论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
IOT
[16525] 2021-03-07_持续风险监测体系实践:基于ATT&CK的APT高频技术分析
文档创建者:
s7ckTeam
浏览次数:
3
最后更新:
2025-01-18
IOT
3 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2021-03-07_持续风险监测体系实践:基于ATT&CK的APT高频技术分析
持
续
风
险
监
测
体
系
实
践
:
基
于
A
T
T
&
C
K
的
A
P
T
高
频
技
术
分
析
必
达
实
验
室
F
r
e
e
B
u
f
2
0
2
1
-
0
3
-
0
7
A
T
T
&
C
K
作
为
一
套
反
映
网
络
安
全
攻
击
的
知
识
模
型
,
自
2
0
1
3
年
提
出
以
来
越
来
越
受
到
安
全
行
业
的
关
注
,
已
逐
渐
成
为
网
络
攻
击
事
件
分
析
的
新
标
准
,
在
众
多
A
P
T
事
件
分
析
中
得
到
广
泛
应
用
。
针
对
不
同
A
P
T
组
织
的
攻
击
技
术
,
必
达
实
验
室
安
全
技
术
专
家
黄
慧
敏
依
托
于
基
于
协
同
的
持
续
性
风
险
监
测
体
系
,
追
踪
A
P
T
组
织
活
动
轨
迹
,
以
A
T
T
&
C
K
为
载
体
,
分
析
了
部
分
活
跃
且
具
有
代
表
性
的
A
P
T
组
织
攻
击
策
略
的
整
体
情
况
,
见
《
持
续
风
险
监
测
体
系
实
践
—
—
基
于
A
T
T
&
C
K
的
A
P
T
攻
击
策
略
分
析
》
,
本
文
进
一
步
探
讨
了
高
频
技
术
,
梳
理
形
成
了
A
P
T
组
织
常
用
技
术
清
单
。
为
了
更
好
的
防
范
A
P
T
攻
击
,
作
为
防
守
的
一
方
,
尤
其
是
一
些
敏
感
的
受
A
P
T
青
睐
行
业
的
防
守
方
,
需
要
加
强
对
这
些
A
P
T
常
用
的
攻
击
技
术
的
主
动
防
御
,
优
化
检
测
、
阻
断
策
略
,
降
低
A
P
T
攻
击
的
安
全
风
险
,
从
而
保
护
资
产
免
受
损
失
。
另
一
方
面
,
这
些
高
频
技
术
也
能
在
红
蓝
对
抗
中
,
为
攻
击
方
提
供
技
术
参
考
,
以
模
拟
A
P
T
攻
击
,
检
测
当
前
防
御
状
况
。
一
、
高
频
技
术
检
测
与
优
化
一
、
高
频
技
术
检
测
与
优
化
在
《
持
续
风
险
监
测
体
系
实
践
—
—
基
于
A
T
T
&
C
K
的
A
P
T
攻
击
策
略
分
析
》
我
们
根
据
每
个
策
略
下
A
P
T
的
技
术
覆
盖
率
以
及
其
真
实
高
频
数
与
预
期
高
频
数
之
间
的
关
系
,
划
分
了
四
个
象
限
。
本
文
依
照
每
个
象
限
的
现
实
意
义
与
特
点
,
我
们
根
据
象
限
的
曝
光
程
度
绘
制
了
图
1
-
1
四
象
限
冰
山
图
,
活
跃
者
象
限
为
曝
