这个由中国黑客研究的“超级欺骗系统”，究竟能做什么？

为什么这么做？因为攻击的过程非常宝贵，尤其是内网渗透的全过程，如果我们没有保存那么多数据，如果后续的分析环节就可能受影响，如果我们保存了足够多的数据，那么就为后续的分析打下了一个良好的数据基础。所以，我们决定保存足够详尽的攻击数据。

当然，所有收集信息的过程，必须是完全地悄无声息。因为攻击者一旦发现了破绽，很可能马上离开，或者选择反过来做很多迷惑对手的行为。

la0wang 说：

我们使用了非常隐蔽的无痕监控技术，就像一间屋子的地下有着震动感应的传感器，黑客在屋子里看不到任何东西，但是他的一举一动都会通过震动波被记录下来。攻击者可以很开心地在我们的环境中攻击，我们可以很开心地采集攻击者的行为数据。何乐而不为呢？

有了丰富详实的数据基础，就可以开始行为分析了。这其中设计一个有趣的技巧，就是攻击者的“语境”。

简单举个例子：

这是微信上一段对话的截图，从对话中可以看到是右边的人想向左边的权哥借5000块钱，那么是不是这样的呢？我们再看第二幅图：

看了第二幅我们才知道原来是左边的权哥欠了人家的钱不还，而且还说话不算数，故意抵赖。其实这个借钱不还的故事还有很长很精彩，篇幅所限，我只截了其中一小段。用这个例子说明什么呢？

如果不是在一个连续的、完整的语境环境中，那么我们针对数据的分析结果很有可能是错误的结果。

所以，一个完整的攻击语境包括：行为上下文、攻击时间、所处业务场景、目标对象等与攻击有关的语境因素。

胡鹏为我们举了几个简单的例子：

业务场景：我们的欺骗环境是由不同的业务场景组成的，比如有办公区、DMZ区、核心数据区等，那么不同场景下相同的动作就会有不同的含义，我们的分析都是在特定的业务场景中展开的。

重要环节：在攻击过程中，攻击者在不同的环节，会有不同的动作特点，比如刚进入内网时的探测、探测之后的渗透、得手之后的获取数据、走的时候清除痕迹等，这些都是攻击过程中的重要环节，针对重要环节的分析可以让我们从纷繁复杂的数据中整理出一个有序的过程，整个分析的结果会更加清晰。

关键路径：攻击者在攻击过程中会形成一定的攻击路径，也就是攻击者是如何一步步的达成目标的，经过哪些关键的位置，这个过程中比如攻击者是如何挑选不同的进攻路径的，比如如何从办公区进入核心数据区，攻击者需要先找到运维人员或者管理员的那台机器进入，那么这个运维人员或者管理员就是攻击路径中的关键点，通过对关键路径的分析，可以看出攻击者的进攻思路和攻击技巧。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!