九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

网络威胁攻守博弈纵横二十年

2020-05-10

九游老哥科技建设之初，海内信息手艺刚刚起步，各大高�；姑挥猩枇⑶寰沧ㄒ�，2001年的中美黑客大战如火如荼，白宫网站上飘扬的红色旌旗使“网络攻击”这个名词进入海内公共视野。随后，2003年泛起的攻击波（Worm.Blaster）病毒通过一个最新的RPC误差举行撒播，病毒席卷全球，让无数电脑重复重启，并同时对微软一个升级网站举行拒绝服务攻击，导致网站梗塞，用户无法通过该网站升级系统。此次网络攻击让正在举行信息化建设的企业和小我私家用户真正意识到网络清静防御的主要性。

“威胁”这个看法可以追溯到20世纪80年月，Adenrson用了“威胁”这一看法术语，其界说与入侵相同，将入侵妄想或威胁界说为未经授权蓄意实验会见信息、改动信息、使系统不可靠或不可使用。Heady给出另外的入侵界说，入侵是指有关试图破损资源的完整性、神秘性及可用性的运动荟萃。Smaba从分类角度指收支侵包括实验性突入、伪装攻击、清静控制系统渗透、泄露、拒绝服务、恶意使用6种类型。早期网络黑客与清静专家正是围绕这些入侵的要领及使用的手艺手段举行攻守博弈。

防火墙、入侵检测系统向入侵防御系统的转变

最早的网络清静防御系统是防火墙，其在外地网络与外界网络之间执行控制战略，对网络间传输的数据包遵照制订的清静战略举行检测，以决议通讯是否被允许。防火墙保存局限性和缺乏，其通常作用于已知协议的会见控制，如攻击者将恶意代码或攻击指令举行协议隐藏就可能逃逸防御。

同期泛起的网络威胁检测系统是入侵检测系统，它通常位于防火墙之后，被以为是第二道清静闸门。入侵检测手艺主要分为两大类：异常入侵检测和误用入侵检测，其提供了对内、外部攻击的实时检测，包括在网络受到威胁之初的阻挡和响应入侵。入侵检测系统的缺乏在于，它只能检测攻击，而不可阻止攻击。

随着手艺的生长，团结上述两种系统的联下手艺应运而生，防火墙可以通过入侵检测系统实时发明战略之外的攻击行为，入侵检测也可以通过防火墙对来自外部的网络攻击行为举行阻断。

而完成这两种系统的融合、实现1+1>2的是迅速崭露头角的网络入侵防护系统。九游老哥科技推出的“冰之眼”网络入侵防护系统，能提供从网络层、应用层到内容层的深度清静防护，具备实时、自动的防护能力，准确识别种种黑客攻击，并有用阻断攻击而不影响正常营业流量。

误差挖掘手艺增进清静防御

清静专家在博弈历程中实验自动出击，去挖掘保存的威胁隐患，勉励宣布、共享这些威胁隐患的信息，促使从业职员能更好地�；び没АＮ蟛钔诰蚴且桓龆嘀治蟛钔诰蚱饰鍪忠障嗤沤帷⑴浜鲜褂煤陀攀苹ゲ沟睦獭３Ｓ玫奈蟛钔诰蚴忠瞻ㄊ止げ馐允忠铡uzzing手艺、比照和二进制比照手艺、静态剖析手艺、动态剖析手艺等。

随着越来越多专家投入其中，为公共所知的误差数据逐年增添，从2000年的1243条增添到2019年的20827条，为网络防御手艺提供了坚实的知识储备。

误差库

早期做网络清静产品，清静研究员发明误差后对其举行命名，随着误差研究的深入，一些误差已经很难依赖名称区分，早期的清静研究机构和大型厂商最先使用误差库治理众多误差。误差库是举行网络清静隐患剖析的基础，建设误差库有十分主要的意义。九游老哥科技早在2000年就推出了误差库，历经20年的岁月，仍一连维护着误差库的更新，至今已收录45689条误差，包括主流误差信息以及公司研究员自主发明的误差信息。

