基于大數(shù)據(jù)技術(shù)的攻擊溯源研究

01攻擊溯源本節(jié)將詳細(xì)介紹攻擊溯源的原理、方法以及現(xiàn)狀等情況。1.1攻擊溯源基本思路網(wǎng)絡(luò)攻擊溯源是指利用各種手段追蹤網(wǎng)絡(luò)攻擊發(fā)起者。在攻防的視角里，進(jìn)攻方會占據(jù)比較多的主動性，而防守方則略顯被動，作為防守方需要盡可能多地收集網(wǎng)絡(luò)攻擊產(chǎn)生的痕跡，并將這些痕跡匯總分析，發(fā)現(xiàn)攻擊者意圖和攻擊路徑，進(jìn)一步反向跟蹤直至找到攻擊者。網(wǎng)絡(luò)攻擊溯源一般分為3個部分，首先，要通過安全設(shè)備告警、日志和流量分析、服務(wù)資源異常、蜜罐系統(tǒng)等對網(wǎng)絡(luò)攻擊進(jìn)行捕獲，

發(fā)現(xiàn)攻擊；其次，利用已有的IP定位、惡意樣本分析、ID追蹤等技術(shù)溯源反制收集攻擊者信息；最后，通過對攻擊路徑的繪制和攻擊者身份信息的歸類形成攻擊者畫像，完成整個網(wǎng)絡(luò)攻擊的溯源。1.2攻擊溯源技術(shù)的應(yīng)用現(xiàn)狀攻擊溯源技術(shù)發(fā)展至今，已經(jīng)有多個機(jī)構(gòu)和組織提出了針對不同場景的解決方案，以下針對部分方案進(jìn)行介紹。（1）BackTracker溯源方案

：通過分析進(jìn)程、文件和系統(tǒng)日志之間的關(guān)系構(gòu)建溯源模型，分析進(jìn)程創(chuàng)建的依賴關(guān)系，在系統(tǒng)日志中尋找文件和進(jìn)程之間、文件名和進(jìn)程之間的依賴關(guān)系并分析溯源惡意文件，但由于僅通過文件關(guān)聯(lián)，適用的場景有限?；诮５囊蚬茢啵∕odeling-basedCausalityInference，MCI）

在BackTracker溯源方案基礎(chǔ)上進(jìn)行改進(jìn)，加入了基于因果關(guān)系的語義分析，增強(qiáng)了系統(tǒng)日志的依賴關(guān)系分析能力。以上模型均屬于典型的主機(jī)側(cè)溯源方案，由于僅關(guān)注進(jìn)程、文件和系統(tǒng)日志，無法溯源到惡意文件投放路徑，所以僅能完成主機(jī)側(cè)溯源。（2）OmegaLog框架

：提出了一種通過結(jié)合系統(tǒng)日志和應(yīng)用日志的溯源框架，認(rèn)為將系統(tǒng)上所有與取證相關(guān)的事件統(tǒng)一到一個整體日志中可以顯著提高攻擊調(diào)查能力。OmegaLog框架使用內(nèi)核模塊攔截應(yīng)用程序的系統(tǒng)調(diào)用，

將進(jìn)程號/線程號（ProcessID/ThreadID，PID/TID）和時(shí)間戳信息梳理至業(yè)務(wù)日志，再通過控制流分析對應(yīng)用日志和系統(tǒng)日志進(jìn)行解析，生產(chǎn)事件流帶入溯源框架完成溯源。該方案結(jié)合應(yīng)用日志，極大地增強(qiáng)了主機(jī)側(cè)的溯源能力，但由于攔截系統(tǒng)調(diào)用部署的難度較大，也僅能完成主機(jī)側(cè)溯源。（3）基于威脅情報(bào)的攻擊溯源方案

：通過對IP反查、Whois域名解析、連接記錄中的統(tǒng)一資源定位器（UniformResourceLocator，URL）等信息，關(guān)聯(lián)威脅情報(bào)中記錄的IP、域名、URL、文件哈希值等信息反查攻擊者信息，

