網(wǎng)絡(luò)運(yùn)行維護(hù)中防范高級(jí)持續(xù)性攻擊設(shè)計(jì)研究

遲國靖

摘? 要：隨著軍隊(duì)信息化建設(shè)的不斷發(fā)展，各類信息網(wǎng)絡(luò)在軍事中的應(yīng)用日趨廣泛，與此同時(shí)，軍事網(wǎng)絡(luò)安全威脅也日益嚴(yán)峻。本文探討了APT攻擊的特點(diǎn)和原理，在此基礎(chǔ)上，構(gòu)建了APT攻擊防御模型，結(jié)合防御模型，設(shè)計(jì)提出了APT攻擊防御系統(tǒng)與安全措施，包括入侵防御系統(tǒng)、攻擊潛伏防御系統(tǒng)和攻擊破壞防御系統(tǒng)等。相信對(duì)從事相關(guān)工作的同行能有所裨益。

關(guān)鍵詞：網(wǎng)絡(luò)? 安全防護(hù)? 持續(xù)性攻擊? APT安全措施

中圖分類號(hào)：TP393.1? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? 文章編號(hào)：1674-098X（2020）08（c）-0117-03

Abstract： With the continuous development of military information construction， all kinds of information networks are widely used in the military. At the same time， the threat of military network security is becoming increasingly serious. This paper discusses the characteristics and principles of apt attack. On this basis， the apt attack defense model is constructed. Combined with the defense model， apt attack defense system and security measures are designed， including intrusion prevention system， attack latency defense system and attack damage defense system. It is believed that it will be beneficial to the colleagues engaged in related work.

Key Words： Network; Security protection; Persistent attack; AptSecurity measures

我國軍事網(wǎng)絡(luò)安全防護(hù)體系已初具規(guī)模和能力，但應(yīng)對(duì)大規(guī)模、高強(qiáng)度網(wǎng)絡(luò)攻擊的能力仍較為薄弱，特別是在應(yīng)對(duì)以高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊為主要形式的網(wǎng)絡(luò)作戰(zhàn)上，還存在著較大差距。

1? APT攻擊特點(diǎn)與原理

1.1 APT攻擊特點(diǎn)

與傳統(tǒng)的網(wǎng)絡(luò)攻擊相比，APT攻擊具有以下顯著特點(diǎn)。

（1）目標(biāo)的針對(duì)性：在西方國家網(wǎng)絡(luò)霸權(quán)思想影響以及相關(guān)戰(zhàn)略資助下，APT攻擊經(jīng)常以我國國防部門、軍事機(jī)構(gòu)、軍工單位等具有戰(zhàn)略戰(zhàn)術(shù)意義的重要部門為目標(biāo)，并以竊取敏感情報(bào)、破壞目標(biāo)系統(tǒng)為目的。

（2）攻擊的持續(xù)性：APT攻擊者在選定軍事網(wǎng)絡(luò)目標(biāo)后，會(huì)長時(shí)間地持續(xù)滲透，長期潛伏搜集各種敏感信息，挖掘其中漏洞，再制定針對(duì)性的試探攻擊方法，并進(jìn)行長時(shí)間的反復(fù)攻擊，以獲得最有價(jià)值的攻擊效果。

（3）力量的專業(yè)性：對(duì)軍事網(wǎng)絡(luò)的攻擊者一般受國家或大型組織操控，由具有豐富經(jīng)驗(yàn)的黑客團(tuán)伙實(shí)施，可投入持續(xù)、大量的人力、物力和財(cái)力資源。

（4）方式的多態(tài)性：APT攻擊方式既包括病毒、木馬植入等傳統(tǒng)入侵手段，也包括SQL注入、0day漏洞等較先進(jìn)手段，甚至結(jié)合社會(huì)工程學(xué)、軍事外交等各種線下手段。

1.2 APT攻擊原理

APT攻擊過程一般包括探測、入侵、潛伏和破壞4個(gè)階段，具體分為情報(bào)收集、侵入網(wǎng)絡(luò)、指揮控制、深入滲透、目標(biāo)挖掘、實(shí)施攻擊等6個(gè)步驟。

2? APT攻擊防御體系模型

由APT攻擊原理可知，攻擊是分階段、逐步推進(jìn)的，可圍繞APT攻擊周期建立多重防御體系，覆蓋攻擊的主要環(huán)節(jié)以有效攔截攻擊行為。因此，根據(jù)“信息安全分級(jí)保護(hù)、嚴(yán)控信息外泄，邊界防護(hù)立體多元、截?cái)嗳肭滞緩?，信息?nèi)容審計(jì)可控、追蹤可疑活動(dòng)，網(wǎng)絡(luò)要素真假并存、誘騙攻擊現(xiàn)形，重要設(shè)施容災(zāi)備份、提高抗毀能力”防御思想，構(gòu)建了軍事網(wǎng)絡(luò)應(yīng)對(duì)APT攻擊的多級(jí)防御模型，如圖1所示。