误差库对清静防护产品也很是主要，在各个厂商的清静防护产品展示自身防护能力的时间，使用统一误差库的形貌将直观地让用户相识防护效果。九游老哥科技误差库兼容国家信息清静误差库（ChinaNationalVulnerabilityDatabaseofInformationSecurity，简称CNNVD）以及国家信息清静误差共享平台（ChinaNationalVulnerabilityDatabase，简称CNVD），别的还兼容外洋的通用误差披露CVE，为海内外用户使用提供了便当。

Web清静的兴起

随着Internet手艺的兴起，便捷的跨区域事务处置惩罚显得尤为主要，为了实现用户脱离程序的重大装置而使用WWW浏览器举行跨地区的应用操作，相关的应用开发逐步从Client/Server架构转向了Browser/Server架构，用户端仅需要实现少量的事务逻辑，而主要的事务逻辑在服务器端举行实现。Browser/Server架构可以大大简化客户端电脑负载，减轻系统维护和升级的本钱和事情量，从而降低总本钱。诠释型语言的不清静使用（对用户输入的内容没有做严酷检查）催生了基于Web的攻击手艺，例如SQL注入、跨站剧本攻击（XSS）、远程下令注入、跨站点请求伪造（CSRF）、CC攻击等，这些攻击导致企业或者小我私家敏感数据走漏、服务器拒绝服务或者营业被接受，甚至有可能由于受到的攻击而背上执法责任。

针对Web攻击手艺对网站清静威胁越来越严重，清静公司响应推出了WAF网站清静防护工具和Web清静评估工具。

工控清静引起各人关注

2010年的震网蠕虫病毒（又名Stuxnet病毒），一个席卷全球工业界的病毒，是一种全心结构的恶意代码，其中包括了多个可使用的误差，通过一套完善的入侵和撒播流程，突破工业专用局域网的物理限制，针对现实天下中的工业基础设施睁开攻击。通过周期性修改PLC的事情频率，造成PLC控制的离心机转速突然升高和降低，导致离心机爆发异常震惊和应力畸变，最终破损离心机。

针对要害基础设施的攻击造成的损失给整个工业界敲响了警钟，各国最先明确指出工业控制系统信息清静面临着严肃的形势，并要求切实增强工业控制系统的信息清静治理。清静公司纷纷自动肩负起守卫之责，将工控清静定位为战略生长偏向，使用古板攻防优势，驻足“未知攻、焉知防”的头脑，调研历史事务，剖析网络攻击方法，以懦弱性为入口点，纷纷宣布了针对工业控制系统的远程清静评估系统，先于攻击者发明工控营业系统保存的懦弱性，并提供缓解计划，其中九游老哥工控误差扫描系统ICSScan是亚太地区第一个进入Gartner视野的工控清静专用检测产品。在已知威胁的基础上，为了更好地实现系统防护，切实包管工控营业的顺畅运行，清静防护产品如雨后春笋般浮现于工控营业市场，例如工业防火墙、工业清静网关、工业清静隔离装置以及纵向加密装置等。

随着攻击日益多样化、重大化和攻击目的明确化，清静公司需要构建从平台到装备的分层清静架构，笼罩评估、防护、检测、响应的清静系统，提供全生命周期的清静防护。

工控清静防御系统的建设需要消除IT、OT、工程、财务、治理和执行向导的界线，团结多方实力才可以完成，九游老哥科技作为提倡单位，率先加入工业控制系统信息清静工业同盟，希望能群集多家之长，配合抵御针对工业控制情形的网络攻击，为工业网络清静保驾护航。

物联网

当今社会物联网装备已经逐步渗透到人们生产、生涯的方方面面，为人们实时相识自己周围情形以及辅助一样平常事情带来便当。但随着互联细密度的增高，物联网装备的清静性问题也逐渐影响到人们的正常生涯，甚至生命清静。

