大數(shù)據(jù)環(huán)境下的APT攻擊檢測

劉俊奇

摘 要： 高級可持續(xù)性威脅（APT）被視為企業(yè)安全管理者和CSO的噩夢，一旦攻擊開始，企業(yè)將很難阻止該攻擊行為。為減少損失和損害，企業(yè)應(yīng)將重視該攻擊行為給企業(yè)帶來的嚴(yán)重后果，需要事先制定好明確的響應(yīng)計劃和恢復(fù)計劃。我們要清楚APT相關(guān)的活動不是攻擊，它只是一些持續(xù)性較強(qiáng)、針對性較高的活動，同時這類活動本身也將意味著將花去籌劃者大量的精力和時間。

關(guān)鍵詞： APT；阻止；響應(yīng)計劃；恢復(fù)計劃

1、引言

IT技術(shù)和通信技術(shù)仍在不斷地發(fā)展過程中，云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)等新興產(chǎn)業(yè)也在逐漸成為當(dāng)今發(fā)展新熱點，數(shù)據(jù)也在隨著發(fā)展過程中，不斷地累計，且增長速度在逐年增高，我們早已經(jīng)進(jìn)入大數(shù)據(jù)時代。[1]

新的發(fā)展點，新的機(jī)遇是大數(shù)據(jù)時代最突出的兩個特點。但隨之而來的是大數(shù)據(jù)時代下，網(wǎng)絡(luò)環(huán)境變得更為復(fù)雜，各種形式的網(wǎng)絡(luò)攻擊不斷上演，且逐年在增加，之前針對個人的網(wǎng)絡(luò)攻擊已經(jīng)演化成對金融、工業(yè)、交通等領(lǐng)域的攻擊，這對于國家安全和社會穩(wěn)定來說是一顆定時炸彈，時刻威脅著它們。[2]

本文主要是介紹APT攻擊的相關(guān)內(nèi)容。

2、APT和其難以檢測發(fā)現(xiàn)的原因

（一） APT特征

APT又稱為高級的可持續(xù)性威脅攻擊，它本身并非可以看做是一種攻擊方法，而是類似一個網(wǎng)絡(luò)形式的攻擊鏈。在早期的攻擊過程中，防御者對其不夠了解，所以一直將其看做是單個環(huán)節(jié)方面的攻擊，現(xiàn)在隨著研究人員的深入調(diào)查和研究，發(fā)現(xiàn)這種攻擊并不是由單個人來完成，而是需要一個具有組織性的團(tuán)隊配合完成的。所以說APT攻擊可以看做是一種針持續(xù)時間長且破壞力大、對特定目標(biāo)、隱蔽性較強(qiáng)、有組織性的新型威脅和攻擊方式，具備了以下幾個主要特點：多樣的手段、明確的目標(biāo)、持續(xù)時間長。APT之所以可以看做是高級可持續(xù)性的威脅，原因主要是體現(xiàn)在其難以被提取攻擊行為特征、多元化的攻擊渠道、不確定的攻擊空間三大特征方面上。[3]首先我們要清楚APT在攻擊過程中，更加注重了針對靜態(tài)文件和動態(tài)行為的隱蔽，通過應(yīng)用隱蔽通道和加密通道等技術(shù)來實現(xiàn)自身的攻擊行為，其次，APT多元化的攻擊方式導(dǎo)致APT攻擊渠道的具有較強(qiáng)的抗攻擊性，最后就是要說APT具有不確定的攻擊空間，APT沒有特定的攻擊目標(biāo)，這導(dǎo)致任何網(wǎng)絡(luò)，任何節(jié)點都可以成為它攻擊的目標(biāo)，這種攻擊對于整個網(wǎng)絡(luò)系統(tǒng)來說是個無形的威脅。

APT獲取權(quán)限的方式是通過零日攻擊實現(xiàn)的，而我們平常使用的通過獲取和識別指紋特征的攻擊方式在此時將失去作用，沒有在攻擊發(fā)生時及時地識別出該攻擊，也就導(dǎo)致我們現(xiàn)有的檢測手段在針對APT攻擊時是無效的。

（二）難以檢測的原因

APT攻擊難以發(fā)現(xiàn)有以下一些因素：

1. 攻擊并不是由單個人來完成，而是需要一個具有組織性的團(tuán)隊配合完成的，這樣的攻擊很難溯源，因為具有一定的隱蔽性，又很難在現(xiàn)實社會中找到攻擊組織。

2.大多數(shù)人對于APT不夠了解，認(rèn)為其攻擊方式和模式與其他攻擊方法相似，這將導(dǎo)致防御者的視野仍停留在傳統(tǒng)安全方面，不能夠深層次剖析APT攻擊。

3.本攻擊目標(biāo)本身防御薄弱：人員意識性較弱、檢測入侵系統(tǒng)更新不及時。

4.攻擊者本身的綜合能力較高，上文有提到APT攻擊的背后將是一個有組織性的團(tuán)隊在進(jìn)行攻擊行為，他們能針對攻擊目標(biāo)的薄弱點進(jìn)行多方位的攻擊行為，并且在攻擊過程擦除了自己的攻擊路徑來對抗回溯追蹤。

