李 杰，樓 芳，金渝筌，董智馨

（中國工程物理研究院計算機應(yīng)用研究所，四川 綿陽621900）

1 引言

高級持續(xù)性威脅APT（Advanced Persistent Threat）攻 擊 首 先 由USAF（United States Air Forces）在2006年提出，具有計劃性、持續(xù)性以及高級持續(xù)性威脅等特性；更根本的特性在于此類攻擊能夠真正威脅到國家、公司或者企業(yè)的利益［1］。

目前國際上各國政府、商業(yè)組織對APT 攻擊十分重視：美國軍方發(fā)布的一項聲明中，首次將網(wǎng)絡(luò)戰(zhàn)武器威脅排在恐怖襲擊威脅之前；英國政府2013年發(fā)布的網(wǎng)絡(luò)安全策略表明英國政府在2010年已將網(wǎng)絡(luò)攻擊作為英國國家最高的四個威脅之一；ENISA 發(fā)布的一項題為“網(wǎng)絡(luò)攻擊－傳統(tǒng)攻擊的新戰(zhàn)場”的報告，呼吁歐洲政府和商業(yè)組織重視逐漸出現(xiàn)的攻擊趨勢（如APT）；從已知APT 攻擊、威脅及漏洞報告可看出，APT 已在商業(yè)領(lǐng)域產(chǎn)生了很大影響［2～5］。

國外研究人員主要通過蜜罐技術(shù)等［6～8］捕捉、分析企業(yè)遭受的攻擊，從而判斷是否遭受到APT攻擊；或者基于可信計算，保證企業(yè)系統(tǒng)環(huán)境的安全。

國內(nèi)對APT 攻擊研究主要以網(wǎng)絡(luò)安全企業(yè)宣傳、分析資料為主：金山公司介紹了APT 攻擊危害及防御策略，以及私有云安全防護(hù)產(chǎn)品［9］；趨勢科技根據(jù)APT 攻擊的目標(biāo)和關(guān)鍵特點提出了證券、商業(yè)方面長期管理解決方案［10］；啟明星辰公司提出了結(jié)合大數(shù)據(jù)分析，從全流量審計與日志審計的角度檢測APT 攻擊［11］。

從國內(nèi)外的APT 攻擊分析、檢測以及防護(hù)方法或策略可以看出，研究人員對APT 攻擊概念的認(rèn)識逐步深入，但依舊缺乏有效的檢測、防護(hù)體系。APT 攻擊與傳統(tǒng)攻擊不同之處在于：它的攻擊目的非常明確；通過精心策劃，針對特定目標(biāo)完成預(yù)定任務(wù)；建立長期的攻擊點，等待時機完成預(yù)定任務(wù)；專業(yè)人員精心組織、長期監(jiān)控，攻擊過程隨著找到的防御弱點進(jìn)行動態(tài)調(diào)整，更有效地實現(xiàn)攻擊目的；攻擊通常是專門設(shè)計的，攻擊方法復(fù)雜，傳統(tǒng)攻擊檢測工具難以檢測到［12，13］。

截止2011年，已公布的大型APT 攻擊如表1所示。

本文的主要工作及貢獻(xiàn)如下：

（1）研究了APT 攻擊的主要特征及攻擊模式，在此基礎(chǔ)上提出了APT 攻擊檢測模型，通過建立攻擊檢測有向圖，并與關(guān)聯(lián)分析得到的攻擊路徑進(jìn)行匹配，進(jìn)而判斷目標(biāo)系統(tǒng)是否受到APT攻擊。

（2）在檢測APT 攻擊時引入時間窗，提出在可選定時間閾值改變APT 攻擊檢測的粒度，在實踐中通過改變時間窗的大小提高檢測效率。

Table 1 Large－scale APT attacks released by the year of 2011表1 截止2011年已公布的大型APT攻擊

