【正文】 當(dāng)接收到特定指令，或者檢測(cè)到環(huán)境參數(shù)滿足一定條件時(shí)，惡意程序開始執(zhí)行預(yù)期的動(dòng)作。第四階段：橫向擴(kuò)展。在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī),使用包括傳遞哈希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松地訪問(wèn)和控制關(guān)鍵目標(biāo)。第五階段：資料發(fā)掘。為確保以后的數(shù)據(jù)竊取行動(dòng)中會(huì)得到最有價(jià)值的數(shù)據(jù)，APT會(huì)長(zhǎng)期低調(diào)地潛伏。這是APT長(zhǎng)期潛伏不容易被發(fā)現(xiàn)的特點(diǎn)，來(lái)挖掘出最多的資料，而且在這個(gè)過(guò)程當(dāng)中，通常不會(huì)是重復(fù)自動(dòng)化的過(guò)程，而是會(huì)有人工的介入對(duì)數(shù)據(jù)作分析，以做最大化利用。第六階段：資料竊取。APT是一種高級(jí)的、狡猾的伎倆，利用APT入侵網(wǎng)絡(luò)、逃避“追捕”、悄無(wú)聲息不被發(fā)現(xiàn)、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長(zhǎng)期訪問(wèn)，最終挖掘到攻擊者想要的資料信息。為了避免受害者推斷出攻擊的來(lái)源，APT 代碼需要對(duì)其在目標(biāo)網(wǎng)絡(luò)中存留的痕跡進(jìn)行銷毀，這個(gè)過(guò)程可以稱之為 APT 的退出。APT 根據(jù)入侵之前采集的系統(tǒng)信息，將滯留過(guò)的主機(jī)進(jìn)行狀態(tài)還原，并恢復(fù)網(wǎng)絡(luò)配置參數(shù)，清除系統(tǒng)日志數(shù)據(jù)，使事后電子取證分析和責(zé)任認(rèn)定難以進(jìn)行。 ATP的檢測(cè)APT攻擊是近幾年來(lái)出現(xiàn)的一種高級(jí)網(wǎng)絡(luò)攻擊，具有難檢測(cè)、持續(xù)時(shí)間長(zhǎng)和攻擊目標(biāo)明確等特征。傳統(tǒng)基于攻擊特征的入侵檢測(cè)和防御方法在檢測(cè)和防御apt方面效果已經(jīng)變得很不理想了。所以要檢測(cè)出APT攻擊已成為許多企業(yè)所面臨的難題，因?yàn)锳PT種攻擊是以“隱形模式”進(jìn)行的。對(duì)于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動(dòng)機(jī)及傳播渠道，可是對(duì)于APT攻擊以點(diǎn)概面的安全檢測(cè)手段已顯得不合時(shí)宜，所以要想在APT攻擊還沒發(fā)生之前，事先檢測(cè)到APT攻擊是很困難的，面對(duì)APT攻擊威脅，我們應(yīng)當(dāng)有一套更完善更主動(dòng)更智能的安全防御方案，必須承認(rèn)APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗(yàn)，因此檢測(cè)APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個(gè)細(xì)節(jié)。并且該方案能夠識(shí)別和分析服務(wù)器和客戶端的微妙變化和異常。無(wú)論攻擊者的實(shí)施的計(jì)劃多么縝密，還是會(huì)留下點(diǎn)攻擊過(guò)程中的痕跡，通常就是我們所說(shuō)的刑事調(diào)查中的痕跡證據(jù)，這種證據(jù)并不明顯，甚至可能是肉眼看不見的。APT攻擊者為了發(fā)動(dòng)攻擊肯定會(huì)在系統(tǒng)的某處留下一些模糊的蹤跡，然而這些蹤跡在我們平時(shí)看來(lái)是正常的一些網(wǎng)絡(luò)行為，所以這就導(dǎo)致了我們很難檢測(cè)到APT攻擊。