浅析APT攻击以及防范的四大策略

APT攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击.高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全.本文就APT攻击以及防范策略进行分析研究.     

APT技术分析与思考

APT高级持续性威胁(Advanced Persistent Threat),是一种新型的攻击手段,威胁着网络信息安全。本文通过APT攻击典型案例介绍了APT攻击的基本概念、攻击过程、攻击原理及攻击方法等,逐步找到防范策略。APT高级持续性威胁(Advanced Persistent Threat),是一种新型的攻击手段,威胁着网络信息安全。本文通过APT攻击典型案例介绍了APT攻击的基本概念、攻击过程、攻击原理及攻击方法等,逐步找到防范策略。     

擒拿“潜伏之王”——APT防御之术解读

正在现有的网络犯罪中,高持续性威胁(APT)是最"狡猾"的一个,为了达成最终的商业或政治目的,不惜"潜伏"数月甚至数年时间——"下一盘很大的棋"。APT往往能绕过基于特征代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。"潜伏性和持续性"是APT攻击最大的威胁。在拥有明确的目标和极强的"耐心"之余,APT又拥有多种多样的攻击方式和入侵途径,除了传统的网络攻击方式,APT还将广泛普及的智能手机、平板电脑和USB等移动设备为目标和攻     

一种基于攻击图的高级持续威胁检测方法北大核心CSCD

针对传统入侵检测工具无法检测高级持续威胁(Advanced Persistent Threat,APT)攻击和威胁警报疲劳问题,文章提出一种基于攻击图的APT检测方法 ADBAG(APT Detection Based on Attack Graph),该方法根据网络拓扑、漏洞报告等信息生成攻击图,并利用攻击图对攻击者行为进行预先分析,有效解决了威胁警报疲劳问题。文章结合ATT&CK(Adversarial Tactics,Techniques and Common Knowledge)模型和APT攻击三相检测模型,设计了一种缺失路径匹配评分算法,从攻击全局角度分析和检测APT攻击。同时,设计了基于灰名单的多攻击实体关联方法,以保证生成的APT攻击证据链的准确性。在公开数据集上进行实验,实验结果表明,ADBAG可以有效检测APT攻击,并能够检测基于零日漏洞的APT攻击,进一步定位攻击影响范围。     

APT攻击行动研究

目前对APT(Advanced Persistent Threats,高级持续威胁)攻击行动的组成要素、主要任务、重要活动以及交互关系等问题已有清晰的认识,但是缺乏统一的形式化描述,不能全面系统地表达APT攻击的全过程。文章基于UML动态建模机制,构建了APT攻击行动协作模型、APT攻击行动模型和APT攻击活动模型;参考APT攻击活动模型对典型的APT攻击案例(针对Google的极光攻击行动)进行了建模,对比McAfee实验室的研究报告,找出了对APT攻击的非形式化描述所存在的不足。     

传统网络安全防御面临的新威胁:APT攻击

高级持续威胁(APT)攻击不断被发现,传统网络安全防御体系很难防范此类攻击,由此给国家、社会、企业、组织及个人造成了重大损失和影响。对近几年典型APT攻击事件和攻击代码进行了研究,分析了攻击的产生背景、技术特点和一般流程。彻底防御APT攻击被认为是不可能的,重视组织面临的攻击风险评估,建立新的安全防御体系,重点保护关键数据成为共识。为此,提出了建立一种新的安全防御体系,即安全设备的联动、安全信息的共享、安全技术的协作,并给出了基于社会属性、应用属性、网络属性、终端属性及文件属性的多源态势感知模型,以及安全信息共享和安全协作的途径。     

APT攻击防护浅谈

APT攻击作为一种高级持续性网络攻击手段,正威胁着各个行业企业的安全。本文通过对多个APT攻击案例进行分析,针对APT攻击过程,在技术和管理方法上提出了一些建议和实现的思路。     

一种应对APT攻击的安全架构:异常发现

威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat,APT),在其造成严重经济损失之前,现有的安全架构无法协助防御者及时发现威胁的存在.在深入剖析威胁的外延和内涵的基础上,详细探讨了威胁防御模型.提出了一种应对APT攻击的安全防御理论架构:异常发现,以立足解决威胁发现的难题.异常发现作为防御策略和防护部署工作的前提,通过实时多维地发现环境中存在的异常、解读未知威胁、分析攻击实施者的目的,为制定具有针对性的应对策略提供必要的信息.设计并提出了基于异常发现的安全体系技术架构:"慧眼",通过高、低位协同监测的技术,从APT攻击的源头、途径和终端3个层面监测和发现.     