光
度
最
高
的
象
限
,
而
投
机
者
象
限
位
于
水
面
,
隐
藏
着
、
潜
在
者
暴
露
较
少
,
需
要
深
挖
。
因
此
,
我
们
建
议
从
冰
山
上
往
下
优
化
防
御
体
系
。
在
“
活
跃
者
”
象
限
中
,
需
要
加
强
防
范
网
络
钓
鱼
攻
击
(
T
1
5
6
6
)
,
子
技
术
包
括
“
鱼
叉
附
件
攻
击
”
、
“
鱼
叉
链
接
攻
击
”
,
针
对
鱼
叉
攻
击
中
的
恶
意
鱼
叉
附
件
、
鱼
叉
链
接
,
我
们
建
议
通
过
部
署
威
胁
监
测
设
备
,
结
合
威
胁
情
报
,
通
过
流
量
层
的
沙
箱
进
行
检
测
告
警
,
并
联
合
终
端
E
D
R
类
防
护
系
统
,
对
附
件
进
行
查
杀
阻
断
。
对
于
“
T
1
0
7
8
有
效
帐
号
利
用
”
,
“
T
1
1
3
3
外
部
远
程
服
务
利
用
”
技
术
的
检
测
,
可
通
过
威
胁
监
测
系
统
中
的
用
户
行
为
画
像
、
流
量
层
特
征
,
联
动
终
端
登
录
事
件
、
服
务
日
志
等
对
其
进
行
持
续
性
监
测
,
在
发
现
异
常
登
录
、
异
常
远
程
服
务
连
接
时
及
时
告
警
。
在
“
投
机
者
”
象
限
中
,
需
要
注
意
隐
蔽
性
较
高
的
两
个
技
术
:
“
T
1
0
7
1
应
用
层
协
议
利
用
”
和
“
T
1
0
2
1
远
程
服
务
”
。
对
于
此
类
技
术
的
检
测
,
我
们
建
议
部
署
全
流
量
威
胁
监
测
设
备
,
其
流
量
层
基
于
特
征
与
算
法
的
检
测
有
其
独
到
的
优
势
,
尤
其
是
检
测
识
别
D
N
S
、
I
C
M
P
等
隧
道
,
以
及
S
M
B
协
议
漏
洞
利
用
等
攻
击
。
在
“
隐
藏
者
”
象
限
中
,
其
中
尤
其
关
注
的
技
术
有
“
T
1
0
5
9
命
令
与
脚
本
解
释
器
利
用
”
、
“
T
1
0
0
3
操
作
系
统
凭
证
转
储
”
、
“
T
1
5
0
5
服
务
器
软
件
组
件
利
用
”
,
其
中
T
1
0
5
9
中
需
要
重
点
关
注
的
子
技
有
“
P
o
w
e
r
S
h
e
l
l
利
用
”
、
“
U
n
i
x
S
h
e
l
l
利
用
”
、
“
W
i
n
d
o
w
s
C
M
D
利
用
”
,
T
1
5
0
5
中
需
要
重
点
关
注
的
子
技
术
有
“
W
e
b
S
h
e
l
l
利
用
”
。
对
于
上
述
技
术
的
检
测
,
我
们
建
议
以
终
端
E
D
R
检
测
为
主
,
以
流
量
层
威
胁
监
测
为
辅
的
思
路
进
行
联
动
检
测
,
该
部
分
主
机
层
的
安
全
设
备
更
具
有
优
势
,
而
流
量
层
监
测
设
备
则
能
够
结
合
主
机
告
警
进
行
追
踪
溯
源
,
在
流
量
层
进
行
宏
观
的
把
控
,
以
供
云
端
专
家
对
其
发
展
态
势
发
展
作
出
预
判
,
并
及
时
下
发
阻
断
策
