當前，高級持續(xù)性威脅（APT，Advanced Persistent Threat）已成為各級各類網(wǎng)絡所面臨的主要安全威脅。它使網(wǎng)絡威脅從散兵游勇式的隨機攻擊變成有目的、有組織、有預謀的群體式攻擊，使傳統(tǒng)的以實時檢測、實時阻斷為主體的防御方式難以再發(fā)揮作用。因此，在對抗中，我們必須轉變思路，采取新的形式。

一、APT對傳統(tǒng)檢測技術形成的挑戰(zhàn)

正如其名稱所體現(xiàn)出來的含義，APT為傳統(tǒng)檢測技術帶來了兩大難題：

A（Advanced）難題：即高級入侵手段帶來的難題。相比傳統(tǒng)攻擊手法，APT攻擊具有單點隱蔽能力強、攻擊空間路徑不確定、攻擊渠道不確定等特點，使得傳統(tǒng)的基于特征匹配的邊界防御技術難以施效。

P（Persistent）難題：即持續(xù)性攻擊帶來的難題。典型的APT在攻擊時間上具有長持續(xù)性，一旦入侵成功則長期潛伏，尋找合適的機會外傳敏感信息，而在單個時間點上卻無明顯異常，使得基于單個時間點的實時檢測技術難以應對。

從博弈雙方看，攻方可借助跳板隱藏自身，在入侵成功后刪除目標主機上的日志信息，隱藏攻擊過程；對檢測方而言，只有在攻方與目標之間的通信鏈路是可控的。從鏈路中獲取的流量真實完整地記錄攻擊過程且不會被攻方躲避和篡改。從鏈路流量中檢測APT攻擊是可行的辦法，這也是當前的主流方案。

二、當前業(yè)內(nèi)APT檢測方案對比

沙箱方案：為解決特征匹配對新型攻擊的滯后性而產(chǎn)生的解決方案。其原理是將實時流量先引入虛擬機或沙箱，通過對沙箱的文件系統(tǒng)、進程、注冊表、網(wǎng)絡行為實施監(jiān)控，判斷流量中是否包含惡意代碼。同傳統(tǒng)的特征匹配技術相比，沙箱方案對未知惡意代碼具有較好的檢測能力，但其難點在于模擬的客戶端類型是否全面，如果缺乏合適的運行環(huán)境，會導致流量中的惡意代碼在檢測環(huán)境中無法觸發(fā)，造成漏報。

異常檢測方案；為解決特征匹配和實時檢測不足而產(chǎn)生的解決方案。其原理是通過對網(wǎng)絡中的正常行為模式建模而識別異常。核心技術包括元數(shù)據(jù)提取、正常行為建模和異常檢測算法。該方案同樣能夠檢測未知攻擊，但檢測效率依賴于背景流量中的業(yè)務模式，如果業(yè)務模式發(fā)生偏差，則會導致較高的漏報與誤報。

全流量審計方案：同樣是為解決傳統(tǒng)特征匹配不足而產(chǎn)生的解決方案。其原理是對鏈路中的流量進行深層次的協(xié)議解析和應用還原，識別其中是否包含攻擊行為。檢測到可疑攻擊行為時，在全流量存儲的條件下，回溯分析相關流量，例如可將包含的http訪問、下載的文件、及時通信信息進行還原，協(xié)助確認攻擊的完整過程。這種方案具備強大的事后溯源能力和實時檢測能力，是將安全人員的分析能力、計算機強大的存儲能力和運算能力相結合的完整解決方案。

上述異常檢測方案、全流量審計方案底層都要依靠大數(shù)據(jù)處理技術。通過對國際上主流產(chǎn)品的調(diào)研，我們發(fā)現(xiàn)目前此類產(chǎn)品的處理能力可支持10G帶寬及10TB級的海量存儲，以及對上千種協(xié)議的應用識別與深層解析，具備常見應用如HTTP頁面、流媒體、IM等的還原能力，同時具備規(guī)則匹配能力和異常檢測能力。

三、基于記憶的智能檢測系統(tǒng)

有了全流量審計，我們很自然地會面臨接下來的問題：傳統(tǒng)的檢測產(chǎn)品和平臺還有必要嗎？在全流量都被審計的前提下，還需要進行傳統(tǒng)的攻擊檢測嗎？

首先，需要全流量檢測，因為傳統(tǒng)的檢測技術只解決了“What”的問題，沒有解決“How”和“How Much”的問題。使用檢測產(chǎn)品雖然可以檢測到特定的攻擊，但檢測不到攻擊的細節(jié)（如：具體的攻擊流量是什么）及攻擊的進展程度（如：目標是否已被入侵）。通過全流量審計，這些問題都可以找到答案。

此外，也需要傳統(tǒng)檢測技術，因為在對全流量進行審計時，需在海量數(shù)據(jù)中找到分析任務的聚焦點。一個百兆的網(wǎng)絡，22個小時的流量就達1TB，如果沒有任何指示信息，在如此海量的數(shù)據(jù)中進行攻擊檢測猶如大海撈針。此時，傳統(tǒng)檢測技術的作用則類似于“觸發(fā)器”與“探照燈”，當檢測到APT行為的蛛絲馬跡時，結合全流量審計進行回溯與深度分析，則可建立完整的攻擊場景。

在全流量審計的輔助下，傳統(tǒng)的檢測產(chǎn)品將對歷史流量具備“記憶”能力，形成基于記憶的智能檢測系統(tǒng)，其檢測對象不再是實時時間點，而是歷史時間窗；對于漏報的攻擊行為，也可通過對歷史流量進行回溯審查的方式進行二次檢測和關聯(lián)分析，從而具備更強大的檢測能力。

原文鏈接：http://tech.ccidnet.com/art/1099/20120816/4172817_1.html

標簽： 安全 大數(shù)據(jù) 大數(shù)據(jù)處理 大數(shù)據(jù)處理技術 代碼 媒體 通信 網(wǎng)絡 問題

版權申明：本站文章部分自網(wǎng)絡，如有侵權，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯(lián)系。