網(wǎng)絡(luò)空間威脅狩獵的研究綜述

網(wǎng)絡(luò)空間的安全威脅網(wǎng)絡(luò)空間威脅指的是潛在的可以通過利用計(jì)算機(jī)漏洞產(chǎn)生危害的種種問題。而產(chǎn)生危害的方式包括未授權(quán)訪問、數(shù)據(jù)破壞、機(jī)密數(shù)據(jù)公開、數(shù)據(jù)修改以及拒絕服務(wù)等。由此，可以將網(wǎng)絡(luò)空間威脅分為主動型和被動型兩類。被動型威脅是被動地收集系統(tǒng)有意或無意公布或可獲取的信息而不去嘗試修改系統(tǒng)資源，而主動型威脅則是在被動型的基礎(chǔ)上，主動篡改系統(tǒng)控制資源或者影響操作系統(tǒng)的正常運(yùn)行。實(shí)際上，早在2000年安全研究人員已經(jīng)確立了網(wǎng)絡(luò)空間威脅的標(biāo)準(zhǔn)，如圖1所示。圖1網(wǎng)絡(luò)空間威脅攻擊流程示意圖

如圖1所示，攻擊主要可以分為三個部分，系統(tǒng)資源（攻擊目標(biāo)）、安全防御措施以及網(wǎng)絡(luò)威脅（攻擊行為）。首先，攻擊者可以通過主動或被動方式獲取攻擊目標(biāo)的信息。在掌握了足夠信息的基礎(chǔ)上，發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的漏洞或者配置問題，選取相應(yīng)的適用策略實(shí)現(xiàn)對目標(biāo)機(jī)器的控制從而達(dá)到攻擊者的目的。目前，幾種主流的攻擊鏈模型都有著相似的流程，并命名為LockheedMartin空間攻擊鏈。研究人員通過對攻擊者的戰(zhàn)術(shù)進(jìn)行分析，將網(wǎng)絡(luò)空間威脅攻擊鏈分為三大階段，分別是前攻擊階段、攻擊階段和后攻擊階段，如圖2所示。圖2LockheedMartin空間攻擊鏈

其中前攻擊階段是攻擊者收集信息設(shè)計(jì)攻擊方式的過程，包括偵測、武器化和傳遞三個步驟。攻擊階段是執(zhí)行攻擊的過程，包括利用和安裝階段。而后攻擊階段包括回連和控制目標(biāo)的階段?？偟膩碚f，通過空間攻擊鏈模型可以較快確定攻擊情況，找到適用的的網(wǎng)絡(luò)防御技術(shù)，實(shí)現(xiàn)一個智能反饋系統(tǒng)從而有效地減少攻擊者實(shí)施攻擊成功的概率。02威脅狩獵的概念和基礎(chǔ)曾經(jīng)主流的安全防御軟件是通過等待安全監(jiān)控程序的警報時再執(zhí)行緊急防御措施，而這種安全防御系統(tǒng)已經(jīng)無法適應(yīng)當(dāng)前復(fù)雜的環(huán)境。因此，威脅狩獵防御機(jī)制則是在這個背景下被提出的。2.1威脅狩獵的定義網(wǎng)絡(luò)空間威脅狩獵指的是主動持續(xù)地在網(wǎng)絡(luò)中搜索可以繞開安全檢測或產(chǎn)生危害的威脅的過程。目前，一套網(wǎng)絡(luò)空間威脅狩獵機(jī)制的核心競爭力包含三個方面：威脅攻擊證據(jù)的數(shù)據(jù)質(zhì)量、獲取和分析數(shù)據(jù)的工具以及分析數(shù)據(jù)和使用工具的工作人員的技術(shù)。通過使用狩獵成熟度模型（HuntingMaturityModel）來檢驗(yàn)一個防御機(jī)制的優(yōu)質(zhì)程度，狩獵成熟度模型定義了五個等級。