引言

APT 攻擊，即高級持續性威脅（Advanced PersistentThreat,APT），指組織或者小團體，利用先進的復合式攻擊手段對特定的數據目標進行長期持續性網絡攻擊的攻擊形式。APT是竊取核心資料為目的所發動的網絡攻擊和侵襲行為，其攻擊方式比其他攻擊方式更為隱蔽，在發動APT攻擊前，會對攻擊對象的業務流程和目標進行精確的收集，挖掘攻擊對象受信系統和應用程序的漏洞。攻擊者會針對性的進行潛心準備，熟悉被攻擊者應用程序和業務流程的安全隱患，定位關鍵信息的存儲方式與通信方式，使整個攻擊形成有目的、有組織、有預謀的攻擊行為。因此傳統的入侵檢測技術難以應對。

1 APT攻擊技術特點及對傳統入侵檢測技術的挑戰

APT攻擊是結合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊等多種攻擊的高端攻擊模式，整個攻擊過程利用包括零日漏洞、網絡釣魚、掛馬等多種先進攻擊技術和社會工程學的方法，一步一步地獲取進入組織內部的權限。原來的APT攻擊主要是以軍事、政府和比較關鍵性的基礎設施為目標，而現在已經更多的轉向商用和民用領域的攻擊。從近兩年的幾起安全事件來看，Yahoo、Google、RSA、Comodo等大型企業都成為APT攻擊的受害者。在2012年5月被俄羅斯安全機構發現的“火焰”病毒就是APT的最新發展模式，據國內相關安全機構通報，該病毒已于2012年6月入侵我國網絡。

1.1 APT攻擊的技術特點

APT攻擊就攻擊方法和模式而言，攻擊者主要利用各種方法特別是社會工程學的方法來收集目標信息。

其攻擊主要有基于互聯網惡意軟件的感染、物理惡意軟件的感染和外部入侵等三個入侵途徑，其典型流程圖如圖1 所示。就以2010 年影響范圍最廣的GoogleAurora（極光）APT攻擊，攻擊者利用就是利用社交網站，按照社會工程學的方法來收集到目標信息，對目標信息制定特定性的攻擊滲透策略，利用即時信息感染Google的一名目標雇員的主機，通過主動挖掘被攻擊對象受信系統和應用程序的漏洞，造成了Google公司多種系統數據被竊取的嚴重后果。

從APT典型的攻擊步驟和幾個案例來看，APT不再像傳統的攻擊方式找企業的漏洞，而是從人開始找薄弱點，大量結合社會工程學手段，采用多種途徑來收集情報，針對一些高價值的信息，利用所有的網絡漏洞進行攻擊，持續瞄準目標以達到目的，建立一種類似僵尸網絡的遠程控制架構，并且通過多信道、多科學、多級別的的團隊持續滲透的方式對網絡中的數據通信進行監視，將潛在價值文件的副本傳遞給命令控制服務器審查，將過濾的敏感機密信息采用加密的方式進行外傳[3].

1.2 APT攻擊對傳統檢測技術的挑戰

目前，APT 攻擊給傳統入侵檢測技術帶來了兩大挑戰：

（1）高級入侵手段帶來的挑戰。APT攻擊將被攻擊對象的可信程序漏洞與業務系統漏洞進行了融合，由于其攻擊的時間空間和攻擊渠道不能確定的因素，因此在攻擊模式上帶來了大量的不確定因素，使得傳統的入侵防御手段難以應對APT入侵手段。

（2）持續性攻擊方式帶來的挑戰。APT是一種很有耐心的攻擊形式，攻擊和威脅可能在用戶環境中存在很長的時間，一旦入侵成功則會長期潛伏在被攻擊者的網絡環境中，在此過程中會不斷收集用戶的信息，找出系統存在的漏洞，采用低頻攻擊的方式將過濾后的敏感信息利用數據加密的方式進行外傳。因此在單個時間段上APT網絡行為不會產生異常現象，而傳統的實時入侵檢測技術難以發現其隱蔽的攻擊行為。

2 安全防護技術模型研究

由于APT攻擊方式是多變的，以往的APT攻擊模式和案例并不具有具體的參考性，但是從多起APT攻擊案例的特點中分析來看，其攻擊目的可以分為兩方面：一是竊密信息，即竊取被攻擊者的敏感機密信息；二是干擾用戶行為兩方面，即干擾被攻擊者的正常行為。就APT攻擊過程而言，最終的節點都是在被攻擊終端。因此防護的最主要的目標就是敏感機密信息不能被非授權用戶訪問和控制。針對APT攻擊行為，文中設計建立了一種基于靜態檢測和動態分析審計相結合的訪問控制多維度防護模型，按照用戶終端層、網絡建模層和安全應用層自下而上地構建網絡安全防護體系，如圖2所示。

2.1 安全防護模型技術

整個安全防護服務模型采用靜態檢測和動態分析的技術手段實時對網絡數據包全流量監控。靜態檢測主要是檢測APT攻擊的模式及其行為，審計網絡帶寬流量及使用情況，對實時獲取的攻擊樣本進行逆向操作，對攻擊行為進行溯源并提取其功能特征。動態分析主要是利用所構建的沙箱模型對網絡傳輸文件進行關鍵字檢測，對Rootkit、Anti-AV等惡意程序實施在線攔截，對郵件、數據包和URL中的可疑代碼實施在線分析，利用混合型神經網絡和遺傳算法等檢測技術對全流量數據包進行深度檢測，結合入侵檢測系統審核文件體，分析系統環境及其文件中異常結構，掃描系統內存和CPU的異常調用。在關鍵位置上檢測各類API鉤子和各類可能注入的代碼片段。

