寸光网络安全工作室 第 1 页 共 34 页 寸光网络安全工作室 商务合作（微信）：Signboards 网络安全溯源指南 V 1.0 2023 年 11 月 19 日 寸光网络安全工作室 第 2 页 共 34 页 目录 一、 window 系统溯源 ................................................................ 查看近期创建修改的文件............................................................................10 二、 Linux 系统溯源 ...............................................................................................11 1、 ..................................27 五、溯源到人..........................................................................................................32 1、IP 溯源 .......................................

农企 新型经营主体 农业示范园综合管理 农业生产过程管理 农产品溯源 舆情信息 政策 原料、农产品价格 作物 / 畜禽信 息 气象数据 环控数据 生物资产盘点 疫病防控诊断 生物安全 养殖饲喂数据 疫病防控数据 产出销售数据 农业生产数据 产品 智能饲喂器 猪群异常声音监 测系统 猪群图像估重盘点 系统 1 2 智慧养殖生物安全管理平台 奶牛数字化生产管理平台 智慧养殖综合管理平台 智慧养殖肉制品溯源系统 疫病远程诊疗系统 集成了语音识别、图像识别、知识图谱构建、语义理解融合等先进的人工智能技术， 让它既能 “听”也能“看”，不仅 支持多轮自然交互的农业知识问答 ， 同时支持多模态动物疫病 农业生产过程管理系统 对温室作物种植过程提供统一管理平台。 AI 农事专家 固化专家经验，通过监控实时作物生长及 环控数据指导农事安排和环控水肥参数调整。 农产品溯源管理系统 对温室大棚产出农产品，进行全程溯源，助力 品牌价值提升。 深入行业，引领行业趋势 参与 2 项智慧农业物联网相关标准制定。 物联网 智慧农业信息系统接口要求 物联网 智慧农业数据传输技术应用指南 典 型

SAVNET：源地址验证应用实践............................................................................. - 22 - (二) APN：威胁溯源应用实践.........................................................................................- 24 - 网络安全白皮书 - 16 - 击 NAT64 设备，篡改地址转换表，导致地址转换混乱，中断网络服 务。此外，NAT64 会改变数据包的源 IP 地址、目的 IP 地址等特征， 可能影响网络流量的溯源分析，使得一些攻击行为难以被及时发现。 针对 NAT64 安全风险，可采取多种防护措施。比如定期更新 NAT64 设备的安全补丁，降低被攻击的可能性。对 NAT64 地址转 换表进行监控，防止 场景下的协同防御可行性，为运营商跨域协同防护提供标准化技术指 导，具备较强的实际应用价值与推广潜力。 (二) APN：威胁溯源应用实践 基于 APN6 的网安联动威胁溯源及处置技术方案，旨在实现政 企客户总部-分支网络中网络威胁的快速精准溯源和阻断，利用 APN6 技术将流量来源信息封装于 IPv6 头部，实现威胁检测、溯源 及近源自动处置，通过精准识别威胁源并联动网络边缘设备，阻止威 胁扩散，构建全网安全监测与主动纵深防护体系。

、可追 溯、符合法规。 （3）可监管：依托区块链技术实现数据流通全链路存证溯源，满足多方透明监管 与审计需求。 （4）更便捷：提供移动认证能力，通过统一账号实现业务场景快速、灵活接入。 方案介绍： 中移数盾由中移互联网有限公司自主研发，针对个人数据要素流通场景提供身份认 证、数据资产汇聚、授权管理、存证溯源的个人数据空间解决方案。产品采用实名号卡、 证书签名、量子国密资源池与区块 证书签名、量子国密资源池与区块链技术，为实现政府、企业的个人数据可信流通保驾 护航。 方案示意图/拓扑图： （1）保障用户主权和数据安全，确保数据在授权、流通、使用全链路精细化授 权管控、安全传输和存证溯源。 （2）平衡数据利用效率与隐私安全保护的关系，激活个人数据要素潜在价值。 用户价值： 典型客户或目标客户： 属地数据局、数据集团、政企客户、公共企事业单位、金融医疗机构等。 关键经营数据分析——现⾦流健康度继续下降 型和云原生架构的普及，传统以主机、网络为核心的检测与响应手段已难以应对复杂多变的应用层威胁。ADR聚焦于应用层安全，通过对应用流量、行为、数据及接口关键执行 方法的监听，实现对应用层攻击的精准检测，并通过自动化响应与溯源分析，实现应用层安全运营闭环。ADR不依赖规则，通过感知上下文，深入理解应用逻辑，可以防护应用 层0Day漏洞、内存马注入、反序列化等新型攻击，还可以全量测绘应用资产、发现影子API及陈旧API、

