传统网络安全防御面临的新威胁：APT攻击.docVIP

传统网络安全防御面临的新威胁：APT攻击 　　【 摘 要 】 高级持续威胁（APT）攻击不断被发现，传统网络安全防御体系很难防范此类攻击，由此给国家、社会、企业、组织及个人造成了重大损失和影响。对近几年典型APT攻击事件和攻击代码进行了研究，分析了攻击的产生背景、技术特点和一般流程。彻底防御APT攻击被认为是不可能的，重视组织面临的攻击风险评估，建立新的安全防御体系，重点保护关键数据成为共识。为此，提出了建立一种新的安全防御体系，即安全设备的联动、安全信息的共享、安全技术的协作，并给出了基于社会属性、应用属性、网络属性、终端属性及文件属性的多源态势感知模型，以及安全信息共享和安全协作的途径。 　　【 关键词 】 高级持续威胁；社交网络；态势感知；信息安全 【中图分类号】 TP393 　　The New Threat to Traditional Network Security Defense： APT Attack 　　Lin Long-cheng Chen Bo Guo Xiang-min 　　（1.Jiangsu Research Center of Information Security Privacy Technology JiangsuNanjing 210023； 　　2.School of Computer Science and Technology Nanjing Normal University JiangsuNanjing 210023） 　　【 Abstract 】 Advanced Persistent Threat （APT） attacks are continually to be discovered， unfortunately traditional network security defense system can hardly prevent these attacks. So the APT attacks have caused significant damage and impact to the country， society， enterprises， organizations and individuals. Studying the typical APT attacks in recent years and analyzing the background， technical features and attack process confirmed that it is considered impossible to defense APT thoroughly. It has become a consensus to pay attention to the risk assessment， establish a new security defense system and focus on the protecting the critical information assets. So a situational awareness model based on multi-source data is proposed considering social property， application property， network property， terminal property and file property. Meanwhile， cases of secure information sharing and security collaboration are introduced. 　　【 Keywords 】 advanced persistent threat； social network； situational awareness； information security 　　1 引言 　　自2007年以来，高级持续威胁（Advanced Persistent Threat，APT）攻击不断被发现，如2009年的Ghost Net攻击，专门盗取各国大使馆、外交部等政府机构以及银行的机密信息，两年内就已渗透到至少103个国家的1295台政府和重要人物的电脑中；2010年6月，Stuxnet首次被发现，是已知的第一个以关键工业基础设施为目标的蠕虫，其感染并破坏了伊朗纳坦兹核设施，并最终使伊朗布什尔核电站推迟启动；2011年9月发现的Duqu病毒，被用来从工业控制系统制造商收集情报信息，目前已监测到来自法国、荷兰、瑞士及印度等8个国家的6家组织受到该病毒感染；2012年5月