面向APT家族分析的攻击路径预测方法研究

近年来, 针对政府机构、工业设施、大型公司网络的攻击事件层出不穷, 网络空间安全已成为事关国家稳定、社会安定和经济繁荣的全局性问题。高级持续威胁(Advanced Persistent Threat, APT)逐渐演化为各种社会工程学攻击与零日漏洞利用的综合体, 已成为最严重的网络空间安全威胁之一, 当前针对 APT 的研究侧重于寻找可靠的攻击特征并提高检测准确率, 由于复杂且庞大的数据很容易将 APT 特征隐藏, 使得获取可靠数据的工作难度大大增加, 如何尽早发现 APT 攻击并对 APT 家族溯源分析是研究者关注的热点问题。基于此, 本文提出一种 APT 攻击路径还原及预测方法。首先, 参考软件基因思想, 设计 APT 恶意软件基因模型和基因相似度检测算法构建恶意行为基因库, 通过恶意行为基因库对样本进行基因检测, 从中提取出可靠的恶意特征解决可靠数据获取问题; 其次, 为解决APT攻击路径还原和预测问题, 采用隐马尔可夫模型(HMM)对APT恶意行为链进行攻击路径还原及预测, 利用恶意行为基因库生成的特征构建恶意行为链并估计模型参数, 进而还原和预测 APT 攻击路径, 预测准确率可达 90%以上; 最后, 通过 HMM 和基因检测两种方法对恶意软件进行家族识别, 实验结果表明, 基因特征和 HMM 参数特征可在一定程度上指导入侵检测系统对恶意软件进行识别和分类。     

数据中心APT攻击检测和防御技术

在云计算、大数据、人工智能技术的广泛应用下，APT(Advanced Persistent Threat，高级持续性威胁)作为一种新型网络威胁，正成为企业组织乃至国家机构的头号安全风险。面对严峻的网络安全形势，本文详细介绍APT攻击背景、攻击特点、流程及常见防御手段。并且针对数据中心的APT攻击，从检测和防御架构图、检测和防御拓扑图等角度设计数据中心安全架构，详细阐述各种检测和防御组件的功能和技术原理，实现全网威胁事件实时告警、攻击路径和安全态势实时呈现，让攻击和威胁消灭在萌芽状态，让安全事件可以追溯，为企业和机构提供一个弹性、灵活、按需扩展的APT攻击检测和防御方案。     

蜜罐技术在网络安全系统中的应用与研究

随着网络技术的不断发展,网络安全技术已经从早期对攻击和病毒的被动防御开始向对攻击者进行欺骗并且对其入侵行为进行监测的方向发展。基于蜜罐技术的网络安全系统可以实现对内部网络和信息的保护,并且可以对攻击行为进行分析和取证。文中对蜜罐系统分类特点、部署位置以及配置数量进行了分析,同时对蜜罐系统中关键部分取证服务器的实现进行了研究,并进行了实验测试,测试结果表明该蜜罐系统可以实现对攻击行为进行捕捉和记录的功能。对蜜罐系统的部署和保护模式进行研究,可以从理论上优化蜜罐系统的配置和部署,具有很高的实践意义。     

面向分布式网络结构的APT攻击双重博弈模型

针对目前分布式网络结构缺少防御高级持续威胁（APT）攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型（OAPG）,计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。     

工业控制网络中APT攻击检测系统设计

高级持续性威胁(advanced persistent threat, APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击。现有研究者认为,敏感数据窃密是APT攻击的重要目的之一。为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(Control and Command, C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测。实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。     

脚本程序安全漏洞的动态防御方法

脚本程序漏洞经常引起安全问题,导致出现网络攻击.对常见脚本程序漏洞进行了分类研究,分析了漏洞产生机理,总结出参数引用(参数未过滤、数据未判断、数据未过滤)和逻辑考虑不足(逻辑推理缺陷、逻辑运算符滥用)两类主要的脚本安全问题.在此基础上,提出一种针对脚本源代码漏洞的动态防御方法,阐明了防御原理及方法,设计了攻击字符库.实验表明,该方法可以有效地防范脚本漏洞攻击,提高了Web系统的安全性.     

