基于APT入侵的网络安全防护系统模型及其关键技术研究
浅析APT攻击检测与防护策略
浅析APT攻击检测与防护策略作者:王在富来源:《无线互联科技》2014年第03期摘要:PT攻击对现有安全防护体系带来了巨大的挑战,成为信息安全从业人员重点关注的对象。
本文分析了APT攻击特点、流程,提出了相应的检测和防御思路。
关键词:APT攻击;攻击检测;攻击流程;防护技术1 引言高级持续性威胁APT(Advanced Persistent Threat)是当前信息安全产业界的热点,是指黑客针对特定目标以窃取核心资料为目的所发动的网络攻击和侵袭行为,这种行为往往经过长期的经营与策划并具备高度的隐蔽性,是一种蓄谋已久的“恶意商业间谍威胁”。
目前,APT成为了网络安全人员最受瞩目的关键词之一,在一些国家,APT攻击已经成为国家网络安全防御战略的重要环节,针对APT攻击行为的检测与防御,也自然成为了至关重要也是最基础的组成部分。
2 APT攻击的技术特点APT在攻击的流程上,同普通网络攻击行为并无明显区别,但APT的攻击手法在于隐匿攻击者的踪迹并针对特定对象进行长期、有计划性和组织性地渗透,直到成功窃取数据,因此具备更强的破坏性:⑴攻击技术的隐蔽性:为了躲避传统检测设备,APT更加注重攻击技术及行为的隐蔽性。
针对攻击目标,发动APT攻击的黑客往往不是为了在短时间内获利,甚至可以长期隐蔽。
例如通过隐蔽通道、加密通道避免网络行为被检测,或者通过伪造合法签名的方式避免恶意代码文件本身被识别,这就给传统基于签名的检测带来很大困难。
⑵攻击时间的持续性:APT攻击分为多个步骤,攻击者会进行长时间的潜心准备。
在已经发生的典型APT攻击中,攻击者从最初的信息搜集,到信息窃取并外传往往要经历几个月或者更长的时间,整体攻击过程甚至持续数年之久。
而传统的检测方式是基于单个时间点的实时检测,难以对跨度如此长的攻击进行有效跟踪。
如2011年8月,暗鼠行动(Operation Shady RAT)被发现并披露出来,调查发现该攻击从2006年启动,在长达数年的持续攻击过程中,渗透并攻击了全球多达72个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等等。
APT攻防之十大要点
数字传媒研究·Researchon Digital MediaAPT 攻防之十大要点作者简介:丛海内蒙古自治区新闻出版广播影视科研所高级工程师丛海内蒙古自治区新闻出版广播影视科研所内蒙古呼和浩特市010050【摘要】以APT (Advanced Persistent Threat 高级持续威胁)为代表的下一代网络安全威胁,综合利用了AET、零日漏洞、社交工程等多种高级技术手段,主要的攻击目标为高价值企业以及国家国计民生的基础设施(能源、金融、电信、交通等),存在攻击手段复杂、潜伏时间较长、检测难度较高等特点,一旦爆发,轻则造成公司商业机密泄漏威胁公司生存、重则造成公司或者整个行业瘫痪,可以说APT 攻击深刻的威胁着我国各行业基础设施网络安全环境。
笔者提炼了APT 攻防的十个重点问题,通过使用大数据海量信息收集、机器学习、生成、分析异常信息;通过网络安全设备中的流探针、沙箱、终端探针和日志采集器等功能收集完整性统计信息,从而更有效、快速、准确的判定,避免APT 攻击相关问题并提出一些应对措施,期望对APT 攻防给出一个整体态势的了解。
【关键词】APT零日漏洞被入侵水坑攻击CIS【中图分类号】TN948【文献标识码】B【文章编号】2096-0751(2021)01-0009-08APT 高级持续性威胁的攻击具有极强的针对性,目标攻击触发之前通常会收集大量关于用户和目标系统使用情况的精确信息,信息情报收集的过程更是社会学、工程学、艺术学的完美展示;这种攻击行为具备长期性,会长期潜伏在企事业单位等内外网络中,具有极强的隐蔽能力;并具备很高的技术含量,采用各种组合的高级攻击手段和技术,使得检测APT 攻击是件非常困难的事情。