實(shí)現(xiàn)網(wǎng)絡(luò)側(cè)攻擊主機(jī)的定位。該方案是利用同類攻擊不會只在互聯(lián)網(wǎng)上發(fā)生一次的思想形成共享情報(bào)，再通過對攻擊者的網(wǎng)絡(luò)地址進(jìn)行反向追蹤溯源。情報(bào)來源于共享，共享的數(shù)據(jù)本身存在滯后性，單從情報(bào)角度進(jìn)行攻擊溯源可完成對已知攻擊再次發(fā)生的攻擊溯源，但很難應(yīng)對攻擊手段變化情況的攻擊溯源。攻擊溯源仍是一個較新的領(lǐng)域，發(fā)展仍處于探索階段，場景覆蓋程度和自動化程序均是目前研究的熱點(diǎn)。02基于大數(shù)據(jù)技術(shù)的攻擊溯源大數(shù)據(jù)技術(shù)是指從各種各樣類型的數(shù)據(jù)中，快速獲得有價(jià)值信息的能力。大數(shù)據(jù)技術(shù)特點(diǎn)可以概括為5個V，即數(shù)

據(jù)量大（Volume）、速度快（Velocity）、類型

多（Variety）、價(jià)值（Value）、真實(shí)性（Veracity）[8]。信息時(shí)代的發(fā)展會產(chǎn)生大量的數(shù)據(jù)，以網(wǎng)絡(luò)帶寬為例，互聯(lián)網(wǎng)早期每秒僅處理千字節(jié)級的數(shù)據(jù)，現(xiàn)在一個中型城市的出口每秒就要太字節(jié)級的數(shù)據(jù)，每天就要處理近百拍字節(jié)的數(shù)據(jù)，在此量級多樣的網(wǎng)絡(luò)數(shù)據(jù)基礎(chǔ)上完成數(shù)據(jù)高速儲，分析提取，發(fā)現(xiàn)有價(jià)值的數(shù)據(jù)，就是數(shù)據(jù)技術(shù)。近年來，大數(shù)據(jù)技術(shù)在安全領(lǐng)域已經(jīng)取得了許多新成果，如薄明霞等人

提出了基于大數(shù)據(jù)技術(shù)構(gòu)建威脅情報(bào)共享平臺，為企業(yè)構(gòu)建基于威脅情報(bào)的主動防御體系。運(yùn)用大數(shù)據(jù)技術(shù)構(gòu)建具有安全分析、持續(xù)安全監(jiān)測以及安全運(yùn)營能力的安全管理平臺等成功案例。大數(shù)據(jù)技術(shù)的核心能力是在海量的數(shù)據(jù)中提煉出高價(jià)值的數(shù)據(jù)，網(wǎng)絡(luò)攻擊中典型的高級可持續(xù)威脅（AdvancedPersistentThreat，APT）攻擊往往會長時(shí)間潛伏，而少量攻擊數(shù)據(jù)則是伴隨巨量的業(yè)務(wù)數(shù)據(jù)共同產(chǎn)生的，一個每秒幾千兆字節(jié)數(shù)據(jù)的業(yè)務(wù)流量場景，真實(shí)的攻擊行為數(shù)據(jù)可能只有不到幾千字節(jié)的數(shù)據(jù)。而在這種情況下，利用大數(shù)據(jù)技術(shù)快速完成攻擊溯源恰恰是值得深入研究的。2.1基于大數(shù)據(jù)攻擊溯源總體框架攻擊溯源本質(zhì)上是在大量的正常數(shù)據(jù)中尋找出攻擊者在攻擊過程中留下的痕跡，并通過這部分痕跡回溯攻擊者。攻擊溯源往往是在攻擊者對攻擊目標(biāo)產(chǎn)生危害并被察覺后產(chǎn)生的動作，但由于時(shí)間跨度較大，或者攻擊者對攻擊痕跡的清理等因素，給溯源工作帶來極大的阻礙。大數(shù)據(jù)技術(shù)的成熟為攻擊溯源帶來了新的可能，大數(shù)據(jù)技術(shù)可以收集大量的異構(gòu)數(shù)據(jù)，

并對這些數(shù)據(jù)進(jìn)行清洗，提煉出有價(jià)值的攻擊痕跡，再通過數(shù)據(jù)分析和模型關(guān)聯(lián)將這些信息串聯(lián)起來形成攻擊路徑，通過攻擊路徑的反溯找到攻擊入口、還原攻擊過程。結(jié)合攻擊溯源技術(shù)和大數(shù)據(jù)技術(shù)，本文