目今物联网中保存的威胁是显而易见的，从2014年曝光的Netcore路由器后门到2016年大规模爆发的Mirai恶意代码事务，从2017年的无人机多次入侵机场到2019年旅馆偷拍摄像头引发全民恐慌，不但“物联网成为网络攻击中的主要环节”从预言变现实，并且物联网清静事务数目泛起出迅猛增添的趋势。凌驾百Gbps源于物联网的攻击已经成为现实，物联网场景下的清静对抗已经泛起在这次厘革的浪潮中，影响着万万企业或者通俗小我私家。无论我们是否意识到，这场战争已经打响。

物联网应用中涉及多个加入方：物联网装备提供商、物联网平台提供商、物联网网络提供商、物联网应用提供商、通俗用户、物联网清静提供商，每个加入方在思量清静问题时着重点也会有所差别，一个设计合理的物联网清静防护计划需捉住各需求点，才华切实将物联网清静落实到位。

随着情形和威胁的转变，清静防护思绪也在逐渐转变。物联网的碎片化、动态性特点，造成纯粹的依赖清静厂商举行通例的防护已然不敷，只有融合多方实力，才华真正解决物联网清静问题，防护数以百亿计的物联网装备清静，�；た泶笕嗣袢褐诘娜松砉ひ登寰病�

APT攻击

2009年高级可一连威胁（APT：AdvancedPersistentThreat）进入人们的视野，特殊是“极光（Aurora）”攻击、“震网（Stuxnet）”病毒、“夜龙”攻击，让APT高级一连性威胁成为信息清静行业瞩目的焦点。APT作为一种精准、高效的新型网络攻击方法，被频仍用于种种主要网络攻击事务之中，在政治清静、国防清静、企业清静等多个主要领域被高度关注，并迅速成为信息清静最大的威胁之一。由于黑客普遍使用0Day、未知木马举行远程控制，木马攻击行为特征难以提取，给古板的入侵检测手艺带来了重大的挑战。怎样准确地检测面向未知木马的APT攻击，提高APT的检测能力，实时发明网络中可能保存的APT攻击威胁，是网络清静公司维护网络秩序，包管社会清静的使命所在。对APT的研究剖析发明，APT攻击主要体现在三个方面：

•以时间换空间。以恒久潜在的攻击历程为价钱，隐匿攻击行为的异常，同时一直擦除攻击痕迹，使得攻击效果显著提升。一些APT攻击潜在期长达3个月之久，在此时代，攻击者有足够的时间窃取主要价值情报。

•攻击计划全心定制，绝不类似。从多个APT案例中获知，APT攻击和通俗攻击体现迥异，纵然各个APT攻击之间选择的攻击手艺手段都具有奇异性，即便攻击的整体阶段或思绪上保存相似性，但在详细的攻击行为或数据中差别重大。

•先入为主，掌握攻击主导权。掌握攻防博弈先机，通过恒久的前期准备，使用多种手段网络信息，拉开攻击和防御的信息差池称性，获得主导权。攻击者往往拥有较强的黑客能力和网络攻击手艺，掌握着高明的误差挖掘和使用手艺，相识攻防心理，运用社会工程学获得有用信息。

APT攻击目的很是明确——窃取特定目的焦点神秘资料。攻击者通�；嶙酆鲜褂么孤谟始ū�90％的活跃APT组在初始会见阶段使用）、水坑站点、社会工程学，使用文档型误差制作诱饵文档，隐藏隧道等多种手艺手段绕过目的网络的层层防地，从外围到焦点区域逐步攻克目的。在攻击工具和攻击手艺上着重适用性，有的使用正当工具（约莫一半的APT组织使用正当的治理工具和商业渗透测试软件）逃避检测，也有的自研发程序且实现攻击工具的语言多样，程序实现不考究复用性。