对于APT 攻击我们需要高度重视,任何疏忽大意都可能为信41息系统带来灾难性的破坏。
由于APT攻击所带来的巨大损失,很多安全公司纷纷推出自己的APT解决方案,连全球第一家信息技术研究和分析公司(Gartner Group公司)也从3个维度5个方面对APT防御方案进行分类,包括从终端、网络和载荷进行描述。
高级持久性威胁(APT)防御
高级持久性威胁(APT)防御高级持久性威胁(APT)是一种对信息系统和网络构成严重威胁的攻击形式。
APT攻击者通常是具有高度专业知识和资源的组织或个人,他们通过精心策划并长时间隐藏攻击活动,以获取敏感信息、窃取知识产权或破坏目标组织的运营。
为了预防APT攻击,组织需要实施一系列的防御措施。
1. 威胁情报和情报共享威胁情报是指关于攻击者活动和意图的信息。
它可以帮助组织了解APT攻击的最新趋势和技术,并提供对应的防御策略。
组织可以通过获取第三方的威胁情报或与其他组织进行情报共享来增强对APT攻击的预警和应对能力。
2. 强化身份和访问管理APT攻击者往往利用合法用户的身份和权限进行攻击。
为了减少这类风险,组织需要实施严格的身份验证和访问管理措施。
多因素身份验证、权限分级和监控用户行为等技术手段可以帮助组织检测和防范未经授权的访问。
3. 持续监控和入侵检测APT攻击通常具有高度隐蔽性和持久性。
组织需要建立实时监控系统,对网络流量、系统日志和用户行为进行持续监测,并利用入侵检测系统(IDS)和入侵防御系统(IPS)等工具及时发现并应对潜在的APT攻击。
4. 安全培训和意识提高员工是组织安全的第一道防线。
组织需要定期进行安全培训,提高员工对APT攻击和安全威胁的认识,培养员工的安全意识和报警意识。
员工了解常见的攻击手段和防御技巧,能够有效减少由于人为因素导致的安全漏洞。
5. 漏洞管理和补丁更新APT攻击者通常利用系统和应用程序的漏洞进行渗透。
组织需要及时收集、评估和修补系统漏洞,并确保及时安装厂商发布的安全补丁,以防止攻击者利用已知漏洞入侵系统。
6. 数据备份和灾难恢复在遭受APT攻击时,及时恢复业务运营至关重要。
组织需要定期备份关键数据,并建立紧急恢复计划。
当遭受攻击时,及时恢复数据和系统,以减少损失和恢复时间。
7. 多层防御和安全网络架构组织应该采用多层防御策略,构建安全网络架构。
包括防火墙、入侵防御系统、反病毒软件、数据加密、安全网关等技术手段的综合应用,能够提供覆盖面更广的安全防御。
apt 分析报告
分析报告:APT(高级持续性威胁)分析1. 引言APT(高级持续性威胁)是指那些利用高级技术手段进行攻击,并能够持续地渗透和控制目标系统的威胁活动。
本文将通过逐步的思考过程,从APT的概念、特征、常见攻击方式、检测与防范等方面,对APT进行分析。
2. APT的概念APT是一个广义的概念,一般用于描述那些高级、隐蔽和持久性的网络攻击活动。
与传统的网络攻击相比,APT更具有组织性、目标性和长期性。
APT的目标往往是政府机构、军事机构、金融机构和大型企业等拥有重要信息资产的组织。
3. APT的特征APT攻击具有以下几个特征: - 低调隐蔽:APT攻击者通常会采用高级的技术手段,如零日漏洞、社交工程等,以保持低调并避免被发现。
- 持久性:APT攻击者通过持续渗透目标系统,并控制关键节点,以确保长期的存在和操控能力。
- 高度组织化:APT攻击往往由高度组织化的团队执行,包括攻击者、开发者和后勤支持等角色。
- 针对性:APT攻击是有目标性的,攻击者会对目标进行精确的侦察和定制化的攻击策略。