2 APT攻擊介紹

2.1 APT簡介

目前對APT 攻擊的定義多種多樣，相較而言，美國國家標(biāo)準(zhǔn)協(xié)會（NIST）的定義更具普遍性，其定義如下：

APT 即高級持續(xù)性威脅攻擊，是指競爭對手（包括國家、政府或行業(yè)企業(yè)等）利用專業(yè)知識、關(guān)鍵資源等，通過多維度攻擊手段達(dá)到特定目的。攻擊人員在目標(biāo)的信息技術(shù)基礎(chǔ)設(shè)施中建立攻擊點，完成竊取信息、阻礙任務(wù)或計劃，也可在以后任何需要的時間實現(xiàn)特定目的。APT 攻擊經(jīng)過長時間潛伏，尋找合適時機實現(xiàn)攻擊目的，攻擊過程能夠隨著目標(biāo)組織防護(hù)手段的改變采取相應(yīng)變化。

APT 攻擊是精心策劃，具有持續(xù)性，擁有大量的人力、物力做后盾。攻擊過程可能持續(xù)數(shù)月、一年，甚至數(shù)年；發(fā)現(xiàn)后，也會采取其他攻擊方式在系統(tǒng)中駐留更久，以發(fā)現(xiàn)需要的漏洞。從已知的APT 攻擊來看，采用的工具和技術(shù)大部分是信息安全業(yè)界已知的，因此其真正威脅不在技術(shù)層面，而在于攻擊目的的確定性與持續(xù)性。“高級”是指攻擊中采用多維度攻擊方法，包括數(shù)據(jù)挖掘、社會工程、網(wǎng)絡(luò)掃描、釣魚郵件等。典型的APT 攻擊一般具有如下特性：攻擊手段復(fù)雜；攻擊目標(biāo)明確；攻擊過程隨著目標(biāo)安全措施的改變，能夠進(jìn)行動態(tài)調(diào)整；攻擊未被檢測到之前，會在系統(tǒng)中潛伏、駐留較長時間；攻擊人員能夠耐心等待機會發(fā)現(xiàn)系統(tǒng)漏洞；等等。

2.2 APT攻擊特征

APT 攻擊主要有四個特征，如圖1所示。

Figure 1 Main characters of APT attacks圖1 APT 攻擊的主要特征

（1）目標(biāo)性。APT 攻擊的主要目的之一是竊取目標(biāo)的特定數(shù)據(jù)信息，或造成一定的損失。相比而言，傳統(tǒng)攻擊選擇的目標(biāo)計算機是隨機的，而APT 攻擊更具有系統(tǒng)性、組織性、目的性。例如，著名的“極光”［14］攻擊在Google中攻擊目標(biāo)是源代碼，而在索尼中攻擊目標(biāo)則是個人驗證信息PII（Personal Identifiable Information）。類似的攻擊數(shù)不勝數(shù)。另一方面，相比一般攻擊，APT 攻擊會投入大規(guī)模經(jīng)費、大量時間進(jìn)行嘗試。可以看出，APT 攻擊主體通常是某個組織而非個人；而隨著信息、數(shù)據(jù)價值的不同，所受到竊取、攻擊或破壞的可能性也會不同。

（2）持續(xù)性。攻擊人員最初或許僅知道要攻擊哪些組織、目標(biāo)，而對其信息安全防護(hù)手段、目標(biāo)數(shù)據(jù)的位置、系統(tǒng)漏洞等一無所知。因此，為了完成攻擊，攻擊人員需要尋找一切可能的漏洞，評估信息安全防護(hù)的安全性，最終入侵目標(biāo)網(wǎng)絡(luò)主機。完整的攻擊過程耗時很長，可能需要數(shù)月或者數(shù)年時間的準(zhǔn)備才能發(fā)動攻擊，所以安全防御必須從持續(xù)性、系統(tǒng)性角度關(guān)聯(lián)考慮各個獨立的攻擊事件，才有可能發(fā)現(xiàn)APT 攻擊。

