攻防技术第二篇之-知己（防御手段）

文章目录

攻防演练
POC
Payload
EXP
浏览器爬虫
反连平台
Fuzz
主动扫描
被动扫描
语义分析
业务建模
流量拦截
用户枚举
插件
访问控制列表ACL
cookie防护
BOT防护
频率限制
反静态分析技术
动态令牌
代码混淆
隐蔽信道检测
CWPP/HIDS/HIPS/EDR
拟态防护
污点追踪
安全加固
数据流特征检测法
RBAC权限管控模式
安全基线核查
微隔离
堡垒机
NDR
加密流量检测
网络杀伤链
SIEM/SOC/态势感知
SOAR
组件
剧本
IP自动化封禁
威胁情报
关联分析
MITRE Engage
主动防御
Deception
蜜罐
诱饵
蜜罐运营
攻击中画像
攻击诱捕/威胁狩猎
溯源反制

攻防演练

攻防演练是指在不影响企业正常业务系统运行的前提下，针对目标单位从多角度多方面进行尽可能贴合真实的模拟攻击入侵，以检验目标单位的安全建设现状，发现目标薄弱点，锻炼应急响应能力等。相似的概念还有攻防演习、红蓝对抗等。
一般开展过程中分为攻击方和防守方，部分情况下会设立中立方（裁判组/指挥部等）
[1]攻击方（蓝队）：负责尽可能深入地对目标进行攻击。为了尽可能真实地模拟攻击，尽量不限制攻击方手段，
一般除开常规的渗透手段，还包括钓鱼、社工、近源等多个维度的攻击；
[2]防守方（红队）：负责阻止攻击者，及时地发现入侵，并对入侵行为进行应急响应和追踪湖源。在常规项目实施中，一般不会特意组建防守方，而是基于目前企业的防护体系来进行防御，不一定设有中立方。但在省部级或国家级等大型演练中，企业可能会针对性地组建防护团队，且有正规的裁判组或指挥部来确保整个演习的组织性、纪律性，进行风险把控和评分等。在国外也有称攻击为红队，防守为蓝队的说法。

POC

POC，全称"Proof of Concept”，中文“概念验证〞，常指一段漏洞证明的代码。其核心目的是验证漏洞是否存在，并非也不期望进行拿下服务器权限亦或者敏感数据的操作。

Payload

渗透测试中所谓的Payload是有效载荷，指真正在目标系统执行的代码或指令，是病毒或者木马执行的一些有害的恶性动作，一些情况下也指探测或验证漏洞的请求。

EXP

EXP是英文exploit的缩写，指的是漏洞利用。POC用来验证漏洞是否存在，EXP则直接对漏洞进行利用，大部分情况下EXP也可以用来当作POC使用。

浏览器爬虫

爬虫是web主动扫描过程中信息收集的方式，用来爬取站点信息。浏览器爬虫即通过浏览器进行网站爬取的信息收集爬虫。其和普通爬虫的区别是能够正确地渲染使用javascript技术的网站，获取更丰富的页面信息，爬取到更多的扫描入口。浏览器爬虫还拥有自动化的表单填充和提交能力，能够模拟人的行为对页面进行一定操作，以触发更多的请求。使用浏览器爬虫可以优化主动扫描的质量，但相对普通爬虫开销较大。

反连平台

反连平台常用于解决没有回显的漏洞探测的情况，最常见的应该属于ssr和存储型xs5。渗透测试人员常用的xSs平台就是反连平台。

Fuzz

Fuzz本意是“羽毛、细小的毛发、使模糊、变得模糊”，后来用在软件测试领域，中文一般格“模糊观試，，在渗透测过中指的是一种基于黑盒或灰盒的测试技术，通过自动化生成并执不大量的随机测试用例来发现产品或协议的未知漏洞。FUZz技术本质是依赖随机函数生成随机测试用例，随机性意味着不重复、不可预测，可能有意想不到的输入和结果。
根据概率论里面的 “大数定律〞，只要重复的次数够多、随机性够强，那些概率极低的偶然事件就必然会出现。Fuzz技术就是大数定律的典范应用，足够多的测试用例和随机性，就可以让那些隐藏得很深很难出现的BuQ成为必然现象。在一些黑盒扫描测试中，FuZz依赖已知能造成攻击效果的Payload进行。

