劉俊奇

摘 要： 高級可持續(xù)性威脅（APT）被視為企業(yè)安全管理者和CSO的噩夢，一旦攻擊開始，企業(yè)將很難阻止該攻擊行為。為減少損失和損害，企業(yè)應將重視該攻擊行為給企業(yè)帶來的嚴重后果，需要事先制定好明確的響應計劃和恢復計劃。我們要清楚APT相關的活動不是攻擊，它只是一些持續(xù)性較強、針對性較高的活動，同時這類活動本身也將意味著將花去籌劃者大量的精力和時間。

關鍵詞： APT；阻止；響應計劃；恢復計劃

1、引言

IT技術和通信技術仍在不斷地發(fā)展過程中，云計算、物聯(lián)網、大數(shù)據等新興產業(yè)也在逐漸成為當今發(fā)展新熱點，數(shù)據也在隨著發(fā)展過程中，不斷地累計，且增長速度在逐年增高，我們早已經進入大數(shù)據時代。[1]

新的發(fā)展點，新的機遇是大數(shù)據時代最突出的兩個特點。但隨之而來的是大數(shù)據時代下，網絡環(huán)境變得更為復雜，各種形式的網絡攻擊不斷上演，且逐年在增加，之前針對個人的網絡攻擊已經演化成對金融、工業(yè)、交通等領域的攻擊，這對于國家安全和社會穩(wěn)定來說是一顆定時炸彈，時刻威脅著它們。[2]

本文主要是介紹APT攻擊的相關內容。

2、APT和其難以檢測發(fā)現(xiàn)的原因

（一） APT特征

APT又稱為高級的可持續(xù)性威脅攻擊，它本身并非可以看做是一種攻擊方法，而是類似一個網絡形式的攻擊鏈。在早期的攻擊過程中，防御者對其不夠了解，所以一直將其看做是單個環(huán)節(jié)方面的攻擊，現(xiàn)在隨著研究人員的深入調查和研究，發(fā)現(xiàn)這種攻擊并不是由單個人來完成，而是需要一個具有組織性的團隊配合完成的。所以說APT攻擊可以看做是一種針持續(xù)時間長且破壞力大、對特定目標、隱蔽性較強、有組織性的新型威脅和攻擊方式，具備了以下幾個主要特點：多樣的手段、明確的目標、持續(xù)時間長。APT之所以可以看做是高級可持續(xù)性的威脅，原因主要是體現(xiàn)在其難以被提取攻擊行為特征、多元化的攻擊渠道、不確定的攻擊空間三大特征方面上。[3]首先我們要清楚APT在攻擊過程中，更加注重了針對靜態(tài)文件和動態(tài)行為的隱蔽，通過應用隱蔽通道和加密通道等技術來實現(xiàn)自身的攻擊行為，其次，APT多元化的攻擊方式導致APT攻擊渠道的具有較強的抗攻擊性，最后就是要說APT具有不確定的攻擊空間，APT沒有特定的攻擊目標，這導致任何網絡，任何節(jié)點都可以成為它攻擊的目標，這種攻擊對于整個網絡系統(tǒng)來說是個無形的威脅。

APT獲取權限的方式是通過零日攻擊實現(xiàn)的，而我們平常使用的通過獲取和識別指紋特征的攻擊方式在此時將失去作用，沒有在攻擊發(fā)生時及時地識別出該攻擊，也就導致我們現(xiàn)有的檢測手段在針對APT攻擊時是無效的。

（二）難以檢測的原因

APT攻擊難以發(fā)現(xiàn)有以下一些因素：

1. 攻擊并不是由單個人來完成，而是需要一個具有組織性的團隊配合完成的，這樣的攻擊很難溯源，因為具有一定的隱蔽性，又很難在現(xiàn)實社會中找到攻擊組織。

2.大多數(shù)人對于APT不夠了解，認為其攻擊方式和模式與其他攻擊方法相似，這將導致防御者的視野仍停留在傳統(tǒng)安全方面，不能夠深層次剖析APT攻擊。

3.本攻擊目標本身防御薄弱：人員意識性較弱、檢測入侵系統(tǒng)更新不及時。

4.攻擊者本身的綜合能力較高，上文有提到APT攻擊的背后將是一個有組織性的團隊在進行攻擊行為，他們能針對攻擊目標的薄弱點進行多方位的攻擊行為，并且在攻擊過程擦除了自己的攻擊路徑來對抗回溯追蹤。

