隐蔽信道检测方法
2021-01-19 09:54:01 10 举报111
作者其他创作
大纲/内容
通过网络部署沙箱设备,对进出的文件进行还原,把样本放入模拟的主机进行行为分析,对可疑度非常高的样本进行人工逆向分析,确定木马属于哪个家族、连接的隐匿CC、恶意行为等。
隐蔽信道检测
隐藏信道终究会和主控端通讯,在主机层监测主机通讯的网络,再结合系统日志,进行上机取证。发现隐匿的链接。
机器学习
采用蜜罐系统和IDS系统,对攻击者访问的日志信息进行网络行为分析,从隐蔽网络的流量中找到某一家族的行为特征。把该僵尸网络的攻击手法、特征变化规律加入到现网的IDS中,在出口对整网络的僵尸网络进行监测,发现该僵尸网络在网络中的规模,评估该僵尸网络的影响和损失比。
受害主机取证分析
流量监测
逆向分析
0 条评论
下一页
