0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

什么是IOC?应该如何识别和响应?

虹科网络可视化技术 2024-03-21 08:04 次阅读

近期,Wireshark 大学和 虹科Allegro Packets联合举办了网络取证和入侵分析线上培训课程,这是亚太地区的首次培训,目的是为了帮助企业熟练运用Allegro流量分析仪和Wireshark,准确识别失陷指标(IoC)。还将有机会与前黑帽(Blackhat)取证调查员Phill Shade一同探讨真实世界的网络取证案例研究哦。

本文先与大家探讨IOC的概念、类型、常见示例以及相关解决方案和工具,同时比较IOC与IOA的区别,并探讨高级网络和安全培训的重要性

夏雨

资深网络工程师

网络工程师,专攻网络通信,负责网络流量监控的产品技术服务和售后服务,经验丰富,响应迅速。

一、网络安全中的IOC是什么

Indicators of Compromise(IOC),也被称为失陷指标,经常用于取证调查场景,指的是网络攻击或安全漏洞导致的主机受损的证据,比如恶意文件哈希值,恶意软件的特征,恶意的IP地址、URL、域名等被动识别的信标。这些指标是恶意行为者留下的有形线索或痕迹,有助于企业识别、分析、调查和修复网络安全事件,使企业能够迅速做出反应,减轻漏洞造成的影响。

二、IOC和IOA有什么区别

攻击指标(IOA)和失陷指标(IOC)是网络安全中很有价值的概念,但它们在侧重点、时间范围和使用方法上都有所不同。以下是 IOA 和 IOC 的主要区别:


侧重点:IOA 重点关注攻击者在持续网络攻击中使用的战术、技术和程序 (TTP)。它们通过识别表明存在恶意活动的可疑行为或模式,帮助检测正在发生或即将发生的攻击。而 IOC 则侧重于识别表明系统或网络已被入侵的线索或证据。它们来自于观察到的恶意活动,并提供识别成功入侵的信息

时间范围:IOA 通常在攻击的早期阶段使用,以检测和应对正在发生的威胁。它们可帮助企业实时识别和缓解攻击,从而实现主动防御。另一方面,IOC 在攻击发生后使用。它们对于事件后调查和取证分析非常有价值,可以确定入侵的范围、影响和根本原因。

使用方法:IOA 具有前瞻性,可帮助安全团队根据已知的攻击模式和技术识别潜在的威胁或攻击。它们重点关注攻击者的行为和活动,以便在攻击得逞之前检测和预防攻击。而 IOC 是反应性的,用于在攻击发生后识别是否存在漏洞。它们可帮助企业识别和应对安全事件,评估危害程度,并实施补救措施。

范围:IOA 涵盖更广泛的潜在攻击场景和技术。它们使用行为分析、异常检测和启发式方法来识别潜在的恶意活动。而 IOC 通常基于与特定威胁或入侵相关的已知签名、模式或工具。它们包括与已知恶意实体相关的特定文件哈希值、IP 地址、URL 或模式等指标。


总之,IOA 侧重于通过识别正在进行的攻击中的可疑行为和活动来检测和预防攻击,而 IOC 则用于通过分析入侵后留下的线索来追溯性地识别和调查安全事件。IOA 和 IOC 在增强组织的整体安全态势和事件响应能力方面都发挥着至关重要的作用。

三、IOC有哪些类型

安全团队依靠各种 IOC 来保护网络和端点系统。各种来源以不同的方式对 IOC 进行分类。有一种方法是将其分为三大类:

基于网络型。基于网络的 IOC 包括异常流量模式或意外使用协议或端口等事件。例如,访问某个特定网站的流量可能突然增加,或者与已知恶意的 URL、IP 地址或域的连接出现意外。

基于主机型。基于主机的 IOC 可揭示单个端点上的可疑行为。它们可能包括各种潜在威胁,包括未知进程、可疑哈希文件或其他类型的文件、系统设置或文件权限的更改,或文件名、扩展名或位置的更改。基于文件的 IOC 有时与基于主机的 IOC 分开处理。

异常行为型。行为型 IOCs 反映的是整个网络或计算机系统的行为,如反复尝试登录失败或在不寻常的时间登录,这一类别有时被纳入其他类别。

通过使用各种类型的 IOC,安全团队可以更有效地检测和应对安全漏洞,并更积极地预防安全漏洞。

四、IOC 的常见示例有哪些

1、异常出站网络流量

离开网络的流量是 IT 团队用来识别潜在问题的一个指标。如果出站流量模式可疑异常,IT 团队可以密切关注,检查是否有问题。由于这种流量来自网络内部,因此通常最容易监控,如果立即采取行动,就能阻止多种威胁。

2、网络钓鱼电子邮件

网络钓鱼电子邮件是攻击者获取敏感信息或在受害者系统中安装恶意软件的一种常见方式。要识别这些电子邮件可能很困难,因为它们通常看起来像是来自可信来源的合法通信。但是,如果发现任何可疑的电子邮件,例如要求提供登录凭据或指向陌生网站的链接,一定要谨慎并进一步调查。


