針對APT攻擊的防御技術(shù)

張婷婷

摘要

公安網(wǎng)絡(luò)系統(tǒng)安全直接影響國家機(jī)密信息的安全，近年來，針對政府保密信息，出現(xiàn)了一種更為高級的網(wǎng)絡(luò)攻擊：APT攻擊。因此，有必要在理論上研究在公安網(wǎng)絡(luò)中應(yīng)對APT攻擊的防御技術(shù)。本文主要從不同角度對APT攻擊的防御技術(shù)進(jìn)行分析。

【關(guān)鍵詞】防御技術(shù) APT攻擊 沙箱技術(shù)

隨著公安信息化工作的全面提升，公安機(jī)關(guān)數(shù)據(jù)規(guī)模急速增大，應(yīng)用需求快速增長，公安網(wǎng)絡(luò)也經(jīng)常受到不同類型的網(wǎng)絡(luò)攻擊。目前APT攻擊受到社會廣泛關(guān)注，其所帶來的攻擊力和破壞力強(qiáng)度非常大，因此要積極研究和分析不同防御技術(shù)，從而有效抵御APT攻擊所帶來的危害。

1APTI擊概況分析

1.1 APT攻擊概況

APT攻擊在實(shí)施過程中帶有一定的政治目的或商業(yè)目的，通過不同的方式來對某一國家或組織的重要信息進(jìn)行攻擊，針對性比較強(qiáng)，APT攻擊通過網(wǎng)絡(luò)滲透方式來長期持續(xù)地實(shí)施攻擊，從而對目標(biāo)網(wǎng)絡(luò)權(quán)限進(jìn)行獲取，并且會在目標(biāo)網(wǎng)絡(luò)內(nèi)部進(jìn)行潛伏，獲取目標(biāo)的核心數(shù)據(jù)信息，最終實(shí)現(xiàn)情報(bào)的竊取或破壞。通常APT攻擊主要包括以下幾個(gè)時(shí)期，首先是APT攻擊前的準(zhǔn)備時(shí)期，其次是APT攻擊的入侵時(shí)期，最后是APT攻擊的持續(xù)性時(shí)期，同時(shí)可以細(xì)化為以下五個(gè)步驟，分別為獲取情報(bào)、突破防線、建設(shè)通道、橫向進(jìn)行滲透以及收集信息和外傳信息。

1.2 APT攻擊過程分析

1.2.1 APT攻擊的情報(bào)收集環(huán)節(jié)

攻擊者會獲取目標(biāo)人員及網(wǎng)絡(luò)系統(tǒng)的信息，主要獲取渠道有公司網(wǎng)站、社交網(wǎng)站、博客等，或者通過某種違法渠道來購買目標(biāo)信息，從而獲取攻擊目標(biāo)的人員關(guān)系、組織構(gòu)架以及網(wǎng)絡(luò)防御軟件和應(yīng)用情況，并且利用網(wǎng)絡(luò)系統(tǒng)存在的漏洞來進(jìn)行攻擊，從而進(jìn)入目標(biāo)網(wǎng)絡(luò)的服務(wù)器當(dāng)中，為后期的攻擊提供條件。

1.2.2突破防線和建立通道

攻擊人員在獲取網(wǎng)絡(luò)相關(guān)技術(shù)和情報(bào)后會對目標(biāo)的電腦進(jìn)行攻擊，比如利用電子郵箱攻擊、遠(yuǎn)程漏洞攻擊等方式來獲取目標(biāo)電腦的權(quán)限，從而實(shí)現(xiàn)對電腦的控制。建立通道要在防線突破以后實(shí)施，通道主要建立在入侵服務(wù)器和目標(biāo)組織人員電腦之間，利用HTTP/HTTPS協(xié)議來對通道進(jìn)行命令控制，對目標(biāo)網(wǎng)絡(luò)系統(tǒng)的防火墻進(jìn)行突破，最終實(shí)現(xiàn)通道的建立，將惡意軟件發(fā)送過去。

1.2.3橫向滲透和信息收集與外傳

APT攻擊在達(dá)到控制目的后會實(shí)施進(jìn)一步滲透，從而進(jìn)入到目標(biāo)服務(wù)器當(dāng)中，獲取更多的權(quán)限，在潛伏后會獲取內(nèi)部數(shù)據(jù)信息，并實(shí)施進(jìn)一步的攻擊與破壞。

2 APTI擊防御技術(shù)分析

2.1沙箱技術(shù)分析

沙箱同時(shí)又叫做沙盤，是一種APT攻擊核心防御技術(shù)，該技術(shù)在應(yīng)用時(shí)能夠創(chuàng)造一種模擬化的環(huán)境來隔離本地系統(tǒng)中的注冊表、內(nèi)存以及對象，而實(shí)施系統(tǒng)訪問、文件觀察等可以通過虛擬環(huán)境來實(shí)施操作，同時(shí)沙箱能夠利用定向技術(shù)在特定文件夾當(dāng)中定向進(jìn)行文件的修改和生成，防止出現(xiàn)修改核心數(shù)據(jù)和真實(shí)注冊表的現(xiàn)象，一旦系統(tǒng)受到APT攻擊，實(shí)現(xiàn)的虛擬環(huán)境能夠?qū)μ卣鞔a實(shí)施觀察和分析，從而將攻擊進(jìn)行有效的防御。在實(shí)際應(yīng)用過程中，沙箱技術(shù)能夠充分發(fā)揮防御作用，但是由于其消耗本地資料過多，導(dǎo)致工作處理過程周期過長，對此要進(jìn)一步加強(qiáng)其應(yīng)用效率的提升，從而有效區(qū)分和處理軟件與文件，有效提升自身的應(yīng)用效率，充分防御來自于外界的APT攻擊。

