摘 要：目前網(wǎng)絡(luò)世界最為厲害的攻擊是有針對(duì)性的攻擊，我們也稱之為APT攻擊——高級(jí)持續(xù)性威脅，本文就是通過對(duì)這一攻擊的方法進(jìn)行全面的分析與深刻思考，讓我們?cè)跈z測(cè)這一攻擊時(shí)找到突破口，并且在參考資料后，進(jìn)行了幾項(xiàng)APT攻擊方法的檢測(cè)方案，比如說：沙箱方案，異常檢測(cè)方案等。對(duì)APT攻擊有了詳細(xì)的解釋與說明，當(dāng)我們?cè)俅蚊鎸?duì)APT攻擊時(shí)不再迷茫。

關(guān)鍵詞：APT攻擊；沙箱；全流量；異常檢測(cè)

中圖分類號(hào)：TP393.08

最近一段時(shí)間，總是有一些公司會(huì)遭到APT的攻擊，這吸引了越來越多人的眼球。APT（Advanced Persistent Threat）——高級(jí)持續(xù)性威脅。通過名稱我們就可以從以下幾個(gè)方面著手了解APT：（1）高級(jí)性：APT的攻擊目標(biāo)非常明確，因?yàn)樗褂昧溯^為豐富的嗅探手段和全面的情報(bào)搜集工具；（2）持續(xù)性：APT攻擊的偵察和攻擊過程持續(xù)時(shí)間很長(zhǎng)，它會(huì)持續(xù)潛伏在網(wǎng)絡(luò)內(nèi)部，以達(dá)到它的最終目的；（3）高度隱蔽性：APT攻擊侵入既定目標(biāo)后，通常會(huì)采用在系統(tǒng)底層建立隱蔽后門通道并加入數(shù)字簽名的方法偽裝成合法程序運(yùn)行在主機(jī)上。

1 APT攻擊方法

APT攻擊手段雖然很復(fù)雜，但是APT的攻擊過程[1]大致相同，相當(dāng)清晰，可以分為五個(gè)方面。第一部分是情報(bào)搜集階段，在進(jìn)行攻擊目標(biāo)之前，會(huì)進(jìn)行有關(guān)目標(biāo)所有情報(bào)的搜集。第二部分是進(jìn)入點(diǎn)，APT攻擊通過0day漏洞，使用搜集到的大量信息，攻擊既定的目標(biāo)主機(jī)，將惡意程序發(fā)送到目標(biāo)主機(jī)上然后誘使用戶運(yùn)行該惡意程序。另一種方法是向既定目標(biāo)發(fā)送含有惡意URL的Email，當(dāng)打開這一郵件時(shí)，就會(huì)自行下載惡意程序，并且執(zhí)行程序，已達(dá)到目的。第三部分是命令與控制階段，APT攻擊通過搜尋是否存有敏感信息來確定是否為重要計(jì)算機(jī)，找到目標(biāo)計(jì)算機(jī)之后就會(huì)通過網(wǎng)絡(luò)通信協(xié)議與之建立通信，在被控計(jì)算機(jī)和CC服務(wù)器之間建立一個(gè)穿過內(nèi)網(wǎng)防火墻的秘密通道，并且確認(rèn)入侵成功的計(jì)算機(jī)和CC服務(wù)器保持通信。第四階段是橫向擴(kuò)展階段，利用通道尋找重要信息，確立目標(biāo)系統(tǒng)，APT在目標(biāo)網(wǎng)絡(luò)中通過搜尋是否存有敏感信息來確定是否為重要計(jì)算機(jī)，找到目標(biāo)計(jì)算機(jī)之后利用包含特定算法的技巧和工具，使攻擊者的使用權(quán)限達(dá)到更高級(jí)別，讓攻擊者可以輕松地訪問和控制目標(biāo)計(jì)算機(jī)。第五部分是資料挖掘與傳輸階段，攻擊者利用高級(jí)規(guī)避技術(shù)將數(shù)據(jù)向指定機(jī)器或外網(wǎng)傳輸，傳輸?shù)姆椒ㄓ泻芏?，例如可以偽裝成可信數(shù)據(jù)，DNS流量等。

2 APT攻擊對(duì)傳統(tǒng)檢測(cè)技術(shù)形成的挑戰(zhàn)

就目前來看，APT攻擊為我們的傳統(tǒng)的檢測(cè)技術(shù)帶來了兩大難以解決的問題[2]：A問題：也就是高級(jí)入侵手段引發(fā)的問題。相較于傳統(tǒng)的攻擊手段，APT攻擊具有以下幾點(diǎn)特殊的優(yōu)勢(shì)：（1）單點(diǎn)隱蔽能力強(qiáng)；（2）攻擊空間路徑不確定；（3）攻擊渠道不確定；（4）基于特征匹配的邊界防護(hù)技術(shù)難以應(yīng)對(duì)。P問題：即持續(xù)性攻擊所帶來的問題。