略
。
在
“
潜
在
者
”
象
限
中
,
“
T
1
0
7
0
主
机
痕
迹
清
除
”
值
得
重
点
关
注
。
“
主
机
痕
迹
清
除
”
可
作
为
指
标
性
技
术
告
警
,
痕
迹
清
理
通
常
是
作
为
入
侵
后
的
收
尾
工
作
,
即
避
免
攻
击
行
为
被
发
现
。
对
于
该
项
技
术
,
我
们
建
议
通
过
在
终
端
上
部
署
E
D
R
系
统
,
监
控
系
统
日
志
、
历
史
记
录
等
相
关
位
置
的
清
空
、
删
除
等
敏
感
操
作
,
以
检
测
“
主
机
痕
迹
清
除
”
。
基
于
篇
幅
限
制
,
我
们
仅
对
高
频
技
术
中
的
部
分
的
技
术
给
出
了
检
测
建
议
,
完
整
的
高
频
技
术
清
单
请
见
附
表
一
。
正
如
四
象
限
冰
山
图
那
样
,
观
察
到
的
总
是
冰
山
一
角
,
往
往
容
易
忽
略
水
下
的
深
层
攻
击
,
如
何
让
冰
山
慢
慢
浮
出
水
面
,
则
是
防
守
方
不
断
努
力
和
攻
克
的
方
向
。
显
然
在
网
络
攻
击
形
势
日
趋
严
峻
的
今
天
,
对
于
A
P
T
的
防
御
与
检
测
已
经
无
法
依
靠
传
统
的
设
备
堆
叠
方
案
来
满
足
需
求
了
,
这
时
需
要
构
建
全
方
位
的
监
测
体
系
,
基
于
此
我
们
提
出
了
基
于
协
同
的
持
续
性
风
险
监
测
体
系
,
该
体
系
从
主
机
层
、
流
量
层
、
应
用
层
三
个
维
度
出
发
,
结
合
威
胁
情
报
应
用
、
沙
箱
动
态
行
为
分
析
、
入
侵
特
征
与
行
为
分
析
、
大
数
据
异
常
行
为
分
析
、
多
事
件
关
联
分
析
等
一
系
列
手
段
,
对
威
胁
进
行
全
方
位
、
持
续
性
监
测
,
并
将
威
胁
汇
总
至
后
端
的
安
全
“
智
大
脑
”
,
对
威
胁
进
行
全
面
的
分
析
和
计
算
。
无
论
是
主
机
层
、
流
量
层
,
还
是
应
用
层
,
紧
密
联
动
,
环
环
相
扣
,
一
旦
某
一
环
节
产
生
了
告
警
,
就
能
够
结
合
协
同
监
测
中
心
和
威
胁
情
报
中
心
进
行
分
析
、
溯
源
、
确
认
,
而
后
联
动
相
应
的
防
护
设
备
进
行
处
置
、
阻
断
,
从
而
有
效
实
现
了
威
胁
的
发
现
、
响
应
、
处
置
的
闭
环
。
二
、
高
频
技
术
攻
击
案
例
探
讨
二
、
高
频
技
术
攻
击
案
例
探
讨
我
们
从
四
个
象
限
中
分
别
选
取
一
个
具
有
代
表
性
的
技
术
进
行
探
讨
,
根
据
技
术
的
使
用
热
度
、
流
行
趋
势
,
我
们
选
取
了
“
T
1
1
8
9
水
坑
攻
击
”
、
“
T
1
0
7
1
应
用
层
协
议
利
用
”
、
“
T
1
0
5
9
命
令
与
脚
本
解
释
器
利
用
”
三
个
技
术
。
其
中
T
1
0
5
9
包
含
子
技
术
较
多
,
这
里
以
其
中
的
“
T
1
0
5
9
.
