APT攻击特征有哪些
APT攻击特征有以下这些:
极强的隐蔽性:APT攻击与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。
潜伏期长持续性强:APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在一年以上,他们不断收集用户信息,直到收集到重要情报。他们往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为。所以这种攻击模式,本质上是一种“恶意商业间谍威胁”,因此具有很长的潜伏期和持续性。
目标性强:不同于以往的常规病毒,APT制作者掌握高级漏洞发掘和超强的网络攻击技术。发起APT攻击所需的技术壁垒和资源壁垒,要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户,而是拥有高价值敏感数据的高级用户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者。
技术高级:攻击者掌握先进的攻击技术,使用多种攻击途径,包括购买或自己开发的0day漏洞,而一般攻击者却不能使用这些资源。而且,攻击过程复杂,攻击持续过程中攻击者能够动态调整攻击方式,从整体上掌控攻击进程。
威胁性大:APT攻击通常拥有雄厚的资金支持,由经验丰富的黑客团队发起,一般以破坏国家或大型企业的关键基础设施为目标,窃取内部核心机密信息,危害国家安全和社会稳定。
企业监测APT攻击的方式有以下这些:
异常检测:这一方案是同时解决两大问题的,即为解决特征匹配和实时检验不足而产生的解决方案。这一方案是利用将网络中正常行为产生的数据量建立一个模型,通过将所有数据量与这一标准模型进行对比,从而找出异常的数据量。正如警察在抓捕坏人时的方法是一致的,由于警察并不知道坏人的姓名,性别,长相已经其他行为特征,但是警察是知道好人的行为特征的,他可以利用这些行为特征建立一个可行的标准模型,当一个人的行为特征与现有的好人的行为特征模型大部分不相符时,警察就可以判断这个人不是个好人,是一个危险人物。异常检测的核心技术是基于连接特征的恶意代码检测规则、基于行为模式的异常检测算法、元数据提取技术。
基于连接特征的恶意代码检测:是用来检测已知的木马通信行为。基于行为模式的异常检测算法包含可疑加密文件传输等。
全流量审计:这一方案是解决 A,P 问题的,即是为了解决传统特征匹配不足而产生的解决方案。这一方案的核心思想是通过对检测到的流量进行应用识别,还原所发生的异常行为。它的原理是对流量进行更为深刻的协议解析和应用还原,识别这些网络行为中是否包含有攻击行为。当检测到可疑性攻击行为时,回溯分析与之相关的流量。包含了大数据存储处理,应用识别和文件还原等技术。这一方案具备强大的实时检测能力和事后回溯能力,是将计算机强大的存储能力与安全人员的分析能力相结合的完整解决方案。
基于记忆的检测系统:这是一个由全流量审计与日志审计相结合形成的系统,APT 攻击发生的时间很长,我们应该对长时间内的数据流量进行更加深入,细致的分析。
沙箱:这一方案是为了解决高级入侵手段引起的问题的,即解决特征匹配对新型攻击的滞后性而产生的解决方案。攻击者利用 0day 漏洞,使特征码的匹配不成功,这样我们就可以对症下药使用非特征匹配,利用沙箱技术识别 0day 漏洞攻击和异常行为。沙箱方案的原理是将实时流量先引进虚拟机或者沙箱,通过对沙箱的文件系统、进程、网络行为、注册表等进行监控,监测流量中是否包含了恶意代码。相较于一般传统的特征匹配技术,沙箱方案对未知的恶意程序攻击具有较好的检测能力。
基于深层次协议解析的异常识别:可以仔细检查发现是哪一种协议,一个数据在哪个地方出现了异常,直到找出它的异常点时停止检测。
攻击溯源:通过已经提取出来的网络对象,可以重建一个时间内可疑的所有内容。通过将这些事件重新排列顺序,可以帮助我们迅速的发现攻击源。