3 APT攻擊的檢測(cè)方案

沙箱方案：這一方案是為了解決高級(jí)入侵手段引起的問題的，即解決特征匹配對(duì)新型攻擊的滯后性而產(chǎn)生的解決方案。攻擊者利用0day漏洞，使特征碼的匹配不成功，這樣我們就可以對(duì)癥下藥使用非特征匹配，利用沙箱技術(shù)識(shí)別0day漏洞攻擊和異常行為。沙箱方案的原理是將實(shí)時(shí)流量先引進(jìn)虛擬機(jī)或者沙箱，通過對(duì)沙箱的文件系統(tǒng)、進(jìn)程、網(wǎng)絡(luò)行為、注冊(cè)表等進(jìn)行監(jiān)控，監(jiān)測(cè)流量中是否包含了惡意代碼。相較于一般傳統(tǒng)的特征匹配技術(shù)，沙箱方案對(duì)未知的惡意程序攻擊具有較好的檢測(cè)能力。

異常檢測(cè)方案：這一方案是同時(shí)解決兩大問題的，即為解決特征匹配和實(shí)時(shí)檢驗(yàn)不足而產(chǎn)生的解決方案。這一方案是利用將網(wǎng)絡(luò)中正常行為產(chǎn)生的數(shù)據(jù)量建立一個(gè)模型，通過將所有數(shù)據(jù)量與這一標(biāo)準(zhǔn)模型進(jìn)行對(duì)比，從而找出異常的數(shù)據(jù)量。正如警察在抓捕壞人時(shí)的方法是一致的，由于警察并不知道壞人的姓名，性別，長(zhǎng)相已經(jīng)其他行為特征，但是警察是知道好人的行為特征的，他可以利用這些行為特征建立一個(gè)可行的標(biāo)準(zhǔn)模型，當(dāng)一個(gè)人的行為特征與現(xiàn)有的好人的行為特征模型大部分不相符時(shí)，警察就可以判斷這個(gè)人不是個(gè)好人，是一個(gè)危險(xiǎn)人物。異常檢測(cè)的核心技術(shù)是基于連接特征的惡意代碼檢測(cè)規(guī)則、基于行為模式的異常檢測(cè)算法、元數(shù)據(jù)提取技術(shù)。

基于連接特征的惡意代碼檢測(cè)方案，是用來檢測(cè)已知的木馬通信行為?；谛袨槟Ｊ降漠惓z測(cè)算法包含可疑加密文件傳輸?shù)?。全流量審?jì)方案：這一方案是解決A，P問題的，即是為了解決傳統(tǒng)特征匹配不足而產(chǎn)生的解決方案。這一方案的核心思想是通過對(duì)檢測(cè)到的流量進(jìn)行應(yīng)用識(shí)別，還原所發(fā)生的異常行為。它的原理是對(duì)流量進(jìn)行更為深刻的協(xié)議解析和應(yīng)用還原，識(shí)別這些網(wǎng)絡(luò)行為中是否包含有攻擊行為。當(dāng)檢測(cè)到可疑性攻擊行為時(shí)，回溯分析與之相關(guān)的流量。包含了大數(shù)據(jù)存儲(chǔ)處理，應(yīng)用識(shí)別和文件還原等技術(shù)。這一方案具備強(qiáng)大的實(shí)時(shí)檢測(cè)能力和事后回溯能力，是將計(jì)算機(jī)強(qiáng)大的存儲(chǔ)能力與安全人員的分析能力相結(jié)合的完整解決方案。

基于記憶的檢測(cè)系統(tǒng)[3]：這是一個(gè)由全流量審計(jì)與日志審計(jì)相結(jié)合形成的系統(tǒng)，APT攻擊發(fā)生的時(shí)間很長(zhǎng)，我們應(yīng)該對(duì)長(zhǎng)時(shí)間內(nèi)的數(shù)據(jù)流量進(jìn)行更加深入，細(xì)致的分析。這一檢測(cè)系統(tǒng)具體分為四個(gè)步驟：（1）擴(kuò)大檢測(cè)領(lǐng)域：對(duì)數(shù)據(jù)流量的檢測(cè)領(lǐng)域進(jìn)行適當(dāng)?shù)耐卣梗瑢⑷髁繑?shù)據(jù)進(jìn)行有效的存儲(chǔ)，進(jìn)一步進(jìn)行深入的分析。（2）將數(shù)據(jù)量進(jìn)行精煉化：將龐大的數(shù)據(jù)進(jìn)行精煉化，將全流量中的數(shù)據(jù)進(jìn)行篩選，將與攻擊行為沒有任何相關(guān)性的數(shù)據(jù)進(jìn)行及時(shí)的刪除，同時(shí)保留有相關(guān)性的數(shù)據(jù)流量，能夠釋放出更大的空間。挑選，刪除無相關(guān)性達(dá)到數(shù)據(jù)流量，可以依靠的第三方的檢測(cè)報(bào)警設(shè)備，也可以利用全數(shù)據(jù)流量的異常檢測(cè)技術(shù)。（3）對(duì)檢測(cè)出的攻擊行為進(jìn)行精確的報(bào)警：將保存下來的與攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行后續(xù)分析，做出進(jìn)一步的精確的報(bào)警。（4）構(gòu)建攻擊的場(chǎng)景：我們將上一步做出的精確的報(bào)警進(jìn)行關(guān)聯(lián)性的分析，明確它們之間存在了哪些語義關(guān)系，將孤立的攻擊報(bào)警提取出來，構(gòu)建全面的，整體性的攻擊場(chǎng)景。