可是安全人員可以快速定位攻擊源頭，并做出對(duì)應(yīng)的安全防御策略，但是這些卻無(wú)法準(zhǔn)確提取APT攻擊屬性與特征。我們現(xiàn)在對(duì)抗 APT 的思路是以時(shí)間對(duì)抗時(shí)間。因?yàn)锳PT是在很長(zhǎng)時(shí)間內(nèi)才發(fā)生，也許一年，兩年，甚至五年，才可能發(fā)生，所以我們要在一段時(shí)間內(nèi)發(fā)現(xiàn)APT，還是很有難度的，需要對(duì)長(zhǎng)時(shí)間、全流量數(shù)據(jù)進(jìn)行深度分析，針對(duì)APT攻擊行為的檢測(cè)，需要構(gòu)建一個(gè)多維度的安全模型，還可以通過(guò)手動(dòng)檢查文件來(lái)識(shí)別一些微小的不易發(fā)現(xiàn)的標(biāo)記，并將這些標(biāo)記作為潛在惡意活動(dòng)的指示。通常APT攻擊會(huì)采用一些惡意程序文件名與常見Windows文件類似，讓我們很難發(fā)現(xiàn)。可是只要我們留心觀察，是可以識(shí)別文件名的細(xì)微區(qū)別的，例如使用大寫I代替小寫L。根據(jù)整個(gè)apt攻擊過(guò)程，圍繞APT的攻擊步驟提出具體的檢測(cè)方案。，一共分成五大模塊，沙箱檢測(cè)，異常檢測(cè)，威脅檢測(cè)，記憶檢測(cè)還有響應(yīng)。 檢測(cè)的整體流程圖該方案在一定程度上可以有效檢測(cè) APT 攻擊， 對(duì)攻擊方式進(jìn)行非特征匹配。攻擊者與防護(hù)者的信息不對(duì)稱， 因?yàn)锳PT攻擊具有極強(qiáng)的隱蔽性，所以要想發(fā)現(xiàn)APT攻擊如同大海撈針。 該智能沙箱法案， 通過(guò)對(duì)可能存在的異常行為進(jìn)行技術(shù)性識(shí)別， 檢測(cè)出存在高級(jí)威脅的問(wèn)題。 并且沙箱檢測(cè)與整個(gè)網(wǎng)絡(luò)運(yùn)行環(huán)境相關(guān)， 操作系統(tǒng)的類型、 瀏覽器的版本、 安裝的插件版本等都對(duì)沙箱檢測(cè)的結(jié)果起著影響。 因而導(dǎo)致沙箱檢測(cè)在這種情形下檢測(cè)不出來(lái)惡意代碼， 但是在另外一種情形下可能檢測(cè)出來(lái) 異常檢測(cè)模式： 異常檢測(cè)流程圖APT攻擊常使用端口跳變、應(yīng)用層加密等手段隱藏惡意流量特征，只有通過(guò)一系列的數(shù)據(jù)聚類才能發(fā)現(xiàn)異常，異常檢測(cè)是利用預(yù)先設(shè)定好特征庫(kù)或規(guī)則庫(kù)和用戶通過(guò)從賬號(hào)登錄的IP地址、時(shí)間、行為操作序列等特征的統(tǒng)計(jì)可得到該賬號(hào)的正常行為產(chǎn)生的數(shù)據(jù)量建立一個(gè)有效的模型。該模型通過(guò)匹配已知異常特征相的模式來(lái)檢測(cè)異常。該方案提出了在多種查詢條件下對(duì)流量數(shù)據(jù)進(jìn)行可視化分析，例如目的 IP 地址流量統(tǒng)計(jì)排序、目的端口流量統(tǒng)計(jì)排序等；并對(duì)對(duì)重要文件的操作及對(duì)應(yīng)的發(fā)生時(shí)間進(jìn)行審計(jì)。該方案的設(shè)計(jì)思維就好比現(xiàn)實(shí)生活中警察抓壞人的思維方式， 在沒有明確壞人的基本特征的情況下，那就對(duì)好人進(jìn)行行為模式的建構(gòu)， 當(dāng)一個(gè)人的行為模式偏離好人的正常范圍， 那么這個(gè)人就有可能是壞人，然后再對(duì)這個(gè)有可能是壞人的人進(jìn)行具體的檢測(cè)。該方案主要注重的是對(duì)元數(shù)據(jù)的提取， 以此對(duì)整個(gè)網(wǎng)絡(luò)流量的基本情況進(jìn)行檢測(cè)， 從而發(fā)現(xiàn)異常行為。