治白癜风哪里好 http://disease.39.net/bjzkbdfyy/171015/5762961.html什么是失陷?主机失陷一般是指主服务器被植入木马程序(此类木马程序一般做过免杀等处理,普通的、基于特征的杀毒软件可能无法发现或定位),从而被远程人员或组织操控,达到窃取重要数据、敲诈勒索等目的。这种过程一般被称作高级持续威胁(AdvancedPersistentThreat,简称APT),它持续的时间较长、手段隐蔽,很难被发现。iNFA失陷分析iNFA将失陷分为6个阶段(信息探测、入侵及投送、回连通讯、威胁扩散、收集数据、盗取数据/破坏)且均支持威胁举证,协助用户快速分析失陷原因,追踪溯源。iNFA以Kill-Chain(杀伤链)分析技术为核心,结合其它设备的日志信息,实时确定失陷的主机以及当前失陷的阶段,大大降低了安全运维的难度,提高了安全运维的及时性。1.信息收集:黑客使用端口扫描、漏洞探测等工具或手段对相关主机进行刺探,一旦发现能够利用的弱点则采取下一步行动,故建议关闭具有风险的端口、及时升级相关软件或使用加密方式进行通讯。2.入侵及投送:一般指黑客利用受害者主机的漏洞或者使用钓鱼等方法投送木马等有害程序。3.回连通讯:当受害者主机被植入木马、电子加密货币挖矿客户端等有害程序时,这些程序会以隐蔽的方式和控制主机进行连接。4.威胁扩散:受害主机被植入有害程序(包括木马、蠕虫、勒索等),会在其所能探测的范围内对其它主机进行侦测,一旦发现可以利用的后门就进行传播。5.收集数据:指受害主机以较为隐蔽的方式收集本机或内网内被其攻陷的主机相关重要数据。6.盗取数据/破坏:指受害主机将收集到的相关数据投送到远端,或者破坏其所在主机的重要数据(包括加密重要文件等)。失陷详情失陷分析直观的呈现当前失陷设备所处失陷阶段,通过安全事件详情证实失陷原因溯源分析(1)黄金眼以失陷主机为中心,呈现威胁整体态势。可以根据选择的节点显示相应的威胁目标和威胁端口。支持基于该主机下钻安全事件和网络会话溯源分析。过滤功能支持:时间范围,节点数量,仅
