网络攻防学习笔记 Day55

1．云计算中的应急响应新理念——“以毒攻毒，诱敌深入”

2．云计算中的应急响应新措施——诱骗设备实现及恢复过程的自动化

利用大数据技术为网络安全保障提供有力支撑和创新方案，在应急响应的框架内，主要包括威胁情报和态势感知两类技术体系，从数据来源的角度区分，威胁情报主要针对网络外部信息进行收集，态势感知以内为主，内外结合。

网络安全态势感知是指在网络环境中，通过采集资产、网络通信、计算环境、业务应用、脆弱性、安全事件、运行状况、审计日志和威胁情报等数据，利用大数据技术和机器学习技术，分析网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势，获取、理解、回溯、显示能够引起网络态势发生变化的安全要素，预测网络安全态势及发展趋势。

风险评估流程主要包括风险评估准备、组织发展战略识别与分析、业务识别、资产识别、资产、业务、发展战略关联分析、威胁识别、脆弱性识别、已有安全措施确认、风险计算、风险分析与评价共十个阶段。

信息安全事件分为信息安全风险、安全攻击事件、设备设施故障、灾害性事件、其他 5 个基本分类，每个基本分类又包括若干子类。

国家网络安全事件应急预案根据网络安全事件发生的网络和信息系统重要程度、损失和社会影响三个分级要素，将信息安全事件划分为四个级别：特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件。

网络攻击是指任何非授权而进入或试图进入他人计算机网络系统的行为。这种行为包括对整个网络的攻击，也包括对网络中的服务器或单个计算机的攻击。网络攻击是入侵者实现入侵目的所采取的技术手段和方法与流程的统称。

常见的“肉鸡”拓展方法主要有以下几种：

·自动化弱口令爆破，执行远程命令植入木马，如爆破 3389 端口。

·自动化漏洞利用，执行远程命令拓展“肉鸡”，如利用 CVE-2017-17215 攻击路由设备。

·捆绑下载暗藏后门，如通过系统激活工具捆绑木马。

·蠕虫病毒传播等。

扫描探测的定义：扫描探测是指利用手段对计算机进行扫描，获取计算机有效地址、活动的端口号、主机操作系统版本类型、系统漏洞的攻击方式。

扫描探测的分类：扫描探测包括主机发现、端口扫描、版本探测、系统探测、漏洞扫描等。

高级威胁（Advanced Persistent Threat，APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，并针对特定的目标。

人员分类：数据库拖库事件人员分为以下几类。

拖库者：专门负责入侵网站，获取原始的数据库文件。

洗库者：专门负责从拖库者那里收购原始的数据库文件，根据不同用途从原始数据中提取有用数据。

数据贩卖者：专门负责从洗库者（有时也从拖库者那里直接购买原始数据库文件）收购洗完整理好的数据，售卖给各类买家。

数据买家：电信诈骗、盗号、精准营销等。