通過(guò)對(duì)該主機(jī)流量進(jìn)行特征抽取，與其正常的流量模型比較，從而得到流量異常情況的概率值。 對(duì)于被識(shí)別為“異?！备怕手荡蟮牧髁啃畔?，將被推送到安全審計(jì)人員作進(jìn)一步分析[17]。對(duì)于員工賬號(hào)訪問(wèn)審計(jì)，并進(jìn)一步用于員工賬號(hào)訪問(wèn)異常檢測(cè)。 對(duì)于異常告警，安全審計(jì)人員需及時(shí)確認(rèn)原因；并對(duì)未能確認(rèn)原因的異常告警信息，尤其是異常流量警告信息，并及時(shí)聯(lián)系安全技術(shù)支持人員進(jìn)行近一步分析這種異常，從而發(fā)現(xiàn)APT攻擊，但是該檢測(cè)的缺點(diǎn)是不能檢測(cè)未知的異常,同時(shí)隨著異常種類越來(lái)越來(lái)多,導(dǎo)致特征庫(kù)越來(lái)越龐大,從而監(jiān)測(cè)性能也隨之下降。 威脅檢測(cè)技術(shù)： 威脅檢測(cè)流程圖該方案提供了一個(gè)統(tǒng)一的接口，可以在不同位置把相關(guān)的日志信息上傳，例如已發(fā)現(xiàn)的病毒或者木馬，可疑的網(wǎng)絡(luò)訪問(wèn)行為，異常的網(wǎng)絡(luò)流量等。在該模塊產(chǎn)生日志分析的基礎(chǔ)上，根據(jù)一些經(jīng)驗(yàn)規(guī)則或者自定義的規(guī)則，主動(dòng)的發(fā)現(xiàn)可能發(fā)生的安全威脅虛擬分析技術(shù)。傳統(tǒng)的檢測(cè)方案對(duì)某些附件或則可執(zhí)行文件對(duì)系統(tǒng)可能造成的影響沒有一個(gè)準(zhǔn)確的分析，往往會(huì)把一些文件隔離起來(lái)或者直接放過(guò)[20]。如果該文件是一個(gè)正常文件，隔離后，用戶需要額外的操作才能得到該文件；如果該文件是一個(gè)惡意文件，放過(guò)的話，就會(huì)對(duì)會(huì)對(duì)用戶的系統(tǒng)造成影響。因此，無(wú)論隔離還是放過(guò)，都會(huì)對(duì)用戶造成困擾。用戶通常不具備足夠的知識(shí)來(lái)判斷文件是否是惡意的。所以該方案是將文件放在沙盒中執(zhí)行，檢測(cè)該文件對(duì)系統(tǒng)的所有更改是否是有害的，如果對(duì)該系統(tǒng)沒有造成影響，就允許通過(guò)，如果有影響，或則會(huì)危害到系統(tǒng)的秘密信息，就該文件攔截。一份統(tǒng)一的威脅名單：根據(jù)威脅檢測(cè)技術(shù)和虛擬分析技術(shù)的結(jié)果，模擬APT攻擊，可以產(chǎn)生一個(gè)可疑的威脅名單或則一份APT攻擊記錄報(bào)表，并將其可以名單和記錄的APT攻擊報(bào)表及時(shí)的地反饋給安全人員報(bào)表系統(tǒng)：該系統(tǒng)根據(jù)不同的目的，提供不同的報(bào)表供 IT 安全管理人員查看。攔截病毒數(shù)量、本地病毒庫(kù)的更新狀態(tài)、已發(fā)現(xiàn)的潛在威脅、 病毒來(lái)源，或已知的攻擊等都屬于。通過(guò)進(jìn)行人工整合的工作，對(duì)不同的情況采取不同的措施。 基于記憶的檢測(cè)： 記憶檢測(cè)流程圖在檢測(cè)中APT 攻擊過(guò)程中，APT攻擊遺留下來(lái)的暴露點(diǎn)包括攻擊過(guò)程中的攻擊路徑和時(shí)序，APT 攻擊一般不會(huì)對(duì)系統(tǒng)的安全防御系統(tǒng)進(jìn)行暴力破解，攻擊過(guò)程的大部分貌似正常操作；不是所有的異常操作都能立即被檢測(cè)；被檢測(cè)到的異常也許是在APT攻擊過(guò)后才檢測(cè)到，因?yàn)锳PT具有很強(qiáng)的隱蔽性。基于記憶的檢測(cè)可以有效緩解上述問(wèn)題?