什么是IOC？应该如何识别和响应？

近期，Wireshark 大学和 虹科Allegro Packets联合举办了网络取证和入侵分析线上培训课程，这是亚太地区的首次培训，目的是为了帮助企业熟练运用Allegro流量分析仪和Wireshark，准确识别失陷指标（IoC）。还将有机会与前黑帽（Blackhat）取证调查员Phill Shade一同探讨真实世界的网络取证案例研究哦。

本文先与大家探讨IOC的概念、类型、常见示例以及相关解决方案和工具，同时比较IOC与IOA的区别，并探讨高级网络和安全培训的重要性

夏雨

资深网络工程师

网络工程师，专攻网络通信，负责网络流量监控的产品技术服务和售后服务，经验丰富，响应迅速。

一、网络安全中的IOC是什么

Indicators of Compromise（IOC），也被称为失陷指标，经常用于取证调查场景，指的是网络攻击或安全漏洞导致的主机受损的证据，比如恶意文件哈希值，恶意软件的特征，恶意的IP地址、URL、域名等被动识别的信标。这些指标是恶意行为者留下的有形线索或痕迹，有助于企业识别、分析、调查和修复网络安全事件，使企业能够迅速做出反应，减轻漏洞造成的影响。

二、IOC和IOA有什么区别

攻击指标（IOA）和失陷指标（IOC）是网络安全中很有价值的概念，但它们在侧重点、时间范围和使用方法上都有所不同。以下是 IOA 和 IOC 的主要区别：

侧重点：IOA 重点关注攻击者在持续网络攻击中使用的战术、技术和程序 (TTP)。它们通过识别表明存在恶意活动的可疑行为或模式，帮助检测正在发生或即将发生的攻击。而 IOC 则侧重于识别表明系统或网络已被入侵的线索或证据。它们来自于观察到的恶意活动，并提供识别成功入侵的信息。

时间范围：IOA 通常在攻击的早期阶段使用，以检测和应对正在发生的威胁。它们可帮助企业实时识别和缓解攻击，从而实现主动防御。另一方面，IOC 在攻击发生后使用。它们对于事件后调查和取证分析非常有价值，可以确定入侵的范围、影响和根本原因。

使用方法：IOA 具有前瞻性，可帮助安全团队根据已知的攻击模式和技术识别潜在的威胁或攻击。它们重点关注攻击者的行为和活动，以便在攻击得逞之前检测和预防攻击。而 IOC 是反应性的，用于在攻击发生后识别是否存在漏洞。它们可帮助企业识别和应对安全事件，评估危害程度，并实施补救措施。

范围：IOA 涵盖更广泛的潜在攻击场景和技术。它们使用行为分析、异常检测和启发式方法来识别潜在的恶意活动。而 IOC 通常基于与特定威胁或入侵相关的已知签名、模式或工具。它们包括与已知恶意实体相关的特定文件哈希值、IP 地址、URL 或模式等指标。

总之，IOA 侧重于通过识别正在进行的攻击中的可疑行为和活动来检测和预防攻击，而 IOC 则用于通过分析入侵后留下的线索来追溯性地识别和调查安全事件。IOA 和 IOC 在增强组织的整体安全态势和事件响应能力方面都发挥着至关重要的作用。

三、IOC有哪些类型

安全团队依靠各种 IOC 来保护网络和端点系统。各种来源以不同的方式对 IOC 进行分类。有一种方法是将其分为三大类：

基于网络型。基于网络的 IOC 包括异常流量模式或意外使用协议或端口等事件。例如，访问某个特定网站的流量可能突然增加，或者与已知恶意的 URL、IP 地址或域的连接出现意外。

基于主机型。基于主机的 IOC 可揭示单个端点上的可疑行为。它们可能包括各种潜在威胁，包括未知进程、可疑哈希文件或其他类型的文件、系统设置或文件权限的更改，或文件名、扩展名或位置的更改。基于文件的 IOC 有时与基于主机的 IOC 分开处理。

异常行为型。行为型 IOCs 反映的是整个网络或计算机系统的行为，如反复尝试登录失败或在不寻常的时间登录，这一类别有时被纳入其他类别。

通过使用各种类型的 IOC，安全团队可以更有效地检测和应对安全漏洞，并更积极地预防安全漏洞。

四、IOC 的常见示例有哪些

1、异常出站网络流量

离开网络的流量是 IT 团队用来识别潜在问题的一个指标。如果出站流量模式可疑异常，IT 团队可以密切关注，检查是否有问题。由于这种流量来自网络内部，因此通常最容易监控，如果立即采取行动，就能阻止多种威胁。

2、网络钓鱼电子邮件

网络钓鱼电子邮件是攻击者获取敏感信息或在受害者系统中安装恶意软件的一种常见方式。要识别这些电子邮件可能很困难，因为它们通常看起来像是来自可信来源的合法通信。但是，如果发现任何可疑的电子邮件，例如要求提供登录凭据或指向陌生网站的链接，一定要谨慎并进一步调查。

