威胁检测：IOC只是基础IOB才是王道 - 安全

检测规则来源于痛苦金字塔的下半部分，域名、哈希、IP地址、网络或主机特征，然后与威胁情报(也就是说，别人发现过类似的攻击)匹配。

内容精选视频话题技术期刊技术大会社区编辑申请我关注的话题我收藏的文章账号设置退出 注册/登录 威胁检测：IOC只是基础IOB才是王道 作者：recco2022-05-0208:42:07安全应用安全具体到选择IOC还是IOB，当然不是择其一，而是都要用。

IOC涵盖基本的安全需求，而IOB则用于满足更高的安全需求。

基于入侵指标(IOC)的检测已经是业内常规，然而，基于行为的检测方法似乎才是未来。

下面我们来比较一下这两种检测方法的不同，以判断强调其中一种是否会更具价值。

专业人士应该都知道“痛苦金字塔”，它显示了各种攻击指标与攻击(检测)难度之间的关系。

金字塔的下半部分由哈希值、IP地址和域名(这三者统称为IOC)组成，如果检测到它们，攻击难度并没有明显增加，或者说痛苦的程度很低。

痛苦程度自底往上分别为：无所谓、小意思、很简单、有困难、很困难、太难了在真实的场景中，攻击者可能会故意使用IOC轮番轰炸检测系统，以掩盖真正的攻击手段。

但TTP(战术、技术和流程)才是最高级的攻击手段。

如果安全运营中心(SOC)能够同时识别IOC和IOB(行为指标)，无疑可以最大限度的降低入侵成功的概率。

威胁追踪(狩猎)有很多方法可以成功地执行威胁狩猎，最常见的两个分支是主动追踪和被动追踪。

基于情报的搜索偏向于被动模式，其中来自情报共享平台的数据构成了进一步调查的基础。

检测规则来源于痛苦金字塔的下半部分，域名、哈希、IP地址、网络或主机特征，然后与威胁情报(也就是说，别人发现过类似的攻击)匹配。

相反，积极主动的方法是基于行为。

输入数据包括攻击指标(IoA)、行为指标(IOB)和TTP。

基于UEBA的假设，可检测攻击是否正在发生，并且这种检测尽可能接近实时检测。

如果能提供基于行为的威胁追踪(狩猎)，无疑会大获欢迎。

编者注：IoA是指正在发生的行为指标，IOC则是指已经发生的入侵指标。

基于入侵指标(IOC)的检测IOC不仅仅包含哈希、IP地址和域名，还有很多可以作为取证的数据，帮助于安全分析师监测系统是否存在潜在恶意活动的迹象，如：HTML响应包大小异常DNS请求计划外系统补丁突然的系统文件更改数据库读取量增加DDoS迹象(过度请求)不匹配的端口应用程序流量访问外网的异常流量本不该存在的数据集入侵指标有着危险信号的作用，辅助检测攻击的早期迹象。

然而，仅仅有一个常见IOC的静态列表，并在此基础上定期运行检测规则是不够的。

网络攻击的复杂性不断增长，因此必须跟踪新出现的指标，并确保适当的检测规则到位。

一个新的IOC既可能简单的像元数据中的某个元素，也可能复杂如一段注入的代码，而这些代码处于数以PB计且不断流动的日志数据中，可以想象它识别起来的困难程度。

网络安全专业人员需要寻找各种IOC之间的关联性，分析并跟踪攻击前后的事件，以形成有效的检测策略。

基于行为的检测(IOB)虽然IOC很适合进行回溯性分析，但这些指标的寿命很短，SOC分析人员希望依靠的不仅仅是之前的攻击证据，因为这些攻击在检测到后不久就会失效。

