趙 剛，朱 麗，肖 毅

(成都川大科鴻新技術(shù)研究所，成都 610064)

1 APT攻擊防御流程解析

1.1 APT攻擊特征

第一，專業(yè)性。網(wǎng)絡(luò)運營環(huán)境本身屬于一項綜合型、復(fù)雜型的工作系統(tǒng)，數(shù)據(jù)信息在內(nèi)部進行傳輸時，分為多架構(gòu)分布式的模式，且開源式信息的傳輸路徑由信息節(jié)點與承接信息節(jié)點的載體來決定，這就增加信息傳輸中的不確定性。對于攻擊者來講，要想最大限度地對某一類信息進行針對化獲取，攻擊者需在具有冗余性信息的網(wǎng)絡(luò)環(huán)境中尋找到此類信息節(jié)點，其需要攻擊者具有較高的專業(yè)技能，深度了解網(wǎng)絡(luò)防御架構(gòu)，且能夠同時運用多種攻擊手段，來面對不同信息傳輸路徑。所以，APT攻擊針對網(wǎng)絡(luò)結(jié)構(gòu)的運行形式具有相對的專業(yè)性與針對性。

第二，滲透性。APT攻擊正確界定好信息目標(biāo)后，一般通過長時間的網(wǎng)絡(luò)分析來制定出周密的侵入計劃，其可隨著信息流通路徑進行跟隨，或者是通過信息引復(fù)制進行侵入，長時間地潛伏在目標(biāo)信息的流通節(jié)點下。APT通過對數(shù)據(jù)信息進行敏感度確定，然后針對網(wǎng)絡(luò)結(jié)構(gòu)中的安全防護機制進行試探，與攻擊正確界定出網(wǎng)絡(luò)通信體系下的安全防護等級，然后通過自主優(yōu)化手段制定出較為嚴謹?shù)墓舴桨福员ＷC在最短的時間內(nèi)攻克網(wǎng)絡(luò)安全防護體系，獲得相關(guān)數(shù)據(jù)信息。

第三，危害性。獲得攻擊目標(biāo)信息以后，其并不是以信息竊取為終結(jié)，而是仍對既定的網(wǎng)絡(luò)結(jié)構(gòu)進行繼續(xù)侵害，將病毒擴散到更多的信息傳輸架構(gòu)內(nèi)，以獲取網(wǎng)絡(luò)組織中核心價值信息，進而令整體網(wǎng)絡(luò)造成嚴重的信息傳輸癱瘓問題。

1.2 APT攻擊過程

鎖定式攻擊。APT在攻擊過程中，先對信息目標(biāo)進行界定，然后通過目標(biāo)在網(wǎng)絡(luò)運營環(huán)境中的活動路徑，向目標(biāo)傳達帶有病毒的郵件或是推特，然后通過目標(biāo)，對網(wǎng)絡(luò)操作環(huán)境中的規(guī)律進行特征分析，尋找信息目標(biāo)存在的安全漏洞。

利用漏洞進行攻擊。在確定好攻擊目標(biāo)以后，攻擊者侵入目標(biāo)的電腦設(shè)備，針對目標(biāo)電腦設(shè)備內(nèi)軟件等應(yīng)用程序存在的漏洞，進行病毒的設(shè)定，當(dāng)用戶在病毒程序中輸入相關(guān)權(quán)限信息后，攻擊者將立即對信息進行復(fù)制，然后在用戶空閑時間內(nèi)，操控病毒軟件，對用戶設(shè)備中的價值信息進行竊取。此類信息截取過程具有一定的潛伏性，且信息讀取過程無法被既定的網(wǎng)絡(luò)安全防護機制所檢測到，將加大網(wǎng)絡(luò)安全運營問題。

系統(tǒng)控制攻擊。當(dāng)攻擊者網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)長時間潛伏以后，通過對用戶的日常操作行為進行規(guī)律查驗，然后在特定的時間段內(nèi)向用戶下達代碼及病毒程序，令主機設(shè)備下載相關(guān)軟件，此時軟件對于設(shè)備安全系統(tǒng)來講屬于認證的用戶，當(dāng)帶有病毒的程序得到網(wǎng)絡(luò)協(xié)議的認可，為APT攻擊規(guī)避了安全系統(tǒng)的檢測，系統(tǒng)內(nèi)病毒程序?qū)⒆詣訉τ嬎銠C設(shè)備的主系統(tǒng)進行操控。

1.3 APT防御措施

當(dāng)前網(wǎng)絡(luò)安全系統(tǒng)對于APT攻擊的防護策略一般有以下幾種實現(xiàn)方式。首先，通過大數(shù)據(jù)技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的數(shù)據(jù)信息進行價值挖掘，檢測到數(shù)據(jù)信息運營中存在的異常狀態(tài)，然后分析出數(shù)據(jù)信息結(jié)構(gòu)內(nèi)的威脅問題。其次，主動分析APT攻擊鏈條，通過APT數(shù)據(jù)模型的潛入模式，對APT攻擊特征行為進行檢測與分析，然后以目標(biāo)信息的運行路徑對APT攻擊手段進行反向檢測，發(fā)現(xiàn)APT攻擊行為，進而對APT攻擊進行阻止。最后，考慮到APT攻擊問題的不可規(guī)避性因素，在網(wǎng)絡(luò)安全防護中要想提高檢測機制，需對APT的攻擊行為進行主動檢測，及時發(fā)現(xiàn)網(wǎng)絡(luò)用戶信息行為存在的異常特性，針對異常狀態(tài)的網(wǎng)絡(luò)協(xié)議及DNS進行全路徑跟蹤，以制定完整的網(wǎng)絡(luò)防御體系，降低APT攻擊危害。

