网络攻防学习笔记 Day104

在网络安全领域，预测通常是指在掌握了引起网络安全事件以及事件发展变化的外部因素和内部因素的基础上，探究各种因素影响事件变化的规律，进而提前估计事件将来的发展趋势，获取未来发展变化的可能情形。网络安全态势感知的最高层级是预测，包括对网络当前态势将如何演化进行展望，并对未来态势中各种安全事件进行预测，是态势感知的最终目标。

实现当前态势感知的攻击预测，需要具备四个前提条件：第一，我情掌握，即准确了解我方网络资产和系统的漏洞情况；第二，理解攻击模式，即掌握攻击者的行为模式；第三，新模式学习，即具有对攻击新模式的持续学习能力；第四，不被蒙蔽，也就是能够揭示并看穿攻击者所开展的混淆和欺骗行为。

网络攻击溯源是指通过网络还原攻击路径，确定网络攻击者的身份或位置，或者找出攻击产生的原因。溯源是指寻找导致事件发生的根本原因。

网络攻击溯源技术的层次根据网络攻击介质识别确认、攻击链路的重构以及溯源的深度和细微度可以分为两大类：第一类是指溯源攻击主机和控制主机，即溯源直接实施网络攻击的主机，以及是谁在控制主机发起攻击；第二类是指溯源攻击者和组织或机构，即溯源网络攻击者的身份或位置信息，并进一步溯源实施攻击的幕后组织或机构。

基于日志存储查询的溯源技术主要通过路由器、主机等设备对网络中传输的数据流（IP 数据包）进行存储记录，以便能通过发生网络攻击事件的事后查询日志进行溯源分析。基于日志存储查询溯源技术的主要操作有两大步骤：日志存储和日志查询。

基于路由器输入调试溯源技术的主要原理是，溯源人员沿着攻击路径向距离当前节点最近的上游路由器报告所收到的攻击数据特征，并提出溯源申请，收到报告的上游路由器在此后的工作中如果匹配到该特征的数据流，将向溯源人员上报数据来源。

基于修改网络传输数据的溯源技术通过对网络传输中的数据进行一定的变换来实现对数据的溯源。这种变换包括编码和标记，如在网络数据包中标记路由器标识等信息。修改网络传输数据的溯源技术包括修改和路径重构两个过程。修改过程由网络传输节点对传输的数据包附加路径等标识信息；路径重构过程一般由受害端通过重构算法对数据包中的标识信息进行数据传输路径重构。