网络攻击溯源方案都有哪些种类

攻击溯源技术发展壮大迄今为止,早已有好几个单位和企业指出了对于不一样场面的解决方法,下面对于部分方案开展讲解。

(1)BackTracker溯源方案:运用分析系统进程、文档和事件日志相互关系搭建溯源实体模型,分析系统进程建立的相互依赖,在事件日志中找寻文档和系统进程中间、文件夹名称和系统进程中间的相互依赖并分析溯源恶意文档,但因为仅运用文件打开方式,可用的场面比较有限。根据模型的因果推断(Modeling-basedCausalityInference,tdm)在BackTracker溯源方案基本上开展改善,添加了根据逻辑关系的文本检索,提升了事件日志的相互依赖逻辑思维能力。以上实体模型均归属于经典的服务器侧溯源方案,因为仅关心系统进程、文档和事件日志,没法溯源到恶意文档投入相对路径,因此仅能完成服务器侧溯源。

outputo-20211231-103537-870-kelb.png

(2)OmegaLog架构:指出了1种运用融合事件日志和app系统日志的溯源架构,觉得将操作系统上全部与调查取证有关的事情统一到1个总体系统日志中可以明显提升攻击调查水平。OmegaLog架构app.so文件屏蔽app的系统进程,将系统进程号/线程号(ProcessID/ThreadID,pid调节/TID)和时间格式数据信息整理至业务流程系统日志,再运用控制流分析对app系统日志和事件日志开展分析,制造事情流带进溯源架构完成溯源。该方案融合app系统日志,很大地提升了服务器侧的溯源水平,但因为屏蔽系统进程布署的难易度很大,也仅能完成服务器侧溯源。

(3)根据威胁情报的攻击溯源方案:运用对IP地址反查、Whois解析域名、接入记录中的统一资源定位仪(UniformResourceLocator,网页地址)等数据信息,关连威胁情报中记录的IP地址、网站域名、网页地址、文档哈希值等数据信息反查攻击者数据信息,完成网络侧攻击服务器的精准定位。该方案是运用类似攻击不可能只在网络上产生1次的观念产生分享情报,再运用对攻击者的IP地址开展反向追踪溯源。情报来自分享,分享的数据信息自身存有滞后效应,单单从情报视角开展攻击溯源可完成对已经知道攻击再次出现的攻击溯源,但难以解决攻击方式转变状况的攻击溯源。

攻击溯源仍是一个较新的行业,发展壮大仍处在摸索环节,场面覆盖水平和智能化程序均是当前探讨的网络热点。


分享: