攻击者视角和基于时间的攻击链，将是攻击检测类产品的发展趋势和价值体现

目前，安全行业的发展对检测越来越重视，这也应了Garter报告预测的第8个洞见：向检测与响应的升级，未来五年企业将改变他们的安全支出战略，从仅采取阻止（prevent）措施而转向更侧重于检测和响应。

所以，这一预测和安全行业的发展，又让即将被遗忘的入侵检测重新浮出水面。

攻击检测产品中，最重要之一自然就是入侵检测。当然，在如今态势感知兴起的安全行业，入侵检测也披上了一层光彩的外衣，如态势感知探针、智能化检测引擎等，其核心也就是入侵检测。加了一些不太成熟的机器学习（检测算法）功能，换了一个高大上的名称，单纯从检测技术上来说，攻击检测产品仍然是百废待兴！

所以本篇文章的攻击检测产品，虽说面向如今新一代的态势感知探针或智能化检测引擎，但笔者仍然将它们理解成入侵检测。

一、攻击检测产品的四大核心

笔者以为攻击检测产品必须有以下四大核心功能，并且攻击者视角和基于时间的攻击链，将成为入侵检测产品的价值体现。

1、特征检测库

目前，特征库依然是攻击检测产品最大的核心。当然，目前的威胁情报，狭义上也可以当做是特征库。由于机器学习（检测算法）还不算太成熟，所以特征库的大小几乎可以直接决定产品的攻击检测能力。特征检测的优点和缺点都很多，最大的优点就是检测效率非常高，最大的缺点就是告警泛滥。

2、机器学习（检测算法）

机器学习是整个互联网的发展方向，安全行业自然也不可缺少，作为非常重要的攻击检测产品，自然也算是核心功能之一，只是还需要各安全厂商再接再厉。

3、攻击溯源

检测出问题后，如何溯源？如果攻击检测产品没有强大的攻击溯源能力，那将失去它应有的价值了。抑或说，即便真的发现了攻击事件，没有攻击溯源可能将直接导致用户无法决策，仅仅是解决单条告警而已，整个内网的隐患依然存在。

4、攻击链展现

通过攻击者视角和基于时间攻击链的检测，将是攻击检测产品的重要发展方向，也自然成为第四大核心。这也是本文章主要强调的。

二、攻击链展现的前提

谈安全，谈检测，仍然离不开一个老生常谈的话题：不知攻，焉知防？

而攻击链展现的前提，就是懂攻防。

笔者很久以前曾做过攻防演练，身为攻击方，可以用尽各种方法达到目的；而作为防守方，如果不知道攻击的手段，何谈防御？何谈检测？

我们经常说，检测是属于被动的，笔者曾提出一个成语来描述入侵检测：亡羊补牢。因为一旦发现了攻击事件，有可能已经被攻击成功了。

但我们可以通过一些方法或手段，尽最大的限度来变被动为主动。而且，不仅要能发现攻击，更需要将整个攻击过程描绘出来。

所以有两个需要重点关注的地方：

做产品，需要懂一定的攻击手段

知道怎么攻击，才能对产品做出检测方面的优化，才能实现攻击的有效检测。而不仅仅是进行统计，统计五元组，各种占比，然后看似产品很高大上，其实检测能力一直停滞不前。

而往往安全产品的开发者未必懂安全，而安全团队又从职责上并不负责产品，所以只有产品的管理者懂安全、懂攻防，才能真正让产品成为检测的利器。

常向渗透测试人员请教

向别人学习，本来是一件很正常的事儿，但笔者在工作中发现太多的人都以为自己很牛，侃侃而谈仿佛什么都懂，其实水平真的一般，但就是拉不下脸面向他人请教。术业有专攻。

不是网上看看攻击方面的文章，或自己稍微懂点攻击理论就可以了。经常与渗透测试人员请教，可以了解到攻击中的关键环节，对这些关键环节进行研究和检测，将会事半功倍。

所以，攻防知识成为攻击检测产品的软实力，成为攻击链展现的基础。如何将检测出的关键点在时间链上进行有效的展示和关联，成为攻击检测能力的直观表现。

三、攻击链展现的价值

现在非常流行攻击者视角和被攻击者视角，笔者以为，相对被攻击者视角而言，攻击者视角更有价值。

尤其是，攻击者视角和基于时间的攻击链相结合，将会是攻击检测产品大力发展的趋势。因为目前虽然部分厂商在做，但做的也一般，并未深入开发。

攻击者视角和基于时间的攻击链可以一目了然地展现入侵事件，通过展示一条或多条主线，勾画内网入侵、横向转移、目标锁定、系统提权等。

1、对客户有两大好处

了解攻击者手段和途径

一般来讲，客户方的安全分析师可能有限，一款好的产品更是一个好的工具，使用者可以通过攻击者视角和基于时间的攻击链了解攻击者的入侵路径和手段，根据不同的攻击手段进行不同布防，在检测攻击的同时，加强防护设备的防护能力。既能针对自己的环境做出快速响应，也可以做到防患未然。

为安全建设的决策提供有力支撑

大多数情况下，安全运维与业务是分开的，是不同的负责人或团队。使用者可通过产品的此能力，发现网络的薄弱环节和高风险资产，甚至高风险的区域。安全建设会涉及多个部门参与，这样就能为使用者的安全建设提供有力的数据支撑，为安全建设的决策提供了说服力。

2、产品检测能力提升

这一点，自然就不用过多描述了。检测能力提升，自然竞争力就会提升。客户买单的机会就会大大增加。对于大多数安全厂商而言，其实利益还是放在第一位的，而客户的网络安全排在了后面。

四、攻击链的功能实现

不同厂商的检测产品攻击链展现的表现方法是不一样的，展示效果也是不一样的，但核心思想却一样：以攻击者IP入手，扩大或缩小时间范围，判断时间内的所有会话行为，通过已经匹配检测特征或算法的结果，再通过二次分析等手段，筛选整个过程的关键行为，与各个攻击阶段进行结合，勾画出完整的攻击链。

但目前而言，大部分产品只是表面有了这个功能，还需要加大力度进行开发。具体开发和实现过程，本文不再说明。

五、攻击检测产品的发展

安全行业，这几年迎来了前所未有的关注度。任何时候、任何场合，无人不谈网络安全。

由于防护设备的局限性（为了业务，不得不开放服务），检测类产品更是安全行业将大力投资的一个方向。

作为安全厂商，从责任上讲，大力研发攻击检测产品责无旁贷；从利益上讲，提供攻击检测能力越强的产品，将会得到行业的认可、客户的认可，必会带来丰厚的回报。

六、攻击检测产品的四大核心展望

从技术层面上来讲，大力发展这四大核心，不仅仅是单纯对攻击检测这类单一产品的提升，因为此产品也要融入于态势感知，也要接入威胁情报。

虽然，态势感知（仅指安全方面的态势感知）和威胁情报的运用还不成熟，但毕竟是未来安全行业发展的方向；如果攻击检测类产品能上一台阶，充分发挥其价值所在，也将会为态势感知和威胁情报提供非常强大的数据来源。

所谓牵一发而动全身，由于入侵检测的特殊性（亡羊补牢），一旦发现攻击事件，将会为态势感知平台（仅指安全方面的态势感知）或安全建设的决策提供绝对的支撑！

但前提，还是需要各安全厂商再接再厉。