如何检测到APT攻击

沙箱方案：这一方案是为了解决高级入侵手段引起的问题的，即解决特征匹配对新型攻击的滞后性而产生的解决方案。攻击者利用0day漏洞，使特征码的匹配不成功，这样我们就可以对症下药使用非特征匹配，利用沙箱技术识别0day漏洞攻击和异常行为。沙箱方案的原理是将实时流量先引进虚拟机或者沙箱，通过对沙箱的文件系统、进程、网络行为、注册表等进行监控，监测流量中是否包含了恶意代码。相较于一般传统的特征匹配技术，沙箱方案对未知的恶意程序攻击具有较好的检测能力。

异常检测方案：这一方案是同时解决两大问题的，即为解决特征匹配和实时检验不足而产生的解决方案。这一方案是利用将网络中正常行为产生的数据量建立一个模型，通过将所有数据量与这一标准模型进行对比，从而找出异常的数据量。正如警察在抓捕坏人时的方法是一致的，由于警察并不知道坏人的姓名，性别，长相已经其他行为特征，但是警察是知道好人的行为特征的，他可以利用这些行为特征建立一个可行的标准模型，当一个人的行为特征与现有的好人的行为特征模型大部分不相符时，警察就可以判断这个人不是个好人，是一个危险人物。异常检测的核心技术是基于连接特征的恶意代码检测规则、基于行为模式的异常检测算法、元数据提取技术。

基于连接特征的恶意代码检测方案：是用来检测已知的木马通信行为。基于行为模式的异常检测算法包含可疑加密文件传输等。

全流量审计方案：这一方案是解决A，P问题的，即是为了解决传统特征匹配不足而产生的解决方案。这一方案的核心思想是通过对检测到的流量进行应用识别，还原所发生的异常行为。它的原理是对流量进行更为深刻的协议解析和应用还原，识别这些网络行为中是否包含有攻击行为。当检测到可疑性攻击行为时，回溯分析与之相关的流量。包含了大数据存储处理，应用识别和文件还原等技术。这一方案具备强大的实时检测能力和事后回溯能力，是将计算机强大的存储能力与安全人员的分析能力相结合的完整解决方案。

基于记忆的检测系统方案：这是一个由全流量审计与日志审计相结合形成的系统，APT攻击发生的时间很长，我们应该对长时间内的数据流量进行更加深入，细致的分析。这一检测系统具体分为四个步骤：

（1）扩大检测领域：对数据流量的检测领域进行适当的拓展，将全流量数据进行有效的存储，进一步进行深入的分析。

（2）将数据量进行精炼化：将庞大的数据进行精炼化，将全流量中的数据进行筛选，将与攻击行为没有任何相关性的数据进行及时的删除，同时保留有相关性的数据流量，能够释放出更大的空间。挑选，删除无相关性达到数据流量，可以依靠的第三方的检测报警设备，也可以利用全数据流量的异常检测技术。

（3）对检测出的攻击行为进行精确的报警：将保存下来的与攻击行为有关的数据进行后续分析，做出进一步的精确的报警。

（4）构建攻击的场景：我们将上一步做出的精确的报警进行关联性的分析，明确它们之间存在了哪些语义关系，将孤立的攻击报警提取出来，构建全面的，整体性的攻击场景。

基于深层次协议解析的异常识别方案：可以仔细检查发现是哪一种协议，一个数据在哪个地方出现了异常，直到找出它的异常点时停止检测。

攻击溯源方案：通过已经提取出来的网络对象，可以重建一个时间内可疑的所有内容。通过将这些事件重新排列顺序，可以帮助我们迅速的发现攻击源。