（3）隱蔽性。目前通用的數(shù)據(jù)保護(hù)措施曾起到了應(yīng)有的作用，但從近年來的APT 攻擊來看，這些保護(hù)手段已難以生效。為了實現(xiàn)攻擊目的，攻擊人員會進(jìn)行多種嘗試，比如將攻擊隱藏在正常數(shù)據(jù)內(nèi)容中，通過通用網(wǎng)絡(luò)協(xié)議發(fā)送來躲避檢測；另一方面，惡意攻擊軟件僅在特定目標(biāo)系統(tǒng)中才會發(fā)動攻擊，因此當(dāng)攻擊人員在一般主機上安裝惡意攻擊軟件時難以檢測；攻擊也可能利用用戶加密的方式繞過防火墻等防護(hù)機制。

（4）復(fù)雜性。典型的APT 攻擊多采用以下方式：

①通過電話等方式確定目標(biāo)組織中的關(guān)鍵人員；

②發(fā)送釣魚郵件來植入遠(yuǎn)程控制工具，例如利用JavaScript編制的惡意軟件；

③利用C＆C控制獲取系統(tǒng)權(quán)限；

④用戶加密技術(shù)。

2.3 APT攻擊模式

APT 攻擊在發(fā)現(xiàn)前可能已經(jīng)潛伏了很長時間，而一旦反病毒軟件或其他安全防御措施發(fā)現(xiàn)、清除了這些病毒或惡意軟件，它們不會再次被使用，所以通過傳統(tǒng)的特征匹配方式查找病毒、惡意軟件沒有意義。從Mandiant's M－Trends報告［15］可以看出，反病毒軟件僅查出了24%的APT 惡意軟件，而攻擊人員成功滲透系統(tǒng)后進(jìn)一步通過后門程序獲取系統(tǒng)管理員權(quán)限，進(jìn)而隨意訪問系統(tǒng)、竊取數(shù)據(jù)。

典型的APT 攻擊主要由三個階段組成［16］：

（1）偵查、發(fā)起和感染：準(zhǔn)備偵查，搜索目標(biāo)系統(tǒng)漏洞，發(fā)起攻擊并感染目標(biāo)主機。

（2）控制和管理、檢測、持續(xù)：控制受害主機，更新攻擊代碼，擴散到其他機器，以及尋找并搜集目標(biāo)數(shù)據(jù)［17］。

（3）獲取信息、采取行動：從目標(biāo)網(wǎng)絡(luò)接收必要的數(shù)據(jù)，采取行動。

3 APT攻擊檢測與防護(hù)

3.1 APT攻擊檢測

近些年來，大部分APT 檢測方案都是面向商業(yè)的，也比較有效，例如Triumfant、Deep Discovery以及Seculert等。Triumfant采用了變更控制的方法，能更好地檢測未知類型攻擊；Deep Discovery基于網(wǎng)絡(luò)流量分析，能夠精確檢測出已知惡意軟件；Seculert對客戶端收集的日志進(jìn)行大數(shù)據(jù)分析，是一種基于云的解決方案。對已知攻擊的檢測并不困難，困難的是如何檢測零日漏洞攻擊，一般的檢測方法包括：流量分析、變更控制以及沙箱技術(shù)等。

基于對APT 攻擊的認(rèn)識，本文提出了新的APT 攻擊檢測思路：

（1）通過查詢資料、咨詢企業(yè)或組織負(fù)責(zé)人及相關(guān)人員的方式，確定企業(yè)、組織的重要信息資產(chǎn)（包括重要、敏感數(shù)據(jù)以及重要實體資產(chǎn)等），建立APT 攻擊檢測目標(biāo)源。

（2）以目標(biāo)源為起點，逐層逆推攻擊路徑，確定攻擊源到目標(biāo)源的完整攻擊路徑，建立多條目標(biāo)源可達(dá)的攻擊路徑網(wǎng)絡(luò)。

