溯源简介

网络攻击溯源技术通过综合利用各种手段主动地追踪网络攻击发起者、定位攻击源，结合网络取证和威胁情报，有针对性地减缓或反制网络攻击，争取在造成破坏之前消除隐患，在网络安全领域具有非常重要的现实意义。

背景

近年来，网络攻击的攻击者和防御者进行着类似于“猫捉老鼠”的动态游戏，
攻击者不断地寻找新的受害者、攻击载体和漏洞，防御者必须不断地研发安全技术以抵御攻击者。

攻击者暴露前在目标组织中潜伏的平均时间长达146天，在这段时间内，
驻留在网络上的攻击者可以秘密地窃取和泄露机密信息，或者对完整性资源进行破坏。

图1展示了攻击者实施攻击的杀伤链模型。
为了先发制人，网络防御者需要在杀伤链的早期阶段阻止攻击者前进。
目前信息安全行业已经建立了集研究、分析和响应高级持续威胁于一体的方法论。

攻击溯源技术，国外又被称为“Threat Hunting”，
是为了应对外部APT攻击者和内部利益驱动的员工威胁而提出的一种解决方案。

威胁狩猎技术不被动地等待与响应，而是通过持续性监测技术，更早、
更快地检测和发现威胁，并追踪威胁的源头。

威胁狩猎技术强调用攻击者的视角来检测攻击，减少攻击者驻留时间，
从而显著地改善组织的安全状况。

笔记来源于： 浅谈网络攻击溯源技术（上篇_威胁 (sohu.com)