文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.003
引用格式: 何樹果,袁瑗,朱震,等. 基于ATT&CK框架的域威脅檢測[J].信息技術與網絡安全,2021,40(12):15-18,25.
0 引言
互聯網企業規模不斷擴張,隨之而來的是計算機數量的逐年增加。微軟為管理員提供了兩種方式管理計算機,即域和工作組。默認情況下,計算機會加入工作組,但是工作組在管理上屬于分散型,很難用于集中管理,更加適用于小型網絡。其中,為提升大型網絡的管理效率以及安全性,微軟提供了域技術來管理大型網絡中的計算機,輔助管理人員對計算機進行集中管理[1]。在域中,使用域控制器(Domain Controller,DC)進行管理,使用服務器為申請連接的計算機進行驗證,DC中存放著域賬戶、密碼以及隸屬于域的計算機信息等。如果某臺計算機想要連接這個域,域控制器會根據賬戶和密碼來判定這臺計算機是否屬于這個域,從一定程度上對網絡安全管理進行了加強。
使用域技術進行管理是目前很多企業、工廠都會采用的一個常見管理方法。由于DC中涵蓋了域的敏感信息,因此域管理下的網絡安全是需要建立在DC的安全之上的[2]。一旦域管理員的賬號和密碼泄露,黑客便可以利用盜取的高權限賬戶來操縱域環境,進行信息盜取、投放病毒、留后門維持訪問等操作,因此域滲透已經成為了黑客入侵企業網絡的主要手段之一。一旦域控服務器被黑客攻陷,可能會導致企業的敏感信息泄露、工作進度癱瘓、被黑客勒索等后果,會給企業帶來非常嚴重的損失[3]。保障域安全是域管理的重要環節,傳統的防御方式主要是從防御者的角度去提出解決方案,但往往面臨著覆蓋范圍不全面、難以檢測新的未知威脅等問題[4]。
本文詳細內容請下載:http://www.jysgc.com/resource/share/2000003890
作者信息:
何樹果1,袁 瑗2,朱 震1,盧圣龍1,陳嘉磊1,畢鑫泰1
(1.北京升鑫網絡科技有限公司 青藤云安全人工智能實驗室,北京101111;
2.西南大學 計算機與信息科學學院,重慶400715)