；谟洃浀臋z測(cè)系統(tǒng)， 是由全流量審計(jì)與日志審計(jì)相結(jié)合形成的， 它對(duì)抗 APT 的關(guān)鍵方法就是以時(shí)間對(duì)抗時(shí)間[10]。APT 攻擊發(fā)生的時(shí)間很長(zhǎng)， 對(duì)APT攻擊的檢測(cè)是建立一個(gè)有效的時(shí)間窗， 所以可以對(duì)長(zhǎng)時(shí)間內(nèi)的數(shù)據(jù)流量進(jìn)行更為深入、 細(xì)致的分析。 全流量審計(jì)組要是對(duì)全過(guò)程流量施以應(yīng)用上的識(shí)別與還原， 從而檢測(cè)出異常的可能會(huì)對(duì)系統(tǒng)造成危害的行為。該記憶的檢測(cè)方案主要分成如下幾個(gè)步驟: （1）擴(kuò)大檢測(cè)范圍該方案對(duì)數(shù)據(jù)流量的檢測(cè)領(lǐng)域進(jìn)行拓展， 并將全流量數(shù)據(jù)進(jìn)行有效的存儲(chǔ)，對(duì)存儲(chǔ)的流量數(shù)據(jù)會(huì)進(jìn)行深入分析。 該方案采取擴(kuò)大檢測(cè)領(lǐng)域不但提高發(fā)現(xiàn)可疑行為的概率。還可以在發(fā)現(xiàn)異常情況后，利用原先的全流量的存儲(chǔ)， 將異常行為返回到與之相關(guān)的時(shí)間點(diǎn)。還可以為已經(jīng)發(fā)生的，但在分析時(shí)沒有受到安全管理員的重視，偶爾會(huì)出現(xiàn)可疑情況的數(shù)據(jù)流量進(jìn)行關(guān)聯(lián)性的技術(shù)分析，從而實(shí)現(xiàn)有效識(shí)別。往往這些不受重視的報(bào)警常常是攻擊者掩藏蓄謀已久的攻擊意圖的好地方（2）濃縮數(shù)據(jù)量對(duì)輸入的數(shù)據(jù)量進(jìn)行壓縮， 在全流量中的數(shù)據(jù)進(jìn)行篩選，將有用的信息刪選出來(lái)，并將與攻擊不相關(guān)聯(lián)的數(shù)據(jù)及時(shí)刪除，并保留與APT攻擊有關(guān)的數(shù)據(jù)流量， 將其有用數(shù)據(jù)弄成一個(gè)集合，壓縮對(duì)數(shù)據(jù)量，從而為檢測(cè)系統(tǒng)騰出更大的空間。 依靠數(shù)據(jù)流量的異常檢測(cè)模塊，篩選、 刪除一些無(wú)用的數(shù)據(jù)流量，從而進(jìn)一步提高檢測(cè)的性能（3）報(bào)警將原先保存下來(lái)的與APT攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行一個(gè)后續(xù)的詳細(xì)分析，制定相關(guān)的匹配規(guī)則。分析人員與分析儀器相互配合， 利用多維數(shù)據(jù)進(jìn)行可視化分析， 對(duì)可疑會(huì)話做好定位， 利用細(xì)粒度解析與應(yīng)用還原數(shù)據(jù)， 有效識(shí)別出異常的行為，如果有異常，報(bào)警模塊及時(shí)做出精確報(bào)警。從而識(shí)別出攻擊者將攻擊行為包裝成成正常行為的行為。（4）模擬攻擊安全管理員將識(shí)別出的報(bào)警數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析， 明確這些報(bào)警數(shù)據(jù)與APT攻擊之間存在的語(yǔ)義關(guān)系，并將孤立的攻擊報(bào)警從海量的報(bào)警中提取出來(lái)，根據(jù)關(guān)聯(lián)特征組建攻擊場(chǎng)景相關(guān)的知識(shí)庫(kù)，對(duì)識(shí)別出的報(bào)警與之相匹配、對(duì)照，構(gòu)建 APT攻擊，如果構(gòu)建成功，則APT攻擊被發(fā)現(xiàn)，并將其記錄。