网络安全攻防：APT防御措施

01 APT防御的难点分析

APT攻击的专业性强、复杂度高，因此对其防范相对困难。攻击者在暗处通过社会工程学等手段收集大量信息，而被攻击者毫不知情，这样的信息不对称也造成了APT攻击的防御难点。

APT攻击行为特征难以提取、攻击渠道多元化、攻击空间不确定等特点恰好也形成对其防御的难点。首先，APT一般通过零日漏洞获取权限，但通过获取和分析相应攻击的特征来识别攻击行为通常具有滞后性，这将导致实时监测APT攻击变得很困难，更何况APT注重动态行为和静态文件的隐蔽性，如构建隐蔽通道、加密通道等；其次，APT攻击渠道的多元化导致很难使用单一的技术手段建立通用的防御机制；最后，APT攻击空间的不确定性，如任何一个阶段、任何一个网络、任何边缘或非核心的节点等都有可能成为攻击目标，导致其安全防护效果的不确定性。

“持续性”和“社会工程学”的混合攻击方式是防御APT的另一难点。APT的持续时间长久，就如同人体的慢性疾病，潜伏一段时间后可能随时爆发。据统计，APT攻击从产生到被发现的平均耗时约为5年，是否能够保证在5年的时间内一直关注某些数据？这在物理世界都很难坚持，更何况在数据无所不在的网络空间。大数据的特点就是数据规模大、分布无所不在，即数据的价值密度变得更小、更分散，从而导致更难聚焦于高价值的数据，这正是大数据本身所带来的攻击检测难点。然而，攻击者则恰好可能一直持续关注着某些敏感数据，这就将造成APT攻击防不胜防。

02 APT防御的基本方法

APT是多样攻击方式的组合，因此也需要对其进行多方位的检测防御。

1. 恶意代码检测

大多数APT攻击都是通过恶意代码来攻击员工个人电脑，从而突破目标网络和系统防御措施。因此，恶意代码检测对于检测和防御APT攻击至关重要。

恶意代码的检测主要分为两种：基于特征码的检测技术和基于启发式的检测技术。

基于特征码的检测技术是通过对恶意代码的静态分析，找到该恶意代码中具有代表性的特征信息（指纹），如十六进制的字节序列、字符串序列等，然后再利用该特征进行快速匹配。因此，基于特征码检测过程一般分3个步骤：第一步是特征分析，反病毒专家通过对搜集的恶意样本进行分析，抽取特征码；第二步是特征码入库，即将特征码加入特征数据库；第三步是安全检测，即对可疑样本进行扫描，利用已有的特征数据库进行匹配，一旦匹配成功，则认定为恶意代码，并输出该恶意代码的相关信息。

基于启发式的检测技术是通过对恶意代码的分析获得恶意代码执行中通用的行为操作序列或结构模式，这些行为序列和模式一般在正常文件中很少出现，如修改某个PE文件的结构、删除某个系统关键文件、格式化磁盘等，然后再把每一个行为操作序列或结构模式按照危险程度排序并设定不同的危险程度加权值，在实施检测时，若行为操作序列或结构模式的加权值总和超过某个指定的阈值，即判定为恶意代码。启发式检测技术进行检测时阈值的设定是关键，若阈值设定过大，则可能忽略某些危险操作，容易造成漏报，但若设定过小，可能把某些正常的行为序列组合判定为恶意操作，则容易误报。因此要通过实验，调整参数以达到最佳检验效果。

（编辑：阜新站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!