针对APT攻击防御策略研究.docVIP

针对APT攻击防御策略研究 　　【 摘 要 】 全球范围的APT攻击事件频发，严重危害着各国政府部门、组织、公司的网络信息安全，传统网络安全防御体系对于APT攻击而言形同虚设，因此针对APT攻击的防御策略已成为业界研究热点。该文概括介绍了APT的定义、APT攻击特点及步骤，分析了现有网络安全防御体系缺陷，研究总结了针对APT攻击的防御策略。 　　【 关键词 】 APT攻击；网络安全防御；检测；策略 　　【 Abstract 】 Worldwide APT attacks happened frequently， which endanger the network information security of government departments， organizations and companies. Traditional network security defense system for APT attacks can be evaded. Therefore， the defense strategies for APT attacks have become the research hot spot. This paper introduces the definition， the characteristics and the steps of APT attack， analyzes the defects of existing network security defense system ， researches and summarizes the defense strategies for APT attacks. 　　【 Keywords 】 apt attacks； network security defense； detection； strategies 　　1 引言 　　APT（Advanced Persistent Threat）即高级持续性威胁，利用先进、复杂的方法和技术对特定目标进行长期、持续性的网络攻击，从受害目标中窃取机密信息。自2010年伊朗核设施遭遇“震网”病毒攻击的报道中首次引入APT概念以来，各国一些政府部门、组织、公司等陆续被曝遭遇APT攻击，这些事件分别对国家安全、企业运转、社会生活等各方面产生了不同程度的影响，APT成为信息安全领域新的巨大威胁，令计算机网络安全传统防御无法应对。因此，针对APT攻击的防御策略日益成为人们研究的热点。 　　2 APT特点及步骤 　　APT的特点正如其名，包括先进性、持久性和威胁性。此外，由于APT以持续窃取目标机密信息为主要目的，势必还具备隐蔽性、目标性和强适应性。 　　（1）先进性。因为攻击者知晓像SQL注入、木马这样的单一入侵方法通常会被传统IDS或防火墙阻挡，所以当攻击者启动一个APT计划，往往会结合多种入侵方法、技术和工具展开攻击。与传统入侵方法相比，APT攻击更加复杂且更具技术含量。 　　（2）持久性。与传统黑客不同，APT攻击者进行攻击并非为了一时证明能力、报复或者牟取暴利，他们的目标是从目标网络中窃取机密信息。在完全获得其所需的信息之前，他们会长时间对目标网络发动攻击，这一过程可能长达数月甚至数年。 　　（3）威胁性。APT攻击者一般受组织甚至国家所雇用，有足够资金和技术支持来完成其计划，成功率较高；此外，APT攻击的动机一般是经济利益或国家利益等，其结果必定是致命的。因此，对于受害目标乃至潜在利益主体而言，APT攻击具有极大的威胁性。 　　（4）隐秘性。APT攻击一般会以各种方式巧妙绕过已有的入侵检测系统，悄然入侵目标网络。而且，为了在目标内部长时间获取信息，通常会尽可能地减少明显的攻击行为以及所留痕迹，隐秘窃取所需信息。 　　（5）目标性。APT攻击具有明确对象和目的，包括范围、目标属性、时间限制和终止条件等。 　　（6）强适应性。APT攻击目标的网络安全防护工作一般比较完善且稳妥，APT攻击者需要依据目标网络建设情况及防护方法采取合适的攻击方式，并且在目标网络环境变化之时动态调整以获得最好的攻击、控制效果。 　　通过对已曝光APT攻击的分析，一般将APT攻击分为六个步骤，即信息收集、初始攻击、命令和控制、横向移动、数据挖掘和任务完成。 　　（1）信息收集。APT攻击之初，攻击者会收集目标业务流程、内部人际关系、目标系统使用情况等各种信息，以确定如何来突破目标。他们通常会关注目标组织的雇员，此方法简单而有效。 　　（2）初始攻击。信息收集之后，攻击者将开始入侵目标网络，常常利用社会工程、鱼叉式钓鱼攻击、水坑攻击、零日漏洞等来进行。攻击者会进行间断性的攻击尝试，直