▼
APT是多样攻击方式的组合,因此需要对其进行多方位的检测防御。
1. 恶意代码检测
大多数APT攻击都是通过恶意代码来攻击员工个人电脑,从而突破目标网络和系统防御措施。因此,恶意代码检测对于检测和防御APT攻击至关重要。
恶意代码的检测主要分为两种:基于特征码的检测技术和基于启发式的检测技术。
基于特征码的检测技术是通过对恶意代码的静态分析,找到该恶意代码中具有代表性的特征信息(指纹),如十六进制的字节序列、字符串序列等,然后再利用该特征进行快速匹配。因此,基于特征码检测过程一般分3个步骤:第一步是特征分析,反病毒专家通过对搜集的恶意样本进行分析,抽取特征码;第二步是特征码入库,即将特征码加入特征数据库;第三步是安全检测,即对可疑样本进行扫描,利用已有的特征数据库进行匹配,一旦匹配成功,则认定为恶意代码,并输出该恶意代码的相关信息。
基于启发式的检测技术是通过对恶意代码的分析获得恶意代码执行中通用的行为操作序列或结构模式,这些行为序列和模式一般在正常文件中很少出现,如修改某个PE文件的结构、删除某个系统关键文件、格式化磁盘等,然后再把每一个行为操作序列或结构模式按照危险程度排序并设定不同的危险程度加权值,在实施检测时,若行为操作序列或结构模式的加权值总和超过某个指定的阈值,即判定为恶意代码。启发式检测技术进行检测时阈值的设定是关键,若阈值设定过大,则可能忽略某些危险操作,容易造成漏报,但若设定过小,可能把某些正常的行为序列组合判定为恶意操作,则容易误报。因此要通过实验,调整参数以达到最佳检验效果。
不管攻击者通过何种渠道向员工个人电脑发送恶意代码,该恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,若能加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以有效防御APT攻击。
安全分析人员发现,虽然APT攻击所使用的恶意代码变种多且升级频繁,但恶意代码所构建的命令控制通道通信模式并不经常变化。因此,可采用传统入侵检测方法来检测APT的命令控制通道,关键是如何及时获取APT攻击命令控制通道的通信模式特征。
大数据分析是一种网络取证思路,它全面采集网络设备的原始流量及终端和服务器日志,进行集中的海量数据存储和深入分析,可以在发现APT攻击的蛛丝马迹后,通过全面分析海量日志数据来还原APT攻击场景。大数据分析检测因涉及海量数据处理,因此需要构建Hadoop、Spark 等大数据存储和分析平台,并通过机器学习对数据进行分析,从而检测出是否受到攻击。例如,利用k-means聚类算法和ID3决策树学习算法进行网络异常流量检测,使用基于欧氏距离的k-means聚类算法对正常流量行为和异常流量行为进行训练,最后结合ID3决策树判断是否发生流量异常。
从功能上看,一个完整的APT安全检测与防御解决方案应该覆盖APT攻击的所有阶段,即应该解决事前智能检测、事中应急响应和事后分析防御等3个层面。从技术上看,APT安全解决方案应该配置主机应用控制、实时恶意代码检测、入侵防御等关键技术,实现对APT攻击的实时检测和防御。同时,也需要将入侵检测防御和大数据分析技术相结合,实现基于大数据的安全态势感知与智能预警分析将成为APT安全解决方案的核心,实现对APT攻击事件的情报信息获取及其深度分析。
▲
- The end -
威努特工控安全
我们将为您分享最前沿的国际工控网络安全技术,国家相关政策法规解读及经典成功案例解析。
264篇原创内容
公众号
评论