2.2 安全防護模型結構

用戶終端層是整個模型的基礎設施層，它主要由用戶身份識別，利用基于用戶行為的訪問控制技術對用戶的訪問實施驗證和控制，結合用戶池和權限池技術，訪問控制系統可以精確地控制管理用戶訪問的資源和權限，同時訪問者根據授權和訪問控制原則訪問權限范圍內的信息資源。

網絡建模層是整個安全防護模型的核心。由內網資源表示模型和多種安全訪問控制服務模型共同構成。

采用對內部資源形式化描述和分類的內網資源表示模型為其他安全子模型提供了基礎的操作平臺。結合安全存儲、信息加密、網絡數據流監控回放、操作系統安全、入侵檢測和信息蜜罐防御，以整個內網資源為處理目標，建立基于訪問控制技術的多維度安全防御保障體系。

安全應用層是整個安全防護模型的最高層，包括操作審計、日志審查、病毒防御、識別認證、系統和網絡管理等相關應用擴展模塊。在用戶終端層和網絡建模層的基礎上構建整個安全防護系統的安全防護服務。

基于APT入侵建立安全防護模型，最關鍵的就是在現有安全模型上建立用戶身份識別，用戶行為管控和網絡數據流量監控的機制，建立安全防護模型的協議和標準的安全防御體系，并為整個安全解決方案和網絡資源安全實現原型。

3 網絡安全防護的關鍵技術

3.1 基于網絡全流量模塊級異域沙箱檢測技術

原理是將整個網絡實時流量引入沙箱模型，通過沙箱模型模擬網絡中重要數據終端的類型和安全結構模式，實時對沙箱系統的文件特征、系統進程和網絡行為實現整體監控，審計各種進程的網絡流量，通過代碼檢查器掃描威脅代碼，根據其危險度來動態綁定監控策略。利用動態監控對跨域調用特別是系統調用以及寄存器跳轉執行進行監控和限制，避免由于威脅代碼或程序段躲過靜態代碼檢查引起的安全威脅。但整個模型的難點在于模擬的客戶端類型是否全面，如果缺乏合適的運行環境，會導致流量中的惡意代碼在檢測環境中無法觸發，造成漏報。

3.2 基于身份的行為分析技術

其原理是通過發現系統中行為模式的異常來檢測到入侵行為。依據正常的行為進行建模，通過當前主機和用戶的行為描述與正常行為模型進行比對，根據差異是否超過預先設置的閥值來判定當前行為是否為入侵行為，從而達到判定行為是否異常的目的。其核心技術是元數據提取、當前行為的分析，正常行為的建模和異常行為檢測的比對算法，但由于其檢測行為基于背景流量中的正常業務行為，因而其閥值的選擇不當或者業務模式發生偏差可能會導致誤報。

3.3 基于網絡流量檢測審計技術

原理是在傳統的入侵檢測機制上對整個網絡流量進行深層次的協議解析和數據還原。識別用于標識傳輸層定義的傳輸協議類型，解析提取分組中所包含的端口字段值，深度解析網絡應用層協議信息，尋找符合特定的特征簽名代碼串。利用網絡數據層流量中交互信息的傳輸規律，匹配識別未知協議，從而達到對整個網絡流量的數據檢測和審計。利用傳統的入侵檢測系統檢測到入侵攻擊引起的策略觸發，結合全流量審計和深度分析還原APT攻擊場景，展現整個入侵行為的攻擊細節和進展程度。

3.4 基于網絡監控回放技術

原理是利用云存儲強大的數據存儲能力對整個網絡數據流量進行在線存儲，當檢測到發生可疑的網絡攻擊行為，可以利用數據流量回放功能解析可疑攻擊行為，使整個基于時間窗的網絡流量監控回放技術形成具有記憶功能的入侵檢測機制，利用其檢測機制確認APT攻擊的全過程。比如可以對網絡傳輸中的郵件、可疑程序、URL中的異常代碼段實施檢測分析，監控整個網絡中異常加密數據傳輸，從而更快地發現APT攻擊行為。

若發生可疑行為攻擊漏報時，可以依據歷史流量進行多次分析和數據安全檢測，形成更強的入侵檢測能力。由于采用全流量的數據存儲，會顯著影響高速的數據交換入侵檢測中其系統的檢測處理和分析能力，在這方面可能還存在一定的技術差距。

4 結語

用傳統的入侵檢測手段很難檢測到APT攻擊。因此檢測的策略是要在大量網絡數據中發現APT攻擊的蛛絲馬跡，通過沙箱模型、網絡流量檢測審計和網絡監控回放技術結合入侵檢測系統和信息蜜罐技術，形成基于記憶的智能檢測系統，利用網絡流量對攻擊行為進行溯源操作，結合工作流程對相關數據進行關聯性分析，提高對APT攻擊的檢測能力，及時發現網絡中可能存在的APT 攻擊威脅。在下一步工作中，要結合當前云技術，在企業內部搭建專屬的私有安全網絡，建立可信程序基因庫，完善私有云在防范APT攻擊的應用。