0
0
1
P
o
w
e
r
S
h
e
l
l
利
用
”
为
例
进
行
探
讨
。
而
“
潜
在
者
”
象
限
并
无
合
适
的
技
术
,
这
里
不
进
行
探
讨
。
“
水
坑
攻
击
”
是
近
年
来
较
为
流
行
的
攻
击
方
式
,
大
有
增
长
之
势
,
“
水
坑
攻
击
”
也
一
直
以
“
沦
陷
第
三
方
站
点
”
,
迂
回
攻
击
路
线
的
特
点
,
游
离
于
传
统
防
御
监
测
体
系
之
外
,
一
直
是
监
测
的
难
点
。
而
“
应
用
层
协
议
利
用
”
、
“
P
o
w
e
r
S
h
e
l
l
利
用
”
则
一
直
活
跃
的
出
现
在
我
们
持
续
性
风
险
监
测
的
事
件
之
中
,
二
者
都
有
规
避
检
测
的
效
果
,
前
者
在
流
量
层
规
避
检
测
,
后
者
在
主
机
层
规
避
检
测
,
对
这
两
个
的
技
术
的
检
测
也
充
满
了
挑
战
性
。
基
于
上
述
技
术
的
挑
战
性
与
代
表
性
,
我
们
结
合
了
自
身
持
续
性
风
险
监
测
业
务
开
展
过
程
中
遇
到
的
真
实
案
例
对
上
述
三
个
技
术
进
行
展
开
讨
论
,
以
便
于
更
好
的
应
对
此
类
攻
击
。
1
、
水
坑
攻
击
、
水
坑
攻
击
即
通
过
攻
陷
受
害
者
日
常
浏
览
的
网
站
,
一
旦
受
害
者
浏
览
该
网
站
,
就
会
成
为
攻
击
的
目
标
。
水
坑
攻
击
已
经
成
为
A
P
T
攻
击
的
一
种
常
用
手
段
,
相
比
于
鱼
叉
链
接
、
附
件
攻
击
,
水
坑
攻
击
根
据
隐
蔽
性
,
受
害
者
往
往
警
惕
性
较
低
,
难
以
觉
察
网
站
异
常
。
且
攻
击
的
网
站
往
往
属
于
第
三
方
网
站
,
并
不
在
防
御
体
系
内
,
大
大
提
升
了
检
测
的
难
度
。
我
们
在
监
测
过
程
中
也
发
现
“
水
坑
式
攻
击
”
有
增
长
的
趋
势
,
在
对
某
地
方
人
民
政
府
的
持
续
性
风
险
监
测
活
动
中
,
某
日
我
们
发
现
一
台
P
C
终
端
从
当
地
地
方
晚
报
下
载
了
恶
意
文
件
,
行
为
可
疑
,
之
前
因
业
务
需
要
该
P
C
终
端
经
常
访
问
当
地
地
方
晚
报
官
网
,
经
过
进
一
步
确
认
我
们
确
定
该
地
方
晚
报
被
黑
客
攻
陷
并
挂
马
,
继
而
受
害
者
访
问
后
,
在
办
公
终
端
上
下
载
并
执
行
恶
意
文
件
。
对
于
该
起
事
件
,
我
们
的
威
胁
监
测
系
统
通
过
流
量
层
对
请
求
页
面
代
码
的
审
计
,
及
时
发
现
了
问
题
,
并
产
生
了
告
警
,
且
终
端
E
D
R
也
第
一
时
间
进
行
了
阻
断
,
并
上
报
告
警
事
件
至
S
O
C
平
台
,
通
过
主
机
层
与
流
量
层
的
协
同
确
认
,
证
据
充
足
,
攻
击
路
径
明
确
,
于
是
我
们
及
时
以
事
件
专
报
形
式
通
告
了
用
户
,
避
免
其
他
终
端
再
访
问
该
挂
马
网
站
,
进
而
有
效
阻
断
了
风
险
的
传
播
,
避
免
了
损
失
。
通
常
我
们
检
测
水
坑
攻
击
有
两
种
方
式
,
第
一
种
就
是
上
文
的
流
量
层
审
计
,
但
不
适
用
于
t
l
s
的
加
密
流
量
。
第
二
种
是
将
业
务
网
站
进
行
周
期
性
的
监
测
,
即
主
动
发
现
水
坑
攻
击
,
并
配
合
黑
白
网
站
名
单
的
拦
截
。
以
上
两
种
方
式
结
合
,
能
够
有
效
的
发
现
及
避
免
“
水
坑
式
攻
击
”
。
2
、
应
用
层
协
议
利
用
、
应
用
层
协
议
利
用
攻
击
者
通
过
使
用
常
见
的
标
准
化
应
用
层
协
议
进
行
通
信
,
通
过
融
入
正
常
流
量
以
减
少
被
检
测
到
的
可
能
。
常
见
的
应
用
场
景
是
攻
击
者
利
用
标
准
应
用
层
协
议
传
输
C
2
命
令
与
命
令
执
行
结
果