4. APT的常见攻击方式APT攻击采用多种方式进行,其中常见的几种方式包括: - 零日漏洞利用:攻击者利用尚未被厂商修复的漏洞进行攻击,以绕过目标系统的防御机制。
- 社交工程:通过钓鱼邮件、诱导点击等方式,诱使目标用户提供敏感信息或下载恶意软件。
- 后门植入:攻击者通过植入后门程序,获取对目标系统的持久访问权限,并在需要时进行操控。
- 假冒认证:攻击者冒充合法用户或系统管理员,获取特权操作权限。
5. APT的检测与防范为了有效检测和防范APT攻击,可以采取以下措施: - 安全意识教育:加强员工的安全意识培训,提高对社交工程和钓鱼攻击的辨识能力。
- 持续监测和日志分析:建立完善的安全监测系统,对网络流量和系统日志进行实时监控和分析,及时发现异常活动。
- 漏洞管理和补丁更新:定期对系统和应用程序进行漏洞扫描,及时修复和更新相关的补丁。
基于APT特征的铁路网络安全性能研究
基于APT特征的铁路网络安全性能研究
郭梓萌;朱广劼;杨轶杰;司群
【期刊名称】《信息网络安全》
【年(卷),期】2024()5
【摘 要】为了探究新网络安全形势下APT攻击对铁路网络安全造成的影响,文章首
先分析APT攻击特点,提出融合APT过程的杀伤链模型,并据此总结APT攻击特点
及对铁路网络安全可能产生的影响;然后分析铁路网络架构,对铁路外部服务网架构
进行研究;最后根据提出的铁路网络模型图进行APT攻击建模,详细分析连接过程和
连接指数,通过连接指数反映网络性能,进而展示网络攻击对网络安全性能的影响。
仿真实验结果表明,APT攻击的发起对网络性能造成了显著不利影响,APT攻击产生
后,非法用户的网络连接指数平均提升5倍以上。对比实验表明,APT攻击产生后,非
法用户的连接指数比普通网络攻击平均提升2倍以上,这表明APT攻击的影响更加
严重。
【总页数】10页(P802-811)
【作 者】郭梓萌;朱广劼;杨轶杰;司群
【作者单位】中国铁道科学研究院集团有限公司研究生部;中国铁道科学研究院集
团有限公司电子计算技术研究所
【正文语种】中 文
【中图分类】TP309
【相关文献】
1.基于APT攻击链的网络安全态势感知2.基于APT入侵的网络安全防护系统模型
及其关键技术研究3.基于多特征的APT攻击检测关键技术研究4.基于APT组织攻
击行为的网络安全主动防御方法研究5.基于网络APT攻击防护的网络安全预警技
术
因版权原因,仅展示原文概要,查看原文内容请购买
基于大数据的APT检测及取证技术研究
基于大数据的APT检测及取证技术研究摘要:高级持续性威胁(APT,advanced persistent threat)已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为 APT 攻击防御领域的研究热点。
首先,结合典型 APT 攻击技术和原理,分析攻击的 6 个实施阶段,并归纳攻击特点;然后,综述现有 APT攻击防御框架研究的现状,并分析当前基于网络安全大数据分析的APT 攻击检测技术的研究内容与最新进展,指出相应技术在应对 APT 攻击过程中面临的挑战和下一步发展方向。
1.引言当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标性以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为 APT(Advanced Persistent Threat)攻击。
APT 攻击第一次曝光是在 2010年的Google“极光门”事件。
此后,APT 攻击事件不断频出,较为著名的有丰收行动、摩诃草事件、蔓灵花行动、白俄罗斯军事通讯社事件等。