5.政府以及相關(guān)受害者，在這方面的人力和財力投入有限。

3、基于大數(shù)據(jù)檢測APT

（一）大數(shù)據(jù)分析在檢測APT攻擊時的作用

可以從兩個方面入手，通過大數(shù)據(jù)分析來檢測APT攻擊。首先第一點利用大數(shù)據(jù)的數(shù)據(jù)挖掘和數(shù)據(jù)分析能力，通過對互聯(lián)網(wǎng)大數(shù)據(jù)分析，提取到具有一定價值的威脅情報，通過情報消息，對發(fā)動APT攻擊事件的組織進(jìn)行有效的追蹤。其次是在本地客戶這一塊入手，通過建立有效的大數(shù)據(jù)平臺，盡最大可能對本地的數(shù)據(jù)進(jìn)行有效的采集過程，這樣防御者將建立起有效的威脅情報-本地數(shù)據(jù)平臺的防御機(jī)制，但是這種效果不一定是最好的，還需要進(jìn)行相關(guān)的技術(shù)提升，要能從整體去認(rèn)知APT攻擊，相關(guān)防御組織要提高自己的防御水平和認(rèn)知水平，要從“一棵樹”的角度去觀察“這片葉子”，這樣在對抗APT攻擊的實戰(zhàn)中，才能達(dá)到最好的效果。

（二）現(xiàn)有國內(nèi)APT檢測系統(tǒng)

APT作為一種有效的攻擊手段，在未來的社會生產(chǎn)過程中，會是一種持續(xù)存在的威脅。這種攻擊存在的時間已經(jīng)很久，多數(shù)防御者由于對其不夠了解，加之這種攻擊具有相當(dāng)高的復(fù)雜度和隱蔽性，使得真正能做到對此類攻擊進(jìn)行檢測的安全公司要具備高于同行水平的綜合技術(shù)能力。

現(xiàn)在國內(nèi)應(yīng)用效果比較明顯的就是360安全公司的天眼系統(tǒng)，這種系統(tǒng)在對抗APT攻擊的試驗中表明，具有較高的檢測能力，事實上，較高的檢測能力也是意味著要對APT攻擊的每個環(huán)節(jié)進(jìn)行深入的思考和研究，不在讓此類攻擊發(fā)現(xiàn)防御系統(tǒng)中的漏洞，使其有機(jī)可乘。

先關(guān)的安全公司也研發(fā)了針對APT攻擊的防御檢測系統(tǒng)，效果相對于360安全公司的天眼系統(tǒng)較弱，但是這恰恰也說明了我國現(xiàn)在的網(wǎng)絡(luò)安全意識以及網(wǎng)絡(luò)防御能力在逐年上升，這對于一個國家來說，是保證國家安全、社會穩(wěn)定的重要保障。

4、展望與總結(jié)

事實上， APT組織實力呈現(xiàn)出的金字塔結(jié)構(gòu)，各個組之間存在著很大的差異性。這里面包括了一些小的黑客組織，他們還在不斷利用現(xiàn)有的漏洞進(jìn)行攻擊，相對防御者來說，這種攻擊的有效性很弱。而另一種黑客攻擊組織則是有高端黑客以及充分的資金來源支撐的高端黑客組織，他們通過尋找防御者未知的漏洞進(jìn)行攻擊，利用最新的攻擊技術(shù)，使得一些受害者在毫無察覺的情況下遭受了嚴(yán)重的損失?，F(xiàn)在的攻擊方式和攻擊目標(biāo)在不斷的變化，Windows系統(tǒng)之前一直是攻擊者的重要攻擊目標(biāo)，現(xiàn)在攻擊者將攻擊范圍延伸到Linux、安卓、現(xiàn)有的工業(yè)控制系統(tǒng)。除了傳統(tǒng)的PC平臺，針對移動平臺的攻擊也是越演越烈。我們常用的智能手機(jī)、學(xué)習(xí)機(jī)、平板都成為了他們的攻擊目標(biāo)。而且物聯(lián)網(wǎng)、車聯(lián)網(wǎng)的逐步發(fā)展，使得這種攻擊的方式演化速度加快，甚至威脅到我們個人的人身安全。

APT攻擊一直是一個值得討論的話題，我們對它的認(rèn)識還將進(jìn)一步提高。但是我們作為互聯(lián)網(wǎng)時代的受益者，應(yīng)該清楚地知道這些威脅的存在，日常的生活中，我們應(yīng)該提高自己的網(wǎng)絡(luò)安全意識，從全民角度出發(fā)，去防御這種威脅。

而相關(guān)政府和安全機(jī)構(gòu)也應(yīng)該加大對網(wǎng)絡(luò)安全的投入，降低其對我們社會安全生產(chǎn)以及社會穩(wěn)定方面存在的威脅，加強(qiáng)網(wǎng)絡(luò)輿情監(jiān)測和管理，政府把控輿論導(dǎo)向。國家政府可以對網(wǎng)絡(luò)輿情的具體情況進(jìn)行監(jiān)督和適當(dāng)?shù)墓芸?，維護(hù)國家意識形態(tài)安全，加強(qiáng)相關(guān)制度建設(shè)。建立健全有關(guān)網(wǎng)絡(luò)的法律法規(guī)，通過法律合理加強(qiáng)全民的網(wǎng)絡(luò)安全觀念和意識。

參考文獻(xiàn)

[1] 劉修峰，范志剛. 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006（12）.

[2] 孟小峰，慈祥.大數(shù)據(jù)管理：概念、技術(shù)與挑戰(zhàn)[J].計算機(jī)研究與發(fā)展，2013，50（1）.

[3] 高等級安全網(wǎng)絡(luò)抗APT攻擊方案研究[J]. 李鳳海，李爽，張佰龍，宋衍.信息網(wǎng)絡(luò)安全.2014（09）.

[4] 張軍偉.高校網(wǎng)絡(luò)安全分析及其對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（10）.

[5] 大數(shù)據(jù)系統(tǒng)和分析技術(shù)綜述[J]. 程學(xué)旗，靳小龍，王元卓，郭嘉豐，張鐵贏，李國杰.軟件學(xué)報.2014（09）.

[6] 大數(shù)據(jù)隱私管理[J]. 孟小峰，張嘯劍.計算機(jī)研究與發(fā)展.2015（02）.