业组成攻击检测队伍。 攻 击 检 测 方 针对真实关键目标开展红蓝攻防对抗，攻击方在不破坏目标正常业务工作的 前提下挖掘相关安全隐患，并将结果实时上报至指挥部，防护方依据监测的 安全事件开展追踪溯源、应急处置、安全防护工作。 形 式 2.攻击视角 从攻击者视角分析整体安全视图 以核心系统为目标（重要系统、重要人） 总部无法突破打击分支机构 分支机构无法突破打击供应链（研发） 国舜 实时攻击监控、溯源 专家研判、应急分析 攻击反制 外部安全专家 行方领导统筹指挥 行内员工全体动员 建立以领导为首的指挥中心，动员行内员工全员重视、全员参与，明确运营人员责任、确定工作边界 建立工作小组 总指挥组 分析研判组 监测防护组 处置响应组 专家团队 协调联络组 实时 监测 防护 安全 事件 告警 优化 安全 策略 事件 取证 分析 事件 研判 溯源 事件 研判 专家对网络流量数据进行安全威胁分析，有效识别网络中存在的高级持续性威胁攻击，并及时进行 自动化取证分析和响应处置，配合威胁情报和专家研判服务，优化提升网络安全策略。 实战对抗中的攻击溯源与反制 基于 MITRE ATT&CK 框架，从“网络层、应用层、主机层”对攻击行为全量溯源。 有效识别攻击，努力获取加分 探测扫描 渗透攻击 攻陷蜜罐 后门远控 跳板攻击 • 可疑访问 • 尝试登陆 • 端口扫描 • 漏洞攻击

后台管理系 统 冷链箱外观 冷链箱视频监控 物联网关 & 能耗监测 & 视频网络服务 断电监测 温湿度监测 烟雾报警监测 软件界面 冷链仓库运营总览 冷链箱总部监控中心 - 单个区域 区块链溯源 数据统计分析 仓库运营管理 冷链箱总部监控中心 - 全部区域 农业数字大脑 - 物联网平台—智慧棚室 数字生产，实现少人值守 实现培养料检测室、育苗、覆土等全过程的生产监 控，构建数字化指挥仓库监控，实现少人值守甚至 农产品安全监管暂行办法 相关检测 部门 生产加工 企业 物流企业 分销商 / 零售商 内部溯源 消费者 生产资料、环境、 原 料 信息 生产、加工信息 仓储、物流信息 交易支付信息 消费者信息 可追溯信息的收集 区块链网络 手机客户端 信息追溯查询 电脑客户端 外部溯源 区块链发挥的核心作用： 农业数字大脑 - 区块链平台 云 行业场景化方案 行业标准算力资源 系统运用数字密码和电子信息存储技术，通过强化 食品溯源数据的防伪功能，进而监控企业的销售、 信息、资金、物流等数据，解决食品认证企业真实 性问题的管理系统。本系统将推行到所有食品生产、 加工、运输、存储、销售企业，也就是说，将来所 有的食品生产、加工、运输、存储、销售企业每一 笔订单必须通过这一系统上报进行溯源认证。 食品溯源认证系统 防伪溯源认证系统 政府监管部门利用防伪溯源认证系统，对溯 源认证企业进行解密还原

地址，攻击统计信息对攻击者进行肖像刻画；通过对受害者资产属性分析对受害者进行画像； 通过对攻击类型及过程和时间等元素分析，对攻击过程进行全视角的分析和刻画，让攻击威胁 无处遁形，全方位可视。天融信应用安全网关支持攻击溯源，持续性威胁感知，并可针对攻击 源头进行有效阻断，能大幅降低安全事件对用户资产的影响。快速推送告警事件，协助用户第 一时间响应处置，助安全一臂之力。 为了便于用户掌握网络中安全情况以及降低运维管理工作量，天融信应用安全网关提供了 维度关联分析，做出快速响应和处置。 ◎威胁脑图 威胁脑图以直观的形式将安全事件整个过程为用户展示，帮助用户快速建立起整个安全事 件全貌，同时将不同维度的告警信息进行关联呈现，方便用户的安全溯源和响应处置。 ◎安全调查 系统为用户提供了基于计算机名、文件、文件传输、签名、域名 IP、用户、IOC 扫描 7 大 类安全调查方式，帮助用户从不同角度快速查看网络内威胁情况，了解当前网络中存在的安全 IP 的用户来自哪些国家以判断是否是针对性攻击； 支持 IIS、Apache、Weblogic 等 web 服务器通过 https 发起的 SQL 注入攻击的检测并记录攻击 URL。 ◎安全追查和溯源 支持记录和追查文件全生命周期事件，包括文件的创建、重命名 / 移动、删除以及执行或 28 网络安全专用产品指南 第二版（下册） 28 者打开等事件；支持计算机历史 IP 追查，显示一台计算机在指定时间范围内被分配

