计算机犯罪研究，云态势感知如何构起信息安全的护城墙( 八 )_随着云服务和移动支付的兴起

图6/9

那复杂规则关联分析是什么样的呢？首先黑客会使用扫描集群，扫描 Redis 端口进行暴力破解。如果未授权访问上控制云服务器的基础服务器，便会将公钥写入基础服务器，之后就能自动化操作，比如说装一些黑客工具、DDoS 工具或挖矿、勒索工具。

图7/9

恶意服务器长时间扫描会被威胁情报检测到服务器的 IP 地址，然后态势感知在本地检测的时候会对这些 IP 进行扫描。在扫描暴力破解的时候，利用 NIDS ET 规则来进行检测，接下来会用 Redis 弱口令 / 开启认证，口令是弱口令或者没有开启认证，会产生告警事件。写入 C&C 服务器公钥的时候会使用 sshkey 目录，在动目录的时候会产生一条非法文件篡改的告警事件。

再往后会有反弹 shell，可以对可疑连接或者是失陷主机进行检测。在挖矿程序的时候会通过云沙箱来进行检测，DDoS 也可以通过肉鸡行为进行检测。这样对用户每一步操作都形成了告警事件，然后把这些告警事件关联在一起。这就是比较复杂的规则和时序分析的过程。