主动扫描

主动扫描通过扫描器本身主动发起探测请求获取信息执行漏洞扫描，首先对需要扫描的目标进行信息收集动作，如主机存活探测，端口存活探测，爬取站点信息等，进而对收集的信息发起漏洞扫描。主动扫描需要人工千预较少，较为方便快捷。

被动扫描

被动扫描指被动接收信息来源，执行漏洞扫描动作。信息来源包括流量、文件、消息队列等。扫描器目前通过代理、镜像流量分析、日志/burp文件分析、kafka消息队列识别等方式对多种信息来源进行分析处理，得到关键的扫描入口信息，如信息中存在哪些请求，哪些Web站点服务，进而对提取到的信息进行漏洞扫描。被动扫描的优点是可以人为丰富信息质量，获得变好的扫描精度和效果。

语义分析

语义分析是编译过程的一个逻辑阶段，语义分析的任务是对结构上正确的源程序进行上下文有关性质的审查，进行类型申查。语义分析是申查源程序有无语义错误，为代码生成阶段收集类型信息。比如语义分析的一个工作是进行类型审查，审查每个算符是否具有语言规范允许的运算对象。当不符合语言规范时，编译程序应报告错误，如有的编译程序要对实数用作数组下标的情况报告错误，又比如某些程序规定运算对象可被强制，那么当二目运算施于。整型和一实型对象时，编译程序应将整型转换为实型而不能认为是源程序的错误。
语义分析应用在攻防领域中，让安全产品像人理解语言一样理解攻击的底层逻辑，尤其是在强对抗的攻防演练中，发挥强有力的防守作用。

业务建模

业务建模指基于机器学习等方式对业务进行学习，建立业务在正常情况下的请求和响应的行为模型，后续其他请求响应对照该模型进行偏差度分析，识别出异常流量。通常异常流量是由以Oday为代表的各种新攻击方式的尝试产生的，防守方应重点进行关注和处置。

流量拦截

安全设备在对网络中流量进行检测时发现流量中有攻击行为，对攻击行为的阻断操作，一般网络层发tcp的reset，应用层发HTTP的403/405狀态码等。

用户枚举

用户指纹指基于客户端的各项信息，如：平台、屏幕大小、浏览器版本、生效的配置、电量等等参数生成较小概率重复的特定的标识，用于区分设备的唯一性，从而区分用户的唯一性。攻击者若通过快速变化1P等方式绕过基于IP的封禁、频率的限制，则可通过用户指纹的维度来进行检测和处置。

插件

插件是一种遵循一定规范的应用程序接口编写出来的程序，只能运行在程序规定的系统平台下，而不能脱离指定的平台单独运行。对于WAF来说，插件一般可以实现自动化封禁/数据统计等的程序.

访问控制列表ACL

访问控制列表 (AccessControlLists， ACL)是应用在路由、交换和防火墙等网络设备接口的指令列表。这些指令用来告诉网络设备哪些数据包可以通过、哪些数据包需要拒绝，每条指令中都包含源地址、目的地址、端口号、协议和动作等条件。
ACL在企业内网安全中发挥着不可或缺的作用，它可以有效规避很多外部和内部的信息安全司题。例如开发人员有权限登录生产环境的某些机器，ACL可以防止他们利用这些机器跳转湖到其他不属于其权限范围的机器。又例如攻击者通过网站获取到内网服务器的控制权限，ACL可以限制攻击者在内网中横向移动的范围，降低危害。

cookie防护

cookie是存储在计算机硬盘上的一小块信息，允许访问的网站鉴别访问者的身份，加速事务处理，监控防控行为和为用户个性化显示。然而，cookie也允许未授权的人存取，在缺少安全措施的情况下，攻击者能够检查一个cookie并得到其用途，编辑它以帮助攻击者从发送cookie的网站上获得用户的信息。攻击者利用诸如cookie 篡改 (cookie poisoning) 等方式.可获得用户未授权信息，进而盗用身份，攻击者可使用此信息打开新账号或者获取用户已存在账号的访问权限。
而cookie防护则通过设定cookie属性，对cookie进行加密和篡改检测等操作，发现异常行为，进行阻断，从而对cookie相关攻击进行防护。

