首页
学习
活动
专区
工具
TVP
发布

网络安全溯源指南

下载地址:https://github.com/wsfengfan/SecurityTraceability/ 目录 一、 window系统溯源 1、 检查系统账号安全 1.1查看服务器是否存在可疑账号...检查启动项 3.2查看计划任务 3.3排查服务自启动 4、 检查系统相关信息 4.1查看系统补丁信息 4.2查看近期创建修改的文件 二、 Linux系统溯源...PID及程序进程 4、 文件排查 4.1find命令的使用 4.2敏感目录 4.3基于时间点查找 三、日志分析 1、window日志分析 1.1安全日志分析...Window 1.1WinFR 1.2Windows File Recovery 2、 Linux 2.1losf命令 2.2extundelete 2.3testdisk 五、溯源到人...1、IP溯源 2、ID溯源 3、手机号溯源 4、EMail溯源 5、域名溯源 6、木马分析(云沙箱)Linux系统溯源排查1、系统排查1.1 系统信息$ lscpu             #

28330

安全攻击溯源思路及案例

---- ---- 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、...计划任务和服务等 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 蜜罐系统,获取攻击者行为、意图的相关信息 2、溯源反制手段 IP定位技术 根据IP定位物理地址--代理IP 溯源案例:通过...--域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息--同源分析 溯源案例:样本分析过程中...案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。...溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址

2.3K32
您找到你想要的搜索结果了吗?
是的
没有找到

记一次“受到攻击后不开心从而进行溯源”的安全溯源事件

但是想想,处理过那么多告警,几乎都是这样放过对面,这次我不想放过了,即使只是一个来自于互联网的盲打攻击,我也想看看到底是什么人干的,于是就有了这篇溯源文章… … 安全分析 1. 2021年7月某日下午,...攻击反制 1、这里就得对黑客做个吐槽了,我作为一个非攻击队的底层安全人员,都知道给cobaltstrike注册一个域名,并通过修改证书增加cdn服务器对系统进行隐匿。...到此溯源分析工作完毕,毕竟得罪不起apt大佬,也没能耐能得罪人家 收尾工作 对白象apt组织做一个简单的介绍: ? ?...总结 溯源和反制大部分时候护网蓝队干的比较多,不知道有没有人是专门进行黑客追踪的,如果有这方面的大佬可以带带老弟。...分析过程中会发现好多问题,也许溯源很长时间一下线索断了,对个人信心打击比较大,但对于我这样没心没肺的来说,就那样吧。

58240

安全知识图谱 | 按图索“迹” 追踪溯源

如图3所示,该技术框架针对攻击事件报告中攻击行为的描述进行语义与语法分析,提取有效的实体与关系建立攻击行为子图,该攻击子图可以直接应用到日志溯源图中。...基于图中路径的攻击信息并不能完全反应攻击路径,需要结合威胁评估方法,把溯源图中的节点看作目标实体,边看作攻击行为,通过攻击威胁评估模型得到溯源图中每个节点的威胁度,基于节点的威胁度通过贪心算法找到攻击路径...图4 溯源图中的节点威胁度评估 真实的企业安全运营中,攻击行为是有一定的时序性,因此在调查攻击路径时需要考虑攻击行为的时序特征。通过对节点和边的威胁评估结果为节点与边赋予一个表述威胁度的权重。...在攻击路径调查过程中,通常始于已确定的攻击行为或已攻陷的受害者攻击路径,而溯源的终止条件通常为外部IP的网络连接行为,如果无法溯源到网络连接行为则该主机即为最终攻击者。 这里路径溯源算法采用贪心算法。...初始的溯源点可以是一个顶点也可以是一个被检测为攻击的行为。如果为顶点的话直接遍历该顶点的邻接节点,然后从邻居节点选择一个异常得分大的节点作为下一跳的起点。

74340

【网络安全】浅谈IP溯源的原理及方法

溯源思路 1、攻击源捕获 ​安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等...—域名隐私保护 ​溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 2.4 恶意样本 ​提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析 ​溯源案例:样本分析过程中,发现攻击者的个人...渗透、水坑攻击、近源渗透、社会工程等 3.2 攻击者身份画像 ​ 虚拟身份:ID、昵称、网名 ​ 真实身份:姓名、物理位置 ​ 联系方式:手机号、qq/微信、邮箱 ​ 组织情况:单位名称、职位信息 4、安全攻击溯源篇...4.2 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。...溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址

2.4K21

入侵溯源难点和云溯源体系建设

image.png 在安全行业,攻击溯源领域一直是一个强烈依赖人力和经验型的领域。...image.png ---- 3.高效安全溯源技术解决方案,溯源工具是空白。...(3) 体系化安全溯源知识,工具建设:几乎空白 可能会有同学质疑,很多安全产品也提供此类功能呀? ——亲测过许多安全检测分析产品和工具,取证逻辑上强关联真的不准确!...目前还未看到较成熟和便捷使用的云内安全攻击溯源产品,在用户遇到问题时,以合作伙伴服务的模式来解决问题。...image.png ---- 6.结语 云上溯源体系建设,随着云用户安全问题激增(勒索病毒、挖矿木马、渗透入侵,配置隐患等问题)逐步威胁用户数据安全,影响用户产品体验。

