apt攻击如何检测
阻断和遏止APT攻击的前提是能够有效检测到安全威胁的存在,通常已经退出目标系统的APT由于活动痕迹已被清除而难以发现,因此检测的重点是APT攻击的前3个时期。
1.在探测期中
攻击者需要收集关于目标系统的大量信息,可能会使用端口扫描、代码分析、SQL语句检测等方式获取有用的数据,在这个阶段如果能够通过审计系统日志分析辨识出这些活动,有效分析网络流量数据、防御系统警报等信息,将有可能发现APT攻击的信号,则可以认为系统已经被攻击者所关注,需要提高警惕。此外,可以利用大数据分析技术来处理检测数据。 APT攻击者通常会规划很长一段时间展开信息收集和目标突破的行动,而现有IDS或IPS系统一般是实时工作的,而且在检测数据中存在大量冗余信息。因而,为了令初期阶段的检测更加有效,可对长时间、全流量数据用大数据分析的方法进行深度检测,对各种来源的日志数据进行周期性关联分析,这将非常有助于发现APT攻击。
2.在入侵期中
攻击者已经发现了系统中可以利用的漏洞,并通过漏洞进行木马、病毒植入,电子邮件攻击,此阶段对于检测者而言体现在反常事件的增多。采取基于异常检测的IDS类实现方法,对管理员密码修改、用户权限提升、角色组变更和计算机启动项、注册表修改等活动的关注有助于发现处于入侵期的APT类攻击;部署采用基于收发双方关联信息、基于电子邮件历史分析发送者特点和基于附件恶意代码分析等检测技术的对策工具,可以有效检测出利用目标性电子邮件的APT攻击。
3.在潜伏期中
入侵后APT即进入潜伏期,此时的攻击代理为避免被发现,在大多数时间内处于静默状态,仅在必要时接受主控端指令,执行破坏动作或回传窃取到的数据。如果指令或传输的数据被加密,那么对其内容的检测就十分困难,只能通过流量分析判断系统可能处于异常状态;但如果数据未加密,则通过内容分析技术有可能识别出敏感数据已经以非正常方式传送到了受保护区域之外。在命令和控制阶段,可能存在增加用户、提升权限和增加新的启动项目等行为,使用IDS或IPS检测这类入侵将有助于发现APT攻击,另外,研究人员发现APT攻击者命令和控制通道的通信模式并不经常变化,若能及时获取到各APT攻击中命令控制通道的检测特征,可以采用传统入侵检测方法进行检测。
无论攻击者的入侵计划多么缜密,由于技术手段的限制往往还是会残留下一些踪迹(如进入网络、植入软件、复制数据等时刻)。这种APT攻击的证据并不明显,但一旦发现就必须及时保存现场状态并尽快通知安全系统,并对疑似感染的机器进行隔离和详细检查。