分析模型

杀伤链 (Kill Kain) 模型

杀伤链这个概念源自军事领域，它是一个描述入侵测试环节的模型。一般杀伤链有认为侦查跟踪 (Reconnais-sance)、武器构建 (Weaponization)、载荷投递 (Delivery)、漏洞利用 (Exploitation)、安装植入 (Installation)、通信控制 (Command&Control)、达成目标 (Actions on Objective) 等几个阶段。

在越早的杀伤链环节阻止侵入测试，防护效果就越好，因此杀伤链的概念也可以用来反制。在跟踪阶段，入侵测试者通常会采用扫描和搜索等方式来寻找可能的目标信息并评估成本。在这个阶段可以通过日志分析、邮件分析等方式来发现，这阶段也可以采用威胁情报等方式来获取信息。

武器构建阶段入侵测试者通常已经准备好了工具，并进行尝试，在这个阶段 IDS 中可能有记录，外网应用、邮箱等帐号可能有密码爆破的记录。有一些入侵测试会使用公开工具，会带有一定的已知特征。

载荷投递阶段入侵测试者通常会采用网络漏洞、鱼叉、水坑、网络劫持、U 盘等方式投送恶意代码。此阶段已经有人员在对应的途径收到了载荷，对人员进行充分的安全培训可以做到一定程度的防御。

突防利用阶段入侵测试者会执行恶意代码来获取系统控制权限，此时恶意程序已经执行，此阶段可以依靠杀毒软件、异常行为告警等方式来找到相应的入侵测试。

安装植入阶段入侵测试者通常会在 web 服务器上安装 Webshell 或植入后门、rootkit 等来实现对服务器的持久化控制。可以通过对样本进行逆向工程来找到这些植入。

通信控制阶段入侵测试者已经实现了远程通信控制，会通过 Web 三方网站、DNS 隧道、邮件等方式和控制服务器进行通信。此时可以通过对日志进行分析来找到恶意程序的痕迹。

达成目标阶段时，入侵测试者开始完成自己的目的，可能是破坏系统正常运行、窃取目标数据、敲诈勒索、横向 移动等。此时受控机器中可能已经有入侵测试者的上传的利用工具，此阶段可以使用蜜罐等方式来发现。

钻石 (Diamond) 模型

钻石模型由网络情报分析与威胁研究中心 (The Center for Cyber Intelligence Anaysis and Threat Research，CCIATR) 机构的 Sergio Catagirone 等人在 2013 年提出。

该模型把所有的安全事件 (Event) 分为四个核心元素，即敌手 (Adversary)，能力 (Capability)，基础设施(Infrastructure) 和受害者 (Victim)，以菱形连线代表它们之间的关系，因而命名为“钻石模型”。

杀伤链模型的特点是可说明线路和进程，而钻石模型的特点是可说明入侵测试者在单个事件中的目的和所使用手法。

在使用钻石模型分析时，通常使用支点分析的方式。支点 (Pivoting) 指提取一个元素，并利用该元素与数据源相结合以发现相关元素的分析技术。分析中可以随时变换支点，四个核心特征以及两个扩展特征 (社会政治、技术) 都可能成为当时的分析支点。