更新时间:2022-06-23
失陷主机通常是指网络攻击者以某种方式获得控制权的主机,在获得控制权后,攻击者通过建立C&C隐蔽通道并对失陷主机发送恶意指令,甚至以该主机为跳板继续攻击内网的其他主机。另外,失陷主机往往具有无规律性、高隐蔽性的特点,很多入侵动作本身难以识别或无法确认攻击是否成功。
针对办公网或者生产网场景中存在的失陷主机安全隐患,深信服下一代防火墙采用本地特征库+云端NTA检测技术准确定位各种失陷主机的高危行为。深信服防火墙本地具备130万的僵尸网络特征库,里面包含主流恶意URL、C&C IP地址等,通过对比风险主机的非法外联行为,确认并定位失陷主机。由于攻击者经常使用恶意软件隐秘通信检测,包括使用DGA通信、DNS隐蔽通道通信、字典拼接通信、硬编码通信等,增加了非法外联行为的检测难度。深信服下一代防火墙采用NTA异常流量行为分析引擎,基于AI+规则的闭环迭代发现异常流量,定位未知威胁。