文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.003
引用格式: 何樹果,,袁瑗,,朱震,等. 基于ATT&CK框架的域威脅檢測[J].信息技術(shù)與網(wǎng)絡(luò)安全,2021,,40(12):15-18,,25.
0 引言
互聯(lián)網(wǎng)企業(yè)規(guī)模不斷擴(kuò)張,,隨之而來的是計(jì)算機(jī)數(shù)量的逐年增加,。微軟為管理員提供了兩種方式管理計(jì)算機(jī),即域和工作組,。默認(rèn)情況下,,計(jì)算機(jī)會加入工作組,但是工作組在管理上屬于分散型,,很難用于集中管理,,更加適用于小型網(wǎng)絡(luò)。其中,,為提升大型網(wǎng)絡(luò)的管理效率以及安全性,,微軟提供了域技術(shù)來管理大型網(wǎng)絡(luò)中的計(jì)算機(jī),輔助管理人員對計(jì)算機(jī)進(jìn)行集中管理[1],。在域中,,使用域控制器(Domain Controller,DC)進(jìn)行管理,,使用服務(wù)器為申請連接的計(jì)算機(jī)進(jìn)行驗(yàn)證,,DC中存放著域賬戶、密碼以及隸屬于域的計(jì)算機(jī)信息等,。如果某臺計(jì)算機(jī)想要連接這個(gè)域,,域控制器會根據(jù)賬戶和密碼來判定這臺計(jì)算機(jī)是否屬于這個(gè)域,,從一定程度上對網(wǎng)絡(luò)安全管理進(jìn)行了加強(qiáng)。
使用域技術(shù)進(jìn)行管理是目前很多企業(yè),、工廠都會采用的一個(gè)常見管理方法,。由于DC中涵蓋了域的敏感信息,因此域管理下的網(wǎng)絡(luò)安全是需要建立在DC的安全之上的[2],。一旦域管理員的賬號和密碼泄露,,黑客便可以利用盜取的高權(quán)限賬戶來操縱域環(huán)境,進(jìn)行信息盜取,、投放病毒,、留后門維持訪問等操作,因此域滲透已經(jīng)成為了黑客入侵企業(yè)網(wǎng)絡(luò)的主要手段之一,。一旦域控服務(wù)器被黑客攻陷,,可能會導(dǎo)致企業(yè)的敏感信息泄露、工作進(jìn)度癱瘓,、被黑客勒索等后果,,會給企業(yè)帶來非常嚴(yán)重的損失[3]。保障域安全是域管理的重要環(huán)節(jié),,傳統(tǒng)的防御方式主要是從防御者的角度去提出解決方案,,但往往面臨著覆蓋范圍不全面、難以檢測新的未知威脅等問題[4],。
本文詳細(xì)內(nèi)容請下載:http://forexkbc.com/resource/share/2000003890
作者信息:
何樹果1,,袁 瑗2,朱 震1,,盧圣龍1,,陳嘉磊1,畢鑫泰1
(1.北京升鑫網(wǎng)絡(luò)科技有限公司 青藤云安全人工智能實(shí)驗(yàn)室,,北京101111,;
2.西南大學(xué) 計(jì)算機(jī)與信息科學(xué)學(xué)院,重慶400715)