APT攻击的特征分析与防御策略

摘 要 APT攻击目前已成为热点，其特征不同于传统的网络攻击，对已有的安全防范思路和能力带来了极大挑战。本文分析了APT攻击的技术特点及典型流程，并对常见的APT检测方案、主流的APT防御方案进行了比较分析。

【关键词】APT攻击 网络攻击 检测 防御

随着Internet技术的发展，网络威胁层出不穷，攻击方式不断翻新。高级持续性威胁（APT）是近年来威胁企业数据安全的主要威胁之一。它是一种针对特定组织所做的复杂且多方位的攻击，往往经过长期策划，具有高度的隐蔽性和持续性，目的直达企业核心数据。

1 APT攻击的概念

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。 APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据。

2 典型的APT攻击过程

整个APT攻击过程大体可以分为如下5个步骤。

（1）定向情报收集，即攻击者有针对性的搜集特定组织的网络系统和员工信息。信息搜集方法很多，包括网络隐蔽扫描和社会工程学方法等。从目前所发现的APT攻击手法来看，大多数是从组织员工入手，攻击者非常注意搜集组织员工的信息，包括微博、博客等，以便了解其社会关系及爱好，然后通过社会工程方法来攻击该员工电脑，从而进入组织网络。

（2）单点攻击突破，即攻击者收集了足够的信息后，采用恶意代码攻击组织员工电脑，往往攻击的是系统未知漏洞，现有杀毒和个人防火墙安全工具无法察觉，最终结果是，员工个人电脑感染恶意代码，从而被攻击者完全控制。

（3）控制通道构建，即攻击者控制了员工个人电脑后，构建某种渠道和攻击者取得联系，以获得进一步攻击指令。目前多采用HTTP协议构建，以便突破组织的防火墙，比较高级的命令控制通道则采用HTTPS协议构建。

（4）内部横向渗透，通常攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的PC和服务器。

（5）数据收集上传，即攻击者在内部横向渗透和长期潜伏过程中，有意识地搜集各服务器上的重要数据资产，进行压缩、加密和打包，然后通过某个隐蔽的数据通道将数据传回给攻击者。

3 常见的APT攻击检测方案

针对APT攻击行为的检测，需要构建一个多维度的安全模型，常见检测方案有四种：

（1）沙箱方案。沙箱原理是将实时流量先引入虚拟机或沙箱，通过对沙箱的文件系统、进程、注册表、网络行为实施监控，判断流量中是否包含恶意代码。同传统的特征匹配技术相比，沙箱方案对未知恶意代码具有较好的检测能力，其难点在于模拟的客户端类型是否全面，如缺乏合适的运行环境，会导致恶意代码在检测环境中无法触发，造成漏报。

（2）异常检测方案。异常检测原理是通过对网络中的正常行为模式建模而识别异常。核心技术包括元数据提取、正常行为建模和异常检测算法。该方案同样能够检测未知攻击，但检测效率依赖于背景流量中的业务模式，如果业务模式发生偏差，则会导致较高的漏报与误报。

（3）全流量审计方案。全流量审计原理是对链路中的流量进行深层次的协议解析和应用还原，识别其中是否包含攻击行为。检测到可疑攻击行为时，在全流量存储的条件下，回溯分析相关流量，该方案具备强大的事后溯源能力和实时检测能力，是将安全人员的分析能力、计算机强大的存储能力和运算能力相结合的完整解决方案。

（4）基于记忆的智能检测方案。基于记忆的智能检测原理是一方面扩大检测域，将基于单个时间点的实时检测转变为基于历史事件窗口的异步检测；另一方面丰富判定机制，在检测已知攻击的同时能够兼顾对未知攻击的检测。

4 主流的APT攻击防御方案

通过对APT整个攻击过程的分析，结合当前常见的APT检测方式，可以发现目前主流的APT防御方案，根据它们所覆盖的APT攻击阶段不同，可分为以下四类：

（1）恶意代码检测类方案。该类方案主要覆盖APT攻击过程中的单点攻击突破阶段，它是检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑，从而来突破目标网络和系统防御措施的，因此，恶意代码检测对于检测和防御APT攻击至关重要。

（2）主机应用保护类方案。该类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码，这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此，如果能够加强系统内各主机节点的安全措施，确保员工个人电脑以及服务器的安全，则可以有效防御APT攻击。

（3）网络入侵检测类方案。该类方案主要覆盖APT攻击过程中的控制通道构建阶段，通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击所使用的恶意代码变种多且升级频繁，但其构建命令控制通道通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测APT的命令控制通道。该类方案成功的关键是如何及时获取到各APT攻击手法的命令控制通道的检测特征。

（4）大数据分析检测类方案。该类方案并不重点检测APT攻击中的某个步骤，它覆盖了整个APT攻击过程。该类方案是一种网络取证思路，它全面采集各网络设备的原始流量以及各终端和服务器上的日志，然后进行集中的海量数据存储和深入分析，它可在发现APT攻击的一点蛛丝马迹后，通过全面分析这些海量数据来还原整个APT攻击场景。大数据分析检测方案涉及海量数据处理，因此需要构建大数据存储和分析平台。

5 结束语

APT攻击不断被发现，传统网络安全防御体系很难防范此类攻击，由此带来的损失和影响也愈发受到组织和个人的重视。随着云计算以及大数据技术的成熟应用，防御APT攻击的技术手段也更加丰富，同时提高对社会工程学的认识，重视“人”这一要素的重要性，为有效解决APT类攻击均将发挥巨大的作用。

参考文献

[1]王宇，韩伟杰.APT攻击特征分析与对策研究[J].保密科学技术，2013.

[2]刘昕.大数据背景下的APT攻击检测与防御[J].网络与信息工程，2014.

[3]许婷.一种有效防范APT攻击的网络安全架构[J].信息安全与通信保密，2013.

作者简介

孙天一（1981-），黑龙江省大庆市人。硕士学位。现为新华社技术局工程师。主要研究方向为计算机与通讯。

作者单位

新华社技术局 北京市 100803