CLASSIFIED: OPEN DOSSIER
Nora Vision Threat Detection Matrix
2026-02-20 Nora Vision Threat Analysis Team
# Nora Vision 威胁检测矩阵
**版本**: v1.0 | **更新**: 2026-02-20 | **状态**: 核心场景覆盖完成
Nora Vision 的检测规则全部映射到 MITRE ATT&CK 框架,覆盖 7 大威胁类别、25+ 条检测规则。每条规则通过 eBPF CO-RE 内核探针采集事件,经 Sigma 兼容规则引擎 + Isolation Forest + HMM 攻击链分析三层处理后生成告警。
---
## 1. 容器逃逸检测 (Container Escape Detection)
| 规则 ID | 检测名称 | 严重度 | MITRE ATT&CK | 技术原理 |
| :--- | :--- | :--- | :--- | :--- |
| `ESCAPE_CAP_SYS_ADMIN` | 滥用容器特权 | CRITICAL | T1611 | 监控容器进程加载 `insmod` 或修改 `/sys/kernel/security` |
| `ESCAPE_MOUNT_SENSITIVE` | 敏感路径挂载检测 | HIGH | T1611 | 监控挂载主机 `/var/run/docker.sock`, `/etc`, `/root` 等目录 |
| `ESCAPE_SHOCKER` | Shocker 攻击尝试 | CRITICAL | T1611 | 监控 `open_by_handle_at` 系统调用,识别跨文件系统边界访问 |
| `ESCAPE_CPUGROUP` | cgroup release_agent 逃逸 | CRITICAL | T1611 | 监控对 `release_agent` 文件的写操作 |
## 2. 无文件攻击检测 (Fileless Attack Detection)
| 规则 ID | 检测名称 | 严重度 | MITRE ATT&CK | 技术原理 |
| :--- | :--- | :--- | :--- | :--- |
| `FILELESS_MEM_EXEC` | 内存执行检测 (memfd_create) | CRITICAL | T1620 | 监控 `memfd_create` 后跟 `execve` 到内存文件描述符 |
| `FILELESS_SHELL_PIPE` | 远程脚本管道执行 | HIGH | T1059 | 监控 `curl/wget` 结果通过管道传递给 `bash/sh/python` |
| `FILELESS_ELF_IN_MEM` | 内存中加载 ELF | CRITICAL | T1620 | 通过 eBPF 监控 `mmap` 的 `PROT_EXEC` 标记,识别无磁盘文件的执行 |
## 3. 横向移动检测 (Lateral Movement Detection)
| 规则 ID | 检测名称 | 严重度 | MITRE ATT&CK | 技术原理 |
| :--- | :--- | :--- | :--- | :--- |
| `LATERAL_SSH_TUNNEL` | 异常 SSH 隧道 | MEDIUM | T1572 | 监控 `ssh -R` 或 `ssh -L` 创建的反向隧道或端口转发 |
| `LATERAL_CRED_DUMP` | 凭据转储 | HIGH | T1003 | 监控对 `/proc/kcore` 或 `/dev/mem` 的读取,或 `gcore` 进程 |
| `LATERAL_SENSITIVE_CONN` | 异常内网扫描 | HIGH | T1046 | 监控单进程短时间内对多内网 IP 的 22/445/3389 端口 SYN |
## 4. 权限提升检测 (Privilege Escalation Detection)
| 规则 ID | 检测名称 | 严重度 | MITRE ATT&CK | 技术原理 |
| :--- | :--- | :--- | :--- | :--- |
| `PRIV_SUID_MOD` | SUID/SGID 异常修改 | CRITICAL | T1548.001 | 监控 `chmod +s` 对非常见二进制文件的操作 |
| `PRIV_CVE_EXPLOIT` | 内核漏洞利用尝试 | CRITICAL | T1068 | 监控 DirtyPipe/DirtyCow 等内核利用的异常系统调用序列 |
| `PRIV_LD_PRELOAD` | 动态库劫持提权 | HIGH | T1574.006 | 监控修改 `/etc/ld.so.preload` 或设置 `LD_PRELOAD` |
## 5. 挖矿程序检测 (Cryptominer Detection)
| 规则 ID | 检测名称 | 严重度 | MITRE ATT&CK | 技术原理 |
| :--- | :--- | :--- | :--- | :--- |
| `MINER_STRATUM_COMM` | Stratum 协议特征 | CRITICAL | T1496 | 监控网络连接中的 `mining.subscribe` 或 `jsonrpc` 挖矿请求 |
| `MINER_CPU_SPIKE` | 异常高负载 CPU 进程 | MEDIUM | T1496 | 识别持续占用多核 CPU 且隐蔽命名的长期运行进程 |
| `MINER_POOL_DNS` | 挖矿池域名解析 | HIGH | T1496 | 匹配已知挖矿池(SupportXMR, Nanopool 等)的 DNS 查询 |
## 6. 供应链攻击检测 (Supply Chain Attack Detection)
| 规则 ID | 检测名称 | 严重度 | MITRE ATT&CK | 技术原理 |
| :--- | :--- | :--- | :--- | :--- |
| `SUPPLY_INSTALL_EXE` | 安装包后置脚本执行 | HIGH | T1195.002 | 监控 `npm/pip/apt` 安装过程中触发的异常外连 |
| `SUPPLY_DEP_REPLACE` | 依赖文件篡改 | CRITICAL | T1195.001 | 监控对 `node_modules` 或 `site-packages` 内已签名文件的异常写操作 |
| `SUPPLY_SUSPICIOUS_LIB` | 可疑库加载 | MEDIUM | T1195 | 监控进程加载来自 `/tmp` 或 `/dev/shm` 的 `.so` 共享对象 |
## 7. APT 行为检测 (APT Behavior Detection)
| 规则 ID | 检测名称 | 严重度 | MITRE ATT&CK | 技术原理 |
| :--- | :--- | :--- | :--- | :--- |
| `APT_C2_HEARTBEAT` | C2 心跳检测 | HIGH | T1071 | 识别固定间隔、固定包大小的长周期出站 HTTPS 流量 |
| `APT_DATA_STAGING` | 敏感数据打包 | MEDIUM | T1074 | 监控进程在 `/tmp` 下创建大量 `.zip`, `.tar.gz`, `.7z` 文件 |
| `APT_TIMESTOMP` | 文件时间戳伪造 | HIGH | T1070.006 | 监控 `utimes` 调用,识别将文件时间修改为数年前的行为 |
---
## 配置建议
通过 Nora Vision 的 `config.yaml` 启用 `eBPF` 深度探测模式以支持 `ESCAPE` 和 `FILELESS` 分类规则:
```yaml
collector:
type: ebpf
ebpf:
enabled: true
co_re: true
hooks:
- sys_enter_execve
- tcp_connect
- mmap
- open_by_handle_at
detection:
rule_engine:
enabled: true
rules_path: rules/default.yaml
anomaly:
enabled: true
model: isolation_forest
hmm:
enabled: true
min_training_sequences: 500
active_learning:
enabled: true
```
如需了解更多或申请企业部署,请[联系我们](/contact?product=nora-vision)。