3? APT攻擊防御系統(tǒng)與安全措施

在APT攻擊的4個(gè)階段中，入侵、潛伏、破壞3個(gè)階段是有效應(yīng)對(duì)APT攻擊的關(guān)鍵環(huán)節(jié)。根據(jù)圖1的APT攻擊防御體系模型，在這3個(gè)階段可針對(duì)性地設(shè)計(jì)防御系統(tǒng)并采取安全措施。

3.1 APT攻擊入侵防御系統(tǒng)

APT攻擊在入侵階段具有針對(duì)性強(qiáng)、方法靈活、手段多樣等特點(diǎn)，應(yīng)根據(jù)“封鎖邊界、全域布控”的原則設(shè)計(jì)防御系統(tǒng)，并采取“禁入、拉網(wǎng)、補(bǔ)漏、阻斷”等安全措施。

⑴禁入——嚴(yán)格管控，防“敵”入侵。應(yīng)防止惡意軟件、代碼入侵軍事組織用戶的個(gè)人設(shè)備以及軍事網(wǎng)絡(luò)系統(tǒng)，具體措施包括：①制度上嚴(yán)管。嚴(yán)格內(nèi)外網(wǎng)隔離制度;不在互聯(lián)網(wǎng)泄露個(gè)人信息;嚴(yán)禁非注冊(cè)移動(dòng)存儲(chǔ)載體處理涉密信息，接入內(nèi)部網(wǎng)絡(luò);嚴(yán)禁將涉密移動(dòng)存儲(chǔ)載體帶出辦公區(qū)或送交非指定單位維修。②策略上嚴(yán)防。采用軍用、民用網(wǎng)絡(luò)安防結(jié)合，同防同治的策略，爭取第一時(shí)間發(fā)現(xiàn)安全隱患，堵住漏洞。

⑵拉網(wǎng)——構(gòu)筑屏障，堵源截流。應(yīng)防止APT攻擊隱蔽迂回進(jìn)入軍事網(wǎng)絡(luò)內(nèi)部，具體措施包括：①構(gòu)筑縱深防御體系。綜合構(gòu)筑集網(wǎng)絡(luò)/桌面防火墻、殺毒軟件、網(wǎng)絡(luò)入侵防護(hù)、安全審計(jì)、漏洞掃描（補(bǔ)漏洞）各類安全設(shè)備于一體，涵蓋應(yīng)用、用戶、數(shù)據(jù)多層面的，由內(nèi)到外、由淺至深、多級(jí)聯(lián)動(dòng)的縱深防御體系，嚴(yán)防惡意代碼進(jìn)入。②檢測非可信代碼。結(jié)合云殺毒技術(shù)，實(shí)現(xiàn)對(duì)軟件、代碼的可信檢測和可控執(zhí)行，及時(shí)發(fā)現(xiàn)非法軟件及代碼，并在其運(yùn)行前或運(yùn)行過程中進(jìn)行阻斷。

⑶補(bǔ)漏——查找漏洞，升級(jí)修補(bǔ)。應(yīng)及時(shí)發(fā)現(xiàn)并修補(bǔ)軍事網(wǎng)絡(luò)安全漏洞，具體措施包括：①及時(shí)發(fā)現(xiàn)安全漏洞。將漏洞掃描與防火墻、入侵防護(hù)、安全審計(jì)等防護(hù)系統(tǒng)緊密聯(lián)動(dòng)，及時(shí)發(fā)現(xiàn)可被利用和已被發(fā)現(xiàn)的系統(tǒng)漏洞。②全網(wǎng)聯(lián)動(dòng)升級(jí)。利用大數(shù)據(jù)、云計(jì)算等技術(shù)分析漏洞原因，預(yù)測擴(kuò)散范圍，及時(shí)對(duì)軍事網(wǎng)絡(luò)系統(tǒng)內(nèi)的所有主機(jī)進(jìn)行升級(jí)，防止APT攻擊入侵或擴(kuò)大入侵面。

⑷阻斷——安全隔離，防患未然應(yīng)通過隔離阻斷APT攻擊的指揮控制通路，具體措施為：針對(duì)軍事網(wǎng)絡(luò)高安全級(jí)別的特殊要求，遵循“凡是不可信的，均阻斷”的原則，利用可信程序、可信行為特征庫發(fā)現(xiàn)“異?！贝a和行為后，堅(jiān)決加以阻止，對(duì)已被入侵的非重點(diǎn)主機(jī)實(shí)行斷網(wǎng)物理隔離。