2 基于特征檢測的APT攻擊防御方案實現(xiàn)模式

2.1 可信業(yè)務(wù)模塊的設(shè)定

APT攻擊一般是針對網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的業(yè)務(wù)信息層進行攻擊，而對于網(wǎng)絡(luò)運作體系來講，其屬于信息持續(xù)性傳播的一種有效載體，通過各類信息節(jié)點，對數(shù)據(jù)信息定向傳輸，來保證承接互聯(lián)網(wǎng)體系運行的企業(yè)實現(xiàn)數(shù)據(jù)的高質(zhì)量傳輸?？尚艠I(yè)務(wù)模塊的設(shè)定可將其界定為持續(xù)性防御層面，即針對信息傳輸路徑來制定跟隨性、持續(xù)性的防御機制，以對APT攻擊形成同步防護。

在制定業(yè)務(wù)流防御體系時，通過內(nèi)部數(shù)據(jù)信息傳輸特征進行檢測，例如：訪問時間協(xié)議入口、信息傳輸路徑等，將此類信息模式作為特征檢測的基準，同時也可將其界定為企業(yè)網(wǎng)絡(luò)運行的一種常態(tài)機制，然后深度分析出每一類信息在網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)所占用的資源，從而達到數(shù)據(jù)精準檢測的目的。另外，考慮到企業(yè)網(wǎng)絡(luò)運行的持續(xù)性，固定時間段內(nèi)呈現(xiàn)出信息傳輸峰值，此時信息傳輸節(jié)點在同一時間下將面臨著一定的冗余性問題，企業(yè)需針對網(wǎng)絡(luò)運作模式來建立信息流量傳輸?shù)目煽空J證機制，將檢測威脅作為主要安全防護手段。

2.2 未知威脅檢測模型的設(shè)定

針對APT攻擊形式所設(shè)定的威脅檢測模型分為4個環(huán)節(jié)：

第一，數(shù)據(jù)統(tǒng)計模型的設(shè)定。針對企業(yè)網(wǎng)絡(luò)運行模式下的信息流量進行特征統(tǒng)計，例如同一時間節(jié)點下信息峰值情況、時間段內(nèi)信息傳輸規(guī)律、不同部門工作時間下網(wǎng)絡(luò)結(jié)構(gòu)的信息訪問途徑。綜合上述信息特征來建立基于企業(yè)運行的數(shù)據(jù)統(tǒng)計模型，通過大數(shù)據(jù)技術(shù)、數(shù)據(jù)信息模型內(nèi)的參數(shù)進行正確界定，得出某一信息在某一節(jié)點下的運行行為及其預(yù)期運行路徑，然后生成相關(guān)數(shù)據(jù)和參數(shù)，作為衡量APT攻擊防御的基準。

第二，檢測流量偏差。通過統(tǒng)計數(shù)據(jù)模型的確定，對企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中的信息傳輸流量進行同步化檢測，然后將信息確定值反饋到系統(tǒng)，進行參數(shù)比對，如產(chǎn)生的誤差范圍超出固定的閾值時，則表明此類信息存在未知風(fēng)險，此時數(shù)據(jù)信息模型將對此類信息進行標(biāo)記，并及時反饋到計算機系統(tǒng)中向設(shè)備管理員進行提示。

第三，數(shù)據(jù)異常分析模型。如發(fā)現(xiàn)某類未知威脅，且此類未知威脅并不是由系統(tǒng)維護和升級造成的，則數(shù)據(jù)信息模型將對此類信息進行標(biāo)記，并依據(jù)專家系統(tǒng)及數(shù)據(jù)挖掘技術(shù)對承載信息的業(yè)務(wù)流進行分析。

第四，響應(yīng)模型。當(dāng)系統(tǒng)檢測到信息業(yè)務(wù)流存在未知威脅時，系統(tǒng)將自動開啟防護舉措對存在威脅性的信息進行訪問限制，然后將檢測到的數(shù)據(jù)實時上傳到計算機管理界面上。一旦管理員對此類信息確認為病毒攜帶載體，則系統(tǒng)自動對信息及其傳輸路徑進行全面清查與跟隨式監(jiān)控，以提高網(wǎng)絡(luò)系統(tǒng)的運營質(zhì)量。

3 結(jié)語

APT攻擊對網(wǎng)絡(luò)信息結(jié)構(gòu)造成的危害性較大，要想最大限度規(guī)避網(wǎng)絡(luò)攻擊所帶來的危害，應(yīng)深度分析APT攻擊特性，并建立多方位特征檢測手段，深度挖掘出信息存在的安全隱患，為網(wǎng)絡(luò)安全運營奠定堅實基礎(chǔ)。