5.政府以及相關受害者，在這方面的人力和財力投入有限。

3、基于大數(shù)據檢測APT

（一）大數(shù)據分析在檢測APT攻擊時的作用

可以從兩個方面入手，通過大數(shù)據分析來檢測APT攻擊。首先第一點利用大數(shù)據的數(shù)據挖掘和數(shù)據分析能力，通過對互聯(lián)網大數(shù)據分析，提取到具有一定價值的威脅情報，通過情報消息，對發(fā)動APT攻擊事件的組織進行有效的追蹤。其次是在本地客戶這一塊入手，通過建立有效的大數(shù)據平臺，盡最大可能對本地的數(shù)據進行有效的采集過程，這樣防御者將建立起有效的威脅情報-本地數(shù)據平臺的防御機制，但是這種效果不一定是最好的，還需要進行相關的技術提升，要能從整體去認知APT攻擊，相關防御組織要提高自己的防御水平和認知水平，要從“一棵樹”的角度去觀察“這片葉子”，這樣在對抗APT攻擊的實戰(zhàn)中，才能達到最好的效果。

（二）現(xiàn)有國內APT檢測系統(tǒng)

APT作為一種有效的攻擊手段，在未來的社會生產過程中，會是一種持續(xù)存在的威脅。這種攻擊存在的時間已經很久，多數(shù)防御者由于對其不夠了解，加之這種攻擊具有相當高的復雜度和隱蔽性，使得真正能做到對此類攻擊進行檢測的安全公司要具備高于同行水平的綜合技術能力。

現(xiàn)在國內應用效果比較明顯的就是360安全公司的天眼系統(tǒng)，這種系統(tǒng)在對抗APT攻擊的試驗中表明，具有較高的檢測能力，事實上，較高的檢測能力也是意味著要對APT攻擊的每個環(huán)節(jié)進行深入的思考和研究，不在讓此類攻擊發(fā)現(xiàn)防御系統(tǒng)中的漏洞，使其有機可乘。

先關的安全公司也研發(fā)了針對APT攻擊的防御檢測系統(tǒng)，效果相對于360安全公司的天眼系統(tǒng)較弱，但是這恰恰也說明了我國現(xiàn)在的網絡安全意識以及網絡防御能力在逐年上升，這對于一個國家來說，是保證國家安全、社會穩(wěn)定的重要保障。

4、展望與總結

事實上， APT組織實力呈現(xiàn)出的金字塔結構，各個組之間存在著很大的差異性。這里面包括了一些小的黑客組織，他們還在不斷利用現(xiàn)有的漏洞進行攻擊，相對防御者來說，這種攻擊的有效性很弱。而另一種黑客攻擊組織則是有高端黑客以及充分的資金來源支撐的高端黑客組織，他們通過尋找防御者未知的漏洞進行攻擊，利用最新的攻擊技術，使得一些受害者在毫無察覺的情況下遭受了嚴重的損失?，F(xiàn)在的攻擊方式和攻擊目標在不斷的變化，Windows系統(tǒng)之前一直是攻擊者的重要攻擊目標，現(xiàn)在攻擊者將攻擊范圍延伸到Linux、安卓、現(xiàn)有的工業(yè)控制系統(tǒng)。除了傳統(tǒng)的PC平臺，針對移動平臺的攻擊也是越演越烈。我們常用的智能手機、學習機、平板都成為了他們的攻擊目標。而且物聯(lián)網、車聯(lián)網的逐步發(fā)展，使得這種攻擊的方式演化速度加快，甚至威脅到我們個人的人身安全。

APT攻擊一直是一個值得討論的話題，我們對它的認識還將進一步提高。但是我們作為互聯(lián)網時代的受益者，應該清楚地知道這些威脅的存在，日常的生活中，我們應該提高自己的網絡安全意識，從全民角度出發(fā)，去防御這種威脅。

而相關政府和安全機構也應該加大對網絡安全的投入，降低其對我們社會安全生產以及社會穩(wěn)定方面存在的威脅，加強網絡輿情監(jiān)測和管理，政府把控輿論導向。國家政府可以對網絡輿情的具體情況進行監(jiān)督和適當?shù)墓芸兀S護國家意識形態(tài)安全，加強相關制度建設。建立健全有關網絡的法律法規(guī)，通過法律合理加強全民的網絡安全觀念和意識。

參考文獻

[1] 劉修峰，范志剛. 網絡攻擊與網絡安全分析[J].網絡安全技術與應用，2006（12）.

[2] 孟小峰，慈祥.大數(shù)據管理：概念、技術與挑戰(zhàn)[J].計算機研究與發(fā)展，2013，50（1）.

[3] 高等級安全網絡抗APT攻擊方案研究[J]. 李鳳海，李爽，張佰龍，宋衍.信息網絡安全.2014（09）.

[4] 張軍偉.高校網絡安全分析及其對策[J].網絡安全技術與應用，2009（10）.

[5] 大數(shù)據系統(tǒng)和分析技術綜述[J]. 程學旗，靳小龍，王元卓，郭嘉豐，張鐵贏，李國杰.軟件學報.2014（09）.

[6] 大數(shù)據隱私管理[J]. 孟小峰，張嘯劍.計算機研究與發(fā)展.2015（02）.