电子取证和网络攻防哪个难_电子取证与网络攻防结合

网络安全中edr是什么意思

本教程操作环境：windows7系统、Dell G3电脑。

端点检测与响应(Endpoint Detection Response，EDR)是一种主动式端点安全解决方案，通过记录终端与网络事件，将这些信息本地化存储在端点或者集中在数据库。EDR 会集合已知的攻击指示器、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁，并对这些安全威胁做出快速响应。还有助于快速调查攻击范围，并提供响应能力。

能力

预测：risk assessment（风险评估）；anticipate threats（预测威胁）；baseline security posture（基线安全态势）。

防护：harden systems（强化系统）；isolate system（隔离系统）；prevent attacks（防止攻击）。

检测：detect incidents（检测事件）；confirm and prioritize risk（确认风险并确定优先顺序）。contain incidents（包含事件）。

响应：remediate（补救）；design policy change（设计规则变更）；investigate incidents（调查事件）。

安全模型

相比于传端点安全防护采用预设安全策略的静态防御技术，EDR 加强了威胁检测和响应取证能力，能够快速检测、识别、监控和处理端点事件，从而在威胁尚未造成危害前进行检测和阻止，帮助受保护网络免受零日威胁和各种新出现的威胁。安全模型如图所示：

1、资产发现

定期通过主动扫描、被动发现、手工录入和人工排查等多种方法收集当前网络中所有软硬件资产，包括全网所有的端点资产和在用的软件名称、版本，确保整个网络中没有安全盲点。

2、系统加固

需要定期进行漏洞扫描，打补丁、对安全策略进行更新和进一步细化，通过白名单现在未授权的软件进行运行，通过防火墙限制为授权就开启服务器端口和服务，最好能定期检查和修改清理内部人员的账号和密码还有授权信息。

3、威胁检测

通过端点本地的主机入侵检测进行异常行为分析，针对各类安全威胁，在其发生之前、发生中、和发生后作出相应的防护和检测行为。

4、响应取证

针对全网的安全威胁进行可视化展示，对威胁自动化地进行隔离、修复和抢救，降低事件响应和取证的门槛，这样就不需要依赖于外部专家就可以完成应急响应和取证分析。

功能

调查安全事件；

将端点修复为预感染状态；

检测安全事件；

包含终端事件；

工作原理

一旦安装了 EDR 技术，马上 EDR 就会使用先进的算法分析系统上单个用户的行为，并记住和连接他们的活动。

感知系统中的某个或者特定用户的异常行为，数据会被过滤，防止出现恶意行为的迹象，这些迹象会触发警报然后我们就去确定攻击的真假。

如果检测到恶意活动，算法将跟踪攻击路径并将其构建回入口点。 （关联跟踪）

然后，该技术将所有数据点合并到称为恶意操作 (MalOps) 的窄类别中，使分析人员更容易查看。

在发生真正的攻击事件时，客户会得到通知，并得到可采取行动的响应步骤和建议，以便进行进一步调查和高级取证。如果是误报，则警报关闭，只增加调查记录，不会通知客户

体系框架

EDR 的核心在于：一方面，利用已有的黑名单和基于病毒特征的端点静态防御技术来阻止已知威胁。另一方面，通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式，主动发现来自外部或内部的各类安全威胁。同时，基于端点的背景数据、恶意软件行为以及整体的高级威胁的生命周期的角度进行全面的检测和响应，并进行自动化阻止、取证、补救和溯源，从而有效地对端点进行安全防护。

EDR 包括：端点、端点检测与响应中心、可视化展现三个部分，体系框架如图所示：

端点：在 EDR 中，端点只具备信息上报、安全加固、行为监控、活动文件监控、快速响应和安全取证等基本功能，负责向端点检测与响应中心上报端点的运行信息，同时执行下发的安全策略和响应、取证指令等。

端点检测与响应中心：由资产发现、安全加固、威胁检测、响应取证等中心组成。

可视化：展现针对各类端点安全威胁提供实时的可视性、可控性，降低发现和处置安全威胁的复杂度，辅助用户更加快速、智能地应对安全威胁。

检测威胁类型

恶意软件 (犯罪软件、勒索软件等)

