趙 剛,朱 麗,肖 毅
(成都川大科鴻新技術(shù)研究所,成都 610064)
第一,專業(yè)性。網(wǎng)絡(luò)運營環(huán)境本身屬于一項綜合型、復(fù)雜型的工作系統(tǒng),數(shù)據(jù)信息在內(nèi)部進行傳輸時,分為多架構(gòu)分布式的模式,且開源式信息的傳輸路徑由信息節(jié)點與承接信息節(jié)點的載體來決定,這就增加信息傳輸中的不確定性。對于攻擊者來講,要想最大限度地對某一類信息進行針對化獲取,攻擊者需在具有冗余性信息的網(wǎng)絡(luò)環(huán)境中尋找到此類信息節(jié)點,其需要攻擊者具有較高的專業(yè)技能,深度了解網(wǎng)絡(luò)防御架構(gòu),且能夠同時運用多種攻擊手段,來面對不同信息傳輸路徑。所以,APT攻擊針對網(wǎng)絡(luò)結(jié)構(gòu)的運行形式具有相對的專業(yè)性與針對性。
第二,滲透性。APT攻擊正確界定好信息目標(biāo)后,一般通過長時間的網(wǎng)絡(luò)分析來制定出周密的侵入計劃,其可隨著信息流通路徑進行跟隨,或者是通過信息引復(fù)制進行侵入,長時間地潛伏在目標(biāo)信息的流通節(jié)點下。APT通過對數(shù)據(jù)信息進行敏感度確定,然后針對網(wǎng)絡(luò)結(jié)構(gòu)中的安全防護機制進行試探,與攻擊正確界定出網(wǎng)絡(luò)通信體系下的安全防護等級,然后通過自主優(yōu)化手段制定出較為嚴謹?shù)墓舴桨福员WC在最短的時間內(nèi)攻克網(wǎng)絡(luò)安全防護體系,獲得相關(guān)數(shù)據(jù)信息。
第三,危害性。獲得攻擊目標(biāo)信息以后,其并不是以信息竊取為終結(jié),而是仍對既定的網(wǎng)絡(luò)結(jié)構(gòu)進行繼續(xù)侵害,將病毒擴散到更多的信息傳輸架構(gòu)內(nèi),以獲取網(wǎng)絡(luò)組織中核心價值信息,進而令整體網(wǎng)絡(luò)造成嚴重的信息傳輸癱瘓問題。
鎖定式攻擊。APT在攻擊過程中,先對信息目標(biāo)進行界定,然后通過目標(biāo)在網(wǎng)絡(luò)運營環(huán)境中的活動路徑,向目標(biāo)傳達帶有病毒的郵件或是推特,然后通過目標(biāo),對網(wǎng)絡(luò)操作環(huán)境中的規(guī)律進行特征分析,尋找信息目標(biāo)存在的安全漏洞。
利用漏洞進行攻擊。在確定好攻擊目標(biāo)以后,攻擊者侵入目標(biāo)的電腦設(shè)備,針對目標(biāo)電腦設(shè)備內(nèi)軟件等應(yīng)用程序存在的漏洞,進行病毒的設(shè)定,當(dāng)用戶在病毒程序中輸入相關(guān)權(quán)限信息后,攻擊者將立即對信息進行復(fù)制,然后在用戶空閑時間內(nèi),操控病毒軟件,對用戶設(shè)備中的價值信息進行竊取。此類信息截取過程具有一定的潛伏性,且信息讀取過程無法被既定的網(wǎng)絡(luò)安全防護機制所檢測到,將加大網(wǎng)絡(luò)安全運營問題。
系統(tǒng)控制攻擊。當(dāng)攻擊者網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)長時間潛伏以后,通過對用戶的日常操作行為進行規(guī)律查驗,然后在特定的時間段內(nèi)向用戶下達代碼及病毒程序,令主機設(shè)備下載相關(guān)軟件,此時軟件對于設(shè)備安全系統(tǒng)來講屬于認證的用戶,當(dāng)帶有病毒的程序得到網(wǎng)絡(luò)協(xié)議的認可,為APT攻擊規(guī)避了安全系統(tǒng)的檢測,系統(tǒng)內(nèi)病毒程序?qū)⒆詣訉τ嬎銠C設(shè)備的主系統(tǒng)進行操控。
當(dāng)前網(wǎng)絡(luò)安全系統(tǒng)對于APT攻擊的防護策略一般有以下幾種實現(xiàn)方式。首先,通過大數(shù)據(jù)技術(shù),網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的數(shù)據(jù)信息進行價值挖掘,檢測到數(shù)據(jù)信息運營中存在的異常狀態(tài),然后分析出數(shù)據(jù)信息結(jié)構(gòu)內(nèi)的威脅問題。其次,主動分析APT攻擊鏈條,通過APT數(shù)據(jù)模型的潛入模式,對APT攻擊特征行為進行檢測與分析,然后以目標(biāo)信息的運行路徑對APT攻擊手段進行反向檢測,發(fā)現(xiàn)APT攻擊行為,進而對APT攻擊進行阻止。最后,考慮到APT攻擊問題的不可規(guī)避性因素,在網(wǎng)絡(luò)安全防護中要想提高檢測機制,需對APT的攻擊行為進行主動檢測,及時發(fā)現(xiàn)網(wǎng)絡(luò)用戶信息行為存在的異常特性,針對異常狀態(tài)的網(wǎng)絡(luò)協(xié)議及DNS進行全路徑跟蹤,以制定完整的網(wǎng)絡(luò)防御體系,降低APT攻擊危害。