BOT防护

BOT防护也叫机器人防护、人机验证，指通过js挑战、验证码、动态令牌、行为分析、代码混淆等技术对真人和自动化工具做出区分和防护，防止利用自动化工具进行站点和接口的发现、漏洞的扫描、CC攻击、重放攻击、暴力破解等攻击行为的出现，并可防止恶意刷票、恶意抢单、恶意注册等业务攻击行为。

频率限制

频率限制是在WAF上针对CC攻击的一种防护方式，通过针对某些api做一定访问频率限制，可有效防御CC攻击/账户爆破等，如限制登录接口http://www.aaa.com/login.php的访问频率为5分钟内访问10次，当1P/session超过访问频次后在未来的

反静态分析技术

反静态分析技术，即对web页面的代码进行;混潘和变形，虽然每次浏此页面时显示上没有安化，但是每次河览请求都会发生委化，机器人很难去做解析与区分，进而达到防御目的。反静态分析技术主要包括两方面内容：一是对程序代码分块加密执行。为了防止程序代码通过反汇编进行静态分析，程序代码以分块的密文形式装入内存，在执行时由解密程序进行译码，某一段代码执行完牛后立即清除，保证任何时刻分析者不可能从内存中得到完整的执行代码；二是伪指令法 (unk code），在指令流中插入“皮指令〞，使静态反汇编无法得到全部正常的指令，不能有效地进行静态分析。

动态令牌

动态令牌也叫动态口令，是根据专门的算法生成一个不可预测的随机数字组合，一个密码使用一次有效，可有效防止账户密码爆破攻击行为，保证了系统的安全性。常见的动态口令有硬件方式如银行令牌，软件方式如googleauth、短信验证码等。

代码混淆

代码混淆是指将可阅读的代码转换成难以阅读的形式，以应对攻击者获取到可阅读源码后进行攻击。代码混淆有三种方式：
[1]字符串加密，即对应用程序中使用到的宇符串进行加密，防止通过1DA等工具获取关键词定位核心业务代码；
[2]类名、方法名混清，指将代码中类名、方法名、属性名替换为无意义符号，增加代码逆向难度；
[3]程序结构混淆加密，指对应用程序逻辑结构进行打乱混排，保证源码可读性降到最低

隐蔽信道检测

隐蔽信道是通过在合法信息流中嵌入特殊编码来传揄非法或秘密信息。通常，攻击者会使用隐蔽信道躲避防火墙和/DS等，通过不可检测的网络从目标主机窃取数据，而这些流量在网络监控设备/ 应用和网络管理员看来像是一般的正常流量。两个端点用户可以利用隐蔽信道，进行无法被检测到的网络通信。
绝大多数隐蔽信道研究都是基于第3层（网络）和第4层（传输）协议，如ICMP，IP和TCP，经常使用的还有第7层（应用）协议诸如HTTP和DNS。做好隐蔽信道检测，要对协议报文进行更深层次的合法性检查，监控网络DNS活动和阻止可疑域是抵御此类攻击的有效技术之，对于分析DNS流量以识别恶意网络活动，可以使用字符频率分析的DNS隧道检测方法。

