APT检测技术发展(精选4篇)
APT检测技术发展 篇1
目前针对APT攻击的检测技术比较多样,这是由攻击本身所具有的复杂性导致。Gartner在2013年将APT检测技术主要分为5种,如图1所示。
其分类并不能完整呈现针对APT攻击的检测手段,但是对几个主要检测技术方向做了较好的阐述,本章将逐项分析各类技术发展现状:
1 网络流量分析
该技术包含了多种传统的网络检测分析思路,比如依靠DNS或Netflow的流量规律进行基线学习和分析。此类技术发展历史悠久,但在APT检测方面,一直难以有直接的效果,一方面因为通过流量能够捕捉到的攻击行为较为有限,更多针对远程控制部分,而且很难捕捉到样本运行过程;另一方面,此类技术多使用统计并配合一部分规则匹配的检测方式为主,往往难以保证准确度。
2 网络取证
该技术强调全量的抓取流量报文或日志,通过结合全流量分析技术提取流量中的异常信息来发现APT攻击。这种方式在检测上依然面临网络流量分析的同样问题,不过由于其所留存的网络流量和日志可以更好的还原样本和攻击过程,在回溯及应急响应方面体现出的价值较高。该技术也正在逐渐被新型的安全管理系统或安全日志分析系统所使用,但面临的技术挑战与终端取证类似,即如何快速的处理分析海量的网络流量信息。
3 负载分析(沙箱)
负载分析主要指针对样本进行更深层次的分析以发现依靠简单特征无法发现的高级威胁。目前国内市场上的主流的负载分析手段为沙箱,通过将文件还原后在虚拟环境中的执行并监控执行过程中的各种进程、文件、注册表等行为来发现其中的恶意行为。这也是国际著名厂家Fireeye的基础功能。但沙箱技术并不是新技术,实际在2003年开始,沙箱技术便已经出现,发展至目前有大量的开源沙箱检测技术,较为著名的如cuckoo。沙箱的出现使得研究人员和安全管理人员能够快速发现样本的恶意行为,但随着技术的发展和开放,沙箱在APT攻击的实际检出情况上未必如众多厂家的宣传一致。主要因为目前大量高级样本中都会集成沙箱逃逸功能,基础的沙箱逃逸手段包括虚拟机环境检测、分析软件检测、检测hooks、检测时间加速、检测交互行为等,而且存在开源的沙箱逃逸项目可供攻击工具开发者使用。这对沙箱检测提出了很强的攻防挑战,对于缺乏样本行为运营能力的公司来说,将意味着其沙箱效果会大打折扣。而且,沙箱检测需要对环境的模拟尽可能真实,但是实际情况下,一台检测设备很难提供足够的计算和内存资源用于模拟大量主机上不同的操作系统和应用软件版本,这也客观上制约了恶意样本在沙箱中顺利执行的比例。
目前沙箱的发展遇到了一些困难,但并不意味着这种技术的消亡。为了应对一些针对虚拟机检测的沙箱逃逸手段,有厂家使用基于虚拟机hypervisor层的分析技术。这可以一定程度上的提升样本执行的成功率,但对于真正的提升检测效果帮助仍然有限。大量厂家也开始使用云端沙箱集群来模拟更多样的环境以提升样本执行成功率,虽然这种技术受限于目前国内大量企业无法上传样本这种客观现实而难以商用,但对于厂商自身研究和运营效率的提升仍然有相当大的帮助。
4 基于终端的行为分析
该技术也可称之为主机沙箱,可以将应用和文件通过虚拟容器进行隔离,并对其隔离环境中的内存、进程情况进行监控,技术本身也经历了长时间的发展。其可以依靠隔离的手段对高级攻击进行更好防护,但同时也带来了更多的系统资源消耗,限制了技术本身的应用。目前主流杀毒检测厂家如360,已经在终端杀毒中支持主机沙箱技术,但应用并不广泛。
5 基于终端的取证
通过在主机上安装监控软件,可以截取各种样本文件在主机上的行为记录,结合序列化的行为规则,或威胁情报可以有效发现传统特征匹配无法发现的威胁。同时留存的终端行为数据可以作为取证、回溯的重要支撑。目前fireeye、cybereason等厂家已经将该技术成功应用于APT检测中。该技术方式实际上是将主机视为一个沙箱的虚拟环境,所有样本的行为都应该可监控,结合类似沙箱的行为规则就应该能够发现主机上正在发生或已经发生的攻击行为。这种方式很好的解决了沙箱虚拟环境难以足够真实的问题,但检出率同样依赖于规则运营,对厂商的规模和能力要求较高。而且大量的终端部署以及海量的日志回传对传统的安全日志分析或安全管理系统都造成了冲击。
