基于APT入侵的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)模型及其關(guān)鍵技術(shù)研究

0 引言

APT 攻擊，即高級持續(xù)性威脅(Advanced PersistentThreat,APT)，指組織或者小團(tuán)體，利用先進(jìn)的復(fù)合式攻擊手段對特定的數(shù)據(jù)目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT是竊取核心資料為目的所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，其攻擊方式比其他攻擊方式更為隱蔽，在發(fā)動(dòng)APT攻擊前，會(huì)對攻擊對象的業(yè)務(wù)流程和目標(biāo)進(jìn)行精確的收集，挖掘攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞。攻擊者會(huì)針對性的進(jìn)行潛心準(zhǔn)備，熟悉被攻擊者應(yīng)用程序和業(yè)務(wù)流程的安全隱患，定位關(guān)鍵信息的存儲(chǔ)方式與通信方式，使整個(gè)攻擊形成有目的、有組織、有預(yù)謀的攻擊行為。因此傳統(tǒng)的入侵檢測技術(shù)難以應(yīng)對。

1 APT攻擊技術(shù)特點(diǎn)及對傳統(tǒng)入侵檢測技術(shù)的挑戰(zhàn)

APT攻擊是結(jié)合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊等多種攻擊的高端攻擊模式，整個(gè)攻擊過程利用包括零日漏洞、網(wǎng)絡(luò)釣魚、掛馬等多種先進(jìn)攻擊技術(shù)和社會(huì)工程學(xué)的方法，一步一步地獲取進(jìn)入組織內(nèi)部的權(quán)限。原來的APT攻擊主要是以軍事、政府和比較關(guān)鍵性的基礎(chǔ)設(shè)施為目標(biāo)，而現(xiàn)在已經(jīng)更多的轉(zhuǎn)向商用和民用領(lǐng)域的攻擊。從近兩年的幾起安全事件來看，Yahoo、Google、RSA、Comodo等大型企業(yè)都成為APT攻擊的受害者。在2012年5月被俄羅斯安全機(jī)構(gòu)發(fā)現(xiàn)的“火焰”病毒就是APT的最新發(fā)展模式，據(jù)國內(nèi)相關(guān)安全機(jī)構(gòu)通報(bào)，該病毒已于2012年6月入侵我國網(wǎng)絡(luò)。

1.1 APT攻擊的技術(shù)特點(diǎn)

APT攻擊就攻擊方法和模式而言，攻擊者主要利用各種方法特別是社會(huì)工程學(xué)的方法來收集目標(biāo)信息。

其攻擊主要有基于互聯(lián)網(wǎng)惡意軟件的感染、物理惡意軟件的感染和外部入侵等三個(gè)入侵途徑，其典型流程圖如圖1 所示。就以2010 年影響范圍最廣的GoogleAurora(極光)APT攻擊，攻擊者利用就是利用社交網(wǎng)站，按照社會(huì)工程學(xué)的方法來收集到目標(biāo)信息，對目標(biāo)信息制定特定性的攻擊滲透策略，利用即時(shí)信息感染Google的一名目標(biāo)雇員的主機(jī)，通過主動(dòng)挖掘被攻擊對象受信系統(tǒng)和應(yīng)用程序的漏洞，造成了Google公司多種系統(tǒng)數(shù)據(jù)被竊取的嚴(yán)重后果。

從APT典型的攻擊步驟和幾個(gè)案例來看，APT不再像傳統(tǒng)的攻擊方式找企業(yè)的漏洞，而是從人開始找薄弱點(diǎn)，大量結(jié)合社會(huì)工程學(xué)手段，采用多種途徑來收集情報(bào)，針對一些高價(jià)值的信息，利用所有的網(wǎng)絡(luò)漏洞進(jìn)行攻擊，持續(xù)瞄準(zhǔn)目標(biāo)以達(dá)到目的，建立一種類似僵尸網(wǎng)絡(luò)的遠(yuǎn)程控制架構(gòu)，并且通過多信道、多科學(xué)、多級別的的團(tuán)隊(duì)持續(xù)滲透的方式對網(wǎng)絡(luò)中的數(shù)據(jù)通信進(jìn)行監(jiān)視，將潛在價(jià)值文件的副本傳遞給命令控制服務(wù)器審查，將過濾的敏感機(jī)密信息采用加密的方式進(jìn)行外傳[3].

1.2 APT攻擊對傳統(tǒng)檢測技術(shù)的挑戰(zhàn)

目前，APT 攻擊給傳統(tǒng)入侵檢測技術(shù)帶來了兩大挑戰(zhàn)：

(1)高級入侵手段帶來的挑戰(zhàn)。APT攻擊將被攻擊對象的可信程序漏洞與業(yè)務(wù)系統(tǒng)漏洞進(jìn)行了融合，由于其攻擊的時(shí)間空間和攻擊渠道不能確定的因素，因此在攻擊模式上帶來了大量的不確定因素，使得傳統(tǒng)的入侵防御手段難以應(yīng)對APT入侵手段。

(2)持續(xù)性攻擊方式帶來的挑戰(zhàn)。APT是一種很有耐心的攻擊形式，攻擊和威脅可能在用戶環(huán)境中存在很長的時(shí)間，一旦入侵成功則會(huì)長期潛伏在被攻擊者的網(wǎng)絡(luò)環(huán)境中，在此過程中會(huì)不斷收集用戶的信息，找出系統(tǒng)存在的漏洞，采用低頻攻擊的方式將過濾后的敏感信息利用數(shù)據(jù)加密的方式進(jìn)行外傳。因此在單個(gè)時(shí)間段上APT網(wǎng)絡(luò)行為不會(huì)產(chǎn)生異?，F(xiàn)象，而傳統(tǒng)的實(shí)時(shí)入侵檢測技術(shù)難以發(fā)現(xiàn)其隱蔽的攻擊行為。

2 安全防護(hù)技術(shù)模型研究

由于APT攻擊方式是多變的，以往的APT攻擊模式和案例并不具有具體的參考性，但是從多起APT攻擊案例的特點(diǎn)中分析來看，其攻擊目的可以分為兩方面：一是竊密信息，即竊取被攻擊者的敏感機(jī)密信息;二是干擾用戶行為兩方面，即干擾被攻擊者的正常行為。就APT攻擊過程而言，最終的節(jié)點(diǎn)都是在被攻擊終端。因此防護(hù)的最主要的目標(biāo)就是敏感機(jī)密信息不能被非授權(quán)用戶訪問和控制。針對APT攻擊行為，文中設(shè)計(jì)建立了一種基于靜態(tài)檢測和動(dòng)態(tài)分析審計(jì)相結(jié)合的訪問控制多維度防護(hù)模型，按照用戶終端層、網(wǎng)絡(luò)建模層和安全應(yīng)用層自下而上地構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系，如圖2所示。

上一頁 1 2 下一頁