每次一有点屁大的事都把Norse Attack Map拿出来说事儿,今天就给大家科普下。

http://norsecorp.com/


一、什么是Norse Attack Map:

Norse Attack Map其实展示的压根就不是真实的全网攻击流量,而是通过分布在互联网上的蜜罐系统捕获到的小部分攻击流量。


所谓的蜜罐系统就是公司部署在互联网上,伪装成有价值目标的探头,这些探头会利用域名、网站内容等伪装成政府、金融、军事网站等,诱骗攻击者前来入侵,从而记录分析攻击者行为。


二、Norse Attack Map会记录什么样的攻击者:

网络攻击者分成多种类型,有国家背景的,有黑产等商业背景的,也有全凭兴趣爱好的,当然还有类似“匿名者”和“红客”这样关注政治热点的。一般来说,专业的APT攻击(高级持续性威胁)是非常隐秘的,而且目标明确,很难被Norse蜜罐捕获,即使捕获了,也会淹没在海量的数据当中,Norse捕获最多的往往就是凭着个人兴趣大面积扫描的业余爱好者,或者是关注政治和突发事件的青年们。

三、Norse Attack Map中主要展示的攻击类型是什么:

刚才说了,高级的APT攻击很难被Norse捕获,其实看一下Norse Attack Map上的攻击类型(Attack Types)就知道,捕获最多的还是基于一些常见漏洞的自动化扫描。


四、Norse Attack Map的攻击源和攻击目标数据有参考价值吗:

只能拿来看热闹,因为对于攻击源来说,黑客完全可以使用跳板,NorseCorp并没有能力对跳板进行解析,所以显示的源攻击地址只是最后一个跳板而已,可以想象如果朝鲜黑客利用日本的服务器做跳板攻击韩国,Norse Attack Map上将会显示大量的日韩交战。

当然,Norse Attack Map的可视化做的很漂亮,拿来做做演示什么的还是很带感的,可是也就到此为止了,大数据也好,可视化也好,底层数据采集分析不扎实,上层做的再花哨也没价值。


大多数有效的的网络攻击实际是藏在水面之下看不见也感觉不到的。像你能在qq看到的黑产都那么单纯,像宇宙中的暗物质一般。你们要喜欢看这里还有很多更漂亮的。


评论
热度(2)
  1. Louis千秋雪 转载了此图片
 

© 千秋雪 | Powered by LOFTER