启明星辰集团数据库审计系统能够提供数据库审计与防护一体化能力，可监视并记录对数 据库的各种操作行为并以此为基础进行数据挖掘、异常分析、访问控制等各类工作，来帮助用 户事前规划预防，事中实时监视、事后追踪溯源，加强内外部行为监管、促进核心资产的正常 运营。 产品以旁路监听或逻辑串行的方式部署于客户网络环境中，以网络流量为数据来源，为客 户提供针对各类数据库资产的第三方独立审计与防护方案，加强对关键系统的访问控制与审计， 计信息对攻击者进行肖像刻画；通过对受害者资产属性分析对受害者进行画像；通过对攻击类 型及过程和时间等元素分析，对攻击过程进行全视角的分析和刻画，让攻击威胁无处遁形，全 方位可视。天融信防火墙支持攻击溯源，持续性威胁感知，并可针对攻击源头进行有效阻断， 能大幅降低安全事件对用户资产的影响。快速推送告警事件，协助用户第一时间响应处置，助 安全一臂之力。 为了便于用户掌握网络中安全情况以及降低运维管理工作量，天融信防火墙提供了智能运 年，专注于网络空间安全领域，以“让网络空间更有序”为使命，为用户提供网络安 全基础类、业务场景安全类、网络空间地图类安全产品及服务。公司秉持精准识别、精确防御、 深入场景的“两精一深”的研发战略，聚焦漏洞及脆弱性检测、应用安全防御、溯源管理及网 络空间地图等领域，致力于从网络空间视角剖析数字世界，构建数字世界的网络空间地图，赋 能各行业用户的数字化安全转型，护航国家网络空间安全战略实施落地。 产品名称：Web 应用防护系统（RayWAF）

AI 的终端检测响 应和威胁对抗 利用机器学习进行 数据安全合规评估 AI 分析恶意加密 流量 AISecOps 智能安 全运营 基于溯源图的终端 行为分析 SecurityGPT 公开 发布 Dex abeam 异常日志识别和分析 AI 小模型 取得明显成 效 全面拥抱 大模型 QRadar Watson 智能驾驶 主机钓鱼检测 辅助驾驶 零信任平台 数据安全平台 检测类大模型 运营类大模型 其他类大模型 …… 检测大模型 模型 安全 GPT 检测大模型 数据 流量日志 代码 溯源报告 恶意样本 安全知识 情报 公开漏洞 IOA 日志 代码理解能力 <%@page import=” <%@page import=”java ... 安全常识理解能力 Shell 流量行为特征 随机森林 告警消减 多元日志 检测日志时间与空间维度的关联特征 聚类 异常外发行为检测 会话日志 流量行为特征 异常检测 异常登录行为检测 登录日志 登录行为特征 异常检测 攻击路径溯源 多元日志 多元日志关联特征 知识图谱 题目类型 题目数量 对照一 对照二 SecurityGPT SQL 注 入 21377 84.90 73.37 98.34 PHP 代码注入 27564

合关联分析和用户画像分析，发 现网络中的异常行为和数据泄露风险，联动安全防护设备应急响应。 提供基于大数据技术的多源异构安全数据收集服务，分布式复杂事件处理引擎， 安全建模与运营编排框架，攻击溯源与威胁回放能力，实现剔除误报精准告警，提 升安全运维响应效率。产品坚持“AI 驱动安全”的理念，网络流量刻画加持 AI 异常 检测，发现实体行为异常引发的未知安全威胁。产品组成包括资产管理、威胁情报、 应流 程，极大的提高运维工作的效率。 多视角态势感知 能够有效的从多个维度，使用各种可读性高、美观的可 视化系统，包含多个视角展现安全态势，包括资产态 势、外部攻击态势、横向威胁态势、攻击溯源等。为研 判、决策及保障网络安全提供有效的支撑。同时自主研 发的 AILPHA Situaltional Awareness Risk Score（SARS）风险指数能够全局感知安全态势，同时 ”提供综 合解决方案。 态势感知平台是在深入分析与研究常见安全漏洞与流行的攻击技术后，结合新 时代新监管的技术创新与管理要求，研制开发的一款具备等级保护、实时监测、威 胁感知、通报预警、追踪溯源、应急处置、安保指挥、攻防演习、管理考核等功能 的网络安全综合管理平台。平台主要面向政府、网信、公安、行业主管单位及重要 行业企事业单位；平台利用技术手段重要门户网站、重要信息系统（大数据平台、