3、特权用户账户活动异常

特权用户账户通常可以访问网络或应用程序的特殊或特别敏感的区域。因此,如果发现异常情况,就可以帮助 IT 团队在攻击过程中及早识别,从而避免造成重大损失。异常情况可能包括用户试图提升特定账户的权限,或使用该账户访问其他拥有更多权限的账户。

4、地理位置异常

如果有来自本企业通常不与之开展业务的国家的登录尝试,这可能是潜在安全漏洞的迹象。这可能是其他国家的黑客试图进入系统的证据。


5、其他登录信号

当合法用户尝试登录时,他们通常会在几次尝试后成功登录。因此,如果现有用户多次尝试登录,这可能表明有坏人试图侵入系统。此外,如果用不存在的用户账户登录失败,这可能表明有人在测试用户账户,看其中一个账户是否能为他们提供非法访问。


6、数据库读取量激增

当攻击者试图外泄数据时,他们的努力可能会导致读取量膨胀。当攻击者收集用户信息并试图提取时,就会出现这种情况。

7、HTML 响应大小

如果典型的超文本标记语言(HTML)响应大小相对较小,但注意到响应大小要大得多,这可能表明数据已被外泄。当数据传输给攻击者时,大量数据会导致更大的 HTML 响应大小。

8、对同一文件的大量请求

黑客经常反复尝试请求他们试图窃取的文件。如果同一文件被多次请求,这可能表明黑客正在测试几种不同的文件请求方式,希望找到一种有效的方式。


9、不匹配的端口应用流量

攻击者在实施攻击时可能会利用不明显的端口。应用程序使用端口与网络交换数据。如果使用的端口不正常,这可能表明攻击者试图通过应用程序渗透网络或影响应用程序本身。

10、可疑的注册表或系统文件更改

Windows 注册表包含敏感信息,例如操作系统和应用程序的配置设置和选项。不断修改注册表可能表明攻击者正在创建用于执行恶意代码的系统。恶意软件通常包含更改注册表或系统文件的代码。如果出现可疑更改,则可能是 IOC。建立基线可以更容易地发现攻击者所做的更改。


11、DNS 请求异常

黑客经常使用命令与控制(C&C)服务器通过恶意软件入侵网络。C&C 服务器会发送命令以窃取数据、中断网络服务或用恶意软件感染系统。如果域名系统 (DNS) 请求异常,特别是来自某个主机的请求,这可能就是 IOC。

此外,请求的地理位置可以帮助 IT 团队发现潜在问题,尤其是当 DNS 请求异常国家或地区的合法用户时。


12、未知软件安装

系统上突然出现未知的文件、服务、进程或应用程序,例如意外的软件安装。

五、IOC 解决方案和工具

企业需要制定强大的安全策略来有效识别和响应IOC,例如:

1、扩展检测和响应 (XDR)平台

XDR 使组织能够收集、分析和关联来自多个来源(包括 IoC)的安全数据,以检测潜在威胁。

2、终端安全防护平台

这些平台允许安全团队收集、搜索和执行针对 IoC 的规则。例如Morphisec ,它可识别并记录 IOC,生成警报并生成报告,使安全团队能够及时采取行动。同时Morphisec也可以阻止绕过基于签名或基于行为的检测的最危险攻击,补充并增强下一代防病毒和终端检测与响应解决方案。

3、安装自动检查工具

反病毒和反恶意软件工具可以帮助检测和消除系统中被识别为 IoC 的恶意代理。不过,即使使用了先进的工具,也要记住零日攻击(软件、硬件和安全社区未知的新攻击)可能不会被这些工具检测到,并造成严重破坏。因此,不应完全依赖这些工具。


4、网络流量监控和分析工具

这些工具例如wireshark、虹科Allegro流量分析仪可以捕获和分析实时或历史网络流量,检测异常的网络流量模式,如大量的未经授权数据传输、异常的端口使用等,同时能够帮助安全团队深入分析网络流量的协议,识别异常或不正常的协议行为,例如未经授权的协议使用或变种协议。通过监控流量并检查与已知恶意IP地址和域名的通信等等,这些工具可以帮助识别可能的IoC。

5、紧跟技术前沿趋势和报告

从可靠的公开 IoC 信息源网站了解有关 IoC 的趋势和报告。此外,公认的 IoC 的内部数据库可以集成到监控工具和 SIEM 中。

Allegro 网络万用表是一款功能强大的实时网络万用表,用于检测网络问题。它测量从第 2 层到第 7 层的许多性能参数,用于故障排除和网络分析。Allegro 彻底改变了网络分析的市场,用移动设备分析大量的数据包,提供了一个结合以前解决方案优势的调试工具。

艾体宝公司(itbigtec.com)是一家前瞻性的技术企业,专注于提供尖端的数据存储数据智能全面的安全与合规性,以及高效的网络监控与优化服务解决方案。我们的使命是通过技术创新,赋能企业在复杂的数字化转型浪潮中实现卓越的运营。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3098

    浏览量

    59500
  • IOC
    IOC
    +关注

    关注

    0

    文章

    28

    浏览量

    10080
收藏 人收藏

    评论

    相关推荐

    请问TAS5611A蜂鸣代表什么?Ioc是如何计算的?

