FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

一年一度的攻防演练又要开始了，大家也陆续开始了护网前的准备。众所周知，攻防演练考验的不仅是攻击队的“战略导弹”，也是检验防守方的“铁穹”。蓝队的价值往往需要用攻击来验证，为了让大家在护网中不做平安鸟，本文将参考ATT&CK模型，讲述侦查、资源开发、初始访问三个模块，绘制和分析攻击手法，并对攻击手法进行指纹进行识别，从而海量告警中找到那个万中无一的“TA”。

攻击手法分析

在侦查环节，攻击者通常会主动+被动的方式发现并采集目标的子域名、指纹、供应链等信息，主动所发起的采集肯定会被流量设备记录，被动采集的资产也需对收集的资产进行可效性认证，那我们可通过以下几个纬度进行发现该行为：

1. 时间纬度

作为收集资产的工具，最大的特性就是可在短时间能发起大量的请求，并指向不同的域名，可将设备告警（指态势感知、WAF、负载均衡等能记录正常访问流量的设备）通过execl表格汇总的方式进行统计分析。
分析指标
1.1 短时间同一站点同一IP大批量的访问

1.2 短时间不同站点同一IP大批量的访问

2. 指纹纬度

同一IP大量发起请求是很容易被发现的，我们知道，红队也知道，所以有些红队有着丰富的IP代理池，所有的探测都是不同IP进行发起并收集，以避免蓝队的发现。面对这种情况，我们可通过威胁情报，发现其中可能存在攻击行为的IP。

3. 场景维度

整体场景关联

什么叫异常流量，就是和日常场景是冲突的、不关联的，在我们很多的网站中，包含着大量JS、CSS等框架类文件，我们正常浏览器加载的时候，从来不是只加载一个页面

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022