提出了一個基于大數(shù)據(jù)技術(shù)的多層溯源框架

（HierarchicalTraceabilityArchitecture，

HTA），如圖1所示，HTA分為3層：基礎(chǔ)層為數(shù)據(jù)集層，中間層為數(shù)據(jù)清洗分析層，頂層為全景關(guān)聯(lián)溯

源層?；A(chǔ)層采集攻擊溯源所需的、不同來源的數(shù)據(jù)集，

通過數(shù)據(jù)清洗分析層實(shí)現(xiàn)數(shù)據(jù)分類、

歸并、標(biāo)簽化處理，根據(jù)用途逐層分類、提煉分析，為全景關(guān)聯(lián)溯源層的多維度關(guān)聯(lián)分析提供依據(jù)。圖1

HTA2.1.1數(shù)據(jù)集層數(shù)據(jù)是攻擊溯源的基礎(chǔ)，溯源往往是在攻擊發(fā)生之后的動作，很多的網(wǎng)絡(luò)攻擊是在發(fā)生之后很久才被發(fā)現(xiàn)。傳統(tǒng)的攻擊溯源思路需要先在受害主機(jī)上發(fā)現(xiàn)惡意文件，再對少量數(shù)據(jù)進(jìn)行分析發(fā)現(xiàn)明顯的異常，但應(yīng)對APT攻擊溯源時(shí)明顯不足。整個APT攻擊過程可能覆蓋系統(tǒng)漏洞發(fā)現(xiàn)。漏洞利用攻擊、惡意代碼植入、遠(yuǎn)程控制、數(shù)據(jù)泄露等過程，攻擊手段繁雜，所以數(shù)據(jù)收集的思路就需要改變，只有收集足夠多、足夠豐富的數(shù)據(jù)才能完整地繪制一條攻擊鏈。如利用系統(tǒng)漏洞攻擊時(shí)，系統(tǒng)日志、應(yīng)用日志、網(wǎng)絡(luò)入侵檢測設(shè)備均可監(jiān)控到部分攻擊線索。如果主機(jī)執(zhí)行惡意程序，系統(tǒng)進(jìn)程信息、文件名、系統(tǒng)日志等信息則會留下惡意程序執(zhí)行后的痕跡。數(shù)據(jù)的豐富程度決定了溯源能力的高低，

HTA的數(shù)據(jù)集層收集威脅監(jiān)測設(shè)備的攻擊日志、入侵防御系統(tǒng)、Web應(yīng)用防火墻等網(wǎng)絡(luò)安全設(shè)備日志、原始網(wǎng)絡(luò)報(bào)文和網(wǎng)絡(luò)側(cè)連接信息構(gòu)建網(wǎng)絡(luò)側(cè)數(shù)據(jù)集，收集業(yè)務(wù)訪問記錄、服務(wù)器日志、系統(tǒng)日志、系統(tǒng)進(jìn)程監(jiān)控?cái)?shù)據(jù)等作為主機(jī)側(cè)數(shù)據(jù)集，同時(shí)收集威脅情報(bào)作為輔助佐證數(shù)據(jù)集，利用這些不同類別的數(shù)據(jù)集構(gòu)建一個大的異構(gòu)數(shù)據(jù)集，這樣盡可能地涵蓋攻擊溯源所需的數(shù)據(jù)。2.1.2數(shù)據(jù)清洗分析層擁有大量的原始數(shù)據(jù)就相當(dāng)于擁有了檢測能力，但數(shù)據(jù)并不是越多越好，需要對數(shù)據(jù)進(jìn)行分類、歸并和標(biāo)簽化處理，提煉有價(jià)值的數(shù)據(jù)。獲取的數(shù)據(jù)主要涉及結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化，由于半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)不利于分析處理，所以需要對其進(jìn)行信息抽取。這一層的核心目標(biāo)是完成有價(jià)值的數(shù)據(jù)的初步提煉，為后續(xù)的數(shù)據(jù)分析提供結(jié)構(gòu)化的數(shù)據(jù)。HTA采用數(shù)據(jù)分類歸納法完成數(shù)據(jù)的初層次提煉，同類型數(shù)據(jù)清洗流程如圖2所示，然后按照數(shù)據(jù)用途進(jìn)行數(shù)據(jù)逐層分類。圖2