而且，即使进行了回溯，高级威胁依然存在。

这就是为什么需要基于行为的检测来发现不太明显的入侵迹象，或者说基于UEBA(用户和实体行为分析)的威胁追踪可明显增强对潜在风险的发现能力。

行为一般包括：文件类：下载、上传、创建、删除、保存、更改帐户类：创建新帐户、更改密码、登录和注销邮件类：发送或转发电子邮件、自动化电子邮件、发送附件网站类：访问页面、发送请求、发送附件、发送消息、使用工具系统管理：运行查询、访问存储的数据、执行代码、导出结果所有基于行为的检测不仅应该被编写和收集，还应该在特定的上下文中进行分析，以确定行为的意图。

并且要长期的跟踪通用的行为，以查看是否发生任何可疑的变化。

除了实时监控系统外，IOB还有助于预测未来，并预测安全措施改变后的结果，例如，如果公司禁用USB等外部存储设备，会发生什么。

然而，在编写基于行为的检测规则时，安全分析师需要非常小心，以避免出现高误报率，因为行为规则往往更容易受到噪声的影响。

这就需要经验丰富的分析人员，并往往需要采用不同的分析方法。

原因非常简单，只有这样才能更好的检测未知威胁，这些威胁不会体现在情报来源中，更不用说IOC了。

结论总的来说，威胁追踪是一个复杂的过程，需要使用一些特定的工具、系统和方法来实现高效运作和及时响应。

成功的威胁捕手应该通过网络的充分可见性、情报的利用、新规则的创建，保持对攻击者领先者一步。

具体到选择IOC还是IOB，当然不是择其一，而是都要用。

IOC涵盖基本的安全需求，而IOB则用于满足更高的安全需求。

责任编辑：赵宁宁 来源： 数世咨询威胁检测IOCIOB分享到微信微信扫码分享分享到微博相关推荐Spring系列之IOC的理解和分析对于IOC的理解，主要是停留在概念和几种注入的方式上，虽然知道其生命周期，但是对整个bean管理的宏观角度，理解的不够深刻。

2021-05-0721:32:51SpringIOC分析什么是行为互联网（IoB）？2021年迎来了科技缩写词的最新成员——行为互联网(InternetofBehaviors)。

由Gartner提出的IoB是物联网的延伸，但专注于捕捉、处理和分析人们日常生活中的“数字尘埃”。

2021-07-2916:06:48浅淡Linux的IO和磁盘IO的检测在应用层，进程在进行文件读写操作时，可通过系统调用如sys_open、sys_read、sys_write等。

在内核，每个进程都需要为打开的文件，维护一定的数据结构。

在内核，整个系统打开的文件，也需要维护一定的数据结构。

2021-06-2111:11:29我对网络IO的理解，你理解了吗？Unix/Linux系统下IO主要分为磁盘IO，网络IO，我今天主要说一下对网络IO的理解，网络IO主要是socket套接字的读(read)、写(write)，socket在Linux系统被抽象为流(stream)。

2019-12-2609:15:44相似话题网站安全345内容数据安全1230内容云安全803内容物联网安全496内容全部话题同话题下的热门内容如何保护智能家居不受黑客攻击区块链如何彻底改变网络安全专业人士使用的11种渗透测试工具都说区块链“安全”，为什么DeFi黑客如此猖獗？人工智能如何帮助加强客户隐私Verizon：物联网/移动网络攻击导致停机时间增加22%如何减轻企业账户被劫持的攻击？如何逐步执行数据风险评估编辑推荐权威解读|网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行：利用Angr进行简单CTF逆向分析拿什么拯救你，我的网络安全相关专题更多直播：昇腾AI开发者创享日·南京站SUSE，相信开源的力量2022-08-0716:37:06论剑“网络风云”共享“体验至上”2022-08-0716:37:06我收藏的内容微博QQ微信复制链接微信扫码分享AISummit人工智能大会AISummit人工智能大会 业务 速览 在线客服媒体51CTOCIOAgeHC3i社区51CTO博客开源基础软件社区教育51CTO学堂精培企业培训CTO训练营