（3）對各種檢測方法獲取的各類攻擊事件進(jìn)行關(guān)聯(lián)分析，判斷這些攻擊事件能否組成一條指向重要信息資產(chǎn)的攻擊路徑，從而確定攻擊目標(biāo)是否確定、攻擊類型是否屬于APT 攻擊范疇；由于各檢測方法獲取的攻擊事件一般來講是不完備的，因此最后的判斷是基于不完備的信息。

具體的檢測過程如下：

步驟1重要信息資產(chǎn)評估：不同的企業(yè)、組織中重要信息資產(chǎn)評估依據(jù)企業(yè)、組織自身的業(yè)務(wù)、性質(zhì)等各有不同，從用戶身份信息、個人賬戶信息，到商業(yè)機密、核心資產(chǎn)，甚至于政府、國家秘密等不一而足，而且這些信息可能以紙質(zhì)文檔、電子文檔、數(shù)據(jù)庫等形式存在，甚至掌握這些重要信息的人員也應(yīng)當(dāng)包含在重要信息資產(chǎn)中。通過咨詢企業(yè)或組織中的相關(guān)人員，根據(jù)實際情況梳理真實的重要信息資產(chǎn)種類、分布以及重要程度等信息，從而建立APT 攻擊的目標(biāo)源。

步驟2建立攻擊檢測有向圖：

定義1集合T＝｛t1，t2，t3，…｝表示目標(biāo)源，對應(yīng)步驟1評估后得到的重要信息資產(chǎn)，可能存儲在相關(guān)的個人計算機、服務(wù)器、移動存儲介質(zhì)等物理設(shè)備中，也可能存在于相關(guān)人員的意識、思維中，所以目標(biāo)源是一個廣義的概念；集合A｛a1｛s1，s2，…｝，…，ai｛s1，s2，…，si，…｝，…｝表示系統(tǒng)中存在的所有信息輸入輸出節(jié)點，包括個人計算機、服務(wù)器、移動存儲介質(zhì)，以及相關(guān)人員等，每個ai唯一，ai｛s1，s2，…，si，…｝中 的si表 示 可 能 發(fā) 生 攻 擊 的 類型，包括軟件漏洞、操作系統(tǒng)漏洞、管理漏洞、人員泄密竊密等，即節(jié)點脆弱點；集合AT｛｝表示APT攻擊可能發(fā)生的節(jié)點；集合AD｛｝表示APT 攻擊的目標(biāo)源節(jié)點。

定義2集合E｛e1，e2，e3，…｝表示有向邊，當(dāng)某一節(jié)點存在可被攻擊的脆弱點時，所有可能利用此脆弱點對被攻擊節(jié)點進(jìn)行攻擊的攻擊節(jié)點到被攻擊節(jié)點存在一條有向邊。例如，節(jié)點a1＝｛s1，s2，…｝可被節(jié)點a2利用脆弱點s1攻擊，那么存在一條a2到a1的有向邊（ai，aj）；集合P｛p1（ai，an，am，…），…｝表示攻擊路徑，ai、an、am表示攻擊節(jié)點，有向邊由ai指向an，an指向am；Pre（pn，am）表示路徑pn中am節(jié)點的前驅(qū)節(jié)點序列，如對于路徑pn＝（ai，an，am，…），Pre（pn，am）＝（ai，an），Pre（pn，ai）＝?；Post（pn，ai）表示路徑pn中ai節(jié)點的后續(xù)節(jié)點序列，如對于路徑pn＝（…，ai，an，am），Post（pn，ai）＝（an，am），Post（pn，am）＝?；Btw（pn，an，am）表示路徑pn中an與am節(jié)點之間的節(jié)點，如對于路徑pn＝（an，ai，am，…），Btw（pn，an，am）＝（ai），Btw（pn，an，an）＝?。