接下來(lái)就是做出進(jìn)一步的防護(hù)第四章 APT防護(hù)方案設(shè)計(jì) 網(wǎng)絡(luò)拓?fù)鋱D： 沒加防護(hù)設(shè)備的網(wǎng)絡(luò)拓?fù)鋱D，主要?jiǎng)澐謨蓚€(gè)網(wǎng)段，，是主要的攻擊目標(biāo)。其中內(nèi)網(wǎng)包括PC機(jī)和服務(wù)器，外網(wǎng)就只有PC機(jī)。 存在的威脅（1）外網(wǎng)帶來(lái)的威脅外網(wǎng)的威脅可能有木馬、病毒、蠕蟲，他們會(huì)正常的隱藏在word，等正常的軟件中。這些威脅也許會(huì)通過(guò)U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播。主機(jī)IP地址和MAC地的威脅，因?yàn)樗鼈兒苋菀妆淮鄹模斐蛇\(yùn)行與維護(hù)上的不安全，刻錄機(jī)帶來(lái)的安全風(fēng)險(xiǎn)。還有隨著手機(jī)、平板電腦的流行而帶來(lái)的移動(dòng)設(shè)備管理等問(wèn)題。最常見的還有遠(yuǎn)程辦公帶來(lái)的安全威脅。（2）內(nèi)網(wǎng)帶來(lái)的威脅內(nèi)部成員之間重要文檔在傳輸過(guò)程中帶來(lái)的安全問(wèn)題，當(dāng)某個(gè)不具備某文檔閱讀權(quán)限的內(nèi)部員工可能會(huì)接觸、打開、復(fù)制、打印該文檔，這樣就有可能造成文件的泄露。還有將自帶設(shè)備帶入內(nèi)部網(wǎng)絡(luò)，并自動(dòng)攻擊內(nèi)部主機(jī)、服務(wù)器，并將重要資料復(fù)制到自帶的設(shè)備中，并通過(guò)外網(wǎng)回傳到黑客指定地址。員工的U盤、移動(dòng)硬盤、光盤也有可能在外部感染木馬，從而攻擊內(nèi)網(wǎng)中的主機(jī)、服務(wù)器，然后將數(shù)據(jù)傳到外部。對(duì)服務(wù)器、應(yīng)用系統(tǒng)的資源占用、響應(yīng)無(wú)實(shí)時(shí)監(jiān)控手段。主機(jī)、應(yīng)用系統(tǒng)登錄安全問(wèn)題。管理員權(quán)限過(guò)大，可通過(guò)在交換機(jī)鏡像或ARP欺騙的方式捕獲內(nèi)部人員的賬號(hào)和密碼，管理員可直接在服務(wù)器上讀取OA、EMail等的敏感信息。管理員可直接接觸到核心數(shù)據(jù)庫(kù)，容易產(chǎn)生誤操作，或惡意操作。蠕蟲、病毒，往往會(huì)掃描服務(wù)器，從而造成信息泄漏，低權(quán)限管理員有可能利用此權(quán)限，進(jìn)行越權(quán)、高危操作。 內(nèi)網(wǎng)的安全的防護(hù)（1）訪問(wèn)控制配置訪問(wèn)控制策略，對(duì)網(wǎng)絡(luò)進(jìn)行訪問(wèn)控制，并且在內(nèi)網(wǎng)中應(yīng)該不要使用無(wú)線網(wǎng)，無(wú)線網(wǎng)絡(luò)存在諸多安全隱患，而且不方便集中管理上網(wǎng)用戶，為了避免攻擊者通過(guò)無(wú)線網(wǎng)絡(luò)滲透進(jìn)內(nèi)網(wǎng)或者機(jī)密資料被竊取，所以應(yīng)避免使用無(wú)線網(wǎng)絡(luò)。（2）架設(shè)入侵檢測(cè)系統(tǒng)利用入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)的安全情況進(jìn)行全天的監(jiān)測(cè)，網(wǎng)絡(luò)安全管理員應(yīng)該定期對(duì)網(wǎng)絡(luò)進(jìn)行模擬滲透，即使發(fā)現(xiàn)系統(tǒng)漏洞，然后針對(duì)漏洞做出相應(yīng)的加固方案。（3）PC補(bǔ)丁管理服務(wù)器WSUS支持微軟的全部產(chǎn)品的更新，以及補(bǔ)丁程序。部署WSUS服務(wù)器，幫助內(nèi)部網(wǎng)絡(luò)的用戶機(jī)及時(shí)、快速地更新/升級(jí)wind