。
常
被
利
用
的
标
准
协
议
包
括
H
T
T
P
、
H
T
T
P
S
、
S
M
T
P
、
P
O
P
3
、
D
N
S
、
F
T
P
、
S
M
B
等
。
对
于
网
络
内
部
的
连
接
,
如
代
理
或
枢
纽
节
点
与
其
他
节
点
之
间
,
通
常
使
用
的
协
议
是
R
P
C
、
S
S
H
、
R
D
P
。
从
检
测
角
度
而
言
,
相
比
使
用
非
标
准
协
议
,
使
用
标
准
协
议
更
具
迷
惑
性
,
例
如
利
用
H
T
T
P
S
建
立
的
隧
道
,
本
身
已
经
加
密
,
很
难
从
内
容
上
辨
别
是
否
恶
意
。
当
攻
击
进
入
了
C
2
部
分
时
,
意
味
着
目
标
主
机
基
本
已
经
沦
陷
,
攻
击
者
成
功
的
躲
过
了
层
层
检
测
,
那
么
对
于
已
经
运
行
的
C
2
a
g
e
n
t
的
通
讯
流
量
的
识
别
就
至
关
重
要
了
。
以
下
是
某
地
方
政
府
机
关
中
发
现
的
D
N
S
协
议
隧
道
,
期
间
其
中
一
台
内
网
主
机
频
繁
向
D
N
S
服
务
器
请
求
h
a
*
.
m
o
n
s
t
e
r
域
名
的
M
X
、
C
N
A
M
E
、
T
X
T
、
A
记
录
,
且
请
求
的
子
域
名
高
度
可
疑
。
基
于
该
条
线
索
,
我
们
锁
定
受
害
终
端
,
并
结
合
终
端
E
D
R
可
疑
行
为
相
关
日
志
,
最
终
锁
定
C
2
客
户
端
,
经
过
逆
向
分
析
,
确
定
该
C
2
客
户
端
通
过
D
N
S
隧
道
加
密
外
发
数
据
的
行
为
。
虽
然
C
2
客
户
端
进
行
免
杀
处
理
,
但
最
终
因
为
D
N
S
的
异
常
流
量
特
征
暴
露
了
自
己
。
此
案
例
较
为
极
端
的
是
,
下
载
C
2
客
户
端
的
时
候
未
触
发
流
量
告
警
事
件
、
威
胁
情
报
事
件
、
病
毒
查
杀
事
件
,
而
是
在
数
据
渗
出
与
命
令
控
制
环
节
产
生
了
D
N
S
隧
道
的
异
常
流
量
告
警
事
件
,
由
此
可
见
对
于
“
应
用
层
协
议
利
用
”
技
术
的
检
测
的
重
要
性
,
最
终
该
起
事
件
,
我
们
启
动
了
应
急
响
应
流
程
得
以
圆
满
解
决
。
对
于
上
述
利
用
标
准
协
议
传
输
数
据
、
进
行
C
2
命
令
控
制
的
流
量
,
可
通
过
结
合
每
种
协
议
数
据
包
的
长
度
、
大
小
、
通
讯
内
容
等
特
征
,
并
配
合
威
胁
情
报
、
机
器
学
习
算
法
综
合
判
断
异
常
,
最
后
通
过
人
工
研
判
降
低
误
报
,
可
以
在
很
大
程
度
上
提
升
发
现
运
用
该
技
术
进
行
攻
击
的
事
件
精
度
。
3
、
、
P
o
w
e
r
S
h
e
l
l
利
用
利
用
P
o
w
e
r
S
h
e
l
l
是
W
i
n
d
o
w
s
操
作
系
统
中
自
带
的
功
能
强
大
的
交
互
式
命
令
行
界
面
和
脚
本
环
境
。
攻
击
者
可
以
使
用
P
o
w
e
r
S
h
e
l
l
执
行
许
多
操
作
,
包
括
信
息
探
测
和
执
行
代
码
。
利
用
P
o
w
e
r
S
h
e
l
l
的
攻
击
已
经
非
常
成
熟
,
成
熟
的
工
具
如
:
E
m
p
i
r
e
、
P
o
w
e
r
S
p
l
o
i
t
、
P
S
A
t
t
a
c
k
。
仍
然
以
我
们
自
身
监
测
事
件
为
例
,
某
地
方
重
点
3
甲
医
院
感
染
B
u
l
e
H
e
r
o
病
毒
事
件
,
攻
击
者
利
用
A
p
a
c
h
e
S
t
r
u
t
s
2
远
程
代
码
执
行
漏
洞
(
C
V
E
-
2
0
1
7
-
5
6
3
8
)
,
进
行
远
程
命
令
执
行
,
通
过
c
m
d
下
载
P
o
w
e
r
S
h
e
l
l
脚
本
,
最
终
释
放
远
控
木
马
到
C
:
W
i
n
d
o
w
s
S
y
s
W
O
W
6
4
r
m
n
l
i
k
.
