一种应对APT攻击的安全架构:异常发现

威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat, APT),在其造成严重经济损失之前,现有的安全架构无法协助防御者及时发现威胁的存在.在深入剖析威胁的外延和内涵的基础上,详细探讨了威胁防御模型.提出了一种应对APT攻击的安全防御理论架构:异常发现,以立足解决威胁发现的难题.异常发现作为防御策略和防护部署工作的前提,通过实时多维地发现环境中存在的异常、解读未知威胁、分析攻击实施者的目的,为制定具有针对性的应对策略提供必要的信息.设计并提出了基于异常发现的安全体系技术架构:“慧眼”,通过高、低位协同监测的技术,从APT攻击的源头、途径和终端3个层面监测和发现.     

数据中心APT攻击检测和防御技术

在云计算、大数据、人工智能技术的广泛应用下，APT(Advanced Persistent Threat，高级持续性威胁)作为一种新型网络威胁，正成为企业组织乃至国家机构的头号安全风险。面对严峻的网络安全形势，本文详细介绍APT攻击背景、攻击特点、流程及常见防御手段。并且针对数据中心的APT攻击，从检测和防御架构图、检测和防御拓扑图等角度设计数据中心安全架构，详细阐述各种检测和防御组件的功能和技术原理，实现全网威胁事件实时告警、攻击路径和安全态势实时呈现，让攻击和威胁消灭在萌芽状态，让安全事件可以追溯，为企业和机构提供一个弹性、灵活、按需扩展的APT攻击检测和防御方案。     

对APT攻击的检测与防御

本文对APT攻击进行描述,指出APT攻击对企业造成的危害及企业对此类威胁防御的迫切需求。针对此问题,给出了防御APT攻击的利器"金山KingCloud私有云安全系统",并对该系统如何保证用户IT生产环境安全稳定进行了详细说明。     

云环境下APT攻击的防御方法综述

云计算以其快速部署、弹性配置等特性吸引了大量的组织和机构使用,然而近期出现的高级可持续性威胁(Advanced Persistent Threat,APT)相比传统的网络攻击具有攻击持续性、高隐蔽性、长期潜伏等特性,为实现云平台的信息资产的安全与隐私保护带来了极大的冲击和挑战。因此,如何有效地防护APT对云平台的攻击成为云安全领域亟待解决的问题。在阐述APT攻击的基本概念、攻击流程与攻击方法的基础之上,分析了APT新特性带来的多重安全挑战,并介绍了国内外在APT防护方面的研究进展。随后针对APT的安全挑战,提出了云平台下APT防护的建议框架,该框架融入了事前和事中防御策略,同时利用大数据挖掘综合分析可能存在的APT攻击以及用于事中的威胁定位与追踪。最后,介绍了安全框架中的关键技术的研究进展,分析了现有技术的优势与不足之处,并探讨了未来的研究方向。     

基于Petri网的APT攻击模型生成方法

在严峻的APT(Advanced Persistent Threat)攻击防御背景下,针对现有网络攻击建模方法无法反映APT攻击的攻击特点,建立了基于Petri网的APT攻击模型。借助Petri网,首先针对APT攻击的特点及生命周期,建立APT攻击的基本Petri网模型;然后设计并实现APTPN(Advanced Persistent Threat Petri Nets)模型的生成算法,针对具体的APT攻击生成其完整的攻击路径;最后,实验通过模拟极光攻击验证了算法的有效性及正确性。     

基于NFV的新的协作式DDoS防御技术

在采取网络功能虚拟化技术构建的协作式网络抵御分布式拒绝服务攻击的过程中,由于协作网络中的资源有限,协作网络中的参与者存在为了自身安全而采取自私行为的问题,进而减弱协作网络缓解 DDoS攻击能力。针对上述问题,提出了一种新的缓解DDoS攻击策略。该策略在协作网络中构建重复囚徒困境博弈模型,引入奖罚分明激励机制加强协作网络的合作性,并采取基于社会信誉值评估的动态资源分配机制。仿真实验表明,新的协作式DDoS攻击防御技术在分组丢失率、合作性和资源分配率方面优于现有方案,提高了DDoS攻击防御的有效性。     

网络深层防御体系模型的研究和实现

针对单一技术在安全防御上存在的缺陷．提出了一个基于三层防御机制的网络安全防御体系模型。该体系有机结合了防火墙、NIPS、基于异常的入侵检测、蜜罐等多种安全技术深层抵御入侵,各组件通过传递XML信息互相协作。首先对网络的安全和结构进行分析,在此基础上给出了体系模型并说明了模型的工作流程．对涉及的关键技术做了探讨,给出了蠕虫攻击实验测试系统的性能。实验结果证明该体系不仅能阻断已知攻击,对未知攻击也做到了有效防御。     

