怎么用Columbo識(shí)別受攻擊數(shù)據(jù)庫(kù)中的特定模式

本篇內(nèi)容主要講解“怎么用Columbo識(shí)別受攻擊數(shù)據(jù)庫(kù)中的特定模式”，感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“怎么用Columbo識(shí)別受攻擊數(shù)據(jù)庫(kù)中的特定模式”吧!

關(guān)于Columbo

Columbo是一款計(jì)算機(jī)信息取證與安全分析工具，可以幫助廣大研究人員識(shí)別受攻擊數(shù)據(jù)庫(kù)中的特定模式。該工具可以將數(shù)據(jù)拆分成很小的數(shù)據(jù)區(qū)塊，并使用模式識(shí)別和機(jī)器學(xué)習(xí)模型來(lái)識(shí)別攻擊者的入侵行為以及在受感染W(wǎng)indows平臺(tái)中的感染位置，然后給出建議表格。需要注意的是，當(dāng)前版本的Columbo僅支持在Windows操作系統(tǒng)平臺(tái)上執(zhí)行任務(wù)。

依賴組件&高級(jí)架構(gòu)

Columbo依賴于volatility 3、autorunsc.exe和sigcheck.exe實(shí)現(xiàn)其數(shù)據(jù)提取功能。因此，廣大用戶在使用Columbo之前必須下載這些依賴工具，并將它們存放在\Columbo\bin目錄下。這些工具所生成的輸出數(shù)據(jù)將會(huì)通過(guò)管道自動(dòng)傳輸?shù)紺olumbo的主引擎中。接下來(lái)，Columbo會(huì)將傳入的數(shù)據(jù)進(jìn)行拆分，并對(duì)其進(jìn)行預(yù)處理，然后使用機(jī)器學(xué)習(xí)模型對(duì)受感染系統(tǒng)的路徑位置、可執(zhí)行文件和其他攻擊行為進(jìn)行分類。

視頻資料

1、在你開(kāi)始使用Columbo之前，請(qǐng)先觀看【https://www.youtube.com/watch?v=7rUCC1Wz4Gc】。

2、使用【Columbo Memory-forensics】（https://www.youtube.com/watch?v=fOa62iVemAQ）進(jìn)行內(nèi)存取證分析。

工具安裝與配置

1、下載并安裝Python 3.7或3.8（未測(cè)試3.9），確保你已經(jīng)在安裝過(guò)程中將python.exe添加到了PATH環(huán)境變量中。

2、訪問(wèn)項(xiàng)目的【https://github.com/visma-prodsec/columbo/releases】下載最新的Columbo源碼。

3、下載下列組件，然后將它們存儲(chǔ)至\Columbo\bin中：Volatility 3源碼、autorunsc.exe和sigcheck.exe。

為了避免報(bào)錯(cuò)，目錄結(jié)構(gòu)必須為\Columbo\bin\volatility3-master、\Columbo\bin\autorunsc.exe 和\Columbo\bin\sigcheck.exe。

4、最后，雙擊\Columbo目錄中的“exe”即可啟動(dòng)Columbo。

Columbo與機(jī)器學(xué)習(xí)

Columbo使用數(shù)據(jù)預(yù)處理技術(shù)來(lái)組織數(shù)據(jù)和機(jī)器學(xué)習(xí)模型來(lái)識(shí)別可疑行為。它的輸出要么是1（可疑的），要么是0（正常的），它會(huì)以一種建議的形式幫助網(wǎng)絡(luò)安全與計(jì)算機(jī)取證人員進(jìn)行決策分析。我們使用了不同的測(cè)試用例來(lái)訓(xùn)練該模型，并以最大限度提升了輸出數(shù)據(jù)的準(zhǔn)確性，以及減少誤報(bào)的出現(xiàn)。但是，工具輸出的假陽(yáng)性依然會(huì)存在，因此我們目前仍在定期更新模型。