定義3圖G（T，A，E，P）表示建立的攻擊檢測有向圖。

攻擊檢測有向圖的建立算法如圖2所示。

Step 1檢測有向圖初始化：T＝｛t1，t2，t3，…｝；E＝｛｝；P＝｛｝；A＝｛a1｛s1，s2，…｝，a2｛s1，s2，…｝，…，ai｛s1，s2，…，si，…｝，…｝。

Figure 2 Flowchart of creating DAG of APT圖2 APT 攻擊檢測有向圖建立流程圖

Step 2目標(biāo)源的節(jié)點劃分：

對T｛t1，t2，t3，…｝進(jìn)行劃分，將目標(biāo)源T中的元素按照位置劃分在不同的節(jié)點上，記為a1｛s1，s2，s3，…｝，a2｛s1，s2，s3，…｝，…，an｛s1，s2，s3，…｝，即目標(biāo)源節(jié)點。節(jié)點上所劃分的目標(biāo)源記為T1，T2，…，Tn，且滿足當(dāng)1≤i≠j≤n時，Ti∩Tj＝?，T1∪T2∪…∪Tn＝T｛t1，t2，t3，…｝。

Step 3建立攻擊路徑：

AT＝｛a1｛s1，s2，…｝，a2｛s1，s2，…｝，…，an｛s1，s2，…｝｝

AD＝｛a1｛s1，s2，…｝，a2｛s1，s2，…｝，…，an｛s1，s2，…｝｝；

（1）若A≠?，?ai∈A，Atmp＝AT。

（2）如果?aj∈Atmp且ai可利用aj的脆弱點對aj進(jìn)行攻擊，則ai到aj間存在一條有向邊（ai，aj），E＝E∪｛（ai，aj）｝。

①對P所有路徑pn，若?ank屬于pn且ank＝aj，若Post（pn，aj）≠?，且（ai，aj，Post（pn，aj））?P或不存在路徑pm滿足（ai，aj，Post（pn，aj））是pm的子序列，則P＝P∪｛（ai，aj，Post（pn，aj））｝；

②否則P＝P∪｛（ai，aj）｝。

（3）如果?aj∈Atmp且aj到ai存在一條有向邊（aj，ai），E＝E∪｛（aj，ai）｝。

①對P中 所 有 路 徑pn，若?ank屬 于pn且ank＝ai，若Pre（pn，aj）≠?，且（Pre（pn，aj），aj，ai）?P或不存在路徑pm滿足（Pre（pn，aj），aj，ai）是pm的子序列，則P＝P∪｛（（Pre（pn，aj），aj，ai）｝；

②否則P＝P∪｛（aj，ai）｝。

（4）Atmp＝Atmp－｛aj｝；若Atmp≠?，返回2繼續(xù)計算。

（5）AT＝AT∪｛ai｝；A＝A－｛ai｝；若A≠?，返回1繼續(xù)計算。

Step 4對于路徑集合P中的某一條路徑pn，若不存在節(jié)點ai∈AD，則P＝P－｛pn｝；若?an滿足Btw（pn，an，an）≠?，即路徑pn中存在圈，則pn＝pn－（an，Btw（pn，an，an））。例 如，路 徑pn（a1，a2，a3，…，a4，a2，a5）中存在a2節(jié)點之間的圈，Btw（pn，a2，a2）＝（a3，…，a4），pn＝（a1，a2，a5）。對路徑集合P中每一條路徑進(jìn)行此操作，當(dāng)所有路徑中都不存在圈時停止。

Step 5建立攻擊檢測有向圖G（T，AT，E，P）。

Step 6攻擊事件關(guān)聯(lián)分析與攻擊路徑檢測對企業(yè)、組織的安全防護(hù)手段所收集的攻擊事件進(jìn)行關(guān)聯(lián)分析。將關(guān)聯(lián)事件分析得到的攻擊路徑與APT 攻擊檢測有向圖匹配，判斷系統(tǒng)是否受到APT 攻擊。

