文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2021.12.003
引用格式: 何樹(shù)果,,袁瑗,朱震,,等. 基于ATT&CK框架的域威脅檢測(cè)[J].信息技術(shù)與網(wǎng)絡(luò)安全,,2021,40(12):15-18,,25.
0 引言
互聯(lián)網(wǎng)企業(yè)規(guī)模不斷擴(kuò)張,隨之而來(lái)的是計(jì)算機(jī)數(shù)量的逐年增加,。微軟為管理員提供了兩種方式管理計(jì)算機(jī),,即域和工作組。默認(rèn)情況下,,計(jì)算機(jī)會(huì)加入工作組,,但是工作組在管理上屬于分散型,很難用于集中管理,,更加適用于小型網(wǎng)絡(luò),。其中,為提升大型網(wǎng)絡(luò)的管理效率以及安全性,,微軟提供了域技術(shù)來(lái)管理大型網(wǎng)絡(luò)中的計(jì)算機(jī),,輔助管理人員對(duì)計(jì)算機(jī)進(jìn)行集中管理[1]。在域中,,使用域控制器(Domain Controller,,DC)進(jìn)行管理,使用服務(wù)器為申請(qǐng)連接的計(jì)算機(jī)進(jìn)行驗(yàn)證,,DC中存放著域賬戶(hù),、密碼以及隸屬于域的計(jì)算機(jī)信息等。如果某臺(tái)計(jì)算機(jī)想要連接這個(gè)域,,域控制器會(huì)根據(jù)賬戶(hù)和密碼來(lái)判定這臺(tái)計(jì)算機(jī)是否屬于這個(gè)域,,從一定程度上對(duì)網(wǎng)絡(luò)安全管理進(jìn)行了加強(qiáng)。
使用域技術(shù)進(jìn)行管理是目前很多企業(yè),、工廠都會(huì)采用的一個(gè)常見(jiàn)管理方法,。由于DC中涵蓋了域的敏感信息,因此域管理下的網(wǎng)絡(luò)安全是需要建立在DC的安全之上的[2],。一旦域管理員的賬號(hào)和密碼泄露,,黑客便可以利用盜取的高權(quán)限賬戶(hù)來(lái)操縱域環(huán)境,進(jìn)行信息盜取,、投放病毒,、留后門(mén)維持訪問(wèn)等操作,,因此域滲透已經(jīng)成為了黑客入侵企業(yè)網(wǎng)絡(luò)的主要手段之一。一旦域控服務(wù)器被黑客攻陷,,可能會(huì)導(dǎo)致企業(yè)的敏感信息泄露,、工作進(jìn)度癱瘓、被黑客勒索等后果,,會(huì)給企業(yè)帶來(lái)非常嚴(yán)重的損失[3],。保障域安全是域管理的重要環(huán)節(jié),傳統(tǒng)的防御方式主要是從防御者的角度去提出解決方案,,但往往面臨著覆蓋范圍不全面,、難以檢測(cè)新的未知威脅等問(wèn)題[4]。
本文詳細(xì)內(nèi)容請(qǐng)下載:http://wldgj.com/resource/share/2000003890
作者信息:
何樹(shù)果1,,袁 瑗2,,朱 震1,盧圣龍1,,陳嘉磊1,,畢鑫泰1
(1.北京升鑫網(wǎng)絡(luò)科技有限公司 青藤云安全人工智能實(shí)驗(yàn)室,北京101111,;
2.西南大學(xué) 計(jì)算機(jī)與信息科學(xué)學(xué)院,,重慶400715)