APT 攻击的不断涌现给传统的安全防御技术带到巨大挑战,许多传统防御技术在 APT 攻击过程中丧失了防御能力。
随着APT 攻击越演越烈,各国的政府部门、世界各大 IT 公司和信息安全厂商均开始投入到APT 攻击与防御的研究中,力图在这场 APT 攻防之战中掌握主动权,以改善 APT 防御落后于攻击技术的被动局面。
2.APT攻击概述2.1APT攻击特征作为一种不同于传统的攻击方式,APT攻击是一种可持久的一种网络攻击,攻击的目标主要是集中在政府部门和一些特定的企业,例如通信行业,能源行业,由于APT的攻击不仅仅是目前我们所知的一种单一的网络入侵方式,它是集成多种传统网络入侵的手段,并融合多方面深层次的网络渗透来越过传统的防御方法,目前市场上的大多软件和设备都不能很好的防御。
APT攻击具有如下的特点:1)攻击目标明确APT的攻击是十分明确的,是针对某些特定组织的有计划的攻击,主要用于窃取核心的数据,文件的各种资料,对于不同的目标有特定的方案,攻击过程中不断的调整最佳的数据窃取方案。
高级持续威胁(APT)攻击如何提早发现并防御
高级持续威胁(APT)攻击如何提早发现并防御随着互联网的快速发展,网络安全问题日益突出。
高级持续威胁(APT)攻击作为一种隐蔽性强、持续性长的攻击手段,给企业和个人的信息安全带来了巨大的威胁。
本文将介绍高级持续威胁攻击的特点,以及如何提早发现并防御这种攻击。
一、高级持续威胁(APT)攻击的特点高级持续威胁(APT)攻击是一种针对特定目标的、持续性的网络攻击手段。
与传统的网络攻击相比,APT攻击具有以下几个特点:1. 隐蔽性强:APT攻击往往采用高度隐蔽的手段进行攻击,如使用零日漏洞、定制化的恶意软件等,以避开传统安全防护措施的检测。
2. 持续性长:APT攻击是一种长期持续的攻击手段,攻击者会通过多个阶段的攻击行为逐步获取目标系统的控制权,并持续进行信息窃取、操控等活动。
3. 针对性强:APT攻击往往是针对特定目标进行的,攻击者会事先对目标进行充分的情报收集,以便更好地进行攻击。
二、如何提早发现APT攻击要提早发现APT攻击,需要采取以下几个措施:1. 加强入侵检测:建立完善的入侵检测系统,及时发现异常行为。
可以通过网络流量分析、日志分析等手段,对网络中的异常流量、异常行为进行监测和分析。
2. 定期进行安全审计:定期对系统进行安全审计,发现潜在的安全风险。
可以通过对系统日志、访问记录等进行分析,及时发现异常行为。
3. 加强对外部威胁情报的收集:及时了解外部的威胁情报,包括新型攻击手段、攻击者的行为特征等,以便更好地进行防御。
4. 建立安全事件响应机制:建立完善的安全事件响应机制,及时响应和处置安全事件。
可以通过建立安全事件响应团队、制定应急预案等方式,提高应对安全事件的能力。
三、如何防御APT攻击要有效防御APT攻击,需要采取以下几个措施:1. 加强网络安全防护:建立多层次的网络安全防护体系,包括防火墙、入侵检测系统、反病毒系统等。
同时,及时更新安全补丁,修复系统漏洞。
2. 加强身份认证和访问控制:采用强密码、多因素认证等方式,加强对用户身份的认证。
读书笔记APT网络攻击及防御
读书笔记:APT网络攻击及防御一、网络信息安全与网络攻击(一)信息安全定义:信息安全是指“防止信息被非授权地访问、使用、泄露、分解、修改和毁坏,以求保证信息的保密性、完整性、可用性和可追责性,使信息保障能正确实施、信息系统能正常运行、信息服务能满足要求”。
从本质上来讲,网络信息安全包括组成互联网络系统的路由器、交换机、线路、终端等硬件资源,操作系统、应用软件等软件资源及其在网络上传输信息的安全性,使其不致因为偶然的或者恶意的攻击遭到破坏。
网络信息安全既包含有技术方面的问题、也有管理方面的问题。