3.6K201

干货 | 陆宝华:中美网络安全标准追根溯源

中央指令由公安部开展计算机安全工作,这就是中国计算机安全工作的起始。 二、等级保护的提出与信息系统的定义 1994年,国务院出台网络安全第一个法规:《中华人民共和国计算机信息系统安全保护条例》。...2、对计算机信息系统安全进行了定义 第三条:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行...4、范围、主管单位、规定了任何组织个人,不得危害计算机信息系统的安全 第九条:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。...客体重用,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全策略当中的一个子项。 审计,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全责任当中的一个子项。...强制访问控制,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全策略当中的一个子项。

42930

事件溯源模式

事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。...事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。...但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。...即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。...尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。

1.4K40

如何配置攻击溯源?

攻击溯源通过对上送CPU的报文进行采样分析,如果报文速率(pps)超过设置的阈值,则认为是攻击报文。 对攻击报文进行分析,可以找到攻击源的IP地址、MAC地址、接口和VLAN。...auto-defend attack-source命令查看 攻击源惩罚 将攻击报文进行丢弃 将攻击报文进入的接口shutdown (谨慎使用) 其他(配置流策略或者黑名单) 配置思路 创建防攻击策略 配置攻击溯源...(采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施) 应用防攻击策略 操作步骤 system-view //进入系统视图 [HUAWEI] cpu-defend...10 //配置攻击溯源采样比 [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻击溯源告警功能...] auto-defend action deny //配置攻击溯源的惩罚措施 [HUAWEI-cpu-defend-policy-test] quit //返回系统视图 [

1.1K10

08.基于溯源图的APT攻击检测安全顶会论文总结

这篇文章将详细介绍和总结基于溯源图的APT攻击检测安全顶会内容,花了作者一个多月时间。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!...由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正,非常欢迎大家给我留言评论,学术路上期待与您前行,加油~ 前文推荐: [AI安全论文] 01.人工智能真的安全吗?...浙大团队分享AI对抗样本技术 [AI安全论文] 02.清华张超老师 GreyOne和Fuzzing漏洞挖掘各阶段进展总结 [AI安全论文] 03.什么是生成对抗网络?...Threats [AI安全论文] 07.S&P19 HOLMES:基于可疑信息流相关性的实时APT检测 [AI安全论文] 08.基于溯源图的APT攻击检测安全顶会论文总结 一.背景知识 1.什么是APT...学安全两年,认识了很多安全大佬和朋友,希望大家一起进步。同时非常感谢参考文献中的大佬们,感谢老师、实验室小伙伴们的教导和交流,深知自己很菜,得努力前行。感恩遇见,且行且珍惜,

1.7K30

攻击溯源-手把手教你利用SPADE搭建终端溯源系统

终端溯源背景介绍 攻击溯源图是描述攻击者攻击行为相关的上下文信息,利用攻击溯源信息来挖掘攻击相关的线索是当前研究的热点。...,来实现攻击溯源。...SPADE工具简介 SPADE是一个开源的系统,可以实现溯源数据的推理、存储与查询功能。该系统是一种跨平台的溯源系统,可以应用到区块链、在线社交网络与APT溯源调查中。...SPADE可以看成一个分布式的溯源调查工具,以溯源图的形式组织系统日志,溯源攻击过程。该工具支持多种操作系统。SPADE系统支持多种应用,本文只专注其在溯源调查上的应用。...从数据中提取有效的实体关推断实体之间的关系,构建有效的溯源图。同时也支持按用户自定义的模式构建溯源图。

2K20

聊聊APT的溯源分析

是怎么攻击的,我还是不知道呀,其实确实也只能做这些,或者说能报道的也只能是这些了,更多的溯源分析大部分安全厂商也没有办法去做,因为SolarWinds没有找他们溯源,其次就算找到了完整的攻击链,你也看不到报告...APT攻击解读 经常在一些安全大会上听到一些人讲APT攻击,以及APT溯源分析啥的,其实一些人还没有搞清楚APT攻击是啥意思,就在谈论APT溯源分析,啥是APT都不知道?为什么叫APT?...APT攻击思考 我常常说我们做安全就跟当警察是一样的,做安全就是为了保障我们的客户安全,当警察是为了保障人民群众的安全,我们在客户现场溯源分析的过程,就和警察在刑事犯罪现场推理案件的过程是一样的,警察破案...APT溯源的关键问题是要有客户的犯罪现场,如果没有犯罪现场,一般的安全厂商能做的事就是通过从犯罪现场找到的受害者的“尸体”(样本)进行溯源分析了,所以如果一个安全厂商又没有犯罪现场,又没有拿到受害者的“...APT攻击事件的,需要专业的经验丰富的安全专家对客户进行溯源分析,调查取证。

1.5K10
领券