6 其他正在发展中的技术
APT攻击组织与安全厂商将处于持续的攻防对抗中,目前除了传统的技术以外,还有部分新兴技术正在这种对抗中脱颖而出:
6.1 威胁情报
传统检测技术往往仅关注发现攻击告警,告警中仅体现触发告警的原因,以及样本的大致分类。但这种检测结果往往无法反映APT攻击的真实意图和严重程度,这也导致大量APT检测结果输出与传统IPS或杀毒设备并无太大区别。而依赖于良好运营的威胁情报正在逐渐改善这种局面。依靠安全厂商对互联网网络行为、网络基础设施数据、样本数据、黑产及攻击组织等信息的长期监控和整合分析,完全能够有针对性的输出APT攻击组织相关的威胁情报,威胁情报将涵盖攻击组织、攻击意图、攻击手段、攻击指标器、攻击目标等一系列信息,这些信息将极大的提升本地设备的检测发现能力以及后续的告警定性能力。
6.2 机器学习
传统的样本检测、行为分析、流量分析都在面临着不断变化的攻防局势,而传统方式的检测率极大的依赖于人工规则运营,这也制约了检测率的提升。为了解决相关问题,机器学习依靠其更低的运营工作量需求、更好的检出率进入了安全领域。目前应用机器学习较多的领域为样本检测,国内360的QVM引擎作为国际上第一个机器学习引擎早已成功商用多年,并能够对未知威胁有一定的提前检测能力。在样本检测以外,在诸如域名分类、DGA域名分析等领域,机器学习也都有不做的表现。不过虽然机器学习正在不断的应用到安全的各个领域,但其使用仍然有其局限性,比如可能出现的高误报、模型设计上困难、训练集处理等问题都是厂商需要不断摸索跨越的门槛。
6.3 新型的SIEM或SOC
目前基于终端和网络的取证分析都面临海量日志如何处理的难题。针对此类问题,新兴的以大数据技术为基础的SIEM或SOC产品是一种较好的解决方案。依靠Hadoop、Storm、Elastic Search等大数据技术,新一代的SOC产品可以轻松突破传统设备的性能上限,为广泛的日志采集和分析提供强有力的支撑,同时为机器学习在网络流量分析和终端行为分析方面的应用提供基础平台。再结合威胁情报等外部数据支撑,新一代SOC可能成为APT检测的核心节点。但新一代SOC依然面临诸多市场挑战,诸如如何保证平台更加轻量化以节省投资,如何提供便捷的管理系统以帮助用户摆脱平台运维的困扰,如何让数据的安全价值充分体现等。
7 发展中遇到的非技术性困难
APT检测技术在发展中并不只遭遇过技术上的挑战,还面临着大量来源于市场、用户方面的阻力。这也客观上制约了国内APT市场的扩展。
7.1 行业认识不统一
目前安全从业人员对于APT攻击的认识不统一,大部分厂家仍然聚焦于攻防对抗本身,但忽略了APT攻击的性质判定,这造成APT检测设备的大量告警看起来与IPS、传统杀毒设备的告警并无特别区别,仅仅是多了很多用户无法有效理解的行为数据。在这种情况下,APT检测市场长期难以与传统的杀毒市场和IPS市场有效区分。这制约了整个市场的发展,也导致厂商的投入和动力不足。而可有效解决相关问题的威胁情报技术在国内尚处于起步阶段,各个厂商对其认识均不相同,目前还难以形成足够的行业推动力。
7.2 对于安全防护的诉求过高
长期以来,大量企业及单位的安全人员已经十分熟悉防火墙+IPS的一套防护体系,对于高级威胁也希望能够一劳永逸的使用单一系统进行事前防御,但在目前的攻防态势下,这种想法会稍显不切实际,制约了整个APT检测市场的发展。原因在于世上并没有完美的防护体系,从攻击角度来讲,只要攻击者有足够的投入,基本上都能够绕过所有的防御。在这种情况下,安全体系的建设应该从单纯强调防护转移到以提升攻击成本和风险为核心。而提升攻击成本和风险的手段包含:存储必要的日志信息、使用更高级的检测手段、引入精准的威胁情报以及快速的应急响应服务。通过这些手段,企业可以保留攻击事后的回溯能力、线索追查能力,以及最终诉诸法律的起诉证据。
