【摘 要】近些年高級持續(xù)性威脅已經(jīng)成為威脅企業(yè)數(shù)據(jù)信息安全的主要網(wǎng)絡(luò)攻擊形式之一，這種類型的網(wǎng)絡(luò)攻擊具有針對性、隱藏性、持續(xù)性與易變性等特點，其能夠直達企業(yè)內(nèi)部的核心數(shù)據(jù)信息。傳統(tǒng)模式的“網(wǎng)關(guān)+服務(wù)器+PC終端”的三層安全防范體系比較分散，不能有效地防止這種類型的攻擊。本文提出了一種改進型的分層集中式網(wǎng)絡(luò)安全體系，通過集中分析與掌握控制的方法，促使企業(yè)內(nèi)部的安全防護部件形成一個有機的整體，可以有效地防范APT的網(wǎng)絡(luò)攻擊。

【關(guān)鍵詞】高級持續(xù)性威脅 網(wǎng)絡(luò)安全 體系

一、引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)威脅每天層出不窮，各種攻擊隨時都有可能發(fā)生。APT是近年來威脅企業(yè)數(shù)據(jù)安全的主要威脅之一。與分散、單個的網(wǎng)絡(luò)攻擊不同，這是一種針對特定組織所做的復(fù)雜且多方位的攻擊。這種行為通常需要經(jīng)過長期的策劃，具有高度的隱蔽性與持續(xù)性，目的直達企業(yè)核心數(shù)據(jù)。那些擁有大量機密或金融資產(chǎn)的單位特別容易成為攻擊對象，這對企業(yè)信息安全構(gòu)成了極大的威脅。在傳統(tǒng)的三層網(wǎng)絡(luò)防護體系下，IT安全管理人員只是把其當(dāng)作簡單的網(wǎng)絡(luò)攻擊或者病毒攻擊進行處理，使得大部分時間耗費在終端查毒與殺毒的環(huán)節(jié)中，當(dāng)一批病毒處理完成后，IT安全管理人員無法準(zhǔn)確定位病毒的來源，并且下一次出現(xiàn)的地方也無法預(yù)測，不能通過系統(tǒng)的監(jiān)控作用避免APT攻擊。針對傳統(tǒng)企業(yè)級網(wǎng)絡(luò)安全體系的弱點，提出了一種有效防范APT攻擊的分層集中式網(wǎng)絡(luò)安全體系，通過集中分析與管控的方法來有效防范APT攻擊[1]。

二、APT攻擊的特點

APT攻擊的特點主要表現(xiàn)在針對性、隱藏性、持續(xù)性與易變性四個方面[2]。首先，APT是在某個系統(tǒng)下具有計劃性的攻擊類型，這是需要經(jīng)過細心的策劃過程才能完成，體現(xiàn)出較強的目的性，所以攻擊的方式、種類、內(nèi)容會發(fā)生變化。一個企業(yè)在其它地方所獲取到的病毒庫或者所謂的經(jīng)驗可能對本地情況是無效的。其次，由于APT攻擊具有較強的針對性，為了不輕易被對方發(fā)現(xiàn)，需要保持較高的隱蔽性。一方面，其可以通過多形、加密等形式使自己較難被偵查；另一方面，對于企業(yè)的IT人員來說這只是將其視為簡單的病毒入侵或者單個的網(wǎng)絡(luò)威脅進行處理，不能通過系統(tǒng)的方法達到防范目的。再次，APT攻擊體現(xiàn)出持續(xù)性的特點，攻擊時間可以持續(xù)幾個月甚至高達一年以上。在這階段攻擊者可以不斷收集各方面信息，為發(fā)起攻擊做好充足的準(zhǔn)備，或者采用持續(xù)攻擊的方式，發(fā)現(xiàn)企業(yè)內(nèi)部安全的漏洞，從而獲得可靠的情報。最后，因為APT攻擊具有針對性與持續(xù)性的特點，其攻擊者根據(jù)收集到的數(shù)據(jù)信息隨時會改變攻擊方式，如果一條路徑被切斷了，應(yīng)當(dāng)充分考慮選擇其它方式的路徑，具有多變性的特點。

三、防范APT攻擊的網(wǎng)絡(luò)安全體系

（一）快速有效的威脅檢測技術(shù)。這個模塊提供一個統(tǒng)一形式的接口，在原本的三層防護體系下各個位置的安全防護模塊可以將有關(guān)的日志信息進行上傳處理，對設(shè)定在各個不同網(wǎng)絡(luò)位置的安全防護模塊所產(chǎn)生日志分析的實際基礎(chǔ)上，根據(jù)系統(tǒng)經(jīng)驗或者自定義形式規(guī)則，能夠主動地發(fā)現(xiàn)有可能出現(xiàn)的安全威脅。