同類型數(shù)據(jù)清洗流程按照數(shù)據(jù)類型分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，再分別對結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行分類。如攻擊日志、訪問記錄等屬于結(jié)構(gòu)化數(shù)據(jù)；進(jìn)程運(yùn)行記錄、服務(wù)后臺錯誤記錄等屬于半結(jié)構(gòu)化數(shù)據(jù)；原始報(bào)文、系統(tǒng)運(yùn)行狀態(tài)等屬于非結(jié)構(gòu)化數(shù)據(jù)。使用同類數(shù)據(jù)歸納法對冗余數(shù)據(jù)進(jìn)行去重處理。使不同來源的同類數(shù)據(jù)在同一框架規(guī)范下進(jìn)行異構(gòu)數(shù)據(jù)清理、去重、歸一、索引建設(shè)等步驟，形成高質(zhì)量、有價(jià)值的歸納數(shù)據(jù)。以防火墻記錄的連接關(guān)系日志和服務(wù)端記錄的業(yè)務(wù)訪問記錄為例，兩種數(shù)據(jù)都是訪問記錄，針對此類記錄需要提取公共信息和必要的附加信息，并針對冗余數(shù)據(jù)進(jìn)行去重，避免冗余信息干擾。同類數(shù)據(jù)完成歸納清理后，根據(jù)用途逐層分類、提煉分析。例如，為確定攻擊溯源的入口，攻擊溯源首先需要做的就是將大量的訪問記錄和受害者主機(jī)上記錄的各類日志統(tǒng)一發(fā)送至大數(shù)據(jù)平臺的數(shù)據(jù)清洗分析層，對清洗后的數(shù)據(jù)

進(jìn)行提煉分析發(fā)現(xiàn)單點(diǎn)事件；

發(fā)現(xiàn)單點(diǎn)事件后，一般可以先從網(wǎng)絡(luò)安全檢測設(shè)備入手，例如，通過全流量威脅檢測探針、入侵防御系統(tǒng)、Web應(yīng)用防火墻、主機(jī)檢測軟件等發(fā)送的攻擊檢測日志。針對這一類數(shù)據(jù)，一般按照攻擊時(shí)間、攻擊手段、攻擊頻次、地理位置、攻擊狀態(tài)、攻擊方向等方面進(jìn)行再次分類，并按照數(shù)據(jù)類型建立數(shù)據(jù)查詢索引，為后續(xù)的溯源模型及關(guān)聯(lián)分析建立溯源主線索。攻擊事件溯源主索引確定后，可以沿著攻擊路徑進(jìn)行深入的攻擊溯源分析。2.1.3全景關(guān)聯(lián)溯源層溯源模型的構(gòu)建是自動化溯源的基礎(chǔ)，所有技術(shù)均圍繞著溯源模型進(jìn)行分析處理，自動化溯源調(diào)度工作流如圖3所示，在數(shù)據(jù)清洗分析層基礎(chǔ)上進(jìn)行單場景溯源、全場景關(guān)聯(lián)。圖3

