网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

5) 攻击者在获取了加密的帐号信息后通过解密工具找到帐号的密码，然后借助事先植入的木马在受害企业的网络寻找目标、伺机行动、不断收集企业的敏感信息。

6) 所有的敏感信息会加密存储在网络中的一台临时服务器上，并最终上传到公司外部的某个服务器上，从而完成攻击。

1、基于沙箱的恶意代码检测技术——未知威胁检测

要检测恶意代码，最具挑战性的就是利用0day漏洞的恶意代码。因为是0day，就意味着没有特征，传统的恶意代码检测技术就此失效。

沙箱技术简单说就是构造一个模拟的执行环境，让可疑文件在这个模拟环境中运行起来，通过监控可疑文件所有的真正的行为（程序外在的可见的行为和程序内部调用系统的行为）判断是否为恶意文件。

沙箱技术的模拟环境可以是真实的模拟环境，也可以是一个虚拟的模拟环境。而虚拟的模拟环境可以通过虚拟机技术来构建（KVM），或者通过一个特制程序来虚拟（Docker）。

2、基于异常的流量检测技术——IDS（已知的特征库的检测）

传统的IDS都是基于特征的技术去进行DPI分析（入侵检测系统），检测能力的强弱主要看ids库的能力（规则库要广泛还要及时更新），主要是安全分析人员要从各种开源机构或自发渗透挖掘出利用代码或恶意代码，来加入ids规则库来增强检测能力。这种防御技术的方法显而易见对已知的网络威胁检测时可以的，对未知的威胁就尴尬了。

面对新型威胁，有的ids也加入了DFI技术，来增强检测能力。基于Flow，出现了一种基于异常的流量检测技术，通过建立流量行为轮廓和学习模型来识别流量异常，进而识别0day攻击、C&C通讯，以及信息渗出。本质上，这是一种基于统计学和机器学习的技术。

3、全包捕获与分析技术

应对APT攻击，需要做好最坏的打算。万一没有识别出攻击并遭受了损失怎么办？对于某些情况，我们需要全包捕获及分析技术（FPI）。

借助天量的存储空间和大数据分析（BDA）方法，FPI能够抓取网络中的特定场合下的全量数据报文并存储起来，进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法，协助分析师剖丝抽茧，定位问题。

有了全流量然后用机器学习—检测建模—数据挖掘—引擎分析，做全面的大数据安全分析。

4、信誉技术

信誉技术早已存在，在面对新型威胁的时候，可以助其他检测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络、恶意IP、恶意邮件，还是威胁情报库，都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的构建，这需要一个强有力的技术团队来维护。

一般是借助第三方情报平台：如国内的有"烽火台"、"微步在线"等，实时的收集互联网上的最新威胁情报，实时的更新情报库。

5、关联分析技术

把前述的技术关联在一起，进一步分析的威胁的方法。我们已经知道APT攻击是一个过程，是一个组合，如果能够将APT攻击各个环节的信息综合到一起，有助于确认一个APT攻击行为。通过ids+情报+沙箱+机器学习等综合的判断网络数据是否有威胁。

综合分析技术要能够从零散的攻击事件背后透视出真正的持续攻击行为，包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术，等等。

6、安全人员的挖掘，提升安全防御技术

要实现对这种有组织隐蔽性极高的攻击攻击，除了监测/检测技术之外，还需要依靠强有力的专业分析服务做支撑，通过专家团队和他们的最佳实践，不断充实安全知识库，进行即时的可疑代码分析、渗透测试、漏洞验证，等等。安全专家的技能永远是任何技术都无法完全替代的。

感谢大家的持续关注，我们会持续推出更专业的文章和视频，想深度学习的小伙伴可以私信我们加我们的学习交流群，也可以加入我们的头条圈子！！