发布时间 : 星期六 文章APT攻击的发现与防护方案的设计毕业论文更新完毕开始阅读691468fbb9f67c1cfad6195f312b3169a551ea42
贵州大学毕业论文(设计) 第7页
图3.1 APT攻击流程图
第一阶段:情报收集。攻击者对锁定的目标和资源采用针对性APT攻击,使用技术和社会工程学手段针对性地进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息,收集大量关于系统业务流程和使用情况等关键信息,通过网络流量、软件版本、开放端口、员工资料、管理策略等因素的整理和分析[7],得出系统可能存在的安全弱点。另外,攻击者在探测期中也需要收集各类零日漏洞、编制木马程序、制订攻击计划等,用于在下一阶段实施精确攻击,当攻击者收集到足够的信息时,就会对目标网络发起攻击。
第二阶段:进入点。采用诱骗手段将正常网址请求重定向至恶意站点,发送垃圾电子邮件并捆绑染毒附件,以远程协助为名在后台运行恶意程序,或者直接向目标网站进行 SQL 注入攻击等。尽管攻击手段各不相同,但绝大部分目的是尽量在避免用户觉察的条件下取得服务器、网络设备的控制权
第三阶段:命令与控制 (C&C 通信)。攻击者成功入侵目标网络后,通常并不急于获取敏感信息和数据,而是在隐藏自身的前提下找出放有敏感信息的重要计算机。然后,APT攻击活动利用网络通信协议来与C&C服务器通信,并确认入侵成功的计算机和C&C服务器间保持通信[]。开始寻找实施进一步行动的最佳时机。当接收到特定指令,或者检测到环境参数满足一定条件时,恶意程序开始执行预期的动作。
贵州大学毕业论文(设计) 第8页
第四阶段:横向扩展。在目标网络中找出放有敏感信息的重要计算机,使用包括传递哈希值算法的技巧和工具,将攻击者权限提升到跟管理者一样,让他可以轻松地访问和控制关键目标。
第五阶段:资料发掘。为确保以后的数据窃取行动中会得到最有价值的数据,APT会长期低调地潜伏。这是APT长期潜伏不容易被发现的特点,来挖掘出最多的资料,而且在这个过程当中,通常不会是重复自动化的过程,而是会有人工的介入对数据作分析,以做最大化利用。
第六阶段:资料窃取。APT是一种高级的、狡猾的伎俩,利用APT入侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问,最终挖掘到攻击者想要的资料信息。为了避免受害者推断出攻击的来源,APT 代码需要对其在目标网络中存留的痕迹进行销毁,这个过程可以称之为 APT 的退出。APT 根据入侵之前采集的系统信息,将滞留过的主机进行状态还原,并恢复网络配置参数,清除系统日志数据,使事后电子取证分析和责任认定难以进行。
3.3 ATP的检测
APT攻击是近几年来出现的一种高级网络攻击,具有难检测、持续时间长和攻击目标明确等特征。传统基于攻击特征的入侵检测和防御方法在检测和防御apt方面效果已经变得很不理想了。所以要检测出APT攻击已成为许多企业所面临的难题,因为APT种攻击是以“隐形模式”进行的。对于传统的攻击行为,安全专家仅需关注恶意程序的样本提取并做分析,便可以掌握攻击者的动机及传播渠道,可是对于APT攻击以点概面的安全检测手段已显得不合时宜,所以要想在APT攻击还没发生之前,事先检测到APT攻击是很困难的,面对APT攻击威胁,我们应当有一套更完善更主动更智能的安全防御方案,必须承认APT攻击的发起者有着超群的智慧和丰富的经验,因此检测APT攻击就必须密切关注攻击者所释放的恶意代码的每一个细节。并且该方案能够识别和分析服务器和客户端的微妙变化和异常。无论攻击者的实施的计划多么缜密,还是会留下点攻击过程中的痕迹,通常就是我们所说的刑事调查中的痕迹证据,这种证据
贵州大学毕业论文(设计) 第9页
并不明显,甚至可能是肉眼看不见的。
APT攻击者为了发动攻击肯定会在系统的某处留下一些模糊的踪迹,然而这些踪迹在我们平时看来是正常的一些网络行为,所以这就导致了我们很难检测到APT攻击。可是安全人员可以快速定位攻击源头,并做出对应的安全防御策略,但是这些却无法准确提取APT攻击属性与特征。
我们现在对抗 APT 的思路是以时间对抗时间。因为APT是在很长时间内才发生,也许一年,两年,甚至五年,才可能发生,所以我们要在一段时间内发现APT,还是很有难度的,需要对长时间、全流量数据进行深度分析,针对APT攻击行为的检测,需要构建一个多维度的安全模型,还可以通过手动检查文件来识别一些微小的不易发现的标记,并将这些标记作为潜在恶意活动的指示。通常APT攻击会采用一些恶意程序文件名与常见Windows文件类似,让我们很难发现。可是只要我们留心观察,是可以识别文件名的细微区别的,例如使用大写I代替小写L。根据整个apt攻击过程,围绕APT的攻击步骤提出具体的检测方案。检测的整个具体流程图如下图3.2所示,一共分成五大模块,沙箱检测,异常检测,威胁检测,记忆检测还有响应。
沙箱检测否是异常检测否是是进一步核实确认响应生成具体检测报告威胁检测否是记忆检测 图3.2 检测的整体流程图
3.3.1沙箱方案
该方案在一定程度上可以有效检测 APT 攻击, 对攻击方式进行非特征匹配。攻击者与防护者的信息不对称, 因为APT攻击具有极强的隐蔽性,所以要
贵州大学毕业论文(设计) 第10页
想发现APT攻击如同大海捞针。 该智能沙箱法案, 通过对可能存在的异常行为进行技术性识别, 检测出存在高级威胁的问题。 并且沙箱检测与整个网络运行环境相关, 操作系统的类型、 浏览器的版本、 安装的插件版本等都对沙箱检测的结果起着影响。 因而导致沙箱检测在这种情形下检测不出来恶意代码, 但是在另外一种情形下可能检测出来 3.3.2 异常检测模式
检测流程图如下图3.3所示:
数据流生成统计信息特征矢量集合特征匹配是是否异常可视化分析利用异常数据模拟攻击否是是否攻击否生成报告加入黑名单并通知管理员结束图3.3 异常检测流程图
APT攻击常使用端口跳变、应用层加密等手段隐藏恶意流量特征,只有通过一系列的数据聚类才能发现异常,异常检测是利用预先设定好特征库或规则库和用户通过从账号登录的IP地址、时间、行为操作序列等特征的统计可得到该账号的正常行为产生的数据量建立一个有效的模型。该模型通过匹配已知异常特征相的模式来检测异常。
该方案提出了在多种查询条件下对流量数据进行可视化分析,例如目的 IP