3.2 APT攻擊潛伏防御系統(tǒng)

APT攻擊在潛伏階段通常以軍事網(wǎng)絡(luò)非關(guān)鍵節(jié)點(diǎn)為跳板滲透入侵核心系統(tǒng)和要害部位，應(yīng)根據(jù)“誘敵深入、追蹤溯源”的原則設(shè)計(jì)防御系統(tǒng)，并采用“分區(qū)、佯動(dòng)、遮斷、反擊”等安全措施。

⑴分區(qū)——分割區(qū)域，重點(diǎn)保護(hù)。應(yīng)加強(qiáng)重要節(jié)點(diǎn)、敏感數(shù)據(jù)保護(hù)，具體措施包括：①對(duì)重要節(jié)點(diǎn)和一般節(jié)點(diǎn)進(jìn)行分區(qū)，對(duì)重要節(jié)點(diǎn)和敏感數(shù)據(jù)進(jìn)行重點(diǎn)防護(hù)。②一旦發(fā)現(xiàn)針對(duì)關(guān)鍵節(jié)點(diǎn)和敏感數(shù)據(jù)的攻擊意圖，應(yīng)立即按照網(wǎng)絡(luò)防護(hù)預(yù)案，提升網(wǎng)絡(luò)安全防護(hù)等級(jí)，對(duì)網(wǎng)絡(luò)系統(tǒng)內(nèi)的所有主機(jī)系統(tǒng)進(jìn)行升級(jí)防護(hù)。

⑵佯動(dòng)——虛實(shí)結(jié)合，隱真示假。應(yīng)隱蔽偽裝軍事網(wǎng)絡(luò)，欺騙迷惑APT攻擊者，具體措施包括：①實(shí)體偽裝。綜合利用云計(jì)算、云存儲(chǔ)等技術(shù)全方位、多層次、立體、隱蔽、疏散配置計(jì)算機(jī)網(wǎng)絡(luò)路由、交換、主機(jī)設(shè)備，增大APT攻擊發(fā)現(xiàn)軍事網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的難度，降低受攻擊破壞的概率。②信號(hào)偽裝。采用傳假態(tài)勢、發(fā)假指示、利用空閑信道傳輸信息等方式使真正有用的信息隱藏其中，使APT攻擊者難以接收處理正確信息。

⑶遮斷——封鎖隔斷，切斷交流。應(yīng)切斷APT攻擊信息傳輸通道以封鎖控制信息交換、割斷控制脈絡(luò)，具體措施包括：①功率倍增法壓制。當(dāng)發(fā)現(xiàn)APT攻擊采用無線控制信息通路時(shí)，可設(shè)立電子干擾臺(tái)（站）并施放大功率電磁干擾信息，使APT攻擊者無法正常收到或無法分離有用信息。②路由策略阻斷。當(dāng)APT攻擊采用有線控制信息通路時(shí)，可采用路由策略等各種高級(jí)控制策略及時(shí)阻斷信息通路。

⑷反擊——先機(jī)制敵，以攻助防。應(yīng)利用APT攻擊需長時(shí)間搜集信息的時(shí)間差發(fā)起反擊，削弱和破壞APT攻擊行動(dòng)，具體措施包括：①追蹤溯源。在發(fā)現(xiàn)軍事網(wǎng)絡(luò)中受控的潛伏節(jié)點(diǎn)后，可結(jié)合國內(nèi)外形勢對(duì)重點(diǎn)方向進(jìn)行偵測和追蹤，揭露支持APT攻擊的國家或組織機(jī)構(gòu)。②網(wǎng)絡(luò)戰(zhàn)反擊。發(fā)生網(wǎng)絡(luò)戰(zhàn)時(shí)可利用網(wǎng)絡(luò)病毒武器、電磁脈沖武器等軟、硬網(wǎng)絡(luò)戰(zhàn)武器對(duì)APT攻擊源實(shí)施反擊，削弱甚至破壞其攻擊能力。

3.3 APT攻擊破壞防御系統(tǒng)

在APT攻擊破壞階段，為確保關(guān)鍵部位安全，將損失減少到最小，應(yīng)根據(jù)“隔離施救、備份保底”的原則設(shè)計(jì)防御系統(tǒng)，并采取“斷路、備份、補(bǔ)救”等安全措施。