CWPP/HIDS/HIPS/EDR

[1]cwpP (cloud workload Protection Platform），云工作负载安全防护平台，是由Gartner提出的安全概念，是指以工作负载为中心的安全产品，旨在解决现代混合云多云数据中心基础架构中服务器工作负载的独特保护要求。CWPP应该不受地理位置的影响，为物理机、虛拟机、容器和无服务器工作负载提供统一的可视化和控制力，CWPP产品通常结合使用网络分段、系统完整性保护、应用程序控制、行为监控、基于主机的入侵防御和可选的反恶意软件保护等措施，保护工作负载免受攻击;
[2] HIDS (Host-based Intrusion Detection System)，主机型入侵检测系统，面向服务器环境做针对性入侵检测，作为传统攻防视角的重要一环，有着不可替代的作用，可以有效地检测到从网络层面难以发现的安全问题；
[3]HIPS (Host-based Intrusion Protection System），主机型入侵防御系统，在HIDS的基础上除了检测还可以完成自动化安全防护动作;
[4]EDR (Endpoint Detection and Response），端点检测和响应，是一种主动式端点安全解决方案，通过记录终端系统事件，并将这些信息本地存储在端点或集中数据库，结合已知的10C、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁，并对这些安全威胁做出快速响应，还有助于快速调查攻击范围，并提供响应能力

拟态防护

拟态防护的理念来源于生物学中“生物模拟环境中的其他物体从而获得好处〞的概念，它以在网络攻击对抗中争取更多的响应处聲时同为目标。其原理是攻击者入侵后需要驻留后门程房执行恶意行为和维持访问，防守方特进留的后门在攻击者无感知的倩况下转移到沙箱环境，形成拟态欺號。简单来说就是让正常的业秀面向不同的访问者体现出不同的状态，对于同一个业务，正常用户访问时是业务应用，而当检测到是攻击者访问时业务就会被替
换成蜜罐。

污点追踪

污点追踪也被称为污点分析，是一种软件流程分析技术，在漏洞检测、攻击检测等领域有着十分广泛的应用。污点追踪包含三个重要概念：污点源 (sources)、无害化操作(sanitizers)、污点汇聚点 (sinks）。其方法简而言之就是分析程序中由污点源引入的数据是否能够不经无害处理，而直接传播到污点汇聚点，通过分析结果判断信息流是否安全

安全加固

主机安全加固是对信息系统中的主机系统的脆弱性进行分析并修补。另外，安全加固也包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策路的增强。安全加固是配置软件系统的过程，针对服务器操作系统、数据库及应用中间件等软件系统，堵塞漏洞 “后门〞，合理进行交全性加强，提高其健壮性和安全性，增加攻击者入侵的难度，系统安全防范水平得到大幅提升。

数据流特征检测法

数据流特征检测法是將代码申计的经验映射到有向因的特征中，让程序自动化提取攻击特征并进行分析的方法，是有效检测PHP webshell的利器。在webshell中，PHP类别是最复杂的，因为PHP支持太多动态特征，PHP类别的webShell混淆方式也随之增多，静态检测和动态检测这两种普遍的检测方法，在面对PHP webShell时也有心无力，数据流特征检测法则针对性解决了这一问题。

RBAC权限管控模式

RBAC (Role-Based Access Control，基于角色的访问控制）模型，模型的三个基本属性分别为用户、角色和权限，将权限分配给角色，再将角色分配给相关的用户，权限具体定义用户可以做哪些事情，是企业常用的一种访问控制模型。如果没有权限控制，系统的功能完全不设防，用户登录以后可以使用系统中的所有功能，这是实际运行中不能接受的。所以权限控制系统的目标就是管理用户行为，保护系统功能。
RBAC支持三个著名的安全原则：最小权限原则、责任分离原则和数据抽象原则。主机防护应用RBAC管控模型，可有效处理多组织架构、多角色、多用户的多人协同办公场景。

安全基线核查

安全基线一般指配置和管理系统的详细描述，即该信息系统最基本需要满足的安全要求，包括服务和应用程序设置、操作系统组件的配置、权限和权利分配、管理规则等，例如是否存在不允许的用户账号、账号的口令策路是否存在问题等。这些安全配置直接反映了系统自身的安全脆弱性。安全基线核查的意义在于为达到最基本的防护要求而制定的一系列基准，通过安全基线核查，可以帮助企业认清自身风险现状和漏洞隐患。

