摘 要 APT攻擊目前已成為熱點(diǎn)，其特征不同于傳統(tǒng)的網(wǎng)絡(luò)攻擊，對已有的安全防范思路和能力帶來了極大挑戰(zhàn)。本文分析了APT攻擊的技術(shù)特點(diǎn)及典型流程，并對常見的APT檢測方案、主流的APT防御方案進(jìn)行了比較分析。

【關(guān)鍵詞】APT攻擊 網(wǎng)絡(luò)攻擊 檢測 防御

隨著Internet技術(shù)的發(fā)展，網(wǎng)絡(luò)威脅層出不窮，攻擊方式不斷翻新。高級持續(xù)性威脅（APT）是近年來威脅企業(yè)數(shù)據(jù)安全的主要威脅之一。它是一種針對特定組織所做的復(fù)雜且多方位的攻擊，往往經(jīng)過長期策劃，具有高度的隱蔽性和持續(xù)性，目的直達(dá)企業(yè)核心數(shù)據(jù)。

1 APT攻擊的概念

APT是黑客以竊取核心資料為目的，針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。 APT的攻擊手法，在于隱匿自己，針對特定對象，長期、有計(jì)劃性和組織性地竊取數(shù)據(jù)。

2 典型的APT攻擊過程

整個(gè)APT攻擊過程大體可以分為如下5個(gè)步驟。

（1）定向情報(bào)收集，即攻擊者有針對性的搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。信息搜集方法很多，包括網(wǎng)絡(luò)隱蔽掃描和社會工程學(xué)方法等。從目前所發(fā)現(xiàn)的APT攻擊手法來看，大多數(shù)是從組織員工入手，攻擊者非常注意搜集組織員工的信息，包括微博、博客等，以便了解其社會關(guān)系及愛好，然后通過社會工程方法來攻擊該員工電腦，從而進(jìn)入組織網(wǎng)絡(luò)。

（2）單點(diǎn)攻擊突破，即攻擊者收集了足夠的信息后，采用惡意代碼攻擊組織員工電腦，往往攻擊的是系統(tǒng)未知漏洞，現(xiàn)有殺毒和個(gè)人防火墻安全工具無法察覺，最終結(jié)果是，員工個(gè)人電腦感染惡意代碼，從而被攻擊者完全控制。

（3）控制通道構(gòu)建，即攻擊者控制了員工個(gè)人電腦后，構(gòu)建某種渠道和攻擊者取得聯(lián)系，以獲得進(jìn)一步攻擊指令。目前多采用HTTP協(xié)議構(gòu)建，以便突破組織的防火墻，比較高級的命令控制通道則采用HTTPS協(xié)議構(gòu)建。

（4）內(nèi)部橫向滲透，通常攻擊者首先突破的員工個(gè)人電腦并不是攻擊者感興趣的，它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器，因此，攻擊者將以員工個(gè)人電腦為跳板，在系統(tǒng)內(nèi)部進(jìn)行橫向滲透，以攻陷更多的PC和服務(wù)器。

（5）數(shù)據(jù)收集上傳，即攻擊者在內(nèi)部橫向滲透和長期潛伏過程中，有意識地搜集各服務(wù)器上的重要數(shù)據(jù)資產(chǎn)，進(jìn)行壓縮、加密和打包，然后通過某個(gè)隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者。

3 常見的APT攻擊檢測方案

針對APT攻擊行為的檢測，需要構(gòu)建一個(gè)多維度的安全模型，常見檢測方案有四種：

（1）沙箱方案。沙箱原理是將實(shí)時(shí)流量先引入虛擬機(jī)或沙箱，通過對沙箱的文件系統(tǒng)、進(jìn)程、注冊表、網(wǎng)絡(luò)行為實(shí)施監(jiān)控，判斷流量中是否包含惡意代碼。同傳統(tǒng)的特征匹配技術(shù)相比，沙箱方案對未知惡意代碼具有較好的檢測能力，其難點(diǎn)在于模擬的客戶端類型是否全面，如缺乏合適的運(yùn)行環(huán)境，會導(dǎo)致惡意代碼在檢測環(huán)境中無法觸發(fā)，造成漏報(bào)。

（2）異常檢測方案。異常檢測原理是通過對網(wǎng)絡(luò)中的正常行為模式建模而識別異常。核心技術(shù)包括元數(shù)據(jù)提取、正常行為建模和異常檢測算法。該方案同樣能夠檢測未知攻擊，但檢測效率依賴于背景流量中的業(yè)務(wù)模式，如果業(yè)務(wù)模式發(fā)生偏差，則會導(dǎo)致較高的漏報(bào)與誤報(bào)。

