浅析APT攻击检测与防护策略

龙源期刊网 https://www.sodocs.net/doc/0115579973.html,

浅析APT攻击检测与防护策略

作者：王在富

来源：《无线互联科技》2014年第03期

摘要：PT攻击对现有安全防护体系带来了巨大的挑战，成为信息安全从业人员重点关注的对象。本文分析了APT攻击特点、流程，提出了相应的检测和防御思路。

关键词：APT攻击；攻击检测；攻击流程；防护技术

1 引言

高级持续性威胁APT（Advanced Persistent Threat）是当前信息安全产业界的热点，是指

黑客针对特定目标以窃取核心资料为目的所发动的网络攻击和侵袭行为，这种行为往往经过长期的经营与策划并具备高度的隐蔽性，是一种蓄谋已久的“恶意商业间谍威胁”。目前，APT成为了网络安全人员最受瞩目的关键词之一，在一些国家，APT攻击已经成为国家网络安全防御战略的重要环节，针对APT攻击行为的检测与防御，也自然成为了至关重要也是最基础的组成部分。

2 APT攻击的技术特点

APT在攻击的流程上，同普通网络攻击行为并无明显区别，但APT的攻击手法在于隐匿攻击者的踪迹并针对特定对象进行长期、有计划性和组织性地渗透，直到成功窃取数据，因此具备更强的破坏性：

⑴攻击技术的隐蔽性：为了躲避传统检测设备，APT更加注重攻击技术及行为的隐蔽性。针对攻击目标，发动APT攻击的黑客往往不是为了在短时间内获利，甚至可以长期隐蔽。例如通过隐蔽通道、加密通道避免网络行为被检测，或者通过伪造合法签名的方式避免恶意代码文件本身被识别，这就给传统基于签名的检测带来很大困难。

⑵攻击时间的持续性：APT攻击分为多个步骤，攻击者会进行长时间的潜心准备。在已经发生的典型APT攻击中，攻击者从最初的信息搜集，到信息窃取并外传往往要经历几个月或者更长的时间，整体攻击过程甚至持续数年之久。而传统的检测方式是基于单个时间点的实时检测，难以对跨度如此长的攻击进行有效跟踪。如2011年8月，暗鼠行动（Operation Shady RAT）被发现并披露出来，调查发现该攻击从2006年启动，在长达数年的持续攻击过程中，渗透并攻击了全球多达72个公司和组织的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等等。

⑶攻击目标的针对性：APT攻击者通常带有很强的目标针对性，通常带有商业或政治目的，以窃取具备商业价值的信息或破坏目标系统为目的，整个攻击过程都经过攻击者的精心策划，攻击一旦发起，攻击者会针对目标网络尝试不同的攻击技术和方式，直到目标达成。从发