钻石模型(入侵分析)
钻石模型(入侵分析) 是什么?
钻石模型(入侵分析)一种入侵分析框架,将每一个恶意事件与四个顶点关联起来:对手、能力、基础设施和受害者。
钻石模型(Diamond Model of Intrusion Analysis)由 Caltagirone、Pendergast 和 Betz 于 2013 年提出,将每个恶意事件表示为一颗钻石,连接四个核心要素:对手(Adversary)、能力(Capability,工具、恶意软件、TTP)、基础设施(Infrastructure,IP、域名、C2)和受害者(Victim)。时间戳、阶段、结果、方向、方法论、资源等元特征用于丰富事件细节。分析师通过在四个顶点之间不断 pivot 来发现关联活动——例如,从某个域名追溯到同一对手注册的其他域名,或从某个能力哈希追溯到其他受害者。该模型与 MITRE ATT&CK 和网络杀伤链互补,通过显式建模关系而被广泛用于威胁情报平台、入侵分析报告以及结构化的 pivot 工作流。
● 示例
- 01
从恶意软件样本(能力)切入,关联到注册域名(基础设施),进一步勾勒整个活动。
- 02
根据共享的 TTP 与受害者画像,将多起事件归属到同一个对手集群。
● 常见问题
钻石模型(入侵分析) 是什么?
一种入侵分析框架,将每一个恶意事件与四个顶点关联起来:对手、能力、基础设施和受害者。 它属于网络安全的 防御与运营 分类。
钻石模型(入侵分析) 是什么意思?
一种入侵分析框架,将每一个恶意事件与四个顶点关联起来:对手、能力、基础设施和受害者。
钻石模型(入侵分析) 是如何工作的?
钻石模型(Diamond Model of Intrusion Analysis)由 Caltagirone、Pendergast 和 Betz 于 2013 年提出,将每个恶意事件表示为一颗钻石,连接四个核心要素:对手(Adversary)、能力(Capability,工具、恶意软件、TTP)、基础设施(Infrastructure,IP、域名、C2)和受害者(Victim)。时间戳、阶段、结果、方向、方法论、资源等元特征用于丰富事件细节。分析师通过在四个顶点之间不断 pivot 来发现关联活动——例如,从某个域名追溯到同一对手注册的其他域名,或从某个能力哈希追溯到其他受害者。该模型与 MITRE ATT&CK 和网络杀伤链互补,通过显式建模关系而被广泛用于威胁情报平台、入侵分析报告以及结构化的 pivot 工作流。
如何防御 钻石模型(入侵分析)?
针对 钻石模型(入侵分析) 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- defense-ops№ 265
网络杀伤链
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- defense-ops№ 266
网络威胁情报(CTI)
基于证据的对手知识体系,涵盖其动机和手法,用于支持防御决策并优先安排控制措施。
- defense-ops№ 1131
战术、技术与过程(TTPs)
对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。
- defense-ops№ 527
入侵指标(IoC)
可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。
- defense-ops№ 057
APT 组织
拥有命名并被持续跟踪的威胁组织(通常受国家支持),对特定组织或行业发起有针对性、长期且资源充足的入侵活动。
● 参见
- № 1201VERIS 框架