起步級：這個階段主要由入侵檢測系統(tǒng)、安全信息和事件管理系統(tǒng)（SIEM）或反病毒軟件等工具偵查惡意行為。該過程主要基于自動報警系統(tǒng)，未實(shí)現(xiàn)從系統(tǒng)中收集數(shù)據(jù)的功能。簡易級：在初始級的基礎(chǔ)上，會常規(guī)性地搜集最近的威脅情報信息來判斷系統(tǒng)是否遭受相關(guān)攻擊。規(guī)程級：根據(jù)他人或其他更高級的狩獵模型制定的信息分析方法，根據(jù)輸入的數(shù)據(jù)判斷一些簡單的惡意程序的行為或活動。創(chuàng)新級：該階段威脅狩獵具有制定特有的數(shù)據(jù)分析過程的能力，并涵蓋了高級有效的技術(shù)例如相關(guān)數(shù)據(jù)分析、數(shù)據(jù)可視化以及機(jī)器學(xué)習(xí)等。領(lǐng)路級：在創(chuàng)新級的基礎(chǔ)上實(shí)現(xiàn)自動化改進(jìn)現(xiàn)有數(shù)據(jù)分析方法。這樣可以有效地減少運(yùn)行相同進(jìn)程的內(nèi)存消耗，專注于改進(jìn)現(xiàn)有的規(guī)程和創(chuàng)造新的規(guī)程。狩獵成熟度模型不同階段的最本質(zhì)區(qū)別在于狩獵方式的差異。起步級的狩獵過程中，安全人員只能增加新的安全證書或者惡意文件的特征信息，因此從本質(zhì)上來說起步級的威脅狩獵不是真正意義上的狩獵。而領(lǐng)路階段的狩獵則是主動嘗試新的方式來找到攻擊者，根據(jù)已有信息從不同角度入手分析獲得新的結(jié)論。2.2威脅狩獵的核心技術(shù)一次完整的狩獵過程可以進(jìn)行如下區(qū)分。在開始狩獵之前，需要明確網(wǎng)絡(luò)結(jié)構(gòu)、運(yùn)行系統(tǒng)、防御機(jī)制可以抵御和偵測的攻擊方式和準(zhǔn)確性、潛在的攻擊目標(biāo)和工具使用的執(zhí)行戰(zhàn)略。之后則是需要明確相關(guān)數(shù)據(jù)信息的手段和技術(shù)。目前來說，攻擊者利用的漏洞、使用的工具和攻擊方式相關(guān)的研究是最被重視的部分，大量相關(guān)問題被深入研究和詳細(xì)記錄，可以在各種最新的APT報告中獲取。而最終的結(jié)果是使得每一次狩獵都可以拓展威脅狩獵防御機(jī)制的普適性，使得狩獵模式適用于更廣泛更多樣的攻擊。目前來看，威脅狩獵主要涉及到的技術(shù)可以大致分為取證技術(shù)和分析技術(shù)。（1）取證技術(shù)由上述內(nèi)容可知，取證技術(shù)是實(shí)現(xiàn)威脅狩獵的基礎(chǔ)。優(yōu)質(zhì)的指示器（IOC）可以快速定位攻擊者的信息并及時地改進(jìn)，具體分類如圖3所示。圖3取證指示器金字塔模型

其中文件的哈希值是最簡單最基礎(chǔ)的指示器，即通過比對待檢驗(yàn)的文件哈希值和惡意程序的哈希值來進(jìn)行判斷。目前仍然有大量殺毒軟件使用哈希值來判斷文件是否是惡意程序。隨著金字塔高度的提高，金字塔模型越上層的信息收集工作越困難，需要對于數(shù)據(jù)的意義和攻擊的手段有更深入的認(rèn)識并進(jìn)行總結(jié)概括，使用時的適用范圍也更加廣泛，而對于威脅狩獵來說也越重要。（2）分析技術(shù)豐富的分析技術(shù)可以使得威脅狩獵效果更加明顯，具體可以分為如下幾類。日志分析技術(shù)：由服務(wù)或設(shè)備中獲取的日志非常重要而且目前已有的安全防御系統(tǒng)并未合理充分地利用。