3.2 APT攻擊防御

防御APT 攻擊首先需要改變理念：傳統(tǒng)的信息安全防護(hù)比較重視網(wǎng)絡(luò)邊界安全防御，利用防火墻、反病毒軟件等防止外部的攻擊、破壞，而對于內(nèi)部網(wǎng)絡(luò)、人員則默認(rèn)為信任；然而隨著內(nèi)部威脅及APT 攻擊趨勢的上升，傳統(tǒng)的防御策略已經(jīng)無法滿足安全防護(hù)需要。在APT 攻擊中，所有的網(wǎng)絡(luò)（包括外部與內(nèi)部）都是不可信的，安全防御需要從傳統(tǒng)的以網(wǎng)絡(luò)為中心的防護(hù)轉(zhuǎn)變?yōu)橐杂脩魹橹行牡姆雷o(hù)：攻擊人員往往通過釣魚郵件、移動存儲設(shè)備惡意軟件等來感染目標(biāo)系統(tǒng)中的用戶，再以這些用戶為跳板完成攻擊目的。

因此，APT 攻擊防御可以從兩方面考慮：技術(shù)防護(hù)與管理防護(hù)。圖3顯示了APT 防御體系可能的組成部分。

Figure 3 Defence architecture of ATP圖3 APT 攻擊防御體系

4 檢測模型驗證

攻擊檢測有向圖G（T，AT，E，P）的建立基于系統(tǒng)中可能發(fā)生的攻擊節(jié)點沿著某一條攻擊路徑到達(dá)目標(biāo)源，主要影響檢測有向圖建立所需資源的因素包括目標(biāo)源、攻擊節(jié)點以及攻擊節(jié)點脆弱屬性的數(shù)量，其中任意一種的數(shù)量增長都將導(dǎo)致有向圖的復(fù)雜度增長；在攻擊路徑匹配方面，通過調(diào)整時間窗的大小，經(jīng)過關(guān)聯(lián)分析得到的攻擊路徑越完整、路徑長度越長，將與檢測有向圖的匹配度越高，進(jìn)而能夠更準(zhǔn)確地判斷APT 攻擊是否存在。當(dāng)目標(biāo)源、攻擊節(jié)點及其脆弱屬性數(shù)量均有很大增長時，檢測有向圖的建立時間會有指數(shù)級的增加；在路徑匹配時造成的時間消耗將呈線性增長。

本文選擇了目標(biāo)源、攻擊節(jié)點數(shù)量較少，攻擊節(jié)點脆弱屬性明確的網(wǎng)絡(luò)環(huán)境對檢測模型進(jìn)行原理性驗證。在APT攻擊檢測中加入時間窗，限定攻擊過程的時間維度。檢測過程體現(xiàn)了APT 攻擊的各個主要階段，較完整地體現(xiàn)出APT攻擊流程。

本文通過搭建網(wǎng)絡(luò)系統(tǒng)環(huán)境模擬Stuxnet的攻擊流程，對系統(tǒng)各安全防御措施檢測到的攻擊事件進(jìn)行關(guān)聯(lián)分析，并與檢測模型的有向圖進(jìn)行匹配，從而判斷一系列攻擊事件是否屬于APT 攻擊，系統(tǒng)環(huán)境組成如表2所示，其中a2、a3、a4以及at處于內(nèi)網(wǎng)中，at表示目標(biāo)源所在節(jié)點；a1與內(nèi)網(wǎng)物理隔離。攻擊流程如圖4所示。

Table 2 Simulation environment表2 系統(tǒng)模擬環(huán)境

本文選取Stuxnet蠕蟲攻擊事件作為典型APT 攻擊事件完成檢測模型驗證。Stuxnet蠕蟲于2010年7月開始爆發(fā)，利用了微軟操作系統(tǒng)中至少四個漏洞，其中有三個全新的零日漏洞；為衍生的驅(qū)動程序使用有效的數(shù)字簽名；通過一套完整的入侵和傳播流程，突破工業(yè)專用局域網(wǎng)的物理限制；是專門針對西門子公司的數(shù)據(jù)采集與監(jiān)控系統(tǒng)，利用wincc系統(tǒng)的兩個漏洞，對其展開攻擊。

