IOC(有受害信标、入侵信标、入侵指标等翻译)

IOC是可用于客观描述网络入侵事件、以与平台无关方法表示的任意信息片段。 在网络中,IOC可能是一个MD5哈希值,一个C2(command and control,命令控制)结构域或硬编码的IP地址,一个注册表项,文件名等简单信标,也可能是表明某个邮件服务器被用于恶意SMTP转发的一套复杂信标。

IOS可以有不同的形式和大小,还能通过多种途径表示为不同检测机制所接收的格式。有的工具能够从逗号分割的列表文件中解析IP地址,有的工具则只能从SQL数据库中取得IP地址。某个单一行为IOC可能需要拆分成多个独立部分,分别部署到不同的检测机制,以便能在某种网络下产生效果。一旦IOC被获得并以平台指定语言或格式应用后(比如Snort规则或Bro格式文件),它就成为了特征的一部分。一个特征可以包括一个或多个IOC。

简单的IOC分类可以是:①基于主机的信标 ②基于网络的信标。
基于主机的信标包括:

  • 注册表键值
  • 文件名
  • 文本字符串
  • 进程名
  • 互斥量
  • 文件哈希
  • 用户账号
  • 目录路径

基于网络的信标包括:

  • IPv4地址
  • IPv6地址
  • X509证书哈希
  • 域名
  • 文本字符串(因为文本字符串在主机与网络中出现的机会均等,所以都包含)
  • 通信协议
  • 文件名
  • URL

以上是基于出现场合的分类,有些情况下用此分类方法不能取得良好的效果,则可以使用以下分类方法:①静态信标 ②可变信标

静态信标:
有三种变种
①原子信标:一般是指比较小且更为具体的信标,他们无法被分解为更小的部分,但在入侵背景的描述方面具有一定意义,此类信标包括:IP地址、文本字符串、主机名、电子邮件地址、文件名。

②计算信标 :由特定事件数据的计算结果产生,此类信标包括:哈希值、正在表达式、统计结果。

③行为信标:由原子信标和计算信标按某些逻辑形式组合而来,通常能够提供一些有用的内容,此类信标可以是一套包括文件名、匹配哈希值或文本字符串和正则表达式的组合数据。

可变信标:把能够检测一直攻击的信标部署在网络中的检测机制中,则有些安全威胁就会漏掉,为了发现未知安全威胁,有时需要考虑使用可变信标。这类信标通常产生于一个攻击行为可以导致的序列事件(形成行为信标),并用于判断变量是否存在。从本质上看,它可以发现理论上的攻击行为,而不只是已经发生过的攻击。根源在于分析对象是攻击所采用的特定技术手段,而不是某个孤立的对手所实施的攻击个案。