智慧型檢測系統更快發現APT攻擊

本文講的是智慧型檢測系統更快發現apt攻擊，當前，高階持續性威脅(apt，advanced persistent threat)已成為各級各類網路所面臨的主要安全威脅。它使網路威脅從散兵游勇式的隨機攻擊變成有目的、有組織、有預謀的群體式攻擊，使傳統的以實時檢測、實時阻斷為主體的防禦方式難以再發揮作用。因此，在對抗中，我們必須轉變思路，採取新的形式。

一、apt對傳統檢測技術形成的挑戰

正如其名稱所體現出來的含義，apt為傳統檢測技術帶來了兩大難題：

a(advanced)難題：即高階入侵手段帶來的難題。相比傳統攻擊手法，apt攻擊具有單點隱蔽能力強、攻擊空間路徑不確定、攻擊渠道不確定等特點，使得傳統的基於特徵匹配的邊界防禦技術難以施效。

p(persistent)難題：即持續性攻擊帶來的難題。典型的apt在攻擊時間上具有長持續性，一旦入侵成功則長期潛伏，尋找合適的機會外傳敏感資訊，而在單個時間點上卻無明顯異常，使得基於單個時間點的實時檢測技術難以應對。

從博弈雙方看，攻方可借助跳板隱藏自身，在入侵成功後刪除目標主機上的日誌資訊，隱藏攻擊過程;對檢測方而言，只有在攻方與目標之間的通訊鏈路是可控的。從鏈路中獲取的流量真實完整地記錄攻擊過程且不會被攻方躲避和篡改。從鏈路流量中檢測apt攻擊是可行的辦法，這也是當前的主流方案。

二、當前業內apt檢測方案對比

沙箱方案：為解決特徵匹配對新型攻擊的滯後性而產生的解決方案。其原理是將實時流量先引入虛擬機器或沙箱，通過對沙箱的檔案系統、程序、登錄檔、網路行為實施監控，判斷流量中是否包含惡意**。同傳統的特徵匹配技術相比，沙箱方案對未知惡意**具有較好的檢測能力，但其難點在於模擬的客戶端型別是否全面，如果缺乏合適的執行環境，會導致流量中的惡意**在檢測環境中無法觸發，造成漏報。

異常檢測方案;為解決特徵匹配和實時檢測不足而產生的解決方案。其原理是通過對網路中的正常行為模式建模而識別異常。核心技術包括元資料提取、正常行為建模和異常檢測演算法。該方案同樣能夠檢測未知攻擊，但檢測效率依賴於背景流量中的業務模式，如果業務模式發生偏差，則會導致較高的漏報與誤報。

上述異常檢測方案、全流量審計方案底層都要依靠大資料處理技術。通過對國際上主流產品的調研，我們發現目前此類產品的處理能力可支援10g頻寬及10tb級的海量儲存，以及對上千種協議的應用識別與深層解析，具備常見應用如http頁面、流**、im等的還原能力，同時具備規則匹配能力和異常檢測能力。

三、基於記憶的智慧型檢測系統

有了全流量審計，我們很自然地會面臨接下來的問題：傳統的檢測產品和平台還有必要嗎?在全流量都被審計的前提下，還需要進行傳統的攻擊檢測嗎?

首先，需要全流量檢測，因為傳統的檢測技術只解決了「what」的問題，沒有解決「how」和「how much」的問題。使用檢測產品雖然可以檢測到特定的攻擊，但檢測不到攻擊的細節(如：具體的攻擊流量是什麼)及攻擊的進展程度(如：目標是否已被入侵)。通過全流量審計，這些問題都可以找到答案。

此外，也需要傳統檢測技術，因為在對全流量進行審計時，需在海量資料中找到分析任務的聚焦點。乙個百兆的網路，22個小時的流量就達1tb，如果沒有任何指示資訊，在如此海量的資料中進行攻擊檢測猶如大海撈針。此時，傳統檢測技術的作用則類似於「觸發器」與「探照燈」，當檢測到apt行為的蛛絲馬跡時，結合全流量審計進行回溯與深度分析，則可建立完整的攻擊場景。

在全流量審計的輔助下，傳統的檢測產品將對歷史流量具備「記憶」能力，形成基於記憶的智慧型檢測系統，其檢測物件不再是實時時間點，而是歷史時間窗;對於漏報的攻擊行為，也可通過對歷史流量進行回溯審查的方式進行二次檢測和關聯分析，從而具備更強大的檢測能力。

總之，對於apt這種攻擊模式，傳統的檢測技術難以應對，我們的對抗策略是以時間對抗時間，對長時間、全流量資料進行深度分析，以解決傳統的特徵匹配與實時檢測的不足。全流量儲存與現有檢測技術相結合，形成了新一代基於記憶的智慧型檢測系統，這使得我們可在長時間視窗上對流量進行回溯分析，提公升對apt攻擊的檢測能力。

海浪

智慧型檢測系統更快發現APT攻擊

卡巴斯基遭遇APT攻擊隱藏數月未被發現

實時檢測攻擊行為 9種IDS入侵檢測系統方法

美開發出能發現針對網路控制系統的網路攻擊的軟體

智慧型檢測系統更快發現APT攻擊

卡巴斯基遭遇APT攻擊 隱藏數月未被發現

實時檢測攻擊行為 9種IDS入侵檢測系統方法

美開發出能發現針對網路控制系統的網路攻擊的軟體

相關推薦

卡巴斯基遭遇APT攻擊隱藏數月未被發現