(二)网络攻击流程:网络攻击是从一个黑客入侵进入到目标计算机上,并开始工作的那个时刻算起,攻击就已经开始了。
要了解网络攻击,必须首先了解下一般系统攻击流程:1、寻找攻击目标、收集相关信息。
常见的网络攻击依据目标,分为破坏型和控制型两种。
破坏型是指攻击的目的是最终破坏攻击目标,使攻击目标不能正常工作,此种手段并不需要控制目标的系统的运行,而主要是让攻击目标损坏。
破坏型攻击的主要手段是拒绝服务攻击。
另一类的攻击目的是控制攻击目标,这种攻击是要获得一定的权限来达到控制攻击目标的目的。
这是人们常规认识中黑客的行为,这种攻击比破坏型攻击更为普遍,而且对受害者的威胁性更大。
因为攻击者如果获取目标计算机的超级用户权限就可以在目标计算机上做任意动作。
这种网络攻击一般利用操作系统、应用软件或者网络协议存在的漏洞进行。
那么,剩下的工作就是尽可能多的收集关于攻击目标的信息,包括攻击目标使用的操作系统类型及版本,攻击目标系统所提供的服务,甚至还包含攻击目标本身与计算机本身没有关系的社交信息。
2、获得访问特权。
作为控制性网络攻击,通常会将收集到各种信息进行分析,找到目标主机存在的系统漏洞,并利用该漏洞获得一定的权限。
此类安全漏洞包括开发系统软件时存在的漏洞,也包括目标主机管理者配置不当而产生的漏洞。
不过黑客攻击成功的案例大多是利用了操作系统软件自身存在的漏洞,产生系统软件漏洞的原因主要是软件开发过程中,程序员缺乏安全意识,当攻击者对软件进行非正常请求时会造成缓冲区溢出或对文件的非法访问,其中80%以上成功的网络攻击都是利用了缓冲区溢出漏洞来获得非法权限的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
龙源期刊网 http://www.qikan.com.cn 基于APT入侵的网络安全防护系统模型及其关键技术研究 作者:曾玮琳 李贵华 陈锦伟 来源:《现代电子技术》2013年第17期 龙源期刊网 http://www.qikan.com.cn
摘 要: 介绍了高级持续性威胁(APT)的攻击原理、特点和对传统入侵检测技术的挑战。依据APT攻击的方法和模式建立一种基于静态检测和动态分析审计相结合的访问控制多维度网络安全防护模型,并对防护模型的关键技术作了一定的研究和分析。
关键词: APT; 攻击; 防护; 访问控制 中图分类号: TN915.08⁃34; TP393 文献标识码: A 文章编号: 1004⁃373X(2013)17⁃0078⁃03
0 引 言 APT攻击,即高级持续性威胁(Advanced Persistent Threat,APT),指组织或者小团体,利用先进的复合式攻击手段对特定的数据目标进行长期持续性网络攻击的攻击形式[1]。APT是窃取核心资料为目的所发动的网络攻击和侵袭行为,其攻击方式比其他攻击方式更为隐蔽,在发动APT攻击前,会对攻击对象的业务流程和目标进行精确的收集,挖掘攻击对象受信系统和应用程序的漏洞。攻击者会针对性的进行潜心准备,熟悉被攻击者应用程序和业务流程的安全隐患,定位关键信息的存储方式与通信方式,使整个攻击形成有目的、有组织、有预谋的攻击行为。因此传统的入侵检测技术难以应对。
1 APT攻击技术特点及对传统入侵检测技术的挑战 龙源期刊网 http://www.qikan.com.cn APT攻击是结合了包括钓鱼攻击、木马攻击、恶意软件攻击等多种攻击的高端攻击模式,整个攻击过程利用包括零日漏洞、网络钓鱼、挂马等多种先进攻击技术和社会工程学的方法,一步一步地获取进入组织内部的权限[2]。原来的APT攻击主要是以军事、政府和比较关键性的基础设施为目标,而现在已经更多的转向商用和民用领域的攻击。从近两年的几起安全事件来看,Yahoo、Google、RSA、Comodo等大型企业都成为APT攻击的受害者。在2012年5月被俄罗斯安全机构发现的“火焰”病毒就是APT的最新发展模式,据国内相关安全机构通报,该病毒已于2012年6月入侵我国网络。