假陽(yáng)性

減少誤報(bào)其實(shí)并不容易，尤其是涉及到機(jī)器學(xué)習(xí)的時(shí)候。機(jī)器學(xué)習(xí)模型產(chǎn)生的輸出假陽(yáng)性高或低，這取決于用于訓(xùn)練模型的數(shù)據(jù)的質(zhì)量。但是，為了協(xié)助網(wǎng)絡(luò)安全與計(jì)算機(jī)取證人員進(jìn)行調(diào)查，Columbo會(huì)為其輸出提供相應(yīng)的準(zhǔn)確百分比系數(shù)（1-可疑的，0-正常的），這種方法有助于研究人員選擇需要進(jìn)行分析的可疑路徑、命令或進(jìn)程。

操作選項(xiàng)

實(shí)時(shí)分析-文件和進(jìn)程跟蹤

此選項(xiàng)將分析正在運(yùn)行的Windows進(jìn)程以識(shí)別正在運(yùn)行的惡意活動(dòng)（如果有的話）。Columbo會(huì)使用autorunsc.exe從目標(biāo)設(shè)備中提取數(shù)據(jù)，并輸出通過(guò)管道傳輸?shù)綑C(jī)器學(xué)習(xí)模型和模式識(shí)別引擎，對(duì)可疑活動(dòng)進(jìn)行分類。接下來(lái)，輸出將以Excel文件的形式保存在\Columbo\ML\Step-2-results下，以供進(jìn)一步分析。此外，Columbo還為用戶提供了檢查正在運(yùn)行進(jìn)程的選項(xiàng)。結(jié)果將包含諸如進(jìn)程跟蹤、與每個(gè)進(jìn)程相關(guān)聯(lián)的命令（如果適用）以及進(jìn)程是否負(fù)責(zé)執(zhí)行新進(jìn)程等信息。

掃描和分析硬盤(pán)鏡像文件（.vhdx）

該選項(xiàng)可以獲取已掛載的Windows硬盤(pán)鏡像路徑，它將使用sigcheck.exe從目標(biāo)文件系統(tǒng)中提取數(shù)據(jù)。然后將結(jié)果導(dǎo)入機(jī)器學(xué)習(xí)模型，對(duì)可疑活動(dòng)進(jìn)行分類。輸出將以Excel文件的形式保存在\Columbo\ML\Step-3-results下。

內(nèi)存信息取證

使用該選項(xiàng)時(shí)，Columbo會(huì)選擇內(nèi)存鏡像的路徑，并生成以下選項(xiàng)供用戶選擇。

內(nèi)存信息：使用Volatility 3提取關(guān)于鏡像的信息。

進(jìn)程掃描：使用Volatility 3提取進(jìn)程和每個(gè)進(jìn)程給相關(guān)的DLL以及處理信息。接下來(lái)，Columbo會(huì)使用分組和聚類機(jī)制，根據(jù)每個(gè)進(jìn)程的上級(jí)進(jìn)程對(duì)它們進(jìn)行分組。此選項(xiàng)稍后會(huì)由異常檢測(cè)下的進(jìn)程跟蹤選項(xiàng)使用。

進(jìn)程樹(shù)：使用Volatility 3提取進(jìn)程的進(jìn)程樹(shù)。

異常檢測(cè)和進(jìn)程跟蹤：使用Volatility 3提取異常檢測(cè)進(jìn)程的列表。但是，Columbo提供了一個(gè)名為“進(jìn)程跟蹤”的選項(xiàng)來(lái)分別檢查每個(gè)進(jìn)程，并生成以下信息：可執(zhí)行文件和相關(guān)命令的路徑、利用機(jī)器學(xué)習(xí)模型確定所識(shí)別進(jìn)程的合法性、將每個(gè)進(jìn)程一直追溯到其根進(jìn)程（完整路徑）及其執(zhí)行日期和時(shí)間、確定進(jìn)程是否負(fù)責(zé)執(zhí)行其他進(jìn)程、收集整理每個(gè)進(jìn)程的上述信息并提供給用戶。

項(xiàng)目地址

Columbo：https://github.com/visma-prodsec/columbo

到此，相信大家對(duì)“怎么用Columbo識(shí)別受攻擊數(shù)據(jù)庫(kù)中的特定模式”有了更深的了解，不妨來(lái)實(shí)際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！