面向分布式网络结构的APT攻击双重博弈模型

针对目前分布式网络结构缺少防御高级持续威胁（APT）攻击的安全理论模型问题,提出了一种基于纳什均衡理论和节点博弈的博弈模型。首先,通过APT攻击常用手段和分布式网络结构的特点,分析判断攻击者可能采取的攻击路径并提出网络安全防御框架;其次,通过节点博弈计算漏洞风险系数,在纳什均衡理论的基础上建立基于攻击路径的博弈模型（OAPG）,计算攻防双方收益均衡点,分析攻击者最大收益策略,进而提出防御者最优防御策略;最后,用一个APT攻击实例对模型进行验证。计算结果表明,所提模型能够从APT攻击路径对网络攻防双方进行理性分析,为使用分布式网络的机构提供一种合理的防御思路。     

APT网络攻击与防御策略探析

随着科学技术的不断进步和发展,网络技术已经广泛应用到了人们的日常生活和工作之中,为社会的进步和人类的发展都带来了诸多的有利条件。于此同时,网络的复杂性也给利用网络的企业、组织、团体等带来安全隐患。高级持续威胁(Advanced Persistent Threat,APT)是一种新型的攻击方式,攻击者利用各种先进的攻击手段,对高价值目标进行有组织、长期持续的网络攻击,是以窃取核心资料为目的所发动的网络攻击和侵袭行为。APT攻击具有高度的危害性,但目前针对这种攻击方式的研究却较少。因此,本文针对APT攻击进行了深入的探究和分析,从APT攻击的技术特征及流程入手,提出了若干防御策略,为日后APT攻击研究工作提供了一定的理论基础和科学依据。     

网络深层防御体系模型的研究和实现

针对单一技术在安全防御上存在的缺陷.提出了一个基于三层防御机制的网络安全防御体系模型.该体系有机结合了防火墙、NIPS、基于异常的入侵检测、蜜罐等多种安全技术深层抵御入侵,各组件通过传递XML信息互相协作.首先对网络的安全和结构进行分析,在此基础上给出了体系模型并说明了模型的工作流程,对涉及的关键技术做了探讨,给出了蠕虫攻击实验测试系统的性能.实验结果证明该体系不仅能阻断已知攻击,对未知攻击也做到了有效防御.     

基于诱捕的软件异常检测综述

高级持续威胁（APT,advanced persistent threats）会使用漏洞实现攻击代码的自动加载和攻击行为的隐藏,并通过复用代码攻击绕过堆栈的不可执行限制,这是网络安全的重要威胁。传统的控制流完整性和地址随机化技术虽然有效抑制了APT的步伐,但软件的复杂性和攻击演化使软件仍存在被攻击的时间窗口。为此,以资源为诱饵的诱捕防御是确保网络安全的必要补充。诱捕机制包含诱饵设计和攻击检测两部分,通过感知与诱饵的交互行为,推断可能的未授权访问或者恶意攻击。针对文件、数据、代码3种诱饵类型,设计诱饵的自动构造方案并进行部署,从真实性、可检测性、诱惑性等方面对诱饵的有效程度进行度量。基于诱捕防御的勒索软件检测注重诱饵文件的部署位置,在漏洞检测领域,通过注入诱饵代码来检测代码复用攻击。介绍了在APT攻击各个阶段实施诱捕防御的相关研究工作,从诱饵类型、诱饵生成、诱饵部署、诱饵度量方面刻画了诱捕防御的机理;同时,剖析了诱捕防御在勒索软件检测、漏洞检测、Web安全方面的应用。针对现有的勒索软件检测研究在诱饵文件设计与部署方面的不足,提出了用于检测勒索软件的诱饵动态更新方法。讨论了诱捕防御面临的挑...     

改进BM算法策略的网络入侵检测系统设计

入侵检测系统是近几年来网络安全领域的热门技术;传统的网络入侵检测对复杂数据信息和外来攻击都不能进行有效的特征识别,从而导致网络入侵检测准确率较低;因此,为确保网络的安全,结合实际应用过程,将事件防御策略思想引入到网络入侵检测设计中,首先,对网络安全框架和分布式网络检测系统进行了分析,在此基础上对网络检测系统进行改进,最后,利用改进BM算法策略对网络入侵系统进行有效地检测,以满足网络入侵检测实时性的要求;实验表明,该方法的性能优于静态分类器选择的检测方法,提高了检测精确性和安全性,为网络安全的运行提供了可靠的保证。     