（3）全流量審計(jì)方案。全流量審計(jì)原理是對鏈路中的流量進(jìn)行深層次的協(xié)議解析和應(yīng)用還原，識別其中是否包含攻擊行為。檢測到可疑攻擊行為時(shí)，在全流量存儲的條件下，回溯分析相關(guān)流量，該方案具備強(qiáng)大的事后溯源能力和實(shí)時(shí)檢測能力，是將安全人員的分析能力、計(jì)算機(jī)強(qiáng)大的存儲能力和運(yùn)算能力相結(jié)合的完整解決方案。

（4）基于記憶的智能檢測方案。基于記憶的智能檢測原理是一方面擴(kuò)大檢測域，將基于單個(gè)時(shí)間點(diǎn)的實(shí)時(shí)檢測轉(zhuǎn)變?yōu)榛跉v史事件窗口的異步檢測；另一方面豐富判定機(jī)制，在檢測已知攻擊的同時(shí)能夠兼顧對未知攻擊的檢測。

4 主流的APT攻擊防御方案

通過對APT整個(gè)攻擊過程的分析，結(jié)合當(dāng)前常見的APT檢測方式，可以發(fā)現(xiàn)目前主流的APT防御方案，根據(jù)它們所覆蓋的APT攻擊階段不同，可分為以下四類：

（1）惡意代碼檢測類方案。該類方案主要覆蓋APT攻擊過程中的單點(diǎn)攻擊突破階段，它是檢測APT攻擊過程中的惡意代碼傳播過程。大多數(shù)APT攻擊都是通過惡意代碼來攻擊員工個(gè)人電腦，從而來突破目標(biāo)網(wǎng)絡(luò)和系統(tǒng)防御措施的，因此，惡意代碼檢測對于檢測和防御APT攻擊至關(guān)重要。

（2）主機(jī)應(yīng)用保護(hù)類方案。該類方案主要覆蓋APT攻擊過程中的單點(diǎn)攻擊突破和數(shù)據(jù)收集上傳階段。不管攻擊者通過何種渠道向員工個(gè)人電腦發(fā)送惡意代碼，這個(gè)惡意代碼必須在員工個(gè)人電腦上執(zhí)行才能控制整個(gè)電腦。因此，如果能夠加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施，確保員工個(gè)人電腦以及服務(wù)器的安全，則可以有效防御APT攻擊。

（3）網(wǎng)絡(luò)入侵檢測類方案。該類方案主要覆蓋APT攻擊過程中的控制通道構(gòu)建階段，通過在網(wǎng)絡(luò)邊界處部署入侵檢測系統(tǒng)來檢測APT攻擊的命令和控制通道。雖然APT攻擊所使用的惡意代碼變種多且升級頻繁，但其構(gòu)建命令控制通道通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測方法來檢測APT的命令控制通道。該類方案成功的關(guān)鍵是如何及時(shí)獲取到各APT攻擊手法的命令控制通道的檢測特征。

（4）大數(shù)據(jù)分析檢測類方案。該類方案并不重點(diǎn)檢測APT攻擊中的某個(gè)步驟，它覆蓋了整個(gè)APT攻擊過程。該類方案是一種網(wǎng)絡(luò)取證思路，它全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志，然后進(jìn)行集中的海量數(shù)據(jù)存儲和深入分析，它可在發(fā)現(xiàn)APT攻擊的一點(diǎn)蛛絲馬跡后，通過全面分析這些海量數(shù)據(jù)來還原整個(gè)APT攻擊場景。大數(shù)據(jù)分析檢測方案涉及海量數(shù)據(jù)處理，因此需要構(gòu)建大數(shù)據(jù)存儲和分析平臺。

5 結(jié)束語

APT攻擊不斷被發(fā)現(xiàn)，傳統(tǒng)網(wǎng)絡(luò)安全防御體系很難防范此類攻擊，由此帶來的損失和影響也愈發(fā)受到組織和個(gè)人的重視。隨著云計(jì)算以及大數(shù)據(jù)技術(shù)的成熟應(yīng)用，防御APT攻擊的技術(shù)手段也更加豐富，同時(shí)提高對社會工程學(xué)的認(rèn)識，重視“人”這一要素的重要性，為有效解決APT類攻擊均將發(fā)揮巨大的作用。

參考文獻(xiàn)

[1]王宇，韓偉杰.APT攻擊特征分析與對策研究[J].保密科學(xué)技術(shù)，2013.

[2]劉昕.大數(shù)據(jù)背景下的APT攻擊檢測與防御[J].網(wǎng)絡(luò)與信息工程，2014.

[3]許婷.一種有效防范APT攻擊的網(wǎng)絡(luò)安全架構(gòu)[J].信息安全與通信保密，2013.

作者簡介

孫天一（1981-），黑龍江省大慶市人。碩士學(xué)位?，F(xiàn)為新華社技術(shù)局工程師。主要研究方向?yàn)橛?jì)算機(jī)與通訊。

作者單位

新華社技術(shù)局 北京市 100803