随着清静公司对APT攻击的总结和深入剖析，APT检测系统也随之进入市场。预计APT�；そ饩黾苹娜蚴谐∈杖虢�2019年的凌驾43亿美元增添到2023年的凌驾94亿美元。现有APT检测系统建设还处于初级阶段。APT防护解决计划是一套集成的解决计划，用于检测、预防、对抗长期性恶意攻击。它可能包括但不限于：沙箱、EDR、CASB（CloudAccessSecurityBroker）、信誉网络，威胁情报治理和报告、取证剖析等。因此，关于清静产品供应商来说，至关主要的是提供能够智能地识别和关联跨多个泉源和渠道的潜在攻击信息的解决计划。

应急响应系统和威胁情报的泛起

威胁情报的降生源于攻防的差池等。随着黑客攻击的规�；⒆远⒍嘌⑽扌盎�，古板的基于署名和规则的攻击检测和防御系统显得左支右绌。由于无法提前获取署名和规则信息，古板的基于“已知”规则的检测在遇到0Day、APT等“未知”威胁时，完全无法感知和防御。

2013年，Gartner宣布《Defifinition:ThreatIntelligence》，其中给出了威胁情报的界说：威胁情报是关于资产所面临的现有或潜在威胁的循证知识，包括情境（上下文）、机制、指标、推论与可行性建议，这些知识可为威胁响应提供决议依据。

随后，2015年，SANS提出“网络清静的滑动标尺模子”，为企业清静建设提供了宏观上的指导和建议�；瓿吣Ｗ哟幼蟮接�，是企业逐步应对更高级网络威胁的历程，其中情报是继架构清静、被动防御、自动防御之后的进阶阶段。

九游老哥·(中国)俱乐部官方网站

图片泉源于SANS

威胁情报的泛起驱动了应急响应系统甚至是网络清静防御系统的转型，即从静态的、基于规则被动防御，转变为动态的、自顺应的自动防护系统，为下一代清静涤讪了基础。孙子曰“知己知彼，百战不殆”，威胁情报正是网络攻防战场上“知己知彼”的要害。威胁情报最大的价值在于资助防守方相识他们的敌手（攻击者），包括攻击者的配景、头脑方法、能力、念头、使用的攻击工具、攻击手法、攻击模式等。对攻击者相识越多，就能越好地识别威胁以便快速地做出响应。准确周全的威胁情报能够极大地扩展威胁防御的时空界线，是实验自动防御战略的要害�；诙�“敌手”的相识，威胁情报构建了威胁预警、攻击检测、响应处置惩罚、溯源取证、目的研判、情报拓展的防御方“生环”。在应急响应中，威胁情报通过为清静防御装备举行赋能，可以大大缩短清静装备对最新威胁的响应和处置惩罚时间，抵达“单点感知，全网防御”的效果。

九游老哥·(中国)俱乐部官方网站

九游老哥科技于2015年组建了威胁情报中心，并推出了九游老哥威胁情报剖析与共享平台（NTI）。依托九游老哥科技在清静领域的恒久积累，九游老哥科技的情报泉源不但包括原创误差库、样本库、清静剖析数据、产品运营反响数据等九游老哥科技特有的数据源，同时也涵盖了周全的互联网情报收罗和普遍的第三方情报相助机构�；诰庞卫细绱笫萜饰銎教�，团结清静情报专家对情报数据举行深度挖掘剖析，获得高质量的多维度威胁情报，笼罩网络资产基础信息、指纹、误差、TTP、高级威胁剖析效果等差别层面；通过NTIportal界面、API接口、订阅推送等差别输出方法将威胁情报与清静装备、客户和清静厂商举行共享，有用�；ち丝突У那寰病�

<<上一篇

清静中台：让清静举重若轻

>>下一篇

掌握这些要领，轻松识破垂纶邮件的伪装

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号