3、特权用户账户活动异常

特权用户账户通常可以访问网络或应用程序的特殊或特别敏感的区域。因此，如果发现异常情况，就可以帮助 IT 团队在攻击过程中及早识别，从而避免造成重大损失。异常情况可能包括用户试图提升特定账户的权限，或使用该账户访问其他拥有更多权限的账户。

4、地理位置异常

如果有来自本企业通常不与之开展业务的国家的登录尝试，这可能是潜在安全漏洞的迹象。这可能是其他国家的黑客试图进入系统的证据。

5、其他登录信号

当合法用户尝试登录时，他们通常会在几次尝试后成功登录。因此，如果现有用户多次尝试登录，这可能表明有坏人试图侵入系统。此外，如果用不存在的用户账户登录失败，这可能表明有人在测试用户账户，看其中一个账户是否能为他们提供非法访问。

6、数据库读取量激增

当攻击者试图外泄数据时，他们的努力可能会导致读取量膨胀。当攻击者收集用户信息并试图提取时，就会出现这种情况。

7、HTML 响应大小

如果典型的超文本标记语言（HTML）响应大小相对较小，但注意到响应大小要大得多，这可能表明数据已被外泄。当数据传输给攻击者时，大量数据会导致更大的 HTML 响应大小。

8、对同一文件的大量请求

黑客经常反复尝试请求他们试图窃取的文件。如果同一文件被多次请求，这可能表明黑客正在测试几种不同的文件请求方式，希望找到一种有效的方式。

9、不匹配的端口应用流量

攻击者在实施攻击时可能会利用不明显的端口。应用程序使用端口与网络交换数据。如果使用的端口不正常，这可能表明攻击者试图通过应用程序渗透网络或影响应用程序本身。

10、可疑的注册表或系统文件更改

Windows 注册表包含敏感信息，例如操作系统和应用程序的配置设置和选项。不断修改注册表可能表明攻击者正在创建用于执行恶意代码的系统。恶意软件通常包含更改注册表或系统文件的代码。如果出现可疑更改，则可能是 IOC。建立基线可以更容易地发现攻击者所做的更改。

11、DNS 请求异常

黑客经常使用命令与控制（C&C）服务器通过恶意软件入侵网络。C&C 服务器会发送命令以窃取数据、中断网络服务或用恶意软件感染系统。如果域名系统 (DNS) 请求异常，特别是来自某个主机的请求，这可能就是 IOC。

此外，请求的地理位置可以帮助 IT 团队发现潜在问题，尤其是当 DNS 请求异常国家或地区的合法用户时。

12、未知软件安装

系统上突然出现未知的文件、服务、进程或应用程序，例如意外的软件安装。

五、IOC 解决方案和工具

企业需要制定强大的安全策略来有效识别和响应IOC，例如：

1、扩展检测和响应 (XDR)平台

XDR 使组织能够收集、分析和关联来自多个来源（包括 IoC）的安全数据，以检测潜在威胁。

2、终端安全防护平台

这些平台允许安全团队收集、搜索和执行针对 IoC 的规则。例如Morphisec ，它可识别并记录 IOC，生成警报并生成报告，使安全团队能够及时采取行动。同时Morphisec也可以阻止绕过基于签名或基于行为的检测的最危险攻击，补充并增强下一代防病毒和终端检测与响应解决方案。

3、安装自动检查工具

反病毒和反恶意软件工具可以帮助检测和消除系统中被识别为 IoC 的恶意代理。不过，即使使用了先进的工具，也要记住零日攻击（软件、硬件和安全社区未知的新攻击）可能不会被这些工具检测到，并造成严重破坏。因此，不应完全依赖这些工具。

4、网络流量监控和分析工具

这些工具例如wireshark、虹科Allegro流量分析仪可以捕获和分析实时或历史网络流量，检测异常的网络流量模式，如大量的未经授权数据传输、异常的端口使用等，同时能够帮助安全团队深入分析网络流量的协议，识别异常或不正常的协议行为，例如未经授权的协议使用或变种协议。通过监控流量并检查与已知恶意IP地址和域名的通信等等，这些工具可以帮助识别可能的IoC。

5、紧跟技术前沿趋势和报告

从可靠的公开 IoC 信息源网站了解有关 IoC 的趋势和报告。此外，公认的 IoC 的内部数据库可以集成到监控工具和 SIEM 中。

Allegro 网络万用表是一款功能强大的实时网络万用表，用于检测网络问题。它测量从第 2 层到第 7 层的许多性能参数，用于故障排除和网络分析。Allegro 彻底改变了网络分析的市场，用移动设备分析大量的数据包，提供了一个结合以前解决方案优势的调试工具。

艾体宝公司（itbigtec.com）是一家前瞻性的技术企业，专注于提供尖端的数据存储、数据智能、全面的安全与合规性，以及高效的网络监控与优化服务解决方案。我们的使命是通过技术创新，赋能企业在复杂的数字化转型浪潮中实现卓越的运营。