與此同時，威脅狩獵平臺的日志分析能力也直接影響了其抵御和防范攻擊的能力。由于日志是威脅狩獵分析攻擊的重要信息來源之一，因此明確可以獲取日志的程序和出處十分重要。在Unix系統(tǒng)中，日志通常以文本文件的形式保存在/var/log中。Windows日志可以劃分為4類：應(yīng)用程序日志、安全日志、系統(tǒng)日志和轉(zhuǎn)發(fā)的事件日志。這些日志大部分記錄在%SystemRoot%\System32\Config下。網(wǎng)絡(luò)分析技術(shù)：包括讀取理解捕獲的數(shù)據(jù)包并判斷網(wǎng)絡(luò)流量是否異常的能力和熟悉網(wǎng)絡(luò)中的不同設(shè)備的特性以及相互如何影響。攻擊分析技術(shù)：清楚攻擊者在各個攻擊階段所使用的技術(shù)快速發(fā)現(xiàn)問題以及相關(guān)行為，了解攻擊工具、惡意軟件、魚叉攻擊以及軟件配置問題可以幫助判斷攻擊者的思路來獲取攻擊行為的證據(jù)。03威脅狩獵的工具和框架目前，一套完整的威脅狩獵工具并不夠全面，研究人員需要通過利用不同工具的特性來完成整個威脅狩獵的過程，本文將威脅狩獵的工具分為三個類別，分別是準(zhǔn)備工具、分析工具和威脅模擬工具。3.1威脅狩獵準(zhǔn)備工具在準(zhǔn)備階段，安全研究人員需要通過還原攻擊現(xiàn)場、保留攻擊證據(jù)等方式篩選有價值的數(shù)據(jù)和信息。目前適用于各種平臺的數(shù)據(jù)收集及整理工具是Osquery。該工具將操作系統(tǒng)各種相關(guān)信息通過類似于SQL的方式匯總成表格方便研究人員快速獲取和比對信息的系統(tǒng)分析工具。其主要優(yōu)勢是可以像查詢數(shù)據(jù)庫信息一樣查詢操作系統(tǒng)，以此來查詢錯誤配置、用戶權(quán)限甚至文件可讀性審核。此外，其配套用戶管理平臺Doorman支持遠(yuǎn)程管理Osquery的節(jié)點(diǎn)，使得其支持分布式讀取終端數(shù)據(jù)，獲取全局信息的功能。由于絕大多是攻擊者會刪除或毀壞攻擊證據(jù)，所以磁盤恢復(fù)工具能有效的達(dá)到復(fù)現(xiàn)攻擊現(xiàn)場和獲取證據(jù)的目的。AccessDataFTKImager是一個從硬盤中恢復(fù)各種數(shù)據(jù)的取證工具。該工具通過掃描硬盤驅(qū)動器，獲取32位或64位系統(tǒng)的當(dāng)前硬盤內(nèi)容和分頁文件信息。Bitscout是一款開源的基于Linux的包含一系列分析磁盤映像的工具，其允許用戶創(chuàng)建自定義的磁盤鏡像以及安全研究人員遠(yuǎn)程獲取磁盤映像備份，方便研究人員分析。而GetDataForensicImager是一個基于Windows的可以獲取、轉(zhuǎn)換、修改取證鏡像文件格式的工具。MagnetACQUIRE是一個適用于各種主機(jī)和移動端操作系統(tǒng)的多類型鏡像恢復(fù)工具。該工具擁有一系列可靠快速的數(shù)據(jù)提取技術(shù)，方便用戶快速大量的獲取恢復(fù)獲取數(shù)據(jù)并有詳盡的日志記錄獲取過程。X-WaysForensics是一個基于Winhex十六進(jìn)制磁盤編輯器的克隆和鏡像取證工具，主要用于Windows主機(jī)和服務(wù)器上，相比較其他工具，該工具效率高、速度快硬件要求低且不依賴復(fù)雜數(shù)據(jù)庫，使用較為廣泛。