微隔离

微隔离是细粒度更小的网络隔离技术，能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求，重点用于阻止攻击者进入企业数据中心网络内部后的横向平移（或者叫东西向移动），常被用来应对云计算环境中的安全需求。有别于传统防火墙单点边界上的隔离（控制平台和隔离策略执行单元都是男合在一台设备系统中），微隔离系统的控制中心平台和策略执行单元是分离的，具备分布式和白适应特点。从技术层面看，微隔离产品实现主要采用虛拟化设备和主机Agent两种模式，攻防对抗则是检验微隔离效果最直接的方式。

堡垒机

堡垒机指在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。
简单来理解的话，内部人员操作关键系统的时候如果通过堡垒机来操作，对应行为就能被监控。同时，如果限制各种服务器、数据库、安全设备等只能通过堡垒机操作，那么攻击面则收敛到了堡至机上，便于防守方进行加固防守。不过由于较多堡垒机保存了服务器的认证信息，因此一旦攻击队拿下堡至机的高权限账号后，也意味着攻击者可以任意登录任何一台堡垒机管控下的服务器。

NDR

网络威胁检测与响应 (Network Detection and Response, NDR)，使用机器学习、基于规则的检测和高级分析相结合的方法来检测企业网络上的可疑活动，主要强调新型网络威胁和高级网络威胁的检测和即时响应能力。
NDR能够自主采集穿过边界的南北向流量和内网的东西向流量，不依赖于防火墙、SIEM等其他产品组件，并且能够针对原始网络流量进行实时或接近实时的分析，以检测发现流量中的风险和异常，再通过分析结果和取证信息，定位到风险和异常的主机对象。NDR在检测网络的可疑流量方面非常有效，如横向移动或数据泄露，侧重于检测异常行为。

加密流量检测

攻防场景下的加密流量威胁划分为出联、入联和横向三类：
[1]出联威胁是指资产受控后主动向外部互联网C2与攻击者进行加密通信的流量；
[2]入联威胁是指攻击者主动发起针对资产的探测、攻击所产生的加密流量，或者是攻击者向已预置后门的服务（如各类webshell）主动发起连接的流量;
[3]横向威胁是指攻击者在横向移动阶段产生的资产与资产间的加密流量。对加密流量的检测，主流方法有2种：第一种是将流量进行解密并进行检測，这需要安全检测设备充当通信双方的代理或者由客户提供单独的解密证书;第二种是在不解密的情况下进行安全检测，通常会用到机器学习之类的技术。

网络杀伤链

网络杀伤链(Cyber Kill Chain）框架由Lockheed Martin开发，是intelligence DrivenDefense*模型的一部分，用于识别和预防网络入侵活动。该模型确定了对手必须完成什么才能实现其目标。杀伤链的七个步骤提高了对攻击的可见性，并丰富了分析师对对手战术技术和程序的理解。
七个步骤分别为：
[1]侦查：收集目标信息；
[2]武器构建：在确定突破口后有针对性的搭建攻击环境和制作工具；
[3]载荷投递：将构建好的武器投递到目标;
[4]漏洞利用：在受害者系统上运行利用代码；
[5]安装植入：在受害者系统上安装恶意软件；
[6]cc通信：建立可以远程控制受害者系统的隧道;
[7]目标达成：持续获取数据或攻击下一个目标。

SIEM/SOC/态势感知

安全信息和事件管理 (SIEM, Security information and Event Management)主要用以满足用户日益增长的安全日志管理（SIM) 和安全事件管理（SEM）需求。在大多数时候，SIEM破认为是一类产品或解决方案。

安全运营中心 (SOC, Security Operation Center)最广泛的观点认可这是技术（工具）、人、流程、“三位一体〞的结构单元、结构系统或解决方案．

