Entry № 352
钻石模型(入侵分析)
钻石模型(入侵分析) 是什么?
钻石模型(入侵分析)一种入侵分析框架,将每一个恶意事件与四个顶点关联起来:对手、能力、基础设施和受害者。
钻石模型(Diamond Model of Intrusion Analysis)由 Caltagirone、Pendergast 和 Betz 于 2013 年提出,将每个恶意事件表示为一颗钻石,连接四个核心要素:对手(Adversary)、能力(Capability,工具、恶意软件、TTP)、基础设施(Infrastructure,IP、域名、C2)和受害者(Victim)。时间戳、阶段、结果、方向、方法论、资源等元特征用于丰富事件细节。分析师通过在四个顶点之间不断 pivot 来发现关联活动——例如,从某个域名追溯到同一对手注册的其他域名,或从某个能力哈希追溯到其他受害者。该模型与 MITRE ATT&CK 和网络杀伤链互补,通过显式建模关系而被广泛用于威胁情报平台、入侵分析报告以及结构化的 pivot 工作流。
● 示例
- 01
从恶意软件样本(能力)切入,关联到注册域名(基础设施),进一步勾勒整个活动。
- 02
根据共享的 TTP 与受害者画像,将多起事件归属到同一个对手集群。
● 常见问题
钻石模型(入侵分析) 是什么?
一种入侵分析框架,将每一个恶意事件与四个顶点关联起来:对手、能力、基础设施和受害者。 它属于网络安全的 防御与运营 分类。
钻石模型(入侵分析) 是什么意思?
一种入侵分析框架,将每一个恶意事件与四个顶点关联起来:对手、能力、基础设施和受害者。
如何防御 钻石模型(入侵分析)?
针对 钻石模型(入侵分析) 的防御通常结合技术控制与运营实践,详见上方完整定义。