e
x
e
目
录
下
,
上
线
连
接
C
2
服
务
器
地
址
。
在
这
里
P
o
w
e
r
S
h
e
l
l
是
一
个
下
载
器
,
仅
为
中
间
的
一
环
(
其
他
环
节
也
已
经
暴
露
)
,
为
了
规
避
检
测
,
进
行
代
码
混
淆
,
下
图
为
流
量
层
沙
箱
对
P
o
w
e
r
S
h
e
l
l
恶
意
脚
本
的
检
测
,
基
本
上
确
定
了
其
脚
本
的
行
为
。
对
于
P
o
w
e
r
S
h
e
l
l
的
检
测
难
点
在
于
P
o
w
e
r
S
h
e
l
l
本
身
为
系
统
正
常
功
能
之
一
,
存
在
误
报
的
问
题
。
因
此
检
测
除
了
常
规
的
静
态
分
析
引
擎
,
对
于
函
数
、
特
征
的
分
析
外
,
还
应
该
配
备
具
有
脚
本
分
析
能
力
的
沙
箱
,
提
取
行
为
特
征
、
流
量
特
征
等
,
并
进
行
威
胁
情
报
的
匹
配
,
多
方
结
合
从
而
降
低
误
报
率
。
此
外
还
能
通
过
机
器
学
习
建
立
检
测
模
型
,
辅
助
查
杀
。
三
、
总
结
三
、
总
结
本
文
通
过
对
典
型
A
P
T
组
织
使
用
的
技
术
进
行
A
T
T
&
C
K
映
射
分
析
,
并
对
其
进
行
象
限
划
分
,
明
确
了
不
同
象
限
的
应
对
策
略
,
最
终
得
出
需
要
高
度
关
注
的
高
频
技
术
,
并
以
其
中
3
个
具
有
代
表
性
技
术
为
例
,
结
合
基
于
协
同
的
持
续
性
风
险
监
测
业
务
中
碰
到
的
真
实
案
例
,
对
其
有
效
检
测
方
法
进
行
了
探
讨
。
通
过
总
结
的
A
P
T
常
用
的
高
频
技
术
,
优
化
检
测
规
则
,
并
逐
步
扩
张
低
频
技
术
,
从
而
更
加
从
容
的
应
对
A
P
T
的
攻
击
。
可
以
说
,
A
T
T
&
C
K
为
防
御
检
测
指
明
了
方
向
,
不
再
盲
目
的
去
防
御
。
也
正
是
得
益
于
这
一
点
,
我
们
依
托
于
持
续
性
风
险
的
监
测
经
验
,
结
合
A
T
T
&
C
K
的
技
术
框
架
,
最
终
总
结
出
了
企
业
应
该
高
度
重
视
的
3
8
项
高
频
技
术
,
以
及
对
应
的
2
7
项
子
技
术
,
以
为
企
业
进
行
防
御
体
系
建
设
提
供
参
考
(
具
体
技
术
请
见
附
表
一
)
。
附
表
一
、
重
点
关
注
的
附
表
一
、
重
点
关
注
的
3
8
项
高
频
技
术
项
高
频
技
术
精
彩
推
荐
精
彩
推
荐
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
IOT