此外，網(wǎng)絡(luò)流量的數(shù)據(jù)也是威脅狩獵的核心，有效地獲取相關(guān)信息可以更加準(zhǔn)確的進(jìn)行威脅狩獵。因此，使用網(wǎng)絡(luò)流量捕獲工具可以實(shí)現(xiàn)對網(wǎng)絡(luò)流量的數(shù)據(jù)的獲取。Stenographer是數(shù)據(jù)包捕獲程序，旨在快速將所有數(shù)據(jù)包緩存到磁盤。該工具會在磁盤容量限制時刪除最早的數(shù)據(jù)，適合在網(wǎng)絡(luò)威脅發(fā)生之前和期間捕獲流量，而無需明確需要記錄的網(wǎng)絡(luò)流量。其缺點(diǎn)是由于處理量大，難以高效處理復(fù)雜數(shù)據(jù)包。網(wǎng)絡(luò)可視化工具AOLMoloch是一個開源的大型IPv4數(shù)據(jù)包捕獲系統(tǒng)，并且可以方便地瀏覽搜索和導(dǎo)出捕獲的數(shù)據(jù)。該工具按照PCAP的形式存儲所有網(wǎng)絡(luò)流量，其優(yōu)點(diǎn)是該工具強(qiáng)大的靈活性，缺點(diǎn)是配置復(fù)雜性較高。3.2

威脅狩獵分析工具威脅狩獵分析工具根據(jù)分析對象的類別，分為日志分析工具、內(nèi)存分析工具和文件分析工具。在日志分析工具中，Lorg是一個用于在大文件中提取關(guān)鍵日志信息的工具，通過基于簽名的攻擊和機(jī)器學(xué)習(xí)相關(guān)技術(shù)檢測HTTP流量日志（例如Apache的access_log文件），判斷是否存在可疑請求或異常情況。StreamAlert是基于無服務(wù)器的實(shí)時日志數(shù)據(jù)分析框架，能夠使用用戶定義的邏輯提取自定義數(shù)據(jù)源并觸發(fā)警報。其優(yōu)點(diǎn)是有追蹤溯源日志的能力，便于部署維護(hù)且能處理大量數(shù)據(jù)，自動融合類似警報并建立新的規(guī)則。此外，微軟發(fā)布的Sysmon是專門為用戶Windows操作系統(tǒng)和服務(wù)器設(shè)計(jì)的，用于記錄詳細(xì)日志信息的工具，其中包括進(jìn)程創(chuàng)建、網(wǎng)絡(luò)連接以及文件修改等重要操作。Sigma則是一種方便用戶定義開放簽名格式、描述日志事件的工具，類似于指示器（IOC）和Yara規(guī)則用于檢測惡意文件和網(wǎng)絡(luò)連接，該工具可以使得研究人員共享、分析日志文件。Graylog是一個應(yīng)用于分布式體系的日志管理系統(tǒng)，可以分析從不同服務(wù)器中記錄的日志。該系統(tǒng)的優(yōu)勢是支持大量數(shù)據(jù)格式，較好地控制授權(quán)和用戶權(quán)限，并且能第一時間收到警報。缺點(diǎn)是該系統(tǒng)不能直接讀取信息，需要手動導(dǎo)入，且生成的報告不夠詳細(xì)完整。在三類靜態(tài)分析工具中，內(nèi)存分析工具常用于獲取存儲于內(nèi)存中攻擊信息。Memoryze是一款用于內(nèi)存取證的命令行程序，在計(jì)算機(jī)運(yùn)行過程中通過分析內(nèi)存鏡像，幫助用戶檢測惡意事件。WindowsSCOPE是用于分析易失性內(nèi)存的取證和逆向工具，提供分析Windows內(nèi)核，驅(qū)動程序，DLL以及虛擬和物理內(nèi)存的功能。該工具還可以定期記錄內(nèi)存快照，跟蹤系統(tǒng)內(nèi)存的即時變化。