1.1 APT攻击的技术特点 APT攻击就攻击方法和模式而言,攻击者主要利用各种方法特别是社会工程学的方法来收集目标信息。其攻击主要有基于互联网恶意软件的感染、物理恶意软件的感染和外部入侵等三个入侵途径,其典型流程图如图1所示。就以2010年影响范围最广的GoogleAurora(极光)APT攻击,攻击者利用就是利用社交网站,按照社会工程学的方法来收集到目标信息,对目标信息制定特定性的攻击渗透策略,利用即时信息感染Google的一名目标雇员的主机,通过主动挖掘被攻击对象受信系统和应用程序的漏洞,造成了Google公司多种系统数据被窃取的严重后果。
从APT典型的攻击步骤和几个案例来看,APT不再像传统的攻击方式找企业的漏洞,而是从人开始找薄弱点,大量结合社会工程学手段,采用多种途径来收集情报,针对一些高价值的信息,利用所有的网络漏洞进行攻击,持续瞄准目标以达到目的,建立一种类似僵尸网络的远程控制架构,并且通过多信道、多科学、多级别的的团队持续渗透的方式对网络中的数据通信进行监视,将潜在价值文件的副本传递给命令控制服务器审查,将过滤的敏感机密信息采用加密的方式进行外传[3]。
1.2 APT攻击对传统检测技术的挑战 目前,APT攻击给传统入侵检测技术带来了两大挑战: (1)高级入侵手段带来的挑战。APT攻击将被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,由于其攻击的时间空间和攻击渠道不能确定的因素,因此在攻击模式上带来了大量的不确定因素,使得传统的入侵防御手段难以应对APT入侵手段。
(2)持续性攻击方式带来的挑战。APT是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在很长的时间,一旦入侵成功则会长期潜伏在被攻击者的网络环境中,在此过程中会不断收集用户的信息,找出系统存在的漏洞,采用低频攻击的方式将过滤后的敏感信息利用数据加密的方式进行外传。因此在单个时间段上APT网络行为不会产生异常现象,而传统的实时入侵检测技术难以发现其隐蔽的攻击行为。
2 安全防护技术模型研究 龙源期刊网 http://www.qikan.com.cn 由于APT攻击方式是多变的,以往的APT攻击模式和案例并不具有具体的参考性,但是从多起APT攻击案例的特点中分析来看,其攻击目的可以分为两方面:一是窃密信息,即窃取被攻击者的敏感机密信息;二是干扰用户行为两方面,即干扰被攻击者的正常行为。就APT攻击过程而言,最终的节点都是在被攻击终端。因此防护的最主要的目标就是敏感机密信息不能被非授权用户访问和控制。针对APT攻击行为,文中设计建立了一种基于静态检测和动态分析审计相结合的访问控制多维度防护模型,按照用户终端层、网络建模层和安全应用层自下而上地构建网络安全防护体系[4],如图2所示。
2.1 安全防护模型技术 整个安全防护服务模型采用静态检测和动态分析的技术手段实时对网络数据包全流量监控。静态检测主要是检测APT攻击的模式及其行为,审计网络带宽流量及使用情况,对实时获取的攻击样本进行逆向操作,对攻击行为进行溯源并提取其功能特征。动态分析主要是利用所构建的沙箱模型对网络传输文件进行关键字检测,对Rootkit、Anti⁃AV等恶意程序实施在线拦截,对邮件、数据包和URL中的可疑代码实施在线分析,利用混合型神经网络和遗传算法等检测技术对全流量数据包进行深度检测,结合入侵检测系统审核文件体,分析系统环境及其文件中异常结构,扫描系统内存和CPU的异常调用。在关键位置上检测各类API钩子和各类可能注入的代码片段。