7.3 发生APT攻击事件后的责任认定不清晰
中国是APT攻击的主要受害国,来自360的报告显示截止至2015年11月,中国境内共遭受来自29个APT组织的千余次攻击。但是形成鲜明对比的是,国内的大量单位对APT攻击的损害仍然认识不足,对于攻击的责任确定不清晰。很多单位将APT攻击的检测与处置寄希望于国家力量,并在管理层面将其与基础的安全问题区分开来,甚至在知晓APT攻击已经发生的情况下仍然缺乏必要的处置动作,往往采取先封堵消息控制影响再内部消化的处理方式。这导致国家单位逐渐形成针对APT攻击下级单位不重视,上级单位不了解这样一种尴尬情形。
但近几年,随着中央网信办的成立,国家开始逐渐重视网络安全建设问题,同时大量针对中国的APT攻击组织被有关单位及安全公司挖掘出来,也起到了很好的行业教育的作用。相信不久的将来,各个单位在国家力量的驱动下将逐步的提升APT检测技术的使用比例。
7.4 人才与服务的缺失
APT攻击并不是一成不变的,安全方案提供商对其进行检测需要不断的输入攻防知识并进行长时间的运营(包含行为规则、样本家族、威胁情报等各种方面内容)。但国内总体上仍然处于安全人才匮乏的状态,尤其是有逆向能力、会样本分析或懂漏洞挖掘的人才。人才的匮乏又导致真正高水平的人才难以有充足的动力和时间投入到基础的安全运营工作中,这导致大部分安全公司难以对APT攻击进行有效检测。
而在企业侧,人才的状况更加不容乐观,能力和数量都成为了制约,往往出现重要的告警没人能分析,简单的告警没有足够的人来分析的情况。而通过采购第三方安全服务的方式可以很好的解决此类问题,但又会面临中国当前服务采购的各种困局。
庆幸的是,目前国家正在推动政府采购服务的相关改革,希望这会从一定程度上解决各个企事业单位所面临的人才问题。
8 小结
APT做为一种新的概念和名词已经存在于市场上多年,但相信APT攻击实际上早已在网络世界里横行,仅仅是之前的我们毫不知情。当下,随着多种检测技术的发展以及更加灵活的组合使用,APT攻击的检出率也在提升,海莲花、洋葱狗、美人鱼、人面狮、白象等一系列APT攻击都被先后发现。这也证明:在安全的道路上,我们可以走的更远,走的更好。
初探APT检测与防御方法 篇2
APT全称为Advanced Persistent Threat(高级持续性威胁/渗透攻击),是指组织(特别是政府)或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,它融合了情报、黑客技术、社会工程等各种手段,通过直接或者间接控制IT系统, 针对有价值的信息资产发起复杂而专业的攻击。
1.1APT攻击特点
APT攻击常常具有以下几个特点:
(1)攻击者通常采用恶意网站,钓鱼的方式诱使目标上钩。
(2)攻击者通常采用恶意邮件的方式攻击受害者,这些邮件会被包装成合法的发件人,附件带有隐含的恶意代码(通常为0day漏洞),导致邮件网关等安全设备难以检测。
(3)攻击者通过SQL注入等攻击手段入侵企业的Web Server,以此做跳板对内网的其他服务器或终端不断渗透入侵, 直至到达攻击目标。
(4)入侵成功后,使用压缩加密的方式向外传输数据,致使安全设备无法分析加密传输内容。
(5)攻击者通常不是直接攻击最终目标,而是通过外围入侵层层渗透。
1.2APT攻击环节
APT攻击可以分为事前准备,渗透入侵,攻击收获三个环节。 三个环节互相交织,没有严格的分界线。在每个环节,攻击者可能发起循环攻击,这取决于攻击范围、目标环境变化、攻击是否成功等因素。
1.2.1准备工作
