文献标识码:A
DOI:10.19358/j.issn.2096-5133.2021.12.003
引用格式: 何树果,袁瑗,朱震,等. 基于ATT&CK框架的域威胁检测[J].信息技术与网络安全,2021,40(12):15-18,25.
0 引言
互联网企业规模不断扩张,随之而来的是计算机数量的逐年增加。微软为管理员提供了两种方式管理计算机,即域和工作组。默认情况下,计算机会加入工作组,但是工作组在管理上属于分散型,很难用于集中管理,更加适用于小型网络。其中,为提升大型网络的管理效率以及安全性,微软提供了域技术来管理大型网络中的计算机,辅助管理人员对计算机进行集中管理[1]。在域中,使用域控制器(Domain Controller,DC)进行管理,使用服务器为申请连接的计算机进行验证,DC中存放着域账户、密码以及隶属于域的计算机信息等。如果某台计算机想要连接这个域,域控制器会根据账户和密码来判定这台计算机是否属于这个域,从一定程度上对网络安全管理进行了加强。
使用域技术进行管理是目前很多企业、工厂都会采用的一个常见管理方法。由于DC中涵盖了域的敏感信息,因此域管理下的网络安全是需要建立在DC的安全之上的[2]。一旦域管理员的账号和密码泄露,黑客便可以利用盗取的高权限账户来操纵域环境,进行信息盗取、投放病毒、留后门维持访问等操作,因此域渗透已经成为了黑客入侵企业网络的主要手段之一。一旦域控服务器被黑客攻陷,可能会导致企业的敏感信息泄露、工作进度瘫痪、被黑客勒索等后果,会给企业带来非常严重的损失[3]。保障域安全是域管理的重要环节,传统的防御方式主要是从防御者的角度去提出解决方案,但往往面临着覆盖范围不全面、难以检测新的未知威胁等问题[4]。
本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003890
作者信息:
何树果1,袁 瑗2,朱 震1,卢圣龙1,陈嘉磊1,毕鑫泰1
(1.北京升鑫网络科技有限公司 青藤云安全人工智能实验室,北京101111;
2.西南大学 计算机与信息科学学院,重庆400715)