随着目前信息技术的迅猛发展,企业内部网络威胁形式呈现了多样化、复杂化的特点,也面临着如APT攻击等新一代威胁的挑战,这一类威胁不仅传播速度更快,其利用的攻击面也越来越宽广,在这种威胁的常态下仅仅依靠传统的防火墙、入侵检测等安全防护设备已经不能完全满足企业用户的网络安全防护需要。以网络安全PDR模型来看,传统网络安全还是以“防护(P)”为主,但是随着攻击技术的发展,原有的防御手段不能满足需求时,攻防的平衡被打破,整个安全体系出现了缺失,因此,为了满足企业应对新形势威胁的安全防护需求,需要加强PDR模型中“检测(D)”和“响应(R)的安全防御能力,以使得整个安全体系重新恢复平衡,这其中在现阶段又以检测能力最为关键。
失陷主机检测,是企业应对新形势威胁的有效检测手段之一,其通过检测分析手段,快速定位攻击行为,并对攻击行为进行溯源,做到在攻击行为产生恶劣影响之前及时感知已失陷的主机,从而做到提前预警及快速响应,以降低恶意攻击行为对企业内网造成的影响和损失。失陷主机通常是指网络入侵攻击者以某种方式获得控制权的主机,在获得控制权后,攻击者可能以该主机为跳板继续攻击企业内网的其他主机;另外,失陷主机往往具有无规律性、高隐蔽性的特点,很多入侵动作本身难以识别或无法确认攻击是否成功,但通过攻陷后的各种动作可以判断该主机已经被攻陷。通常可以通过以下任一种行为,判断该主机可能已经失陷:
- 通过分析确认主机已经遭到了外部攻击,并发现有以该主机为发生源对内网发起攻击事件;
- 通过安