无文件型攻击

滥用合法应用程序

可疑的用户活动和行为

要素类型和收集类型

EDR 是独一无二的，因为它的算法不仅可以检测和打击威胁，还可以简化警报和攻击数据的管理。 使用行为分析来实时分析用户活动，可以在不干扰端点的情况下立即检测潜在威胁。 它通过将攻击数据合并到可以分析的事件中，与防病毒和其他工具一起使用可以为你提供一个安全的网络，从而增强了取证分析的能力。

端点检测和响应通过安装在端点上的传感器运行而不需要重新启动。 所有这些数据被拼接在一起，形成了一个完整的端点活动图，无论设备位于何处。

主要技术

智能沙箱技术

针对可疑代码进行动态行为分析的关键技术，通过模拟各类虚拟资源，创建严格受控和高度隔离的程序运行环境，运行并提取可疑代码运行过程中的行为信息，实现对未知恶意代码的快速识别。

机器学习技术

是一门多学科交叉知识，是人工智能领域的核心，专门研究计算机如何模拟实现人类的学习行为，通过获取新的技能知识重组已有的知识体系，并不断完善自身性能。在大规模数掘处理中，可以自动分析获得规律，然后利用这些规律预测未知的数据。

数字取证技术

数字取证是指对具有足够可靠和有说服力的，存在于计算机、网络、电子设备等数字设备中的数字证据，进行确认、保护、提取和归档的过程。在 EDR 中，数字取证要克服云计算环境取证、智能终端取证、大数据取证等关键技术，自动定位和采集端点人侵电子证据，降低取证分析的技术门槛，提高取证效率及其分析结果的准确性，为端点安全事件调查、打击网络犯罪提供技术支持。

EDR 优缺点

优点

EDR 具有精准识别攻击的先天优势。端点是攻防对抗的主战场，通过 EDR 在端点上实施防御能够更加全面地搜集安全数据，精准地识别安全威胁，准确判定安全攻击是否成功，准确还原安全事件发生过程。

EDR 完整覆盖端点安全防御全生命周期。对于各类安全威胁事件，EDR 在其发生前、发生中、发生后均能够进行相应的安全检测和响应动作。安全事件发生前，实时主动采集端 安全数据和针对性地进行安全加固；安全事件发生时，通过异常行为检测、智能沙箱分析等各类安全引擎，主动发现和阻止安全威胁；安全事件发生后，通过端点数据追踪溯源。

EDR 能够兼容各类网络架构。EDR 能够广泛适应传统计算机网络、云计算、边缘计算等各类网络架构，能够适用于各种类型的端点，且不受网络和数据加密的影响。

EDR 辅助管理员智能化应对安全威胁。EDR 对安全威胁的发现、隔离、修复、补救、调查、分析和取证等一系列工作均可自动化完成，大大降低了发现和处置安全威胁的复杂度，能够辅助用户更加快速、智能地应对安全威胁。

缺点

EDR 的局限性在于并不能完全取代现有的端点安全防御技术。EDR 与防病毒、主机防火墙、主机入侵检测、补丁加固、外设管控、软件白名单等传统端点安全防御技术属于互补关系，并不是取代关系。

技术前提

要想使用或者更好的的理解 EDR 就需要对一些知识有了解，这样才能更好地的使用和理解 EDR 的原理和使用方法。

熟悉 Linux 环境，python 或 shell，Java；

熟悉 hadoop，spark 等大数据组件；

熟悉数据挖掘与分析（比如进行风险等级划分），数据统计技术（比如一些置信度的计算），机器学习技术（分类检测等），深度学习技术，大数据分析技术（主要是关联分析），漏斗分析法等。

熟悉 mysql 或 nosql 数据库，集中存储的数据库，分布式存储的数据库。

什么是ctf技术

CTF网络安全比赛简介

CTF起源

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。

CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯”。

请点击输入图片描述

CTF竞赛模式

（1）解题模式（Jeopardy）

在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场网络参与，这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似，以解决网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。

