龙源期刊网httpwwwqika
comc
针对当前未知威胁APT攻防技术的浅析
作者：舒岳波来源：《无线互联科技》2014年第09期
摘要：从未知威胁尤其是APT检测体系上应该形成一个纵深且关联分析深入的防御体系。前期是完善地渗透攻击检测技术针对多样的攻击、0day漏洞和木马等恶意程序的防护，然后就是智能的事件及流量特征关联与分析上进行识别。这就是结合目前现有技术可以提出的一个更加完整，且针对未知威胁的检测体系。
关键词：未知威胁；APT攻防技术
1未知威胁的主要攻击方式
很多人以为自己重要的数据信息，只要做了真正地物理隔离就不再可能遭受到外界的安全攻击和数据盗窃。但是即使我们从物理上阻止了网络层的信息，却阻止不了逻辑上的信息流，也就是说只要黑客想要的数据信息没有与外界环境真正地隔离或者消失，逻辑上看就是有可能获取到想要的数据信息的。RSA被APT攻击利用了FLASH0DAY窃取了在RSA内网严密保护的SECURID令牌种子，震网利用7个0DAY和摆渡成功渗透进了伊朗核设施级的物理隔离网络都是活生生的实例。
基于各种技术结合的APT攻击与以前的攻击相比有很大区别，首先，它本身主要还是面向各种终端资产或者人员寻找突破点，当一个组织足够庞大的时候，它没法保证每个人的个人终端或者平时的工作和生活习惯都足够安全。其次，它采用了Oday结合恶意软件和社会工程学等方法来进行攻击的渗透，然后采用透码绕过相关安全工具的检测，最后通过加密的安全通道获取到数据，并且很好地隐藏了自己的身份、位置和行为。
这一系列的攻击过程决定了APT攻击较长的持续时间，它本身具有显著的多阶段逐步渗透的特征。大致可以分为嗅探、入侵、潜伏、撤离几个过程，这四个过程一般情况下是循序渐进的，但并不排除少数针对性强的攻击为了实现其特定目标只采取特定的阶段或者重复进行几个阶段。
11嗅探
嗅探是攻击者采集攻击目标多方面数据信息的阶段。攻击者一般使用巧妙多样的社会工程学手段收集大量内部人员数据、业务流程资料、内外网络环境等关键信息，并且也会结合渗透攻击的传统手段搜集目标在基础设施和防护手段上可能的漏洞和防护信息，通过设备策略、网络流量、系统版本、应用系统、开放端口、员工信息、管理措施等维度的整理和分析，得出攻击目标可能存在的安全缺陷或者其他隐藏的数据信息。
f龙源期刊网httpwwwqika
comc
攻击者在此期间中也需要实时地收集各类0day、编写恶意代码和程序、选择合理的攻击方案等。
12入侵
最终攻击者的攻击r