APT攻擊一般是針對網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的業(yè)務(wù)信息層進行攻擊,而對于網(wǎng)絡(luò)運作體系來講,其屬于信息持續(xù)性傳播的一種有效載體,通過各類信息節(jié)點,對數(shù)據(jù)信息定向傳輸,來保證承接互聯(lián)網(wǎng)體系運行的企業(yè)實現(xiàn)數(shù)據(jù)的高質(zhì)量傳輸??尚艠I(yè)務(wù)模塊的設(shè)定可將其界定為持續(xù)性防御層面,即針對信息傳輸路徑來制定跟隨性、持續(xù)性的防御機制,以對APT攻擊形成同步防護。
在制定業(yè)務(wù)流防御體系時,通過內(nèi)部數(shù)據(jù)信息傳輸特征進行檢測,例如:訪問時間協(xié)議入口、信息傳輸路徑等,將此類信息模式作為特征檢測的基準,同時也可將其界定為企業(yè)網(wǎng)絡(luò)運行的一種常態(tài)機制,然后深度分析出每一類信息在網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)所占用的資源,從而達到數(shù)據(jù)精準檢測的目的。另外,考慮到企業(yè)網(wǎng)絡(luò)運行的持續(xù)性,固定時間段內(nèi)呈現(xiàn)出信息傳輸峰值,此時信息傳輸節(jié)點在同一時間下將面臨著一定的冗余性問題,企業(yè)需針對網(wǎng)絡(luò)運作模式來建立信息流量傳輸?shù)目煽空J證機制,將檢測威脅作為主要安全防護手段。
針對APT攻擊形式所設(shè)定的威脅檢測模型分為4個環(huán)節(jié):
第一,數(shù)據(jù)統(tǒng)計模型的設(shè)定。針對企業(yè)網(wǎng)絡(luò)運行模式下的信息流量進行特征統(tǒng)計,例如同一時間節(jié)點下信息峰值情況、時間段內(nèi)信息傳輸規(guī)律、不同部門工作時間下網(wǎng)絡(luò)結(jié)構(gòu)的信息訪問途徑。綜合上述信息特征來建立基于企業(yè)運行的數(shù)據(jù)統(tǒng)計模型,通過大數(shù)據(jù)技術(shù)、數(shù)據(jù)信息模型內(nèi)的參數(shù)進行正確界定,得出某一信息在某一節(jié)點下的運行行為及其預(yù)期運行路徑,然后生成相關(guān)數(shù)據(jù)和參數(shù),作為衡量APT攻擊防御的基準。
第二,檢測流量偏差。通過統(tǒng)計數(shù)據(jù)模型的確定,對企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中的信息傳輸流量進行同步化檢測,然后將信息確定值反饋到系統(tǒng),進行參數(shù)比對,如產(chǎn)生的誤差范圍超出固定的閾值時,則表明此類信息存在未知風(fēng)險,此時數(shù)據(jù)信息模型將對此類信息進行標(biāo)記,并及時反饋到計算機系統(tǒng)中向設(shè)備管理員進行提示。
第三,數(shù)據(jù)異常分析模型。如發(fā)現(xiàn)某類未知威脅,且此類未知威脅并不是由系統(tǒng)維護和升級造成的,則數(shù)據(jù)信息模型將對此類信息進行標(biāo)記,并依據(jù)專家系統(tǒng)及數(shù)據(jù)挖掘技術(shù)對承載信息的業(yè)務(wù)流進行分析。
第四,響應(yīng)模型。當(dāng)系統(tǒng)檢測到信息業(yè)務(wù)流存在未知威脅時,系統(tǒng)將自動開啟防護舉措對存在威脅性的信息進行訪問限制,然后將檢測到的數(shù)據(jù)實時上傳到計算機管理界面上。一旦管理員對此類信息確認為病毒攜帶載體,則系統(tǒng)自動對信息及其傳輸路徑進行全面清查與跟隨式監(jiān)控,以提高網(wǎng)絡(luò)系統(tǒng)的運營質(zhì)量。
APT攻擊對網(wǎng)絡(luò)信息結(jié)構(gòu)造成的危害性較大,要想最大限度規(guī)避網(wǎng)絡(luò)攻擊所帶來的危害,應(yīng)深度分析APT攻擊特性,并建立多方位特征檢測手段,深度挖掘出信息存在的安全隱患,為網(wǎng)絡(luò)安全運營奠定堅實基礎(chǔ)。