（2）攻防模式（Attack-Defense）

在攻防模式CTF赛制中，参赛队伍在网络空间互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况，最终也以得分直接分出胜负，是一种竞争激烈，具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中，不仅仅是比参赛队员的智力和技术，也比体力（因为比赛一般都会持续48小时及以上），同时也比团队之间的分工配合与合作。

（3）混合模式（Mix）

结合了解题模式与攻防模式的CTF赛制，比如参赛队伍通过解题可以获取一些初始分数，然后通过攻防对抗进行得分增减的零和游戏，最终以得分高低分出胜负。采用混合模式CTF赛制的典型代表如iCTF国际CTF竞赛。

CTF竞赛目标

参赛团队之间通过进行攻防对抗、程序分析等形式，率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容，并提交给主办方，从而获得分数。

为了方便称呼，我们把这样的内容称之为“Flag”。

CTF竞赛题型

传统的CTF竞赛中，赛题分为五大类。

WEB（web安全）：WEB应用在今天越来越广泛，也是CTF夺旗竞赛中的主要题型，题目涉及到常见的Web漏洞，诸如注入、XSS、文件包含、代码审计、上传等漏洞。这些题目都不是简单的注入、上传题目，至少会有一层的安全过滤，需要选手想办法绕过。且Web题目是国内比较多也是大家比较喜欢的题目。因为大多数人开始学安全都是从web开始的。

CRYPTO（密码学）：全称Cryptography。题目考察各种加解密技术，包括古典加密技术、现代加密技术甚至出题者自创加密技术。实验吧“角斗场”中，这样的题目汇集的最多。这部分主要考查参赛选手密码学相关知识点。

MISC（安全杂项）：全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大数据统计等等，覆盖面比较广。我们平时看到的社工类题目；给你一个流量包让你分析的题目；取证分析题目，都属于这类题目。主要考查参赛选手的各种基础综合知识，考察范围比较广。

PWN（溢出）：PWN在黑客俚语中代表着攻破，取得权限，在CTF比赛中它代表着溢出类的题目，其中常见类型溢出漏洞有栈溢出、堆溢出。在CTF比赛中，线上比赛会有，但是比例不会太重，进入线下比赛，逆向和溢出则是战队实力的关键。主要考察参数选手漏洞挖掘和利用能力。

REVERSE（逆向）：全称reverse。题目涉及到软件逆向、破解技术等，要求有较强的反汇编、反编译扎实功底。需要掌握汇编，堆栈、寄存器方面的知识。有好的逻辑思维能力。主要考查参赛选手的逆向分析能力。此类题目也是线下比赛的考察重点。

CTF竞赛发展至今，又细分出了一些其他类型。

STEGA（隐写）全称Steganography。题目的Flag会隐藏到图片、音频、视频等各类数据载体中供参赛选手获取。载体就是图片、音频、视频等，可能是修改了这些载体来隐藏flag，也可能将flag隐藏在这些载体的二进制空白位置。

MOBILE（移动安全）题目多以安卓apk包的形式存在，主要考察选手们对安卓和IOS系统的理解，逆向工程等知识。

PPC（编程类）全称Professionally Program Coder。题目涉及到程序编写、编程算法实现。算法的逆向编写，批量处理等，有时候用编程去处理问题，会方便的多。

CTF相关赛事

国际

DEFCON CTF

CTF界最知名影响最广的比赛，历史也相当悠久，已经举办了22届，相当于CTF的“世界杯”。题目复杂度高，偏向实际软件系统的漏洞挖掘与利用。

除了DEFCON CTF之外还有一些重量级的比赛会作为DEFCON的预选赛，获得这些比赛第一名的战队可以直接入围DEFCON决赛。

PlaidCTF

由当今CTF战队世界排名第一的CMU的PPP战队主办的比赛，参赛人数众多，题目质量优秀，难度高，学术气息浓厚。

ECSC

欧洲网络安全挑战赛，欧洲网络安全挑战赛提供了与欧洲最佳网络安全人才见面的机会。您可以与领域专家合作并建立联系，通过解决复杂的挑战得到成长学习，并提供机会与行业领先的组织会面，大大扩展未来可能工作机遇。