（二）基于沙盒的虛擬分析技術(shù)。原本的三層安全防護體系對于部分附件/可執(zhí)行文件容易產(chǎn)生影響，然而缺乏一個準(zhǔn)確有效的可行性分析過程，傳統(tǒng)方法一般是將這類型文件進行隔離或者直接忽略處理。假如某個文件屬于正常形式的文件，對其進行隔離處理后，用戶需要進行操作才可以獲取這項文件；假如某個文件屬于惡性文件，忽略處理的話，則會對用戶的系統(tǒng)產(chǎn)生較大影響。所以盡管是隔離或者忽略的方式，都容易會對用戶產(chǎn)生一定的困擾。同時用戶一般不具備足夠的理論知識分析文件是否屬于惡性類型。使用基于沙盒的虛擬分析技術(shù)能夠為用戶解決這種問題，將這種文件放置在沙盒中操作處理，觀察對系統(tǒng)的各種更改是否屬于有害的方式，假如是無害的則忽略處理，假如是有害的則應(yīng)當(dāng)攔截這類型文件。沙盒是一個封閉模式的模擬環(huán)境，同時使用虛擬化的技術(shù)，對網(wǎng)絡(luò)的總體安全環(huán)境不會產(chǎn)生太大的影響[3]。

（三）統(tǒng)一可靠的威脅名單。依據(jù)威脅檢測技術(shù)與虛擬分析技術(shù)的作用效果，能夠生成一個存在可疑性威脅的名單，以便于能夠及時反饋到在各個不同網(wǎng)絡(luò)位置的安全防護部分，通過這些網(wǎng)絡(luò)安全系統(tǒng)可以更好地進行安全防護。

（四）生成有效的本地病毒庫有利于防范高級持續(xù)性威脅與針對性攻擊，一般情況下APT與Targeted Attacks是傳統(tǒng)模式的全局病毒庫所無法處理的，由于這種類型攻擊在其它方面是不會發(fā)生的，不能形成有效的病毒庫。子系統(tǒng)根據(jù)相關(guān)的威脅分析與虛擬分析的實際結(jié)果能夠提供一個本地生成病毒庫的具體功能，從而使得安全威脅在網(wǎng)絡(luò)體系中能夠進一步得到擴散。

（五）清晰完整的報表系統(tǒng)。這個集中分析與控制系統(tǒng)根據(jù)各種不同的目的，提供相應(yīng)的報表給有關(guān)IT信息安全管理人員進行查詢操作，比如攔截計算機病毒數(shù)量、本地病毒庫的更新狀態(tài)、發(fā)現(xiàn)潛在威脅、病毒來源等方面。一個清晰完整的報表系統(tǒng)，可以省去過去階段IT信息安全管理人員在各個系統(tǒng)上進行報表查詢功能，然后可以支持人工整合的處理功能，在很大程度降低日常的管理開銷狀況[4]。

四、結(jié)束語

現(xiàn)階段這種分層集中式的網(wǎng)絡(luò)安全體系已經(jīng)開始在部分企業(yè)級別的防病毒產(chǎn)品中發(fā)揮作用，同時逐漸應(yīng)用在政府、銀行、大型國企等容易受到APT攻擊威脅的各種機關(guān)部門。通過應(yīng)用防APT攻擊的網(wǎng)絡(luò)安全體系，可以削弱APT攻擊的有效性，有利于提升企業(yè)信息安全的防護能力，從而降低信息暴露與被盜取的風(fēng)險因素。

參考文獻：

[1]江原.APT攻擊的那些事[J].信息安全與通信保密，2011（11）：22-23.

[2]杜躍進.APT應(yīng)對面臨的挑戰(zhàn)——關(guān)于APT的一些問題[J].信息安全與通信保密，2012（7）：13-14.

[3]劉婷婷.APT攻擊悄然來襲 企業(yè)信息面臨“精準(zhǔn)打擊”[J].信息安全與通信保密，2012（3）：39-40.

[4]張帥.對APT攻擊的檢測與防御[J].信息安全與技術(shù)，2011（9）：125-127.

作者簡介：

沈念潔，女，1983.10——，籍貫：湖南省湘西永順縣，學(xué)歷： 本科，研究方向：計算機網(wǎng)絡(luò)安全。