自動化溯源調(diào)度工作流HTA采用場景建模法建立單場景溯源模型，

如典型的勒索病毒“永恒之藍(lán)”在傳播過程中會利用SMB服務(wù)器的漏洞，

利用過程的行為至少分為兩個步驟，在建立場景化模型時(shí)，一是針對這一類勒索病毒的攻擊方式、攻擊特點(diǎn)等方面建立場景模型；二是按照在模型內(nèi)部對行為發(fā)生的時(shí)序進(jìn)行限制，從而提升此類攻擊溯源的準(zhǔn)確性。完成單場景溯源模型的準(zhǔn)備后，再通過ATT&CK模型進(jìn)行全場景關(guān)聯(lián)溯源，ATT&CK模型由MITRE公司提出，它是一個站在攻擊者視角來描述攻擊中各階段用到的技術(shù)模型，將攻擊劃分為戰(zhàn)術(shù)和技術(shù)兩部分，該模型涵蓋了網(wǎng)絡(luò)側(cè)數(shù)據(jù)的映射和主機(jī)側(cè)數(shù)據(jù)的映射，按照攻擊者的思路梳理出一個完整的攻擊過程全景圖。此模型可作為攻擊溯源基礎(chǔ)指導(dǎo)模型，對各階段的數(shù)據(jù)進(jìn)行映射，形成攻擊事件的戰(zhàn)術(shù)和技術(shù)分布圖，再進(jìn)一步對時(shí)間軸、受害資產(chǎn)屬性、威脅情報(bào)、相關(guān)聯(lián)的攻擊路徑上的數(shù)據(jù)進(jìn)行多維度關(guān)聯(lián)，將映射過的數(shù)據(jù)與攻擊場景相結(jié)合進(jìn)行系統(tǒng)的分析、攻擊降噪和攻擊取證，最終形成完整的攻擊溯源報(bào)告。03應(yīng)用實(shí)例展示本文基于HTA構(gòu)建的大數(shù)據(jù)溯源平臺，以一次挖礦木馬的攻擊溯源過程為例進(jìn)行實(shí)際效果展示說明。大數(shù)據(jù)溯源平臺通過接收在網(wǎng)絡(luò)環(huán)境中部署的全流量威脅檢測探針采集數(shù)據(jù)，并借助大數(shù)據(jù)技術(shù)的優(yōu)勢將采集到的數(shù)據(jù)持續(xù)永久化，為攻擊溯源提供數(shù)據(jù)支撐。此案例主要收集了攻擊日志、訪問記錄、原始報(bào)文、資產(chǎn)屬性等數(shù)據(jù)，并將數(shù)據(jù)入庫建立數(shù)據(jù)集。按照HTA的數(shù)據(jù)分類歸納法將收集到的數(shù)據(jù)進(jìn)行分類，再對數(shù)據(jù)進(jìn)行標(biāo)簽和屬性富化處理，提升單條數(shù)據(jù)的價(jià)值權(quán)重。該平臺采用告警觸發(fā)和輪詢觸發(fā)兩種方式自動溯源，設(shè)置攻擊日志作為權(quán)重最高的索引線索。以此案例中監(jiān)測到的攻擊日志為例，IP地址34.1.1.10對IP地址192.168.100.1的掃描探測攻擊日志在被監(jiān)測到后根據(jù)分類規(guī)則被劃分至攻擊日志，攻擊日志作為溯源的主索引權(quán)重較高，借助大數(shù)據(jù)的實(shí)時(shí)流式處理技術(shù)進(jìn)行屬性富化處理，

將源IP地址的地理位置、國家編碼以及目的IP地址的資產(chǎn)名稱、資產(chǎn)類型等信息富化至攻擊日志，并將此日志歸類為針對資產(chǎn)類攻擊線索的結(jié)構(gòu)化數(shù)據(jù)——網(wǎng)絡(luò)攻擊日志。大數(shù)據(jù)實(shí)時(shí)流式處理技術(shù)可快速高效地將數(shù)據(jù)富化，盡可能將信息歸并至一條數(shù)據(jù)內(nèi)，有效降低單日志分析模型的關(guān)聯(lián)分析工作，提高溯源效率。處理后的數(shù)據(jù)如圖4所示。圖4

分類后的攻擊日志數(shù)據(jù)完成數(shù)據(jù)集的構(gòu)建和數(shù)據(jù)清洗工作之后進(jìn)入HTA的全景關(guān)聯(lián)溯源層，首先針對持久化之后的數(shù)據(jù)，需要進(jìn)一步分析完成單點(diǎn)事件的場景化分析。通過場景化事件模型分析過濾掉干擾數(shù)據(jù)，將判定成功的數(shù)據(jù)生成告警信息輸出，并作為全景溯源的數(shù)據(jù)輸入。以此案例的nmap掃描探測攻擊告警信息為例，由于監(jiān)測到了多次IP地址34.1.1.10對IP地址192.168.100.1的nmap掃描探測攻擊日志，在非結(jié)構(gòu)化的原始報(bào)文中關(guān)聯(lián)取證發(fā)現(xiàn)，掃描探測報(bào)文中攜帶了nmap的簽名信息，符合網(wǎng)絡(luò)側(cè)攻擊溯源模型中nmap掃描探測攻擊模型，由此可以判定此攻擊較大概率真實(shí)發(fā)生。大數(shù)據(jù)技術(shù)提供了實(shí)時(shí)分析和離線分析兩種模式，結(jié)合攻擊溯源技術(shù)可采用實(shí)時(shí)處理模型分析短時(shí)間內(nèi)的熱數(shù)據(jù)，再通過離線分析模型處理多種數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，足以應(yīng)對主機(jī)側(cè)溯源、網(wǎng)絡(luò)側(cè)溯源、網(wǎng)絡(luò)側(cè)主機(jī)側(cè)關(guān)聯(lián)溯源的各類復(fù)雜場景。告警信息如圖5所示。圖5