基于专家系统的高级持续性威胁云端检测博弈

云计算系统是高级持续性威胁(advanced persistent threats, APT)的重要攻击目标.自动化的APT检测器很难准确发现APT攻击,用专家系统对可疑行为进行二次检测可以减少检测错误.但是专家系统完成二次检测需要花费一段额外的时间,可能导致防御响应延迟,而且专家系统本身也会产生误判.在综合考虑APT检测器和专家系统的虚警率和漏报率的基础上,用博弈论方法讨论在云计算系统的APT检测和防御中,利用专家系统进行二次检测的必要性.设计了一个基于专家系统的APT检测方案,并提出一个ES-APT检测博弈模型,推导其纳什均衡,据此研究了专家系统对云计算系统安全性能的改善作用.此外,当无法获得APT攻击模型时,提出了一种利用强化学习算法获取最优防御策略的方案.仿真结果表明：基于WoLF-PHC算法的动态ES-APT检测方案较之其他对照方案能够提高防御者的效用和云计算系统的安全性.     

无线传感器网络攻击与防范

相对于普通计算机网络来说,无线传感器网络(W SN)由于自身资源和计算能力的限制,导致其安全面临更严峻的挑战。因此,需要更加有效的安全防范机制。针对W SN自身资源和计算能力受制的安全特点和面临的欺骗、篡改或重发等八大主要攻击,提出了相应的安全防范措施,可以为传感器网络新技术的工作人员提供一定的借鉴。     

非对称信息条件下APT攻防博弈模型

针对目前缺少对高级持续威胁（APT）攻击理论建模分析的问题,提出了一种基于FlipIt模型的非对称信息条件下的攻防博弈模型。首先,将网络系统中的目标主机等资产抽象为目标资源节点,将攻防场景描述为攻防双方对目标资源的交替控制;然后,考虑到攻防双方在博弈中观察到的反馈信息的不对称性以及防御效果的不彻底性,给出了在防御者采取更新策略时攻防双方的收益模型及最优策略的条件,同时给出并分别证明了达到同步博弈与序贯博弈均衡条件的定理;最后通过数例分析了影响达到均衡时的策略及防御收益的因素,并比较了同步博弈均衡与序贯博弈均衡。结果表明周期策略是防御者的最优策略,并且与同步博弈均衡相比,防御者通过公布其策略达到序贯博弈均衡时的收益更大。实验结果表明所提模型能够在理论上指导应对隐蔽性APT攻击的防御策略。     

Procurement Fraud Vulnerability: A Case Study

Abstract

In today’s digital dependent world, organizations struggle to mitigate a stealthy, well-resourced, and tenacious advanced persistent threat (APT) attacks by nefarious actors, organizations, and even nation-states with intent on gaining a foothold into an organization’s IT infrastructure. This onslaught of advanced attacks requires far more than baseline security practices. While most security professionals are APT-aware, many lack the experience, requisite skills, and the ability to integrate technology to counter APT attacks. The problem is exacerbated by a widening cybersecurity skills gap. Recent research by ISACA, the world’s largest information security professional association, reported more than 60% of applicants for entry level cybersecurity positions lack the skill and ability to perform the tasks associated with their potential new roles. Success against the APT is predicated on insight into APT attack stages and the integration of technology to enable organizational resilience; however, this is not possible in organizations do not have the workforce with the requisite knowledge, skills, and abilities to perform the technical tasks related to their functional roles. This article addresses a customized response strategy executed by a skilled workforce that mitigates and even counters attacks. The strategy recommends that a coordinated response based on organization risk management policies be implemented. In addition, it requires organizational insight into their information assets, control of administrator privileges, implementation of sound network segregation architecture, and a commitment to a balanced vulnerability management program. It is critical that a further discussion occur to outline skills acquisition based on skills-based training and performance-based assessments.     

针对数据泄漏行为的恶意软件检测

高级可持续威胁(advanced persistent threat, APT)级网络攻击对企业和政府的数据保护带来了极大的挑战.用0day漏洞制作恶意软件来进行攻击是APT级网络攻击的常用途径,传统基于特征的安全系统很难检测这类攻击.为了检测泄漏敏感信息的恶意软件,首先分析已出现的APT恶意软件,描绘出窃取信息的攻击步骤,以此为基础提出1个针对数据泄漏行为的恶意软件检测方案用于检测同种攻击类型的恶意软件.该方案结合异常检测和误用检测,对被保护的主机和网络进行低开销的持续监控,同时提出一系列推断规则来描述攻击步骤中可以观察到的高级恶意事件.一旦监控到可疑事件,进一步收集主机和网络的低级行为,根据推断规则关联低级行为和高级恶意事件,据此重构窃取信息的攻击步骤,从而检测出攻击的存在.通过仿真实验验证了该方案的有效性.