收集信息,了解目标的系统架构、人事管理、安全体系、重要资产。途径可以是:网络公开信息、社工库、钓鱼邮件、网站、 漏洞扫描。这些信息会随着时间不断变化,所以收集信息也贯穿整个攻击过程。
攻击技术储备,通过了解系统版本、应用程序、安全软件, 自行开发0day恶意代码、木马、溢出漏洞代码,设计攻击路径。
初步入侵外围目标,这些不是攻击的最终目标,但是可以被利用来做跳板,进入系统内部。外围目标可以包括:用户终端、 系统帐户、外围服务器、外部基础设施、证书密码。
1.2.2渗透入侵
在这环节,攻击者不断渗透,使用各种方法展开持续攻击:
常规手段:例如病毒传播、安全管理薄弱环节、社会工程欺骗员工获取目标信息、尝试弱密码和默认密码暴力攻击等。
利用漏洞:包括文件(DOC/PPT/PDF)漏洞、浏览器 (Active X/CSS)漏洞、业务逻辑漏洞、提权漏洞、溢出漏洞、 Web漏洞(SQL/XSS/CSRF)等。
木马植入和提权:攻击者在目标服务器植入木马,提权,获取敏感数据。
1.2.3攻击收获
攻击者在窃取有用信息后,构建隐蔽的数据传输通道,把数据传送出来。此时,攻击者可以选择:继续收集价值信息,等待合适时机破坏目标,或者删除病毒、木马、服务器日志等攻击痕迹。
2APT检测及防御方法
2.1APT攻击检测方法
2.1.1恶意代码检测
识别攻击者发送的恶意代码,是识别APT攻击关键的一步。
(1)基于签名特征
了解攻击特征,提取攻击特征签名。对网络传输的数据包进行匹配后,可以准确、快速的检测到此类恶意文件的传输。
(2)基于漏洞特征
了解漏洞触发原理,提取漏洞触发的关键代码。一个漏洞特征可以识别所有利用该漏洞进行攻击的恶意代码。
(3)基于行为特征
上面两种检测方法是基于已知(Nday)攻击/漏洞的前提条件下进行针对性的防御。但攻击者利用未知(0day)漏洞开发恶意代码,则可以轻易绕过这些方法。
沙箱技术就是应对0day恶意代码提出的检测方法。它的原理就是构造一个模拟的执行环境,让可疑文件在这个模拟环境运行,通过观察文件行为来判定是否为恶意代码。
2.1.2异常流量检测
传统IDS是基于攻击特征签名的技术进行监控分析,它把流量与特征库签名进行比对,“匹配成功为非法,否则为正常”。面对APT攻击,IDS可以做一些优化。我们选择基于Netflow的流量监测技术来采集网络流量,建立流量行为和流量分布的数学模型,学习企业网络的“正常流量”,从而鉴别出“异常流量”,发现APT的攻击痕迹。
2.1.3信誉技术检测
在面对APT攻击的时候,可以借助信誉技术进行检测。建立恶意WEB URL库,C&C地址库,僵尸网络地址库,文件MD5代码库,都是识别APT攻击的有效辅助手段。
2.1.4关联分析
无论是恶意代码检测、异常流量检测、或是木马病毒告警, 都只是单一安全设备的告警。APT攻击者会尝试多种路径和方法进行不断渗透入侵,单一设备的告警都是管中窥豹,无法判定是一次普通攻击还是APT攻击。
我们必须建立一套覆盖传统检测技术,可以横向贯穿分析的系统。通过收集所有安全告警信息并进行关联分析,还原APT攻击的所有或者大部分入侵环节,有效区分普通攻击和APT攻击。
关联分析首先需要全面地收集安全信息(例如网络入侵检测、网络防火墙、WEB应用防火墙、内网审计系统、服务器日志、防病毒等);其次需要安全人员具有从零散的安全告警中拼凑出APT攻击链路的方法和经验,包括识别组合攻击、长时间跨度攻击、态势分析等技能,要求比较高。
2.2APT攻击的防御
2.2.1防御手段
在攻击准备阶段,通过IDS、IPS、Web应用防火墙等安全设备识别攻击者对企业外围设备、系统、应用的扫描行为;定期对企业系统、应用程序加固,对员工进行安全意识培训。
在攻击阶段,合理配置内网安全设备安全策略,在不同区域间设置防火墙,在服务器、终端安装防病毒软件并及时更新特征库,加强系统的安全审计、系统账号管理等,提高攻击者渗透入侵难度。对重要信息、敏感信息,使用高强度加密算法,让攻击者无法识别和判断攻击目标。
