网络攻防学习笔记 Day101

APT 攻击：APT 是高级持续性威胁，通常是指对政府、活动人士和工业领域进行的网络间谍活动。APT 攻击涉及恶意代码、指挥控制 C2 域、主机名、IP 地址、行为体、攻击利用、攻击目标、工具、战术等。“高级”是指使用恶意代码对系统中的漏洞进行攻击所利用的复杂技术。“持续”是指具备指挥控制（C&C）系统，能够持续监控特定的攻击目标，并从中盗取数据。“威胁”是指由敌对人员参与对攻击的策划编排。

基于 MDATA 模型的网络安全态势感知本体之间存在的一般关系包括包含关系、属于关系、存在关系、利用关系、作用关系、前提关系、后续关系、等于关系、获得关系、用于关系等。

基于 MDATA 模型的网络安全态势感知本体模型推理是指对网络安全态势感知过程中提取的数据进行推理，识别攻击链、攻击过程、攻击目标、攻击意图、攻击危害等。其整个过程并不是一蹴而就的，需要分阶段进行，一般需要经过低、中、高三个阶段。

低阶事件（event）是指可从安全设备、采集软件等获得的日志或数据，包括安全日志、流量事件、资产信息、漏洞信息、资产状态数据、拓扑信息、威胁情报信息等。

中阶事件（incident）是指对低阶事件进行统计、查询，或者简单的关联、推理得到的事件。中阶事件包括攻击链、身份事件、声誉事件、攻击类型事件、有效攻击事件、资产状态异常事件、流量异常事件、攻击路径等。

高阶事件是指通过若干中阶事件推导出的更加明确、信息量更大、指向性更强的事件。高阶事件包括威胁行为体、大型攻击行动、攻击目标信息、攻击影响、TTP（Tactics，Techniques，Procedures，即攻击者的战术、技术和规程）等。