面向Linux的内核级代码复用攻击检测技术

近年来,代码复用攻击与防御成为安全领域研究的热点.内核级代码复用攻击使用内核自身代码绕过传统的防御机制.现有的代码复用攻击检测与防御方法多面向应用层代码复用攻击,忽略了内核级代码复用攻击.为有效检测内核级代码复用攻击,提出了一种基于细粒度控制流完整性（CFI）的检测方法.首先根据代码复用攻击原理和正常程序控制流构建CFI约束规则,然后提出了基于状态机和CFI约束规则的检测模型.在此基础上,基于编译器辅助实现CFI标签指令插桩,并在Hypervisor中实现CFI约束规则验证,提高了检测方法的安全性.实验结果表明该方法能够有效检测内核级代码复用攻击,并且性能开销不超过60%.     

基于 APT 网络攻击的技术研究

面临相对滞后的防御手段,APT网络攻击的危害性越来越大。本文对APT网络攻击的概念进行阐述,同时分析APT网络攻击的入侵途径和具体流程,总结APT网络攻击的行为特征和发展趋势,并提出防御APT网络攻击的安全策略。     

Integrated moving target defense and control reconfiguration for securing Cyber-Physical systems

With the increasingly connected nature of Cyber-Physical Systems (CPS), new attack vectors are emerging that were previously not considered in the design process. Specifically, autonomous vehicles are one of the most at risk CPS applications, including challenges such as a large amount of legacy software, non-trusted third party applications, and remote communication interfaces. With zero day vulnerabilities constantly being discovered, an attacker can exploit such vulnerabilities to inject malicious code or even leverage existing legitimate code to take over the cyber part of a CPS. Due to the tightly coupled nature of CPS, this can lead to altering physical behavior in an undesirable or devastating manner. Therefore, it is no longer effective to reactively harden systems, but a more proactive approach must be taken. Moving target defense (MTD) techniques such as instruction set randomization (ISR), and address space randomization (ASR) have been shown to be effective against code injection and code reuse attacks. However, these MTD techniques can result in control system crashing which is unacceptable in CPS applications since such crashing may cause catastrophic consequences. Therefore, it is crucial for MTD techniques to be complemented by control reconfiguration to maintain system availability in the event of a cyber-attack. This paper addresses the problem of maintaining system and security properties of a CPS under attack by integrating moving target defense techniques, as well as detection, and recovery mechanisms to ensure safe, reliable, and predictable system operation. Specifically, we consider the problem of detecting code injection as well as code reuse attacks, and reconfiguring fast enough to ensure the safety and stability of autonomous vehicle controllers are maintained. By using MTD such as ISR, and ASR, our approach provides the advantage of preventing attackers from obtaining the reconnaissance knowledge necessary to perform code injection and code reuse attacks, making sure attackers can’t find vulnerabilities in the first place. Our system implementation includes a combination of runtime MTD utilizing AES 256 ISR and fine grained ASR, as well as control management that utilizes attack detection, and reconfiguration capabilities. We evaluate the developed security architecture in an autonomous vehicle case study, utilizing a custom developed hardware-in-the-loop testbed.     

SDN环境下的LDoS攻击检测与防御技术

低速率拒绝服务(LDoS)攻击是一种新型的网络攻击方式,其特点是攻击成本低,隐蔽性强。作为一种新型的网络架构,软件定义网络(SDN)同样面临着LDoS攻击的威胁。但SDN网络的控制与转发分离、网络行为可编程等特点又为LDoS攻击的检测和防御提供了新的思路。提出了一种基于OpenFlow协议的LDoS攻击检测和防御方法。通过对每条OpenFlow数据流的速率单独进行统计,并利用信号检测中的双滑动窗口法实现对攻击流量的检测,一旦检测到攻击流量,控制器便可以通过下发流表的方式实现对攻击行为的实时防御。实验表明,该方法能够有效检测出LDoS攻击,并能够在较短时间内实现对攻击行为的防御。