企业监测APT攻击的方式有哪些
企业监测APT攻击的方式有以下这些:
异常检测:这一方案是同时解决两大问题的,即为解决特征匹配和实时检验不足而产生的解决方案。这一方案是利用将网络中正常行为产生的数据量建立一个模型,通过将所有数据量与这一标准模型进行对比,从而找出异常的数据量。正如警察在抓捕坏人时的方法是一致的,由于警察并不知道坏人的姓名,性别,长相已经其他行为特征,但是警察是知道好人的行为特征的,他可以利用这些行为特征建立一个可行的标准模型,当一个人的行为特征与现有的好人的行为特征模型大部分不相符时,警察就可以判断这个人不是个好人,是一个危险人物。异常检测的核心技术是基于连接特征的恶意代码检测规则、基于行为模式的异常检测算法、元数据提取技术。
基于连接特征的恶意代码检测:是用来检测已知的木马通信行为。基于行为模式的异常检测算法包含可疑加密文件传输等。
全流量审计:这一方案是解决无线接入点问题的,即是为了解决传统特征匹配不足而产生的解决方案。这一方案的核心思想是通过对检测到的流量进行应用识别,还原所发生的异常行为。它的原理是对流量进行更为深刻的协议解析和应用还原,识别这些网络行为中是否包含有攻击行为。当检测到可疑性攻击行为时,回溯分析与之相关的流量。包含了大数据存储处理,应用识别和文件还原等技术。这一方案具备强大的实时检测能力和事后回溯能力,是将计算机强大的存储能力与安全人员的分析能力相结合的完整解决方案。
基于记忆的检测系统:这是一个由全流量审计与日志审计相结合形成的系统,APT 攻击发生的时间很长,我们应该对长时间内的数据流量进行更加深入,细致的分析。
沙箱:这一方案是为了解决高级入侵手段引起的问题的,即解决特征匹配对新型攻击的滞后性而产生的解决方案。攻击者利用 0day 漏洞,使特征码的匹配不成功,这样我们就可以对症下药使用非特征匹配,利用沙箱技术识别 0day 漏洞攻击和异常行为。沙箱方案的原理是将实时流量先引进虚拟机或者沙箱,通过对沙箱的文件系统、进程、网络行为、注册表等进行监控,监测流量中是否包含了恶意代码。相较于一般传统的特征匹配技术,沙箱方案对未知的恶意程序攻击具有较好的检测能力。
基于深层次协议解析的异常识别:可以仔细检查发现是哪一种协议,一个数据在哪个地方出现了异常,直到找出它的异常点时停止检测。
攻击溯源:通过已经提取出来的网络对象,可以重建一个时间内可疑的所有内容。通过将这些事件重新排列顺序,可以帮助我们迅速的发现攻击源。