控制的服务器。由于数据以密文方式存在，APT程序在获取重要数据后向外部发送时，利用了合法数据的传输通道和加密、压缩方式，难以辨别出其与正常流量的差别。32APT攻击与传统攻击比较为了更加清晰地描绘APT攻击的特点，以及其与传统攻击方式的异同，本文从以下四个方面将传统攻击和APT攻击进行了对比，如表1所示。Who：谁在策划这次攻击；What：攻击者瞄准了哪些特定组织和信息资产；Why：攻击者的目的是什么；How：使用了哪些实现技术。通过表1的比较，我们可以更加清晰地认识APT攻击的两个显著特点。1）目标明确：攻击者一般在攻击之前会有明确的攻击目标，这里的目标主要包括两个方面：一是组织目标，如针对某个特定行业或某国政府的重要基础设施；二是行动目标，例如窃取机密信息或是破坏关键系统。2）手段多样：攻击者在信息侦查阶段主要采用社会工程学方法，会花较长时间深入调查公司员工、业务流程、网络拓扑等基本信息，通过社交网络收集目标或目标好友的联系方式、行为习惯、业余爱好、计算机配置等基本信息，以及分析目标系统的漏洞；在持续渗透阶段，攻击者会开发相应的漏洞利用工具，尤其是针对0day安全漏洞的利用工具，针对0day漏洞的攻击是很难防范的。在窃取信息阶段，攻击者会运用先进的隐藏和加密技术，在被控制的主机长期潜伏，并通过隐秘信道向外传输数据，从而不易被管理员和安全软件发现。4APT防御通过分析最近几年的攻击案例可以发现，目前的防御技术、防御体系很难有效应对APT攻击，导致很多攻击直到几年后才被发现，甚至可能还有很多APT攻击未被发现。通过前面APT攻击背景以及攻击特点、攻击流程的分析，我们认为，需要一种新的安全思维，即放弃保护所有数据的观念，转而重点保护关键数据资产，同时在传统的纵深防御的网络安全防护基础上，建立一种新的安全防御体系，即安全设备的联动、安全信息的共享、安全技术的协作。41网络安全态势感知模型
f龙源期刊网httpwwwqika
comc
态势感知（Situatio
Aware
ess）这一概念是由JacquesTheureau于1998年最先提出的，此后在军事战场、核反应控制、空中交通监管及医疗应急调度等领域被广泛研究。Bass于1999年首次提出网络态势感知（CyberspaceSituatio
alAware
ess）的概念，网络安全态势感知是指在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、提供比较准确的网络安全演变趋势，在网络安全事件发生之前进行预测，为网络管理员制定决策和防御措施提供依r