但是防护的整体性一直没有达到应对不断变化安全威胁的需求。例如虽然防火墙能够检测到的大量端口扫描，用户能够发现收到钓鱼邮件，管理层用户发现社交账号有莫名的好友申请，但是目前的防护体系中还不能将这些安全事件进行有效关联，从而发现APT攻击的迹象进行阻止。此外，目前公司复杂的网络环境、大量有漏洞的应用软件，使得攻击者更加容易找到薄弱环节和安全漏洞，再加上员工普遍使用智能终端和社交应用，为攻击者提供了多种攻击途径。计算机事件响应小组（CIRT）和安全运维中心（SOC）可能都没有关键基础设施或是重点企业、公司重要电子资产的完整资料。因而我们认为，安全设备的联动、安全信息的共享、安全技术的协作应当成为解决APT攻击的重要途径。3APT攻击分析31APT攻击一般过程本文对近5年来的典型APT攻击案例，如图1所示，进行了分析，给出了APT攻击的一般过程。如图2所示，APT攻击的一般过程包括四个重要步骤。1）信息侦查：在入侵之前，攻击者首先会使用技术和社会工程学手段对特定目标进行侦查。侦查内容主要包括两个方面：一是对目标网络用户的信息收集，例如高层领导、系统管理员或者普通职员等员工资料、系统管理制度、系统业务流程和使用情况等关键信息；二是对目标网络脆弱点的信息收集，例如软件版本、开放端口等。随后，攻击者针对目标系统的脆弱点，研究0day漏洞、定制木马程序、制订攻击计划，用于在下一阶段实施精确攻击。2）持续渗透：利用目标人员的疏忽、不执行安全规范，以及利用系统应用程序、网络服务或主机的漏洞，攻击者使用定制木马等手段不断渗透以潜伏在目标系统，进一步地在避免用户觉察的条件下取得网络核心设备的控制权。例如通过SQL注入等攻击手段突破面向外网的Web服务器，或是通过钓鱼攻击发送欺诈邮件获取内网用户通信录并进一步入侵高管主机，采用发送带漏洞的Office文件诱骗用户将正常网址请求重定向至恶意站点。3）长期潜伏：为了获取有价值信息，攻击者一般会在目标网络长期潜伏，有的达数年之久。潜伏期间，攻击者还会在已控制的主机上安装各种木马、后门，不断提高恶意软件的复杂度，以增强攻击能力并避开安全检测。4）窃取信息：目前绝大部分APT攻击的目的都是为了窃取目标组织的机密信息。攻击者一般采用SSLVPN连接的方式控制内网主机，对于窃取到的机密信息，攻击者通常将其加密
f龙源期刊网httpwwwqika
comc
存放在特定主机上，再选择合适的时间将其通过隐秘信道传输到攻击者r