态势感知 (SA, Situation Awareness）更偏向于一种技术能力体系或技术能力集合，对能够在大规模网络环境中引起网络态势发生变化的安全要素进行获取、理解、显示，以及颈测最近发展趋势的顺延性，而最终的目的是要进行决策与行动。
![image.png](https://img-blog.csdnimg.cn/img_convert/c465b101a974d4c41df61811b2261281.png#clientId=uf15cad5d-c3a0-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=342&id=u244b7f41&margin=[object Object]&name=image.png&originHeight=684&originWidth=2104&originalType=binary&ratio=1&rotation=0&showTitle=false&size=2565618&status=done&style=none&taskId=ub244c050-f651-4138-8bf8-ded09af9b01&title=&width=1052)

SOAR

SOAR是Gartner在2015年提出来的技术概念，最初定义是 “安全运营 (Security Operations)分析 (Analytics）和报告 ( Reporting)即利用机读的状态化的安全数据来提供报告分析与管理的能力，以支撑安全运营团队。

2017年，Gartner调整SOAR的定位为“安全编排 (Security Orchestration），自动化 (Automation)和响应 (Response ）"，强调SOAR 是一系列技术的集合，它使组织能够收集不同来源的安全威胁数据和告警，并借助人工与机器的组合操作进行事件分析和分诊，进而按照某种标准的工作流去帮助定义、确定优先级并推动标准化的事件响应活动。此定义随后每年有细节调整，但校心要义不变，并逐步被接受为安全运营体系建设中重要一环。

2020年，Gartner在技术成熟度曲线中，对SOAR的最新定义为：一类从各种来源获取输人，并应用工作流来拉通各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案。这些过程和规程可以被编排（通过与其它技术的集成）并自动执行以达成预期结果，如分诊管理，事件响应，威胁情报，合规性管理和威胁猎捕。

SOAR的核心价值在于，将全网各自为战的独立安全资产对接为自身组件，通过自动化或半自动化剧本將这些组件编排执行，从而提高安全运营中处置或响应的效率。

组件

SOAR中的重要概念，一个“组件”指一个具体的〞系统〞，及该系统所能执行的若干"动作"。如防火墙组件，指某一台防火墙，且该防火墙能执行封禁1P动作;主机安全组件，指某一类主机安全产品，以及该产品能执行的横向阻断和文件隔离动作。

剧本

SOAR中的蛋無概念，即各个安全组件投照特定场景进行编排，井遊照时序关系及判断条件执行响应动作的流程文本，有时也称为“流程〞。每一个剧本可能适用不同的政击事件和单位规程，以程科魔流種的我行效率，实现自动化或半自动化的智能响应水平。因剧本在国内落地存在因难，因此，防行单位应对50A尺剧本有合理预期，不应过度追求自动化而强行应用新的剧本，影响了原有安全体系的稳定运行。
空罐中也有剧木概念，蜜罐剧本是用来，导演〞攻击者进入埋伏國的部署设计方案，指导蜜网蜜罐建设以及诱饵的设计和投放。

IP自动化封禁

IP自动化封禁是SOAR的应用场景之一，核心功能为：在检测到攻击时，平台即时联动具有封禁能力的设备，白动封禁攻击1P完成攻击阻断。在实际应用中，由于攻击告警可信度、防火墙封禁存在性能上限、业务敏感度、公司安全管理制度等诸多原因，1P自动化封禁需考虑多方细节，如封禁方式多样化（自动/手动解禁、定时封禁、永久封禁、循环封禁）、封禁趋势与占比统计、攻击1IP的历史封禁信息、封禁设备列表及上限等。

IP自动化剧本的快速封禁能力，有效解决了攻防演练封禁压力大、值守空窗期人工响应滞后、统一入口无需频繁操作等问题，大幅降低了事件响应时间。

威胁情报

根据Gartner对威胁情报的定义，威胁情报是某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或西酿中的威胁或危書相关，可用于金产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威肋情报可以认为是续义的威胁情报，其主要内容为用于识别和检测威胁的失陷标识，如文件HASHt,IP，域名，程序运行路径，注册表项等，以及相关的归属标签。

