APT攻击与检测
APT简介
高级持续性威胁(Advanced Persistent Threat)
攻击者掌握先进的专业知识和丰富有效的资源,通过 多种攻击途径(如网络、物理设施和欺诈手段等),实现在特定组织的信息技术基础设施创建立足点,以窃 取机密信息,破坏或阻碍任务、计划或组织的关键环节。此外,APT会长时间重复地为实现其目标而努力,能够不断适应防御者并产生抵抗能力,并为了达到目标维持必需的交互和更新。
APT解析
APT生命周期
特点
方式
水坑攻击:黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。
鱼叉式网络钓鱼(Spear phishing),只针对特定目标进行攻击的网络钓鱼攻击。
APTvs传统攻击
APT检测
APT攻击检测难点
APT攻击检测要点
检测方案
基于0day漏洞和恶意软件检测的APT检测方案
主要技术:沙箱隔离,终端执行控制
检测原理
基于大数据分析的全流量APT检测方案
主要技术:大数据存储,应用和文件还原,数据关联性分析
检测原理
攻击图
攻击图是网络攻击建模技术,它采用点和边 的图形结构描述攻击场景。
典型攻击图:状态攻击图、属性攻击图、渗 透依赖攻击图…