在攻击收获阶段,对异常流量、加密流量加强监控,特别对于传出流量的识别和分析是检测APT攻击行为的有效途径。
总体来说,合理利用安全设备,建立关联分析模型,实时分析安全告警,对APT攻击的每个关键环节都给予高度重视,主动发现和及时处理,是APT防御的关键所在。
2.2.2团队建设
要实现APT攻击的防御,必须培养专业的安全团队。通过借助厂商的最佳实践,不断完善安全知识库,进行实时代码分析、 渗透测试、漏洞验证、系统修补、安全应急等等工作,建立一套完整的安全防御体系和专业团队。经验丰富的安全团队是任何技术无法取代的。
3结束语
APT检测技术发展 篇3
APT攻击, 即高级持续性威胁 (Advanced Persistent Threat, APT) , 指组织或者小团体, 利用先进的复合式攻击手段对特定的数据目标进行长期持续性网络攻击的攻击形式[1]。APT是窃取核心资料为目的所发动的网络攻击和侵袭行为, 其攻击方式比其他攻击方式更为隐蔽, 在发动APT攻击前, 会对攻击对象的业务流程和目标进行精确的收集, 挖掘攻击对象受信系统和应用程序的漏洞。攻击者会针对性的进行潜心准备, 熟悉被攻击者应用程序和业务流程的安全隐患, 定位关键信息的存储方式与通信方式, 使整个攻击形成有目的、有组织、有预谋的攻击行为。因此传统的入侵检测技术难以应对。
1 APT攻击技术特点及对传统入侵检测技术的挑战
APT攻击是结合了包括钓鱼攻击、木马攻击、恶意软件攻击等多种攻击的高端攻击模式, 整个攻击过程利用包括零日漏洞、网络钓鱼、挂马等多种先进攻击技术和社会工程学的方法, 一步一步地获取进入组织内部的权限[2]。原来的APT攻击主要是以军事、政府和比较关键性的基础设施为目标, 而现在已经更多的转向商用和民用领域的攻击。从近两年的几起安全事件来看, Yahoo、Google、RSA、Comodo等大型企业都成为APT攻击的受害者。在2012年5月被俄罗斯安全机构发现的“火焰”病毒就是APT的最新发展模式, 据国内相关安全机构通报, 该病毒已于2012年6月入侵我国网络。
1.1 APT攻击的技术特点
APT攻击就攻击方法和模式而言, 攻击者主要利用各种方法特别是社会工程学的方法来收集目标信息。其攻击主要有基于互联网恶意软件的感染、物理恶意软件的感染和外部入侵等三个入侵途径, 其典型流程图如图1所示。就以2010年影响范围最广的Google Aurora (极光) APT攻击, 攻击者利用就是利用社交网站, 按照社会工程学的方法来收集到目标信息, 对目标信息制定特定性的攻击渗透策略, 利用即时信息感染Google的一名目标雇员的主机, 通过主动挖掘被攻击对象受信系统和应用程序的漏洞, 造成了Google公司多种系统数据被窃取的严重后果。
从APT典型的攻击步骤和几个案例来看, APT不再像传统的攻击方式找企业的漏洞, 而是从人开始找薄弱点, 大量结合社会工程学手段, 采用多种途径来收集情报, 针对一些高价值的信息, 利用所有的网络漏洞进行攻击, 持续瞄准目标以达到目的, 建立一种类似僵尸网络的远程控制架构, 并且通过多信道、多科学、多级别的的团队持续渗透的方式对网络中的数据通信进行监视, 将潜在价值文件的副本传递给命令控制服务器审查, 将过滤的敏感机密信息采用加密的方式进行外传[3]。
1.2 APT攻击对传统检测技术的挑战
目前, APT攻击给传统入侵检测技术带来了两大挑战:
(1) 高级入侵手段带来的挑战。APT攻击将被攻击对象的可信程序漏洞与业务系统漏洞进行了融合, 由于其攻击的时间空间和攻击渠道不能确定的因素, 因此在攻击模式上带来了大量的不确定因素, 使得传统的入侵防御手段难以应对APT入侵手段。