关联分析

关联分析(Correlation Analysis）是SIEM产品的重要能力，简而言之，是从海量数据中，发现对象之间隐含关系与规律的过程,也称为关联规则学习。其价值在于通过聚合、统计、加权、关联等多种方法，减少需要安全团队关注的安全日志数量，可以基于实际业务环境对安全日志再研判，从而区分研判的优先级，提高安全分析效率。

关联分析的基础是数据白盒化。当前国内有基于killchain、ATT&CK等多种攻击威胁分析框架，也存在机器学习等多种关联分析方法，但基本作为厂商引擎或算法“黑盒化〞内置在产品当中，安全团队无法看清逻辑并根据实际告警质量调整。因此，SIEM产品应将取上来的数据白盒化呈现，安全团队可任意筛选接入的字段，并设立筛选条件，实现定制化关联分析规则编写。

当前关联分析的落地需要依赖：
[1]实际业务环境数据、安全告警数据的长期观测，了解到具体基线，优化设备检测策路和告警质量；
[2]安全团队具有较丰富的攻防对抗经验，能够根据数据情况、攻击场景预演练攻击情况，并编写检测规则。

MITRE Engage

MITRE Engage是讨论和规划对手交战、欺骗和拒绝活动的框架。Engage以现实世界中观察到的对手行为为依据，旨在推动网络战略成果。Engage的创建是为了帮助企业、政府网络安全产品服务社区计划和执行对手交战战略和技术的使用。
[1]对手交战：交战是拒绝和欺骗的结合，以增加对手的网络行动的成本和降低其价值。对手交战的目标是暴露对手及其弱点，了解他们的能力和意图，并对他们施加代价；
[2]网络拒绝：拒绝是指防止或损害对手收集情报的能力和努力。拒绝还支持防止或破坏对手实现效果的企图；
[3]网络欺骗：欺骗者开发欺骗性的事实以误导对手，同时隐瞒关键事实以防止对手形成正确的估计或采取适当的行动。

主动防御

主动防御是与被动防御相对应的概念，就是在入侵行为对信息系统发生脱响之前，能够及时精准预警，实时构建弹性防御体系，避免、转移、降低信息系统面临的风险。

随着大数据分析技术、云计算技术、SDN技术、安全情报收集的发展，信息系统安全检测技术对安全态势的分析越来越准确，对安全事件预警越来越及时精准，安全防御逐渐由被动防御的向主动防御转变。新型的主动防御技术如沙箱、蜜罐等相继出现，进一步弥补了攻防不对称的局面。这类技术主要解决 “已知的未知威胁〞

典型的主动防御技术包括：数据加密、访问控制、权限设置、漏洞扫描、蜜罐、新型的入侵检测和防护等。

Deception

Deception技术被定义为使用骗局或者假动作来阳挠或者推翻攻击者的认知过程，扰乱攻击者的自动化工具，延迟或阻断攻击者的活动，通过使用虛假的响应、有意的混淆、以及误导等伪造信息达到” 欺骗”的目的。

Deception技术可使攻击者可以相信网络信息系统存在有价值的、可利用的安全弱点，并具有一些可攻击窃取的资源，通过隐藏，伪造信息或安插错误信息，从而将攻击者引向这些错误的资源，它能够显著地增加攻击者的工作量，复杂度以及不确定性，从而使攻击者不知道其攻击是否奏效或成功。

Deception技术一般通过隐藏和安插错误信息等技术手段实现，前者包括隐藏服务、多路径和维护安全状态信息机密性，后者包括重定向路由、伪造假信息和设置圈套等等。

蜜罐

蜜罐 (Honeypot）是一种在互联网上运行的计算机系统。它是专门为吸引并诱骗那些试图非法闯入他人计算机系统的人而设计的，蜜罐系统是一个包含漏洞的诱骗系统，它通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务，因此所有对蜜罐尝试都被视为可疑的。