Figure 4 Simulating the Stuxnet attack圖4 Stuxnet攻擊過程模擬

攻擊從14：00持續(xù)到18：00，每一小時發(fā)動一次不同類型的攻擊：首先感染外部主機a1；然后感染U 盤，利用快捷方式文件解析漏洞，傳播到內(nèi)部網(wǎng)絡(luò)；通過PRC遠(yuǎn)程執(zhí)行漏洞、打印機后臺程序服務(wù)漏洞以及數(shù)據(jù)庫訪問控制漏洞，實現(xiàn)聯(lián)網(wǎng)主機之間的傳播，最終到達(dá)目標(biāo)源節(jié)點at。

根據(jù)APT 攻擊檢測有向圖的建立過程，可知系統(tǒng)中面向目標(biāo)源節(jié)點的最長攻擊路徑為p0（a1，a2，a3，a4，at）。

當(dāng)系統(tǒng)防御時間窗設(shè)為一小時，即系統(tǒng)僅對一小時內(nèi)的攻擊事件做關(guān)聯(lián)分析以檢測APT 攻擊時，在14：00 到18：00 檢測到四個獨立的攻 擊事件，其攻擊路徑分別為p1（a1，a2）、p2（a2，a3）、p3（a3，a4）以及pt（a4，at）；四次攻擊是無關(guān)的，每條攻擊路徑與p0（a1，a2，a3，a4，at）的匹配程度來講都較低，無法判斷系統(tǒng)是否受到APT 攻擊。

當(dāng)系統(tǒng)防御時間窗設(shè)為六小時時，系統(tǒng)將對14：00到18：00的四次攻擊事件做關(guān)聯(lián)分析。可以看出，四次攻擊事件的下一次攻擊的起點是上一次攻擊的目標(biāo)節(jié)點，而且是在上次攻擊完成之后才開始下一次攻擊，所以可以認(rèn)為四次攻擊事件具有持續(xù)性、目標(biāo)性。攻擊事件關(guān)聯(lián)分析后可以得到一條完整的攻擊路徑pm（a1，a2，a3，a4，at），與p0（a1，a2，a3，a4，at）完全匹配，所以可以做出較為確定的判斷：系統(tǒng)受到了APT 攻擊。

可以看出，APT 攻擊檢測的一個重要因素是時間窗的設(shè)定，它關(guān)系到系統(tǒng)對檢測到的各種攻擊事件進(jìn)行關(guān)聯(lián)分析的時間跨度：時間窗越大，攻擊事件關(guān)聯(lián)分析的準(zhǔn)確性越高，攻擊路徑的匹配度也越高；但同時，攻擊事件關(guān)聯(lián)分析的復(fù)雜度也越高，分析難度越大，也帶來了攻擊事件的存儲問題（APT 攻擊可能以年為單位）。因此，進(jìn)行檢測時需要選擇合適的時間窗。另一方面，當(dāng)攻擊利用的零日漏洞越多，即系統(tǒng)防御無法檢測到的攻擊事件越多，攻擊事件的關(guān)聯(lián)分析效果越差，檢測到的攻擊路徑長度減小、匹配度降低。

