ATT&CK 在大数据安全分析中的应用思考(14)_前言若将今年网络安全圈内的热词进行盘

当然光靠阈值可能依然存在一些误报情况，我们可以引入机器学习算法辅助确认主机是否失陷。在内网的运维过程中，我们收集以单台主机上的 TTPs 标签分布为样本数据，对主机进行分析后，若手动判定为失陷则加入黑样本，其他认为是白样本。利用样本集训练模型作为一种辅助判断的手法，来提高风险主机的处理优先级。在客户运维的过程中，还可以利用主动学习算法不断的优化辅助模型。

3. 内网的溯源

当检测到失陷主机有进程访问内网其他机器时，展示该机器上检测到的 TTPs 信息及摘要。可以根据此信息来判断是否为横向移动攻击，例如winrs是一种横向移动手段，发现主机10.50.10.100通过winrs连接到内网机器10.50.10.105 ，又发现主机10.50.10.105上有权重较高的标签T1060-Registry Run Keys / Startup Folder、T1003-Credential Dumping、T1191-CMSTP那可能大概率横向移动的结果是成功的。