APT攻击的特征分析与防御策略.docx

APT攻击的特征分析与防御策略
 
 
摘 要 APT攻击目前已成为热点，其特征不同于传统的网络攻击，对已有的安全防范思路和能力带来了极大挑战。本文分析了APT攻击的技术特点及典型流程，并对常见的APT检测方案、主流的APT防御方案进行了比较分析。
【关键词】APT攻击 网络攻击 检测 防御
随着Internet技术的发展，网络威胁层出不穷，攻击方式不断翻新。高级持续性威胁（APT）是近年来威胁企业数据安全的主要威胁之一。它是一种针对特定组织所做的复杂且多方位的攻击，往往经过长期策划，具有高度的隐蔽性和持续性，目的直达企业核心数据。
1 APT攻击的概念
APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。 APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据。
2 典型的APT攻击过程
整个APT攻击过程大体可以分为如下5个步骤。
（1）定向情报收集，即攻击者有针对性的搜集特定组织的网络系统和员工信息。信息搜集方法很多，包括网络隐蔽扫描和社会工程学方法等。从目前所发现的APT攻击手法来看，大多数是从组织员工入手，攻击者非常注意搜集组织员工的信息，包括微博、博客等，以便了解其社会关系及爱好，然后通过社会工程方法来攻击该员工电脑，从而进入组织网络。
（2）单点攻击突破，即攻击者收集了足够的信息后，采用恶意代码攻击组织员工电脑，往往攻击的是系统未知漏洞，现有杀毒和个人防火墙安全工具无法察觉，最终结果是，员工个人电脑感染恶意代码，从而被攻击者完全控制。
（3）控制通道构建，即攻击者控制了员工个人电脑后，构建某种渠道和攻击者取得联系，以获得进一步攻击指令。目前多采用HTTP协议构建，以便突破组织的防火墙，比较高级的命令控制通道则采用HTTPS协议构建。
（4）内部横向渗透，通常攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的PC和服务器。
（5）数据收集上传，即攻击者在内部横向渗透和长期潜伏过程中，有意识地搜集各服务器上的重要数据资产，进行压缩、加密和打包，然后通过某个隐蔽的数据通道将数据传回给攻击者。
3 常见的APT攻击检测方案
针对APT攻击行为的检测，需要构建一个多维度的安全模型，常见检测方案有四种：
（1）沙箱方案。沙箱原理是将实时流量先引入虚拟机或沙箱，通过对沙箱的文件系统、进程、注册表、网络行为实施监控，判断流量中是否包含恶意代码。同传统的特征匹配技术相比，沙箱方案对未知恶意代码具有较好的检测能力，其难点在于模拟的客户端类型是否全面，如缺乏合适的运行环境，会导致恶意代码在检测环境中无法触发，造成漏报。
（2）异常检测方案。异常检测原理是通过对网络中的正常行为模式建模而识别异常。核心技术包括元数据提取、正常行为建模和异常检测算法。该方案同样能够检测未知攻击，但检测效率依赖于背景流量中的业务模式，如果业务模式发生偏差，则会导致较高的漏报与误报。
（3）全流量审计方案。全流量审计原理是对链路中的流量进行深层次的协议解析和应用还原，识别其中是否包含攻击行为。检测到可疑攻击行为时，在全流量存储的条件下，