從以上分析可知，利用APT 攻擊檢測有向圖來分析APT 攻擊的有效性，與時間窗存在一定正相關(guān)性，與利用的零日漏洞呈負(fù)相關(guān)性。

5 結(jié)束語

APT 攻擊的出現(xiàn)對傳統(tǒng)信息安全檢測、防御行為產(chǎn)生了極大的挑戰(zhàn)，西方先進(jìn)國家已將APT防御議題提升到國家安全層級，而我國從國家層面也越來越重視信息安全面臨的問題。從已知的APT 攻擊可以看出，首先需要改變的是信息安全防御的思維，從過去獨立、非協(xié)作的防御手段轉(zhuǎn)變?yōu)橄到y(tǒng)、關(guān)聯(lián)性的整體防御，對組織遭遇的攻擊做到深挖細(xì)掘；重視員工、內(nèi)部人員的安全意識，從技術(shù)、管理等多維度完成對APT 攻擊的防御。本文基于APT 攻擊特性提出檢測模型，在一定程度上可以判斷系統(tǒng)受到的APT 攻擊；同時，檢測模型也可用來依據(jù)檢測到的攻擊路徑判斷下一步攻擊趨勢。

［1］ Zuo Y，Panda B.Unifying strategies and tactics：A survivability framework for countering cyber attacks［C］∥Proc of IEEE International Conference on Intelligence and Security Informatics，2009：119－124.

［2］ Cole E.Advanced persistent threat：Understanding the danger and how to protect your organization［M］.US：Syngress，2012.

［3］ Tankard C.Advanced persistent threats and how to monitor and deter them［J］.Network Security，2011（8）：16－19.

［4］ Daly M K.The advanced persistent threat［C］∥Proc of the 23rd Large Installation System Administration Conference（LISA），2009：1.

［5］ Bridges L.The changing face of Malware［C］∥Proc of the 3rd International Workshop in Wireless Security Technologies，2005：46－49.

［6］ Patel R R，Thaker C S.Zero－day attack signatures detection using Honeypot［C］∥Proc of International Conference on Computer Communication and Networks（CSI－COMNET），2011：1.

［7］ Portokalidis G，Bos H.SweetBait：Zero－h(huán)our worm detection and containment using low－and high－interaction Honeypots［J］.Science Direct，2007，51（5）：1256－1274.

［8］ Smith A，Toppel N.Case study：Using security awareness to combat the advanced persistent threat［C］∥Proc of the 13th Colloquium for Information Systems Security Education，2009：1.

［9］ Zhang Shuai.The detection and defence about APT attack［J］.Information Security and Technology，2011（9）：125－127.（in Chinese）

［10］ Liu Ting－ting.APT attacks hit，enterprise information face“precision strike”［J］.China Information Security，2012（3）：39－40.（in Chinese）

［11］ Zhou Tao.Big data and APT detection［J］.China Information Security，2012（7）：23.（in Chinese）

［12］ Goyal R，Sharma S，Bevinakoppa S，et al.Obfuscation of stuxnet and flame malware［C］∥Latest Trends in Applied Informatics and Computing，2012：150－154.

［13］ Munro K.Deconstructing flame：The limitations of traditional defences［J］.Computer Fraud and Security，2012（10）：8－11.

［14］ McAfee Labs.Protecting your critical assets，lessons learned from“Operation Aurora”［R］.White Paper，2010.

［15］ Mandiant.M－treands：An evolving threat［EB/OL］.［2011－05－16］.http：∥www.utdallas.edu/2011.

［16］ Ramilli M，Bishop M.Multi－stage delivery of malware［C］∥Proc of the 5th International Conference on Malicious and Unwanted Software（MALWARE），2010：91－97.

［17］ Kartaltepe E J，Morales J A，Xu S，et al.Social networkbased Botnet command－and－control：Emerging threats and countermeasures［C］∥Proc of the 8th International Conference on Applied Cryptography and Network Security（ACNS），2010：511－528.

附中文參考文獻(xiàn)：

［9］ 張帥.對APT 攻擊的檢測與預(yù)防［J］.信息安全與技術(shù)，2011（9）：125－127.

［10］ 劉婷婷.APT 攻擊悄然來襲，企業(yè)信息面臨“精準(zhǔn)打擊”［J］.信息安全與通信保密，2012（3）：39－40.

［11］ 周濤.大數(shù)據(jù)與APT 攻擊檢測［J］.信息安全與通信保密，2012（7）：23.