(2) 持续性攻击方式带来的挑战。APT是一种很有耐心的攻击形式, 攻击和威胁可能在用户环境中存在很长的时间, 一旦入侵成功则会长期潜伏在被攻击者的网络环境中, 在此过程中会不断收集用户的信息, 找出系统存在的漏洞, 采用低频攻击的方式将过滤后的敏感信息利用数据加密的方式进行外传。因此在单个时间段上APT网络行为不会产生异常现象, 而传统的实时入侵检测技术难以发现其隐蔽的攻击行为。
2 安全防护技术模型研究
由于APT攻击方式是多变的, 以往的APT攻击模式和案例并不具有具体的参考性, 但是从多起APT攻击案例的特点中分析来看, 其攻击目的可以分为两方面:一是窃密信息, 即窃取被攻击者的敏感机密信息;二是干扰用户行为两方面, 即干扰被攻击者的正常行为。就APT攻击过程而言, 最终的节点都是在被攻击终端。因此防护的最主要的目标就是敏感机密信息不能被非授权用户访问和控制。针对APT攻击行为, 文中设计建立了一种基于静态检测和动态分析审计相结合的访问控制多维度防护模型, 按照用户终端层、网络建模层和安全应用层自下而上地构建网络安全防护体系[4], 如图2所示。
2.1 安全防护模型技术
整个安全防护服务模型采用静态检测和动态分析的技术手段实时对网络数据包全流量监控。静态检测主要是检测APT攻击的模式及其行为, 审计网络带宽流量及使用情况, 对实时获取的攻击样本进行逆向操作, 对攻击行为进行溯源并提取其功能特征。动态分析主要是利用所构建的沙箱模型对网络传输文件进行关键字检测, 对Rootkit、Anti⁃AV等恶意程序实施在线拦截, 对邮件、数据包和URL中的可疑代码实施在线分析, 利用混合型神经网络和遗传算法等检测技术对全流量数据包进行深度检测, 结合入侵检测系统审核文件体, 分析系统环境及其文件中异常结构, 扫描系统内存和CPU的异常调用。在关键位置上检测各类API钩子和各类可能注入的代码片段。
2.2 安全防护模型结构
用户终端层是整个模型的基础设施层, 它主要由用户身份识别, 利用基于用户行为的访问控制技术对用户的访问实施验证和控制, 结合用户池和权限池技术, 访问控制系统可以精确地控制管理用户访问的资源和权限, 同时访问者根据授权和访问控制原则访问权限范围内的信息资源。
网络建模层是整个安全防护模型的核心。由内网资源表示模型和多种安全访问控制服务模型共同构成。采用对内部资源形式化描述和分类的内网资源表示模型为其他安全子模型提供了基础的操作平台。结合安全存储、信息加密、网络数据流监控回放、操作系统安全、入侵检测和信息蜜罐防御[5], 以整个内网资源为处理目标, 建立基于访问控制技术的多维度安全防御保障体系。
安全应用层是整个安全防护模型的最高层, 包括操作审计、日志审查、病毒防御、识别认证、系统和网络管理等相关应用扩展模块。在用户终端层和网络建模层的基础上构建整个安全防护系统的安全防护服务。
基于APT入侵建立安全防护模型, 最关键的就是在现有安全模型上建立用户身份识别, 用户行为管控和网络数据流量监控的机制, 建立安全防护模型的协议和标准的安全防御体系, 并为整个安全解决方案和网络资源安全实现原型。
3 网络安全防护的关键技术
3.1 基于网络全流量模块级异域沙箱检测技术
原理是将整个网络实时流量引入沙箱模型, 通过沙箱模型模拟网络中重要数据终端的类型和安全结构模式, 实时对沙箱系统的文件特征、系统进程和网络行为实现整体监控, 审计各种进程的网络流量, 通过代码检查器扫描威胁代码, 根据其危险度来动态绑定监控策略。利用动态监控对跨域调用特别是系统调用以及寄存器跳转执行进行监控和限制, 避免由于威胁代码或程序段躲过静态代码检查引起的安全威胁。但整个模型的难点在于模拟的客户端类型是否全面, 如果缺乏合适的运行环境, 会导致流量中的恶意代码在检测环境中无法触发, 造成漏报[6]。
3.2 基于身份的行为分析技术