2.2信譽(yù)技術(shù)

安全信譽(yù)主要是評估互聯(lián)網(wǎng)資源和有關(guān)服務(wù)主體在安全性能方面的指數(shù)和表現(xiàn)，而信譽(yù)技術(shù)在應(yīng)用過程中能夠以一種輔助的方式來檢測APT攻擊，并針對性建設(shè)信譽(yù)數(shù)據(jù)庫，其中包括威脅情報(bào)庫、僵尸網(wǎng)絡(luò)地址庫、文件MD5碼庫以及WEB URL信譽(yù)庫，能夠作為輔助支撐技術(shù)幫助系統(tǒng)提升檢測APT攻擊，比如常見的木馬病毒和新型病毒等，一旦遇到不良信譽(yù)資源能夠利用網(wǎng)絡(luò)安全設(shè)備進(jìn)行過濾和阻斷。在此過程中，信譽(yù)庫能夠充分發(fā)揮自身優(yōu)勢，有效保護(hù)系統(tǒng)相關(guān)數(shù)據(jù)和信息，提升安全產(chǎn)品的安全防護(hù)指數(shù)，依照實(shí)際情況來分析，信譽(yù)技術(shù)已經(jīng)廣泛應(yīng)用到網(wǎng)絡(luò)類安全產(chǎn)品當(dāng)中，并且通過安全信譽(yù)評估策略服務(wù)和信譽(yù)過濾器等功能為信息系統(tǒng)的安全提供有效保障。

2.3異常流量分析技術(shù)

異常流量分析技術(shù)在應(yīng)用過程中主要以一種流量檢測方式和分析方式對有關(guān)流量信息實(shí)施提取，并且針對其中的帶寬占用、CPU/RAM、物理路徑、IP路由、標(biāo)志位、端口、協(xié)議、幀長、幀數(shù)等實(shí)施有效的監(jiān)視和檢測，并且融入節(jié)點(diǎn)、拓?fù)浜蜁r(shí)間等分析手段來統(tǒng)計(jì)流量異常、流量行為等可能出現(xiàn)的異常信息，從而依照分析的結(jié)果和數(shù)據(jù)來對可能出現(xiàn)的ODAY漏洞攻擊進(jìn)行準(zhǔn)確識別。同時(shí)，異常流量分析技術(shù)進(jìn)一步融入了機(jī)器學(xué)習(xí)技術(shù)和統(tǒng)計(jì)學(xué)技術(shù)，能夠以科學(xué)化、合理化的方式來對模型實(shí)施建立。與傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)相比，異常流量分析技術(shù)能夠充分發(fā)揮自身優(yōu)勢，以一種數(shù)據(jù)采集機(jī)制來保護(hù)原有系統(tǒng)，并且對出現(xiàn)的異常行為進(jìn)行有效的追蹤，分析歷史流量數(shù)據(jù)，從而有效確定異常流量點(diǎn)，最終起到防御APT攻擊的目的。

2.4大數(shù)據(jù)分析技術(shù)

在防御APT攻擊時(shí)，要充分發(fā)揮大數(shù)據(jù)分析技術(shù)的優(yōu)勢，針對網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的日志數(shù)據(jù)和SOC安全管理平臺中出現(xiàn)的日志數(shù)據(jù)，利用大數(shù)據(jù)分析技術(shù)能夠?qū)嵤┯行У姆治龊脱芯?，并通過態(tài)勢分析、數(shù)據(jù)挖掘、數(shù)據(jù)統(tǒng)計(jì)技術(shù)，對大量歷史數(shù)據(jù)進(jìn)行分析，獲取其中存在的APT攻擊痕跡，從而以一種彌補(bǔ)方式來對傳統(tǒng)安全防御技術(shù)實(shí)施加強(qiáng)。同時(shí)，大數(shù)據(jù)分析技術(shù)要想發(fā)揮自身作用，需要提升自身數(shù)據(jù)分析和數(shù)據(jù)采集能力，并積極融合全自動(dòng)相應(yīng)系統(tǒng)，從而快速監(jiān)控不同區(qū)域中的數(shù)據(jù)信息，改變出現(xiàn)的信息孤島所導(dǎo)致的調(diào)查分析問題。

3結(jié)束語

綜上所述，APT攻擊事件頻繁發(fā)生，給網(wǎng)絡(luò)空間安全保護(hù)帶來了一定難度，其具有的攻擊能力與傳統(tǒng)的網(wǎng)絡(luò)病毒存在一定區(qū)別，對此要積極應(yīng)用專業(yè)的防御技術(shù)，針對APT攻擊構(gòu)建相應(yīng)的應(yīng)對策略，從而充分發(fā)揮不同技術(shù)優(yōu)勢，有效防御APT攻擊。

參考文獻(xiàn)

[1]徐劍新，還約輝，王迎，工業(yè)控制系統(tǒng)APT攻擊分析和防御問題探討[J].信息技術(shù)與網(wǎng)絡(luò)安全，2018 （03）：32-36.

[2]焦賢龍，陳玉鑫，廉哲等，一種軟件定義APT攻擊移動(dòng)目標(biāo)防御網(wǎng)絡(luò)架構(gòu)[J].山東大學(xué)學(xué)報(bào)：理學(xué)版，2018，53 （01）： 38-45.