蜜罐往往参考单一设备进行实现，如摄像头、打印机等。由于其单节点的特性，蜜罐往往具备易开发、易维护、运行稳定度高等优势。它可以部署在任意的网络位置，可用以监视、检测和分析攻击。它通过模拟一个或多个易受攻击的主机和服务，来吸引和诱骗那些试图非法闯入的人对它实施攻击，从而捕获和分析攻击行为，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防守方清晰地了解安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

诱饵

诱饵是被有意地投放在互联网或企业内网里的各种留给攻击者的虚假情报，尤其是在攻击者信息收集的过程中，很多情报是都极具诱惑力，可将其攻击转移至蜜罐中，最终达到保护真实资产、潮源取证的目的。

根据类型和用途不同，可以分为日志诱饵、证书诱饵、账户诱饵、邮件诱饵、项目代码诱饵等。诱饵包括IP地址、用户账户、服务应用路径、密码本等信息，当攻击者获取诱饵里的信息后，一般会顺藤摸瓜，沿着诱镇里线索提供的主机、服务、应用进行深入渗透，进而将攻击者引诱到陷阱之中。

蜜罐运营

蜜罐运营将产品与服务结合，通过设计诱导攻击者进入埋伏圈的方案、诱饵部署及长线运营，提高蜜罐命中率和溯源反制成功率。

攻防演练期间，攻击队会在前期开始收集信息，蜜罐经过提前培养后，可以将“陷阱”有意识暴露出去，例如散布诱饵、隐蔽湖源等，大大提升攻防增强手段成功率，实现伪装欺骗效果最大化。蜜罐运营通常由剧本设计、蜜罐系统、蜜罐定制、运营服务四个部分构成。

攻击中画像

攻击者画像指从攻击现象入手，挖掘攻击源主体，即攻击者的武器，包括攻击资产、攻击手法、攻击工具等，进一步识别出使用武器背后的主体，即攻击者的身份，组织身份、所属组织等，结合历史和当前行为等数据，描绘出攻击者整体信息的集合。

通过攻击者画像，防御者可以针对性修改安全策略，提升安全防护等级。

攻击诱捕/威胁狩猎

威胁狩猎(Threat Hunting）指借助威胁数据、分析技术和专家经验，主动搜索、识别网络中未知威胁的过程。其核心思想是假设存在威胁，并开展主动和持续的搜索发现，以缩短发现攻击者踪迹所需时间和提高响应处置能力。

威胁狩猎是一个持续性、闭环的主动防御过程。狩猎团队基于网络中的异常情况，以安全假设作为狩猎的起点，借助工具、分析技术和攻击框架展开调查发现新的TTP（战术、技术和过程，Tactics Techniques Procedures，是描述APT组织及其攻击的重要指标）。除触发事件响应外，威胁狩猎会将新的TTP添加到分析平台或者安全管理平台。每一次威胁狩猎活动都可以拓展其发现能力，进而使得狩猎能够发现更广泛更多样的攻击。

溯源反制

溯源是指能够通过蜜罐，实现对攻击者更深一步的信息挖掘，获取到攻击者的攻击设备指纹、攻击者社交账号、社交信息、攻击者位置、1P等信息。

反制是指能够通过蜜罐中内置的陷阱，诱导攻击者中招，反向控制攻击者的主机，并获取其主机、网络的信息或控制主机的行为

传统的基于IP的潮源方法对攻击者的身份信息获取十分有限，很难及时对攻击者进行有效潮源和反制。蜜罐系统则给了防守方反制攻击者的机会，通过蜜罐里预设的反制手段，主动获取攻击者主机或者网络的信息，来更准确的定位攻击者的身份，实现更精准的潮源。

在典型攻防演习场景中，防守方只需要获得虚拟身份即可，在攻击事后，安全研究人员通
过溯源分析攻击人员、攻击流量，攻击手法等信息，以调整现有安全策略，提升安全防护
等级。