关于IOC与IOA的学习

@[TOC]IOC与IOA学习

IoC 和 IoA：两者有什么区别？
IoC 和 IoA 可通过以下四种简单的方法进行区分：

具体工具与动机：

IoC 专注于攻击者为实现其意图而使用的特定文件和采取的行动，而 IoA 则专注于这些意图本身。IoC 关注“如何？”，而 IoA 关注“为什么？”。

恶意与不一定恶意

IoC 本身代表的是恶意行为，因为它们是安全性已遭到破坏的证据，所以怎么可能是善意的呢？另一方面，IoA 代表的是根据上下文被判定为具有威胁性的行为。

例如，端口扫描本身不是恶意活动；无害的扫描器可能会执行端口扫描以检查一切是否正常。但是，如果还有其他上下文数据，例如表明站内主机使用非典型端口与站外主机通信的日志，那么这就是 IoA：在侦察阶段，无害的端口扫描器可能成为潜在攻击者，扫描您的网络是否存在任何漏洞。

静态与动态

IoC 被称为“静态”指标，因为网络攻击的构成元素（例如，后门、C&C 连接、IP 地址、事件日志、哈希值）不会随时间变化。这是标准威胁情报的基本概念：使用此类已知恶意构成元素的数据库来识别传入威胁。

但如果您面临的是未知的新型威胁和不熟悉的构成元素，或者确实是无恶意的攻击，该怎么办？IoC 发挥不了作用，因为匹配不到任何恶意行为。但无论是否使用了新构成元素（或根本不使用），攻击者在实施网络攻击的整个过程中必须经历一系列类似的阶段。IoA 旨在识别这些潜在的、稳定的攻击模式，因此可以检测出全新的威胁。

因此，IoA 被称为“动态”指标：在整个攻击阶段和切换攻击手段的过程中，网络犯罪活动是动态的，而 IoA 检测方法可以实时识别和跟踪这些正在发生的行为。

引用 ：https://blog.csdn.net/pengpengjy/article/details/130424802