其原理是通过发现系统中行为模式的异常来检测到入侵行为。依据正常的行为进行建模, 通过当前主机和用户的行为描述与正常行为模型进行比对, 根据差异是否超过预先设置的阀值来判定当前行为是否为入侵行为, 从而达到判定行为是否异常的目的。其核心技术是元数据提取、当前行为的分析, 正常行为的建模和异常行为检测的比对算法, 但由于其检测行为基于背景流量中的正常业务行为, 因而其阀值的选择不当或者业务模式发生偏差可能会导致误报。
3.3 基于网络流量检测审计技术
原理是在传统的入侵检测机制上对整个网络流量进行深层次的协议解析和数据还原。识别用于标识传输层定义的传输协议类型, 解析提取分组中所包含的端口字段值, 深度解析网络应用层协议信息, 寻找符合特定的特征签名代码串。利用网络数据层流量中交互信息的传输规律, 匹配识别未知协议, 从而达到对整个网络流量的数据检测和审计。利用传统的入侵检测系统检测到入侵攻击引起的策略触发, 结合全流量审计和深度分析还原APT攻击场景, 展现整个入侵行为的攻击细节和进展程度[7]。
3.4 基于网络监控回放技术
原理是利用云存储强大的数据存储能力对整个网络数据流量进行在线存储, 当检测到发生可疑的网络攻击行为, 可以利用数据流量回放功能解析可疑攻击行为, 使整个基于时间窗的网络流量监控回放技术形成具有记忆功能的入侵检测机制, 利用其检测机制确认APT攻击的全过程。比如可以对网络传输中的邮件、可疑程序、URL中的异常代码段实施检测分析, 监控整个网络中异常加密数据传输, 从而更快地发现APT攻击行为。若发生可疑行为攻击漏报时, 可以依据历史流量进行多次分析和数据安全检测, 形成更强的入侵检测能力。由于采用全流量的数据存储, 会显著影响高速的数据交换入侵检测中其系统的检测处理和分析能力, 在这方面可能还存在一定的技术差距。
4 结语
APT检测技术发展 篇4
面对APT攻击, 主动应对
天津银行的技术人员通过对APT攻击的步骤和途径研究发现, 在被媒体披露的APT攻击案件中, 有超过90%的APT攻击利用了社交工程钓鱼邮件。而内部评估工作也证明了钓鱼邮件正在威胁着天津银行的网络和数据安全。
对此, 天津银行相关技术负责人表示:“高级恶意邮件给天津银行带来比较严重的困扰, 为此天津银行与趋势科技一起对网络数据进行缜密分析, 发现有大量的威胁正在通过邮件, 悄然无息地进入网络。另外, 今年大规模爆发的‘加密勒索软件’事件, 更督促天津银行提高邮件及数据安全的防护能力。为此, 天津银行高度重视APT攻击可能带来的后续影响, 决定从邮件安全管理入手, 建立风险防范的抑制点。”
在趋势科技与天津银行的合作中, 趋势科技通过定制化的虚拟沙箱对可疑对象进一步分析, 发现了深度伪装的恶意代码和C&C通信, 最终确认新型威胁, 为天津银行制定应对措施提供了依据。针对这种情况, 趋势科技为天津银行推荐了一套完整的邮件安全和APT防御解决方案, 其中一款产品便是最新推出的趋势科技深度威胁邮件安全网关DDEI。在测试之后, DDEI最终成为了天津银行新一代邮件安全系统的核心。
天津银行技术工程师表示:“与其他厂商同类产品通过匹配特征库等方式识别垃圾邮件、病毒邮件相比, 趋势科技的邮件安全解决方案更完整、更有效、更先进, 不仅对垃圾邮件、病毒邮件进行特征的比对处理, 还拥有DDEI先进的恶意软件检测引擎。这有效地阻止了传统邮件安全或终端安全产品无法检测的社交工程钓鱼邮件、定向攻击、Web威胁、病毒、间谍软件、木马后门等高级未知恶意威胁, 为我们的数据安全提供了可靠保障。”
“两个第一”专为APT防御打造
据了解, 趋势科技DDEI是目前国内首款针对APT攻击的邮件类安全网关, 天津银行是国内采用APT邮件防御产品的金融机构之一。
从功能来看, DDEI帮助天津银行的监控人员检查所有邮件及附件, 侦测高级恶意软件与文件漏洞攻击, 涵盖各种文件类型与内容。
从能力来看, 天津银行除了在内部采用网络沙箱的智能化分析外, 还借助趋势科技云安全智能防护网络和大数据威胁分析情报, 与云端的全球威胁库比对和共享威胁。