基于APT入侵网络安全防护系统模型及其关键技术研究.docVIP

基于APT入侵网络安全防护系统模型及其关键技术研究 　　摘 要： 介绍了高级持续性威胁（APT）的攻击原理、特点和对传统入侵检测技术的挑战。依据APT攻击的方法和模式建立一种基于静态检测和动态分析审计相结合的访问控制多维度网络安全防护模型，并对防护模型的关键技术作了一定的研究和分析。 　　关键词： APT； 攻击； 防护； 访问控制 　　中图分类号： TN915.08?34； TP393 文献标识码： A 文章编号： 1004?373X（2013）17?0078?03 　　0 引 言 　　APT攻击，即高级持续性威胁（Advanced Persistent Threat，APT），指组织或者小团体，利用先进的复合式攻击手段对特定的数据目标进行长期持续性网络攻击的攻击形式[1]。APT是窃取核心资料为目的所发动的网络攻击和侵袭行为，其攻击方式比其他攻击方式更为隐蔽，在发动APT攻击前，会对攻击对象的业务流程和目标进行精确的收集，挖掘攻击对象受信系统和应用程序的漏洞。攻击者会针对性的进行潜心准备，熟悉被攻击者应用程序和业务流程的安全隐患，定位关键信息的存储方式与通信方式，使整个攻击形成有目的、有组织、有预谋的攻击行为。因此传统的入侵检测技术难以应对。 　　1 APT攻击技术特点及对传统入侵检测技术的挑战 　　APT攻击是结合了包括钓鱼攻击、木马攻击、恶意软件攻击等多种攻击的高端攻击模式，整个攻击过程利用包括零日漏洞、网络钓鱼、挂马等多种先进攻击技术和社会工程学的方法，一步一步地获取进入组织内部的权限[2]。原来的APT攻击主要是以军事、政府和比较关键性的基础设施为目标，而现在已经更多的转向商用和民用领域的攻击。从近两年的几起安全事件来看，Yahoo、Google、RSA、Comodo等大型企业都成为APT攻击的受害者。在2012年5月被俄罗斯安全机构发现的“火焰”病毒就是APT的最新发展模式，据国内相关安全机构通报，该病毒已于2012年6月入侵我国网络。 　　1.1 APT攻击的技术特点 　　APT攻击就攻击方法和模式而言，攻击者主要利用各种方法特别是社会工程学的方法来收集目标信息。其攻击主要有基于互联网恶意软件的感染、物理恶意软件的感染和外部入侵等三个入侵途径，其典型流程图如图1所示。就以2010年影响???围最广的GoogleAurora（极光）APT攻击，攻击者利用就是利用社交网站，按照社会工程学的方法来收集到目标信息，对目标信息制定特定性的攻击渗透策略，利用即时信息感染Google的一名目标雇员的主机，通过主动挖掘被攻击对象受信系统和应用程序的漏洞，造成了Google公司多种系统数据被窃取的严重后果。 　　从APT典型的攻击步骤和几个案例来看，APT不再像传统的攻击方式找企业的漏洞，而是从人开始找薄弱点，大量结合社会工程学手段，采用多种途径来收集情报，针对一些高价值的信息，利用所有的网络漏洞进行攻击，持续瞄准目标以达到目的，建立一种类似僵尸网络的远程控制架构，并且通过多信道、多科学、多级别的的团队持续渗透的方式对网络中的数据通信进行监视，将潜在价值文件的副本传递给命令控制服务器审查，将过滤的敏感机密信息采用加密的方式进行外传[3]。 　　1.2 APT攻击对传统检测技术的挑战 　　目前，APT攻击给传统入侵检测技术带来了两大挑战： 　　（1）高级入侵手段带来的挑战。APT攻击将被攻击对象的可信程序漏洞与业务系统漏洞进行了融合，由于其攻击的时间空间和攻击渠道不能确定的因素，因此在攻击模式上带来了大量的不确定因素，使得传统的入侵防御手段难以应对APT入侵手段。 　　（2）持续性攻击方式带来的挑战。APT是一种很有耐心的攻击形式，攻击和威胁可能在用户环境中存在很长的时间，一旦入侵成功则会长期潜伏在被攻击者的网络环境中，在此过程中会不断收集用户的信息，找出系统存在的漏洞，采用低频攻击的方式将过滤后的敏感信息利用数据加密的方式进行外传。因此在单个时间段上APT网络行为不会产生异常现象，而传统的实时入侵检测技术难以发现其隐蔽的攻击行为。 　　2 安全防护技术模型研究 　　由于APT攻击方式是多变的，以往的APT攻击模式和案例并不具有具体的参考性，但是从多起APT攻击案例的特点中分析来看，其攻击目的可以分为两方面：一是窃密信息，即窃取被攻击者的敏感机密信息；二是干扰用户行为两方面，即干扰被攻击者的正常行为。就APT攻击过程而言，最终的节点都是在被攻击终端。因此防护的最主要的目标就是敏感机密信息不能被非授权用户访问和控制。针对APT攻击行为，文中设计建立了一种基于静态检测和动态分析审计相结合的访问控制多维度防护模型，按照用户终端层、网络建模层和安全应用层自下而上地构建网络安全防护体系[4]，如图2所示。