⑴斷路——斷網(wǎng)破鏈，切斷通路。軍事網(wǎng)絡(luò)中一些沒有設(shè)防或安全防護(hù)級(jí)別較差的主機(jī)通常被設(shè)置成代理服務(wù)器，作為APT攻擊的“跳板機(jī)”。因此，一旦確認(rèn)某臺(tái)主機(jī)被控制成為“跳板機(jī)”后，應(yīng)立即切斷該主機(jī)與外界的網(wǎng)絡(luò)通路，并執(zhí)行病毒查殺程序，使該主機(jī)無法將信息傳出或無法收到相關(guān)的指示信息，從而切斷APT攻擊的通路。

⑵備份——數(shù)據(jù)備份，防止癱瘓。軍事網(wǎng)絡(luò)受到APT攻擊后，容易造成軍事信息數(shù)據(jù)大面積破壞，為此應(yīng)進(jìn)行數(shù)據(jù)容災(zāi)備份，具體措施包括：①對(duì)于核心網(wǎng)絡(luò)或信息系統(tǒng)中的數(shù)據(jù)采用遠(yuǎn)程容災(zāi)備份。當(dāng)某一個(gè)節(jié)點(diǎn)受到APT攻擊時(shí)，及時(shí)通過網(wǎng)絡(luò)將備份在兩個(gè)或多個(gè)異地的數(shù)據(jù)，以同步遠(yuǎn)程鏡像或異步遠(yuǎn)程鏡像方式進(jìn)行數(shù)據(jù)恢復(fù)，甚至還可通過網(wǎng)絡(luò)中另一個(gè)備份節(jié)點(diǎn)繼續(xù)進(jìn)行信息處理與業(yè)務(wù)運(yùn)行。②對(duì)于非核心網(wǎng)絡(luò)或信息系統(tǒng)中的數(shù)據(jù)采用本地容災(zāi)備份。當(dāng)節(jié)點(diǎn)被APT攻擊、重要數(shù)據(jù)遭到破壞時(shí)，可直接啟用本地系統(tǒng)備份的節(jié)點(diǎn)。

⑶補(bǔ)救——亡羊補(bǔ)牢，以防后患。遭受APT攻擊后，應(yīng)盡快分析APT攻擊路徑、方法，進(jìn)行針對(duì)性的應(yīng)對(duì)及防范，具體措施包括：①及時(shí)對(duì)APT攻擊樣本進(jìn)行逆向分析，從中提取攻擊特征與功能特性，從而定位攻擊者的地址等相關(guān)信息。②及時(shí)更新病毒庫、惡意站點(diǎn)列表和入侵檢測規(guī)則庫，修復(fù)已知的系統(tǒng)漏洞，完善防火墻、訪問控制等防護(hù)機(jī)制，避免再次遭受類似的APT攻擊。

4? 結(jié)語

高級(jí)持續(xù)性威脅以攻擊軍事網(wǎng)絡(luò)關(guān)鍵設(shè)施、竊取敏感軍事情報(bào)為目的，是一種有目的、有組織、有預(yù)謀的群體式定向攻擊，已成為最嚴(yán)重的軍事網(wǎng)絡(luò)安全威脅之一。通過分析軍事網(wǎng)絡(luò)APT攻擊的步驟及方法，建立了應(yīng)對(duì)APT攻擊的多級(jí)防御體系模型，提出了系統(tǒng)、有效、具體的防御系統(tǒng)及安全措施，可構(gòu)建面向APT攻擊的軍事網(wǎng)絡(luò)安全防護(hù)體系，為進(jìn)一步提高軍事網(wǎng)絡(luò)安全防御能力提供參考和支撐。

參考文獻(xiàn)

[1] 宋曉峰.基于大數(shù)據(jù)引擎的軍事信息網(wǎng)絡(luò)安全防護(hù)系統(tǒng)[J].電子信息對(duì)抗技術(shù)，2019（5）：44-46.

[2] 王寶國.軍事網(wǎng)絡(luò)對(duì)抗安全預(yù)警技術(shù)探討[J].信息化建設(shè)，2016（3）：14-15.

[3] 王寶國.基于攻防博弈的軍事信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估[J].軍事運(yùn)籌與系統(tǒng)工程，2020（1）：29-31.

[4] 楊天寶.網(wǎng)絡(luò)攻擊下的網(wǎng)絡(luò)控制系統(tǒng)安全策略研究[D].南京：南京郵電大學(xué)，2019.

[5] 劉嘉銘.蜂窩網(wǎng)絡(luò)下D2D物理層安全方案研究[D]. 南京：南京郵電大學(xué)，2019.

[6] 張雨平.公安網(wǎng)絡(luò)安全監(jiān)管法律問題研究[D].長春：吉林大學(xué)，2019.