Blog

深浅模式

Daily Study

更新: 12/20/2025 字数: 0 字 时长: 0 分钟

Daily Plan

#todo

  • [ ]

针对产品对比,广度的问题

威胁情报

  • Google Cloud Security (Mandiant + VirusTotal + Gemini) Mandiant 被认为是全球威胁情报归因分析的标杆。将 Mandiant 的深层归因(Attribution)与 VirusTotal 的广度数据结合,并利用 Gemini 处理超长上下文。它可以一次性读取数千行恶意代码或长篇情报报告,自动提取 TTPs 并生成 Yara 规则。
  • CrowdStrike:美国EDR,结合起Falcon平台数据,进行跨终端的威胁狩猎
  • Palo Alto Networks:AI驱动的SOAR,和腾讯云的安全界面很像
  • 微步

告警平台

阿里云安全中心

阿里云通过“云安全大脑”将分散的安全原子能力(主机安全、云防火墙、WAF)进行统一编排。

  • 多维关联降噪:告警 = 攻击行为 + 资产存在对应漏洞 + 资产对外暴露
  • 攻击链路图谱:利用图计算引擎,将离散的告警映射到 MITRE ATT&CK 矩阵中
  • 自动化验证:对于Web类告警,安全中心会利用内置的扫描器对目标 URL 进行无害化复现。如果扫描器确认漏洞存在,则标记为高置信度;如果复现失败,则打标尝试攻击。

创新点:

  • 无代理检测:利用云底层存储的快照技术,在不占用主机 CPU 资源的情况下,离线挂载磁盘快照进行病毒扫描和漏洞检测。这极大地降低了对业务的侵入性。
  • 云产品联动:能直接调用 SLB、RDS、K8s 的 API 获取元数据。例如,发现数据库泄露风险时,能直接判断该 RDS 是否开启了公网访问

字节(Elkeid / Volcano Engine)

基于内核级观测的高性能主机安全,开源项目为Elkeid

  • 端侧过滤与计算:为了避免海量日志打爆带宽,Elkeid 将部分规则计算下沉到 Agent 端。Agent端过滤之后,才会上报给服务端,能够过滤到90%的无效数据
  • 流式计算引擎:服务端采用 Flink 等流计算框架处理海量上报数据。
  • 进程树上下文:构建父子进程链

创新点:

  • 大规模eBPF落地:利用 eBPF Hook 系统调用(如 sys_execve, sys_connect),不仅性能损耗极低(< 1% CPU),而且极难被 Rootkit 绕过。
  • RASP集成:不仅仅是在主机层(HIDS),字节在应用层大量部署 RASP(Elkeid RASP),通过 Hook PHP/Java/Go 的底层函数,在代码执行层面进行拦截。这种“应用+主机”的双层联动,极大地降低了网络层的误报。
  • Rust重构:Elkeid 的 Agent 核心逻辑大量使用 Rust 编写,相比传统的 C++ 或 Go Agent,在内存安全性和极致性能控制上具有显著优势。

主要参考点:

  • 借鉴字节的 eBPF 思路:可以提到您研究过字节 Elkeid 的架构,认为利用 eBPF 获取精准的进程树上下文(Parent-Child Process)是解决 AKSK 告警研判中“环境归因” 的关键。
  • 借鉴阿里的图谱思路:在介绍您的 AKSK-Agent 时,可以提到未来的规划是参考阿里云的攻击链路图谱,将离散的 AK 异常与 IP 威胁、API 敏感度构建成图,用图算法解决复杂的关联分析问题。

EDR

Velociraptor

Velociraptor 是一个开源的端点可见性和数据收集工具,用于:

  • 实时端点数据收集:使用 VQL (Velociraptor Query Language) 查询语言收集主机状态信息,支持 Windows/Linux/MacOS 跨平台部署
  • 核心能力:数据取证调查,事件响应,资产清单管理,狩猎威胁,端点安全监控

创新点:

  • VQL查询语言:类SQL风格,支持插件和自定义函数,具有实时性
  • Artifact 生态系统:内置300 + 开箱即用的取证 Artifacts,社区维护 Artifact Exchange
  • 轻量部署:Go二进制文件,拥有GUI

Sysmon

微软明年准备推出 Native Sysmon functionality,为Windows原生提供 Sysmon 获得即时的威胁可视化并简化安全运营。会对IOA造成以下影响:

  • 架构模式重组:目前腾讯 iOA 和电脑管家为了监控系统行为(如进程创建、网络连接),必须开发沉重的内核驱动(Kernel Drivers)如果 Windows 原生集成了 Sysmon 级别的观测能力,并提供标准的输出接口(如增强的 ETW - Event Tracing for Windows)
  • 性能测试改变:资源开销会发生转移,传统模式的性能瓶颈:Context Switch(上下文切换)iOA 的驱动在内核态拦截操作 -> 发送给用户态分析 -> 返回结果。这会显著增加 CPU 开销和 I/O 延迟。Sysmon 的工作模式是将行为记录为 XML/JSON 格式的 Event Log。iOA 从“拦截者”变成了“分析者”。性能瓶颈从内核中断延迟转移到了用户态的日志解析与序列化开销。
    • 以前测:驱动对文件读写速度的拖慢(Hook Latency)
    • 以后测:iOA 对海量 ETW 事件的消费速率(Events Per Second, EPS)以及解析日志时的 CPU 占用率。

菜就多练

Copyright © 2025-2026

本站访客数 人次 本站总访问量