发布时间 : 2024/5/22 22:24:31 星期三 文章APT攻击的发现与防护方案的设计毕业论文更新完毕开始阅读691468fbb9f67c1cfad6195f312b3169a551ea42

贵州大学毕业论文（设计） 第3页

（3）对攻击的判断将越来越困难：在APT攻击防范中，我们通常用简单的技术指标来判断攻击的动机和地理位置。但是到了以后，我们将需要综合社会、政治、经济、技术等多重指标进行判断，以充分评估和分析目标攻击。但是，多重指标很容易导致判断出现失误，而且，攻击者还可能利用伪造技术指标来将怀疑对象转嫁到别人身上，大大提升了判断的难度。

1.3 主要设计内容

运用已学过的信息安全原理与技术、现代密码学、计算机网络和网络攻防等专业知识，对高级持续性威胁(Advanced Persistent Threat，APT)产生的背景、攻击方法与原理进行分析，发现其攻击规律，提出检测方法，搭建一个简单、实用的APT攻击防护平台，设计出一套完整的防范APT攻击的解决方案，并通过自己搭建的实验平台对该方案的可行性进行验证。

贵州大学毕业论文（设计） 第4页

第二章 相关的基础知识

2.1ATP的概念

APT攻击是一种非常有目标的攻击。APT攻击和其他的网络攻击相比，他们有着本质的区别，病毒拥有3个基本属性，APT攻击在拥有那些基本属性的同时，也拥有了属于自己特有的属性。从技术的角度来说，APT是一种不同性质的攻击，从某些程来说，APT攻击是必然的，也是最近出现的一种新的篇章，这个新的篇章和过去的网络攻击不一样，其主要表现为APT的采点是很漫长的，需要一段很长的时间，APT运用的攻击手段很隐蔽，因此很多网络安全维护人员不会轻易的发现这种攻击，因为他们所运用的攻击手段都是看起来正常的，进攻漫长的信息采集过程，最终确定攻击的目标，当攻击的目标被确定后，这个目标一定是有比较高的价值，因为APT前期的攻击准备的成本比起一般的网络攻击要高很多，APT不是一种单一的攻击手段，而是多种攻击手段的组合，它是由一个团体所组成，因此无法通过单一的防护手段进行阻止和防御，APT攻击目前已成为热点，其特征不同于传统的网络攻击，对已有的安全防范思路和能力，带来极大挑战。应对新的威胁，需要有新的思路。

2.2 APT攻击的原理

APT攻击的原理和其他网络攻击的区别主要在于他攻击形式更为高级和先进，其高级性体现在APT在发动攻击之前，需要对攻击目标信息进行精确的收集，在此收集的过程中，有可能结合当前IT行业所有可用的攻击入侵手段和技术，他们不会采取单一的攻击手段，病毒传播、SQL 注入等 。因为单一的攻击手段容易被发现，很难达到APT攻击所想要的结果，所以通常会使用自己设计、具有极强针对性和破坏性的恶意程序[5]，主动挖掘被攻击对象受信系统和应用程序的漏洞，对目标系统实施毁灭性的打击,APT攻击的方式可以根据实际情况进行动态的调整，从整体上掌控攻击进程，APT攻击还具备快速编写所需渗透代码的能力。与传统攻击手段和入侵方式相比，APT 攻击体现的技术性更强，过程也更为复杂，他的攻击行为没有采取任何可能触发警报或者引起怀疑的行

贵州大学毕业论文（设计） 第5页

动，所以更接近于融入被攻击者的系统或程序。

2.3APT的危害

如下图2.1所示一系列的APT攻击事件震惊业界，APT攻击的出现，对全球的信息安全的防护是一个极大的挑战，因为APT攻击的目标通常会是一个国家的安全设施，例如：航空航天，或者是重要的金融系统。APT攻击在没有挖掘到目标的有用信息之前，它可以悄悄潜伏在被攻击的目标的主机中。传统安全事故经常是可见的、危害即刻发生，造成的威胁很小；可是APT攻击则是不可见，危害在幕后发生，因为APT攻击具有很强的隐蔽性，所以悄然间便可窃取被攻击目标的核心数据，当一个企业或一个国家知道被攻击成功时，则造成的危害已经不可挽回，他的破坏力是非常强的，在国与国之间没有真正较量没有发生之前时发作，一旦发作也许会导致系统不运行，包括金融系统，攻击的目标大多数是针对国家的要害部门，所以它的危害是非常严重，威胁到国家的信息安全。

图2.1 近年发生的APT事件

贵州大学毕业论文（设计） 第6页

第三章 APT攻击的发现

3.1ATP攻击的途径

APT入侵客户的途径多种多样，主要包括：

(1)以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。

(2)社交工程的恶意邮件是许多APT攻击成功的关键因素之一，随着社交工程攻击手法的日益成熟，邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现，这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客一开始，就是针对某些特定员工发送的钓鱼邮件，以此作为使用APT手法进行攻击的所有源头。

(3)利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息 (4)很多企业和组织的网站在防范SQL注入攻击方面缺乏防范。所以通过对目标公网网站的SQL注入方式实现APT攻击。

(5)攻击者在持续不断获取受害企业和组织网络中的重要数据的时候，一定会向外部传输数据。通过对数据进行压缩、加密的方式导致现有绝大部分基于特征库匹配的检测系统失效，实现数据的传输

总之，高级持续性威胁(APT)正在通过一切方式，绕过基于代码的传统安全方案如防病毒软件、防火墙、IPS等)，并更长时间的潜伏在系统中，让传统防御体系难以侦测[6]。

3.2 ATP攻击的过程剖析

攻击的流程图如图3.1所示