国内

网鼎杯

网鼎杯是国内知名赛事，由于规模庞大，超过2万支战队、4万名选手遍布全国各地，覆盖几十个行业，上千家单位并且各行各业的竞技水平不同，主办方把所有参赛队伍分成“青龙”、“白虎”、“朱雀”、“玄武”四条赛道。

青龙——高等院校、职业院校、社会参赛队伍

白虎——通信、交通、国防、政务等单位

朱雀——能源、金融、政法、其他行业单位

玄武——科研机构、科技企业、互联网企业、网安企业单位

比赛当天上午9点，分布在全国各地的上万名选手齐刷刷打开电脑，各自登上竞赛平台，至当天下午5点之前，平台会不断放出赛题，等待选手们来解答。

强网杯

由中央网信办、河南省人民政府共同指导的网络安全“国赛”——第四届“强网杯”全国网络安全挑战赛在郑州高新区网络安全科技馆落下帷幕。

信安世纪的Secdriverlab战队获得入围赛全国16名，线下全国14名成绩！

信息安全专业考研方向有哪些？

信息安全专业考研方向有：

1. 大数据方向：大数据方向主要是进行对海量数据的管理和处理，传统的数据处理模式在大数据面前由于其冗长的处理时间而失去意义，因而需求新的算法及处理模式来应对纷繁的数据，大数据方向的入行门槛相对较高。

不过伴随着前人算法的愈发成熟，门槛也在逐步降低，就业形势也相对优秀，大数据和云计算技术的组合上限和下限都很高，其学习难度也不低。

2. 人工智能方向：人工智能方向更多的是处在理论上的发掘，真正落到实处的技术其实相对较少，这也导致了其有着极高的门槛和相对于普通人较低的下限，但其下属的技术例如NLP，机器学习，文本识别，图像识别等技术仍有着很好的前景，此方面的技术专业需求面很广，不仅仅是技术，数学，离散等知识也是其必备科目。

对于初学者友好度低，在职业前景方面更多的趋向于算法分析架构此类，前景良好。

3. 传统计算机方向：互联网公司的高红利无疑给纯软件方向带来了红利，不过现在随着中低端人才的饱和，互联网的高薪也慢慢了偏向于真正的技术人才，传统的计算机方向稳扎稳打也能获得很好的前景，根据个人的兴趣选择相关的方向，才能有更好的动力来前进从而达到自己的目的。

扩展资料：

信息安全专业考研方向具体到学院学习上，它的研究方向和侧重点大不相同。值得注意的是，除了信息安全基础专业，还有与文科艺术类、理工科相交叉的专业。

比如计算机专业与文科艺术类相交叉的就有：计算机美术设计专业，网页设计专业，影视动画设计专业，环境艺术设计专业等；

与理工科相交叉的专业有：数学与应用数学专业，自动化专业，信息与计算科学专业，通信工程专业等等。可见，计算机专业的学习内容十分广泛，并且计算机应用又在不断地产生出新的专业，专业前景也是不错的。

参考资料来源：百度百科-信息安全专业

网络安全警察是怎样查处黑客的，是通过查找其IP地址么

网络安全警察是通过查找其IP地址的。

网警抓黑客的主要技术是计算机取证技术，又称为数字取证或电子取证。它是一门计算机科学与法学的交叉科学，是对计算机犯罪的证据进行获取、保存、分析和出示的一个过程。而黑客与网警较量的技术自然就叫计算机反取证技术，即删除或者隐藏证据从而使网警的取证工作无效。

扩展资料：

分析数据常用的手段有：

1．用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。打个比方说：在上午10点的时候发生了入侵事件，那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件 。

2．由于黑客在入侵时会删除数据，所以我们还要用数据恢复工具对没有覆盖的文件进行恢复 。

3．对系统中所有加密的文件进行解密 。

4．用MD5对原始证据上的数据进行摘要，然后把原始证据和摘要信息保存。

上面的就是网警在取证时所要进行技术处理的地方，然后根据分析的结果(如IP地址等等)来抓人。