    输出功率,我将Rocp由30K改为22K,功率得以提高但是输出18V后还是会蜂鸣,若此时输出短路(out+/-短接)理论上IC会过流保护吗?Rocp的改变会引起了Ioc的改变,Ioc是如何计算的?
    发表于 10-28 06:15

    什么是离线语音识别芯片?与在线语音识别的区别

    离线语音识别芯片适用于智能家电等,特点为小词汇量、低成本、安全性高、响应快,无需联网。在线语音识别功能更广泛、识别准确率高,但依赖稳定网络。
    的头像 发表于 07-22 11:33 323次阅读

    什么是智慧运营中心IOC?功能有哪些?

    随着智能时代的到来,越来越多的行业管理者开始使用先进的运营管理中心,以前的已经不能够满足于需求了。那么,什么是智慧运营中心IOC?功能有哪些?想必很多人都还不太了解,今天古河云科技就来给大家聊一聊
    的头像 发表于 05-23 14:35 699次阅读
    什么是智慧运营中心<b class='flag-5'>IOC</b>?功能有哪些?

    怎么让工程中同时存在两个ioc文件?

    你好,我现在需要在一个工程中兼容两个不同的项目,这两个项目有不同的配置文件,请问可否让两个ioc文件同时存在,通过修改路径之类的方法来使需要的ioc文件生效?
    发表于 05-23 07:50

    STM32cubeide如何能打开以前cubemx工程文件(*.ioc文件)?

    请教: STM32cubeide为STM32CubeMX+编译器的整合版本 为了缩减开发时间,想直接打开原来cubemx的项目。 请教:STM32cubeide如何能打开以前cubemx工程文件(*.ioc文件)
    发表于 04-16 08:03

    负载瞬态响应----增强环路稳定性测试

    (PWM)信号在一段时间内的正占空比变化,我们可以更深入地了解负载瞬态响应的情况。现代示波器不仅具备这样的功能,还帮助我们识别未知的转换器影响。您的任务在电源设计中为了
    的头像 发表于 04-13 08:30 723次阅读
    负载瞬态<b class='flag-5'>响应</b>----增强环路稳定性测试

    USBCDC发数据,串口助手可以接收但是太多太快导致未响应怎么解决?

    最近在做USB CDC虚拟串口的通信问题,驱动成功了,串口识别了,但是串口助手接收数据时会未响应,这样肯定是不行的。 我的程序就是从STM32CUBE上弄下来,然后用USB_CDC_FS发送数据
    发表于 04-11 07:16

    stm32cubeIDE 1.6.1 ioc中的字体很大如何解决?

    今天把stm32cubeIDE 升级到1.6.1版本,就出现打开.ioc配置界面中的字体很大,设置的内容一屏只能放下几项的问题,请问大家有知道如何解决这个问题吗?之前的版本么有这个问题
    发表于 04-07 06:31

    stm的例程没有ioc文件,请问怎样图形化编辑引脚?

    为什么stm的例程 没有ioc文件,那请问咋样图形化编辑引脚
    发表于 03-28 08:29

    可以编译运行的工程代码中不存在.ioc文件有办法生产.ioc吗?

    可以编译运行的工程代码中不存在.ioc文件,有办法生产.ioc吗?
    发表于 03-26 08:00

    STM32Cube打开电机库ioc文件报错的原因?

    STM32Cube打开电机库ioc文件报错
    发表于 03-21 06:40

    在.IOC文件的图标上多了钥匙图案是什么原因?

    在.IOC文件的图标上多了钥匙图案是什么原因?
    发表于 03-21 06:01

    LT8610开关稳压器的电源动态响应该如何测试?

    目前将LT8610连接负载进行电源你的动态响应测试,但是发现该开关稳压器的输出端口在负载变换时,输出电压不发生改变,电压的变化没有展现出来,想请教一下,该开关稳压器的动态响应该如何测试,该开关稳压器的最大负载量是多大?
    发表于 01-03 11:09

    离线语音识别及控制是怎样的技术?

    进行处理。  离线语音识别能够在设备上实现实时的语音识别响应,具有响应速度快、隐私保护好、稳定可靠等优势。它广泛应用于移动设备、智能音箱、嵌入式系统等场景,为用户提供便利的语音输入和交
    发表于 11-24 17:41

    什么是二阶电路的零状态响应和零输入响应?零输入响应的步骤有哪些?

    什么是二阶电路的零状态响应和零输入响应?二阶电路的零输入响应的步骤有哪些? 二阶电路是指由电容、电感和电阻构成的回路,其数学模型可以通过二阶线性常微分方程来描述。在这个方程中,二阶电路的输入可以分为
    的头像 发表于 11-21 15:18 2913次阅读