威胁并被恶意软件添加到攻击者的网络中。这些计算机可以分布在全球各地，受感染计算机组成的网络称为僵尸网络。

由于攻击同时来自许多不同的 IP 地址，因此 DDoS 攻击对于受害者来说更难定位和防御。

1. 网络钓鱼

网络钓鱼是一种社会工程学方法，目的是获取密码、用户名、信用卡号等敏感数据。

这些攻击通常以即时消息或旨在看似合法的网络钓鱼电子邮件的形式出现。然后，电子邮件的收件人被诱骗打开恶意链接，从而导致在收件人的计算机上安装恶意软件。它还可以通过发送一封看似来自银行的电子邮件来获取个人信息，要求通过提供您的私人信息来验证身份。

1. Rootkit

Rootkit 是一组软件工具，可以通过计算机或计算机网络实现远程控制和管理级访问。一旦获得远程访问权限，rootkit 就可以执行许多恶意操作；它们配备了键盘记录器、密码窃取器和防病毒禁用器。

Rootkit 是通过隐藏在合法软件中安装的：当您允许该软件更改您的操作系统时，rootkit 会自行安装在您的计算机中并等待黑客激活它。Rootkit 的其他传播方式包括网络钓鱼电子邮件、恶意链接、文件以及从可疑网站下载软件。

1. SQL注入攻击

今天我们知道，许多为网站存储数据的服务器都使用 SQL。随着技术的进步，网络安全威胁不断升级，使我们面临 SQL 注入攻击的威胁。

SQL 注入攻击旨在通过利用应用程序软件中的安全漏洞来针对数据驱动的应用程序。他们使用恶意代码获取私人数据、更改甚至破坏该数据，甚至可以使网站上的交易无效。它已迅速成为数据机密性中最危险的隐私问题之一。

1. MIM 攻击

中间人攻击是网络安全攻击，允许攻击者窃听两个目标之间的通信。它可以收听在正常设置下应该是私密的通信。

例如，当攻击者想要拦截人 A 和人 B 之间的通信时，就会发生中间人攻击。人 A 将他们的公钥发送给人 B，但攻击者拦截它并将伪造的消息发送给人 B，将自己表示为 A，但它拥有攻击者的公钥。B 认为消息来自 A，并使用攻击者的公钥加密消息，并将其发送回 A，但攻击者再次截获此消息，使用私钥打开消息，可能会更改它，并使用公钥首先由 A 提供。同样，当消息传回 A 时，他们认为它来自 B，这样，中间就有一个攻击者窃听两个目标之间的通信。

以下是 MITM 攻击的一些类型：

1. DNS 欺骗
2. HTTPS 欺骗
3. IP欺骗
4. ARP欺骗
5. SSL劫持
6. Wi-Fi黑客攻击

1. 无文件攻击

今年我们听到了很多关于无文件攻击的消息。用于执行数据泄露，这种流行的网络攻击方法——顾名思义——不是基于新文件或有效负载，而是基于目标系统中存在的特征属性。

大多数无文件攻击都是从网络钓鱼攻击开始的，这会导致人们进行恶意活动。在对受害者执行社会工程攻击后，他们能够执行基于内存的设置以进一步执行。更糟糕的是，大多数时候这些无文件攻击都在雷达之下通过，并且一直未被发现，直到为时已晚。

1. 基于 5G 的群体攻击

随着新的 5G 技术和网络的兴起，可以比以往更快地检索和上传更高速的传输和大量数据。网络犯罪的新面孔正在出现。

基于高带宽的攻击也比以往任何时候都更加常见，影响了大多数技术，但特别关注物联网和移动设备。据TechTarget称，群体攻击在过去几年中增加了 80% 以上，并将继续增长。

群体攻击的本质涉及同时感染多个设备，这些设备稍后将根据它们在机器人协同攻击中的角色，发挥不同的攻击功能。

此类攻击还使用 AI 来发现新的受害者、切换攻击策略以及与原始攻击者关联和共享数据。

1. 总结

跟踪现有的所有网络安全威胁以及不断出现的新威胁似乎是一项艰巨的任务。媒体是否正在创造一种因上网而产生恐惧的文化，并信任将我们的信息公开给所有人看，或者等待在互联网黑暗角落的威胁是否真的很严重并且可能发生在任何人身上，最好的我们都可以做的就是做好准备,通过对这一类威胁提前预知,预防,拦截,从而避免个人或者企业的损失产生

云图核心功能

依赖云端强大的基础数据收集系统 ，结合自主研发的多款、累计数十种提取方法的核心情报提取系统 ，快速且自动化的生产高覆盖度、高准确度、上下文丰富的情报数据。为各种不同类型的业务提供独特的价值

数据积淀.

1. 日均数百万新增域名，累计数百亿的域名基础数据
2. 8年PassiveDNS数据
3. 18年的域名历史Whois数据
4. 日均100万新增恶意样本、累计数十亿恶意样本
5. 40万高精度IOC失陷情报数据
6. 42亿全球IP信誉与标签
7. 180余个全球范围内大型黑客组织，小时级全球事件跟进
8. 分钟级情报更新

1、办公网终端/生产网及DMZ区服务器的威胁发现和失陷检测

根据《国家网络安全事件应急预案》，网络安全事件是指：由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件。

精准发现内网的被控主机，包括挖矿、勒索、后门、APT等，并提供佐证失陷的样本取证信息、处置建议等，促进企业快速响应处置风险

2、SOC/SIEM等系统威胁检测能力增强

将日志中的域名/IP提取出来通过分析，发现可疑时间，并结合人工分析通过内部工单系统进行日常运营，增强威胁发现和检测能力

3、Web/邮件/SSH等公网开放的应用或者服务的外放访问IP的风险识别

精准发现相关IP是否属于扫描、撞库、漏洞利用、僵尸网络等风险，同时进一步提供该IP的基础信息，如代理、网关出口、CDN、移动基站等

4、企业资产发现

通过高级查询，快速发现企业的域名、子域名、IP等资产的信息变动情况，管控资产暴露产生的数据泄露、服务暴露等相关风险

5、内外部安全事件的关联拓线及溯源追踪

对内外部安全事件中的域名/IP/Hash进行关联分析，通过域名的PassiveDNS以及Whois等数据，发现背后攻击者的姓名、邮箱、手机号码等真实或者虚拟身份

应用场景

1、日常运营维护

云图能够提供丰富的检测手段如规则引擎检测、语义分析检测、机器学习检测、情报库碰撞、异常行为检测等，可以满足日常运营。同时也提供运营报告下载、重点告警提醒、终端部署联动等功能。支持与其他安全设备的联动。

2、重大场景保障

云图提供多视角检测方案以及各种态势感知大屏。通过安全事件聚合、关联分析等手段进行分析，帮助安全分析人员在重大保护场景中及时捕捉重要的威胁来源，同时对危险来源进行追踪溯源，保障网络环境安全。

3、实战化攻防演练

云图可以结合安全专家红蓝对抗，组织网络安全实战化攻防演练，构建“检测-预警-监测-防护-分析-溯源”网络安全攻防体系，提高单位网络安全意识，增强安全防护能力，检验单位应急响应能力。