BelkasoftLiveRAMCapturer相比較之前介紹的工具更為輕量級，在受到主動反調(diào)試保護(hù)時仍然可以獲取存儲器的數(shù)據(jù)，提供不同版本減少空間占有。除此之外，還有例如LinuxMemoryGrabber、MagnetRAMCapture、OSForensics等內(nèi)存獲取和分析工具或腳本。而在文件分析工具方面，目前絕大部分分析工具采用特征比對的方法進(jìn)行威脅狩獵。采用IOC或Yara規(guī)則進(jìn)行網(wǎng)絡(luò)威脅識別的工具包括Fenrir、IOCFinder、rastrea2r、FidelisThreatScanner、LOKI等。另外一部分工具則采用自主收集計(jì)算機(jī)數(shù)據(jù)信息來進(jìn)行分析。bulk_extractor是一個通過掃描數(shù)字證據(jù)文件提取例如電子郵件地址、信用卡號等信息的工具。其優(yōu)勢是可以處理壓縮文件及部分損壞的數(shù)據(jù)，支持多線程分析文件內(nèi)容構(gòu)成單詞表來進(jìn)行數(shù)據(jù)展示。此外，還有開放式計(jì)算機(jī)取證體系結(jié)構(gòu)框架（OpenComputerForensicsArchitecture）基于Linux開發(fā)的后端平臺并使用PostgreSQL進(jìn)行數(shù)據(jù)存儲。該框架集成了多個開源文件取證工具，包括TheSleuthKit、Photorec等。其中TheSleuthKit是一款用于Unix和Windows的文件分析工具，具有磁盤鏡像分析、文件系統(tǒng)深度分析等功能，而Photorec則是幫助用戶回復(fù)數(shù)據(jù)的工具。RegRipper是用Perl編寫的開源工具，用于從注冊表中提取或解析信息（鍵，值，數(shù)據(jù)）并將其分析呈現(xiàn)。另外，專用于Windows的信息記錄及文件分析工具還有AChoir、CrowdResponse、IREC等。商業(yè)公司方面，Belkasoft公司開發(fā)的工具集BelkasoftEvidenceCenter可以通過分析硬件、硬件鏡像、導(dǎo)出內(nèi)存、分析IOS、黑莓和安卓機(jī)器的備份來提取各種電子證據(jù)。3.3威脅模擬工具由于網(wǎng)絡(luò)威脅并不是時常發(fā)生，而威脅狩獵的改善和提高需要大量的訓(xùn)練和總結(jié)，因此為了更有效地測試威脅狩獵平臺的性能，安全研究人員開發(fā)公布了一系列的網(wǎng)絡(luò)空間威脅模擬工具。APTSimulator是執(zhí)行Windows批處理腳本工具，它通過使用一組工具和輸出文件模擬系統(tǒng)信息被泄露的情況，是一個小型且高度便攜的檢測測試系統(tǒng)。AutoTTP是一個網(wǎng)絡(luò)空間威脅攻擊戰(zhàn)術(shù)生成程序，通過手動重新運(yùn)行復(fù)雜序列以進(jìn)行回歸測試，產(chǎn)品評估，為研究人員生成攻擊數(shù)據(jù)。此外，專門針對Windows企業(yè)環(huán)境的網(wǎng)絡(luò)威脅仿真工具還包括Caldera、Cimsweep、BT3等。04研究機(jī)構(gòu)模型但是當(dāng)前現(xiàn)狀的弊端也顯而易見，大部分方法和工具只對網(wǎng)絡(luò)空間威脅的一種技術(shù)或一個部分有較好的效果，而各種方法和工具不能相互兼容，這就導(dǎo)致了在整合到一起時無法起到真正的效果。