如何识别主机内网横向渗透的迹象？

识别主机内网横向渗透迹象可从网络流量、系统日志、主机行为和账号异常等方面着手：

网络流量层面

• ​​异常流量模式​​：内网正常通信有规律，若某主机突然与大量不同IP地址频繁通信，或与外部陌生IP大量数据交互，可能是横向渗透迹象。如原本只和内部服务器通信的办公主机，突然与境外可疑IP大量传输数据。
• ​​流量峰值异常​​：主机流量突然大幅增加，超出正常业务范围，可能是攻击者在进行数据窃取或恶意软件传播。比如某主机流量从日常的几Mbps瞬间涨至几十Mbps。
• ​​异常端口通信​​：主机开启非业务所需端口，或与外部端口进行异常连接，可能存在横向渗透。如办公主机开放了常见的远程控制端口（如3389），且与陌生IP频繁通信。

系统日志层面

• ​​登录异常​​：系统日志显示非工作时间的登录尝试，或同一账号在短时间内从不同地理位置或主机登录，可能是账号被盗用进行横向渗透。如某员工账号在凌晨从其办公地之外的IP地址登录系统。
• ​​权限变更​​：日志中出现非授权的权限提升操作，或大量账号权限被修改，可能是攻击者为扩大控制范围所为。
• ​​异常进程调用​​：系统日志记录到主机调用未知或异常进程，这些进程可能用于横向渗透。如发现名为“恶意扫描工具”的进程频繁运行。

主机行为层面

• ​​资源占用异常​​：主机CPU、内存、磁盘I/O等资源占用率突然飙升，可能是恶意程序在运行。如某主机CPU使用率长时间保持在90%以上，且无合理业务原因。
• ​​文件异常变动​​：系统关键文件被修改、删除或新增，可能是攻击者植入恶意程序或篡改配置。如系统自带的防火墙配置文件被无故修改。
• ​​服务异常​​：主机上的服务出现异常启动、停止或崩溃，可能是攻击者对服务进行破坏或利用。如数据库服务突然停止运行。

账号异常层面

• ​​新增账号​​：系统中出现不明来源的新账号，可能是攻击者为长期控制主机创建的。如发现名为“hacker”的新账号。
• ​​账号异常登录​​：账号在短时间内多次登录失败，可能是攻击者在进行暴力破解尝试。
• ​​账号权限异常​​：账号权限被无故提升，或拥有超出其工作职责的权限，可能是攻击者获取了该账号并进行权限提升操作。