亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

在探討內(nèi)網(wǎng)威脅之前，先讓我們來看場電影！

2016年的熱映電影《諜影重重5》是在后斯諾登時(shí)代體現(xiàn)網(wǎng)絡(luò)攻擊與防御的一部教科書式的影片。在影片的最開始有一段網(wǎng)絡(luò)入侵與防御的情節(jié)，講述的是某國中央情報(bào)局CIA受到攻擊，攻擊者目標(biāo)直指加密文件服務(wù)器，以盜取機(jī)密文件為目的。在緊要時(shí)刻，CIA的安全專家們迅速做出了反應(yīng)，通過軌跡回溯機(jī)制鎖定了黑客所在的具體物理位置，并控制了當(dāng)?shù)仉娋W(wǎng)控制系統(tǒng)，最后切斷了攻擊者發(fā)起攻擊地點(diǎn)的電源供應(yīng)，終結(jié)了他的攻擊。

在這個(gè)情節(jié)中，被攻擊者采用的響應(yīng)措施，其實(shí)是釜底抽薪的策略，這確實(shí)有些令人意外。在機(jī)密文件被竊取這樣的緊急時(shí)刻，去控制當(dāng)?shù)氐碾娏ο到y(tǒng)來切斷攻擊者所在位置的電源供應(yīng)，這其實(shí)面臨很大的風(fēng)險(xiǎn)。因?yàn)槿绻肭蛛娏刂葡到y(tǒng)沒有成功，或者耗時(shí)很長，都可能導(dǎo)致更多的數(shù)據(jù)被盜取，造成的損失會更大。那么問題來了，電影中的CIA安全專家們?yōu)槭裁磿扇嚯姷姆绞阶柚构粽吣兀慨?dāng)然除了美國大片萬年不變的宗旨——“最帥最帥我最帥”之外，就是當(dāng)?shù)氐碾娏刂葡到y(tǒng)很可能早已被入侵或者遠(yuǎn)程控制，只要激活遠(yuǎn)程控制代碼，就可以讓電力控制系統(tǒng)發(fā)出關(guān)閉電力供應(yīng)的指令。

那么由此引出了另一個(gè)問題：當(dāng)?shù)氐碾娏刂葡到y(tǒng)已經(jīng)被入侵并被注入了遠(yuǎn)程控制代碼，只是自己沒有發(fā)現(xiàn)，這很可能是以前已經(jīng)遭遇了所謂的APT攻擊（高級持續(xù)性威脅攻擊）。電力控制系統(tǒng)通常都是單獨(dú)隔離的網(wǎng)絡(luò)，很難直接從外網(wǎng)實(shí)現(xiàn)入侵，那么這種APT類型的攻擊是如何實(shí)現(xiàn)的呢？事實(shí)上攻擊者往往是先通過感染內(nèi)部的某臺主機(jī)，然后再逐步入侵更重要的主機(jī)，獲得更高的訪問權(quán)限，這就是所謂的“城池常常被內(nèi)部所攻破”的原理。

我們這里就先探討一下，這種從內(nèi)部發(fā)起的感染或者入侵行為，如何被發(fā)現(xiàn)并進(jìn)行防御和控制。首先來看一下，在內(nèi)部網(wǎng)絡(luò)中發(fā)生APT類型攻擊的步驟：

1、攻擊者利用系統(tǒng)的后門或者其它方式感染內(nèi)網(wǎng)終端，將惡意代碼帶入到企業(yè)網(wǎng)絡(luò)中；

2、惡意代碼在被感染終端上自動運(yùn)行，進(jìn)行端口掃描和尋找存在的漏洞，并不斷嘗試進(jìn)行破解和入侵有漏洞的主機(jī)；

3、成功入侵到某些主機(jī)，并獲得比之前更高的訪問權(quán)限；

4、并重復(fù)執(zhí)行類似的動作，試圖侵入保存更重要信息的主機(jī)系統(tǒng)；

5、攻擊者侵入重要的信息系統(tǒng)，可以進(jìn)行數(shù)據(jù)盜取或者發(fā)出各種控制指令。

由于這種來自內(nèi)網(wǎng)的滲透式的攻擊，采用了網(wǎng)絡(luò)嗅探的方式，通過掃描主機(jī)開發(fā)的 TCP 或 UCP 端口，尋找主機(jī)應(yīng)用或服務(wù)上可能存在的漏洞，然后嘗試進(jìn)行入侵和獲取應(yīng)用或主機(jī)的訪問權(quán)限，所以這種攻擊具備了極大的隱蔽性，即使成功的侵入了存儲機(jī)密數(shù)據(jù)或關(guān)鍵應(yīng)用的服務(wù)器，也很難被發(fā)現(xiàn)。

當(dāng)然，所有的端口掃描或者異常訪問的網(wǎng)絡(luò)行為，必須通過網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，包括交換機(jī)、路由器或防火墻等網(wǎng)絡(luò)設(shè)備，那么必然在網(wǎng)絡(luò)上存在著流量行為，如果能夠?qū)⑦@些流量行為進(jìn)行監(jiān)控、記錄和分析，從其中發(fā)現(xiàn)異常行為的蛛絲馬跡，再進(jìn)一步就可以做到對威脅和攻擊的隔離或者攔截。

啟明星辰 FlowEye產(chǎn)品解決方案

通過在內(nèi)部網(wǎng)絡(luò)中部署網(wǎng)絡(luò)行為的采集器（簡稱為 流量探針），將內(nèi)部網(wǎng)絡(luò)中的所有訪問行為進(jìn)行記錄，并進(jìn)行集中的統(tǒng)計(jì)和分析，再基于專有的安全算法和大數(shù)據(jù)分析，檢測出威脅事件并進(jìn)行告警。

下圖介紹了 FlowEye實(shí)現(xiàn)內(nèi)網(wǎng)異常行為檢測的實(shí)現(xiàn)原理：

在上圖中，所有的網(wǎng)絡(luò)流量都鏡像到FlowEye的流量探針上，完成對網(wǎng)絡(luò)中用戶、設(shè)備和流量的實(shí)時(shí)狀態(tài)進(jìn)行感知，并提供快速的檢測。由 FlowEye集中數(shù)據(jù)中心通過大數(shù)據(jù)和專用安全算法，分析隱藏在大量訪問記錄中的異常行為。

在這個(gè)過程中，假如發(fā)生了內(nèi)網(wǎng)威脅類型攻擊時(shí)，F(xiàn)lowEye流量探針會收集并記錄訪問行為，然后發(fā)送到 FlowEye集中數(shù)據(jù)中心，F(xiàn)lowEye集中數(shù)據(jù)中心整合多臺FlowEye流量探針的流行為記錄信息，并通過與資產(chǎn)管理系統(tǒng)進(jìn)行聯(lián)動，將流行為中相關(guān)的資產(chǎn)信息進(jìn)行補(bǔ)全，然后與系統(tǒng)的安全基線進(jìn)行分析，生成一個(gè)威脅指數(shù)值用來判定事件的嚴(yán)重程度。當(dāng)威脅指數(shù)達(dá)到設(shè)定的閾值，系統(tǒng)會隨之產(chǎn)生報(bào)警事件，并在告警事件中提供相應(yīng)的資產(chǎn)信息，從而讓用戶快速感知到內(nèi)網(wǎng)安全威脅。

啟明星辰FlowEye——用戶心目中最有價(jià)值的入侵分析安全產(chǎn)品！