在這樣的環(huán)境下，各個研究機(jī)構(gòu)創(chuàng)立自己對辦法建立威脅狩獵平臺，本節(jié)將選取代表性的組織進(jìn)行分析總結(jié)。4.1MITRE通過ATT&CK攻擊周期鏈，MITRE開發(fā)了基于ATT&CK分析方法，通過七個步驟實(shí)現(xiàn)威脅狩獵的開發(fā)工作，將分析方法分為七個步驟：確認(rèn)行為、獲取數(shù)據(jù)、建立分析、開發(fā)攻擊仿真事件、模擬威脅、調(diào)查攻擊、評估效果。該方法的缺點(diǎn)是進(jìn)攻防御非同時，導(dǎo)致不能做到即時對攻擊事件進(jìn)行反應(yīng)，這會導(dǎo)致不能最大程度的減少損失。明確行為：分析過程由明確攻擊者的行為開始，找到共通行為、即時可用的數(shù)據(jù)以及可以指示惡意行為的證據(jù)。獲取數(shù)據(jù)：在分析之前，找到足夠合適的數(shù)據(jù)非常重要。這就需要在系統(tǒng)上預(yù)安裝適當(dāng)?shù)臄?shù)據(jù)收集工具，例如Windows事件日志、Sysmon日志等。建立分析：通過硬軟件平臺的支持，建立分析方法，例如建立安全信息和事件管理中心。分析分為四個部分：行為，這方面指攻擊者常用的行為但并不違反安全規(guī)則不會報警；情況意識，在不同情況下不同的信息組合可以帶來新的信息，例如單純的用戶登錄記錄并不能指出攻擊者的存在，但是配合其他指示器就能產(chǎn)生不同的效果；異常，分析并非攻擊行為但是異于一般行為的時間；取證，獲取直接指示攻擊者行為的證據(jù)。開發(fā)攻擊仿真事件：與傳統(tǒng)滲透測試注重系統(tǒng)漏洞不同，攻擊仿真者通過模擬確定的攻擊行為，配合補(bǔ)充的攻擊技術(shù)完成整個攻擊的流程，核心目標(biāo)是獲取整個網(wǎng)絡(luò)環(huán)境的控制權(quán)。模擬威脅：在真實(shí)情況中根據(jù)上一步建立的攻擊模型相對應(yīng)地執(zhí)行。在這個過程中研究人員可以檢驗(yàn)威脅狩獵的效果并進(jìn)行改進(jìn)。調(diào)查攻擊：在攻擊完成以后，研究人員通過威脅狩獵獲得的數(shù)據(jù)和證據(jù)來倒推攻擊的流程，找到缺陷加以改進(jìn)。評估效果：根據(jù)上兩步的結(jié)果，綜合整個實(shí)驗(yàn)過程評估威脅狩獵的效果，篩選數(shù)據(jù)并改進(jìn)方法。除了ATT&CK分析方法以外，MITRE公開分享了在網(wǎng)絡(luò)空間威脅中存在的攻擊手段，并總結(jié)各個國際APT組織擅長使用的戰(zhàn)術(shù)戰(zhàn)略，收集了相關(guān)的惡意程序樣本，讓安全研究人員可能更好的分享使用并進(jìn)行威脅狩獵。4.2JPCERT/CC結(jié)合目前成熟的網(wǎng)絡(luò)空間威脅模型，日本計(jì)算機(jī)應(yīng)急響應(yīng)小組合作中心JPCERT/CC的研究人員根據(jù)攻擊者使用工具和命令的階段順序進(jìn)行深入調(diào)查，命令的使用頻率進(jìn)行研究。針對性的重點(diǎn)研究范圍是攻擊者在橫向傳播時Windows操作系統(tǒng)自帶的命令行，特別是用戶不常用但是攻擊者需要使用的命令，區(qū)分這些命令的使用頻率。