基于深層次協(xié)議解析的異常識(shí)別方案：可以仔細(xì)檢查發(fā)現(xiàn)是哪一種協(xié)議，一個(gè)數(shù)據(jù)在哪個(gè)地方出現(xiàn)了異常，直到找出它的異常點(diǎn)時(shí)停止檢測(cè)。攻擊溯源方案：通過已經(jīng)提取出來的網(wǎng)絡(luò)對(duì)象，可以重建一個(gè)時(shí)間內(nèi)可疑的所有內(nèi)容。通過將這些事件重新排列順序，可以幫助我們迅速的發(fā)現(xiàn)攻擊源。

4 APT攻擊的防護(hù)措施

防嗅探網(wǎng)絡(luò)：這一步是設(shè)立一個(gè)障礙，降低了主機(jī)信息與網(wǎng)絡(luò)信息的泄露率，保護(hù)了我們內(nèi)部網(wǎng)絡(luò)的隱私與安全。操作如下：（1）盡量在網(wǎng)絡(luò)中使用交換機(jī)和路由器，將網(wǎng)絡(luò)精細(xì)化，使攻擊者嗅探到的數(shù)據(jù)量減少。（2）將會(huì)話加密，這樣即使攻擊者捕捉到了你的數(shù)據(jù)，對(duì)他來說也是毫無用處的。（3）安裝防火墻，在網(wǎng)絡(luò)邊界處加上防火墻既可以高效、迅速的攔截嗅探的數(shù)據(jù)包，又可以防止來自內(nèi)部的嗅探信息。

網(wǎng)絡(luò)異常行為檢測(cè)：從APT的攻擊的大致流程我們可以看出，異常的網(wǎng)絡(luò)行為包括對(duì)用戶內(nèi)部網(wǎng)絡(luò)的非授權(quán)訪問、對(duì)用戶內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描等。這些都是異常的網(wǎng)絡(luò)行為和異常的用戶行為。所以需要對(duì)網(wǎng)絡(luò)內(nèi)部的異常行為進(jìn)行監(jiān)控和搜集，更進(jìn)一步的對(duì)搜集的信息進(jìn)行分類和分析。

5 結(jié)束語

在大多數(shù)情況下，APT攻擊方法是復(fù)雜的，難以檢測(cè)的，它的表現(xiàn)會(huì)更多樣化，這將對(duì)網(wǎng)絡(luò)信息安全造成新的威脅，但是同時(shí)大數(shù)據(jù)也為我們追逐APT攻擊并做好安全防御提供了更加切實(shí)有效的方法。網(wǎng)絡(luò)環(huán)境復(fù)雜多變，依靠單方面的力量來檢測(cè)APT攻擊還不大可靠，我們要實(shí)現(xiàn)一個(gè)以時(shí)間抵抗時(shí)間的策略，對(duì)長(zhǎng)時(shí)間、全流量的大數(shù)據(jù)進(jìn)行監(jiān)測(cè)和分析，方可彌補(bǔ)傳統(tǒng)的實(shí)時(shí)監(jiān)測(cè)和特征匹配的不足。

參考文獻(xiàn)：

[1]張帥.對(duì)APT攻擊的檢測(cè)與防御[J].信息安全與技術(shù)，2011（09）：125-127.

[2]啟明星辰，周濤.依靠大數(shù)據(jù)處理技術(shù)應(yīng)對(duì)APT攻擊[J].人民郵電，2012（07）：第008版.

[3]劉昕，大數(shù)據(jù)背景下的APT攻擊檢測(cè)與防御[J].網(wǎng)絡(luò)與信息工程，2014（02）：80-81.

作者簡(jiǎn)介：馬琳（1993-），女，甘肅人，學(xué)生，信息安全專業(yè)。

作者單位：武漢大學(xué) 計(jì)算機(jī)學(xué)院，武漢 430072