nmap掃描探測攻擊告警信息完成單點(diǎn)事件模型分析后進(jìn)入HTA的ATT&CK模型映射過程，針對告警數(shù)據(jù)采用告警信息的攻擊類型和告警名稱詞法分析映射，將攻擊日志映射至ATT&CK的戰(zhàn)術(shù)和技術(shù)中，再將攻擊日志關(guān)聯(lián)的連接信息、原始報(bào)文等信息映射至對應(yīng)的戰(zhàn)術(shù)和技術(shù)中。ATT&CK的技術(shù)涵蓋了主機(jī)側(cè)技術(shù)和網(wǎng)絡(luò)側(cè)技術(shù)，可覆蓋攻擊者從網(wǎng)絡(luò)側(cè)入侵到主機(jī)側(cè)執(zhí)行控制的全路徑，作為全場景溯源的數(shù)據(jù)組織框架，使用戰(zhàn)術(shù)和技術(shù)抽象出攻擊關(guān)系，可有效解決單分析主機(jī)側(cè)數(shù)據(jù)和單分析網(wǎng)絡(luò)側(cè)數(shù)據(jù)的溯源不完整問題。以nmap掃描探測攻擊告警為例，

攻擊類型為掃描探測，告警名稱為“nmap安全工具掃描（nmap）”，

攻擊類型包含關(guān)鍵詞掃描探測映射至戰(zhàn)術(shù)掃描探測，告警名稱包含工具掃描映射至技術(shù)進(jìn)行主動掃描。ATT&CK模型映射階段不考慮告警之間的關(guān)聯(lián)關(guān)系，將全量告警信息映射至ATT&CK模型，對后續(xù)的攻擊者與受害者之間的攻擊關(guān)系和攻擊發(fā)生的時(shí)間進(jìn)行關(guān)聯(lián)分析，進(jìn)一步分析溯源形成完整攻擊路徑，再針對完整的溯源結(jié)果重新繪制事件的ATT&CK映射關(guān)系圖，圖6為此案例最終的模型映射圖。圖6

ATT&CK模型告警映射圖最后根據(jù)攻擊者和受害者之間的邏輯關(guān)系、ATT&CK模型各階段的邏輯關(guān)系以及時(shí)間軸關(guān)聯(lián)溯源，形成完整的攻擊路徑，還原攻擊全過程。以此案例為例，從受害者192.168.100.1

回連攻擊者71.0.1.147的比特幣挖礦告警信息

作為時(shí)間軸終點(diǎn)反向回溯攻擊過程，比特幣挖

礦屬于ATT&CK模型的深度影響階段，可以

判定71.0.1.147為數(shù)據(jù)回連服務(wù)器，此類攻擊在通常情況下不會將數(shù)據(jù)回連服務(wù)器作為攻擊者發(fā)起攻擊，所以需要關(guān)聯(lián)其他攻擊受害者

192.168.100.1的告警信息，反向溯源發(fā)現(xiàn)攻擊者34.1.1.10對受害者192.168.100.1發(fā)起多種類型的攻擊且覆蓋了ATT&CK的多個階段，

同時(shí)關(guān)聯(lián)受害者192.168.100.1發(fā)起的告警信息，發(fā)現(xiàn)192.168.100.1向192.168.100.123發(fā)起了Web漏洞攻擊，屬于ATT&CK模型內(nèi)網(wǎng)的橫向擴(kuò)散階段，還原整個攻擊過程為：攻擊者71.0.1.147利用掃描探測、Webshell上傳、Webshell注入、命令注入、信息泄露、惡意軟件下載等手段實(shí)現(xiàn)了對受害者192.168.100.1的遠(yuǎn)程控制，使受害者192.168.100.1淪為挖礦主機(jī)，且正在試圖向192.16