研究人員提出可以通過應(yīng)用鎖（Applocker）對系統(tǒng)所使用的命令指令進(jìn)行限制，雖然不能阻止指令執(zhí)行，但是記錄的日志文件可以用于之后的取證。研究人員圍繞日志記錄審計(jì)規(guī)則和日志記錄工具，例如Sysmon等，來建立針對Windows操作系統(tǒng)的威脅狩獵平臺。此外，該研究人員還基于Sysmon工具開發(fā)了SysmonSearch工具。SysmonSearch是一個基于ElasticStack的日志分析系統(tǒng)，通過將每條記錄設(shè)置成一個節(jié)點(diǎn)可以直觀的找到相互之間的關(guān)聯(lián)。例如，如果明確了惡意程序的哈希值或者命令控制服務(wù)器，通過該工具能快速找到可能被感染相同惡意程序的其他主機(jī)，也可以通過指示器或者結(jié)構(gòu)化威脅信息表達(dá)式（STIX）進(jìn)行特殊查詢。該工具也支持即時的查詢，并對每臺主機(jī)的網(wǎng)絡(luò)交互、注冊表和進(jìn)程進(jìn)行統(tǒng)計(jì)分析，找到可疑事件。4.3SqrrlSqrrl于2012年成立專注于網(wǎng)絡(luò)空間安全和威脅狩獵的公司。該公司建立了四步狩獵方法，建立假設(shè)、利用工具和技術(shù)調(diào)查、挖掘新的模式和戰(zhàn)術(shù)以及自動化分析過程。建立假設(shè)：狩獵由一個關(guān)于攻擊行為的假設(shè)或合理的猜想開始。例如發(fā)現(xiàn)有用戶異常地從外網(wǎng)訪問內(nèi)網(wǎng)核心資源，則去分析該用戶賬號是否被攻擊。更高級的做法是根據(jù)用戶的一系列活動和指令，對應(yīng)計(jì)算這些指令相應(yīng)的危險程度結(jié)合網(wǎng)絡(luò)威脅攻擊模型作為狩獵的開始。工具和技術(shù)調(diào)查：使用例如相關(guān)數(shù)據(jù)分析以及可視化圖形等技術(shù)調(diào)查分析假設(shè)。另一方面，通過對原始數(shù)據(jù)進(jìn)行重組，實(shí)現(xiàn)構(gòu)建新的惡意攻擊模式和攻擊流程以此明確攻擊者的思路。挖掘模式和戰(zhàn)術(shù)：攻擊者的模式和戰(zhàn)術(shù)是最準(zhǔn)確和重要的攻擊信息。把第二步總結(jié)的戰(zhàn)術(shù)技術(shù)和方法積累完善，根據(jù)信息的相關(guān)性，找到和惡意程序或三方服務(wù)有關(guān)的用戶信息。自動化分析過程：將已完成的狩獵過程由人工轉(zhuǎn)向自動，并加入機(jī)器學(xué)習(xí)的方法使得威脅狩獵能適應(yīng)更多的情況和環(huán)境。Sqrrl公司的威脅狩獵平臺通過對原始數(shù)據(jù)進(jìn)行打散和重組，引入可視化圖形來對復(fù)雜網(wǎng)絡(luò)環(huán)境進(jìn)行深入理解，通過大型數(shù)據(jù)分析實(shí)現(xiàn)即時查詢實(shí)體行為，并且有自動化檢測異常和攻擊戰(zhàn)術(shù)的功能。在商業(yè)公司中處于頂尖水平。4.4框架優(yōu)劣比較本節(jié)列舉了三種不同的威脅狩獵平臺以及對應(yīng)的狩獵方式。其中MITRE的基于ATT&CK的方法較為全面，適用范圍廣，并且對已有的攻擊組織使用的技術(shù)進(jìn)行深入分析，較好地掌握了不同APT組織的戰(zhàn)術(shù)技術(shù)和方法。該威脅狩獵平臺的優(yōu)點(diǎn)是