@[TOC]IOC与IOA学习
IoC 和 IoA:两者有什么区别?
IoC 和 IoA 可通过以下四种简单的方法进行区分:
具体工具与动机:
IoC 专注于攻击者为实现其意图而使用的特定文件和采取的行动,而 IoA 则专注于这些意图本身。IoC 关注“如何?”,而 IoA 关注“为什么?”。
恶意与不一定恶意
IoC 本身代表的是恶意行为,因为它们是安全性已遭到破坏的证据,所以怎么可能是善意的呢?另一方面,IoA 代表的是根据上下文被判定为具有威胁性的行为。
例如,端口扫描本身不是恶意活动;无害的扫描器可能会执行端口扫描以检查一切是否正常。但是,如果还有其他上下文数据,例如表明站内主机使用非典型端口与站外主机通信的日志,那么这就是 IoA:在侦察阶段,无害的端口扫描器可能成为潜在攻击者,扫描您的网络是否存在任何漏洞。
静态与动态
IoC 被称为“静态”指标,因为网络攻击的构成元素(例如,后门、C&C 连接、IP 地址、事件日志、哈希值)不会随时间变化。这是标准威胁情报的基本概念:使用此类已知恶意构成元素的数据库来识别传入威胁。
但如果您面临的是未知的新型威胁和不熟悉的构成元素,或者确实是无恶意的攻击,该怎么办?IoC 发挥不了作用,因为匹配不到任何恶意行为。但无论是否使用了新构成元素(或根本不使用),攻击者在实施网络攻击的整个过程中必须经历一系列类似的阶段。IoA 旨在识别这些潜在的、稳定的攻击模式,因此可以检测出全新的威胁。
因此,IoA 被称为“动态”指标:在整个攻击阶段和切换攻击手段的过程中,网络犯罪活动是动态的,而 IoA 检测方法可以实时识别和跟踪这些正在发生的行为。
引用 :https://blog.csdn.net/pengpengjy/article/details/130424802