2.2 安全防护模型结构 用户终端层是整个模型的基础设施层,它主要由用户身份识别,利用基于用户行为的访问控制技术对用户的访问实施验证和控制,结合用户池和权限池技术,访问控制系统可以精确地控制管理用户访问的资源和权限,同时访问者根据授权和访问控制原则访问权限范围内的信息资源。
网络建模层是整个安全防护模型的核心。由内网资源表示模型和多种安全访问控制服务模型共同构成。采用对内部资源形式化描述和分类的内网资源表示模型为其他安全子模型提供了基础的操作平台。结合安全存储、信息加密、网络数据流监控回放、操作系统安全、入侵检测和信息蜜罐防御[5],以整个内网资源为处理目标,建立基于访问控制技术的多维度安全防御保障体系。
安全应用层是整个安全防护模型的最高层,包括操作审计、日志审查、病毒防御、识别认证、系统和网络管理等相关应用扩展模块。在用户终端层和网络建模层的基础上构建整个安全防护系统的安全防护服务。
基于APT入侵建立安全防护模型,最关键的就是在现有安全模型上建立用户身份识别,用户行为管控和网络数据流量监控的机制,建立安全防护模型的协议和标准的安全防御体系,并为整个安全解决方案和网络资源安全实现原型。 龙源期刊网 http://www.qikan.com.cn 3 网络安全防护的关键技术 3.1 基于网络全流量模块级异域沙箱检测技术 原理是将整个网络实时流量引入沙箱模型,通过沙箱模型模拟网络中重要数据终端的类型和安全结构模式,实时对沙箱系统的文件特征、系统进程和网络行为实现整体监控,审计各种进程的网络流量,通过代码检查器扫描威胁代码,根据其危险度来动态绑定监控策略。利用动态监控对跨域调用特别是系统调用以及寄存器跳转执行进行监控和限制,避免由于威胁代码或程序段躲过静态代码检查引起的安全威胁。但整个模型的难点在于模拟的客户端类型是否全面,如果缺乏合适的运行环境,会导致流量中的恶意代码在检测环境中无法触发,造成漏报[6]。
3.2 基于身份的行为分析技术 其原理是通过发现系统中行为模式的异常来检测到入侵行为。依据正常的行为进行建模,通过当前主机和用户的行为描述与正常行为模型进行比对,根据差异是否超过预先设置的阀值来判定当前行为是否为入侵行为,从而达到判定行为是否异常的目的。其核心技术是元数据提取、当前行为的分析,正常行为的建模和异常行为检测的比对算法,但由于其检测行为基于背景流量中的正常业务行为,因而其阀值的选择不当或者业务模式发生偏差可能会导致误报。
3.3 基于网络流量检测审计技术 原理是在传统的入侵检测机制上对整个网络流量进行深层次的协议解析和数据还原。识别用于标识传输层定义的传输协议类型,解析提取分组中所包含的端口字段值,深度解析网络应用层协议信息,寻找符合特定的特征签名代码串。利用网络数据层流量中交互信息的传输规律,匹配识别未知协议,从而达到对整个网络流量的数据检测和审计。利用传统的入侵检测系统检测到入侵攻击引起的策略触发,结合全流量审计和深度分析还原APT攻击场景,展现整个入侵行为的攻击细节和进展程度[7]。
3.4 基于网络监控回放技术 原理是利用云存储强大的数据存储能力对整个网络数据流量进行在线存储,当检测到发生可疑的网络攻击行为,可以利用数据流量回放功能解析可疑攻击行为,使整个基于时间窗的网络流量监控回放技术形成具有记忆功能的入侵检测机制,利用其检测机制确认APT攻击的全过程。比如可以对网络传输中的邮件、可疑程序、URL中的异常代码段实施检测分析,监控整个网络中异常加密数据传输,从而更快地发现APT攻击行为。若发生可疑行为攻击漏报时,可以依据历史流量进行多次分析和数据安全检测,形成更强的入侵检测能力。由于采用全流量的数据存储,会显著影响高速的数据交换入侵检测中其系统的检测处理和分析能力,在这方面可能还存在一定的技术差距。
4 结 语