“证券幽灵”恶意威胁现身

近日,趋势科技(中国区)网络安全监测实验室(CRTL)最新监测到数起针对国内金融行业的APT(Advanced Persistent Threat,高级持续性威胁)攻击事件。该威胁变化多端,会导致用户重要信息数据泄露。趋势科技通过检测BKDR_CORUM家族、TSPY_GOSME家族、TROJ_JNCTN家族及China Pattern通用检测TROJ_GENERIC.APC等恶意病毒,目前将此威胁命名为"证券幽灵"。趋势科技特别提醒金融行业用户需要做出应急响应,评估内部网络风险,谨防韩国金融行业APT攻击事件的"翻版"。     

一种基于攻击图的高级持续威胁检测方法北大核心CSCD

针对传统入侵检测工具无法检测高级持续威胁(Advanced Persistent Threat,APT)攻击和威胁警报疲劳问题,文章提出一种基于攻击图的APT检测方法 ADBAG(APT Detection Based on Attack Graph),该方法根据网络拓扑、漏洞报告等信息生成攻击图,并利用攻击图对攻击者行为进行预先分析,有效解决了威胁警报疲劳问题。文章结合ATT&CK(Adversarial Tactics,Techniques and Common Knowledge)模型和APT攻击三相检测模型,设计了一种缺失路径匹配评分算法,从攻击全局角度分析和检测APT攻击。同时,设计了基于灰名单的多攻击实体关联方法,以保证生成的APT攻击证据链的准确性。在公开数据集上进行实验,实验结果表明,ADBAG可以有效检测APT攻击,并能够检测基于零日漏洞的APT攻击,进一步定位攻击影响范围。     

APT技术分析与思考

APT高级持续性威胁(Advanced Persistent Threat),是一种新型的攻击手段,威胁着网络信息安全。本文通过APT攻击典型案例介绍了APT攻击的基本概念、攻击过程、攻击原理及攻击方法等,逐步找到防范策略。APT高级持续性威胁(Advanced Persistent Threat),是一种新型的攻击手段,威胁着网络信息安全。本文通过APT攻击典型案例介绍了APT攻击的基本概念、攻击过程、攻击原理及攻击方法等,逐步找到防范策略。     

趋势科技推出Smart Protection Strategy智慧防护策略

随着网关安全防御和传统安全防护越来越无法应付高级持续性威胁攻击(APT),全球服务器安全、虚拟化及云计算安全领导厂商趋势科技日前正式发布Smart Protection Strategy智慧防护策略来协助企业重新定义自己的安全策略,以应付日渐精密、隐匿、难缠的网络威胁。这套策略提出了全新的解决方案概念,     

趋势科技揭露：APT攻击常用的三种电子邮件掩护技巧

高级持续性威胁（APT）和针对性攻击通常会利用社交工程陷阱（Social Engineering）作为进入目标网络的手段。考虑到企业员工需要频繁使用电子邮件,以及攻击者制作社交工程陷阱电子邮件的容易程度。趋势科技提醒企业,是时候应该重新审视商务沟通的安全措施了。     

APT攻击行动研究

目前对APT(Advanced Persistent Threats,高级持续威胁)攻击行动的组成要素、主要任务、重要活动以及交互关系等问题已有清晰的认识,但是缺乏统一的形式化描述,不能全面系统地表达APT攻击的全过程。文章基于UML动态建模机制,构建了APT攻击行动协作模型、APT攻击行动模型和APT攻击活动模型;参考APT攻击活动模型对典型的APT攻击案例(针对Google的极光攻击行动)进行了建模,对比McAfee实验室的研究报告,找出了对APT攻击的非形式化描述所存在的不足。     

浅析APT攻击以及防范的四大策略

APT攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击.高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全.本文就APT攻击以及防范策略进行分析研究.     

APT攻击防护浅谈

APT攻击作为一种高级持续性网络攻击手段,正威胁着各个行业企业的安全。本文通过对多个APT攻击案例进行分析,针对APT攻击过程,在技术和管理方法上提出了一些建议和实现的思路。     

面向APT攻击的关联分析检测模型研究

近年来随着Flame、Duqu以及Stuxnet等病毒攻击的曝光,高级持续性威胁(APT)攻击已引起社会各界的广泛重视。APT攻击相比传统攻击具有目标性、持续性、隐蔽性以及复杂性,具有很强的破坏性,造成的攻击后果十分严重。然而,由于APT攻击方式多样化,具有很强的隐蔽性,传统的防护机制,包括防火墙、杀毒软件、入侵检测等很难发现APT攻击,或者发现时可能已经完成了攻击目的。在研究APT攻击特性的基础上建立APT攻击检测模型;同时设定时间窗,对多种攻击检测方法得到的攻击事件进行关联分析,并与APT攻击检测模型进行路径匹配,通过攻击路径的匹配度来判断系统受到的攻击中是否存在APT攻击。实验表明,在攻击检测模型相对完整的情况下,对APT攻击的检测能够达到较高的准确率。     

基于大数据的APT攻击方法和检测方法

目前网络世界最为厉害的攻击是有针对性的攻击,我们也称之为APT攻击——高级持续性威胁,本文就是通过对这一攻击的方法进行全面的分析与深刻思考,让我们在检测这一攻击时找到突破口,并且在参考资料后,进行了几项APT攻击方法的检测方案,比如说:沙箱方案,异常检测方案等。对APT攻击有了详细的解释与说明,当我们再次面对APT攻击时不再迷茫。     

对APT攻击的检测与防御

本文对APT攻击进行描述,指出APT攻击对企业造成的危害及企业对此类威胁防御的迫切需求。针对此问题,给出了防御APT攻击的利器"金山KingCloud私有云安全系统",并对该系统如何保证用户IT生产环境安全稳定进行了详细说明。     

基于ATT&CK的APT攻击语义规则构建

从自然语言描述文本中提取网络攻击知识存在语义鸿沟,导致TTPs威胁情报自动化利用低。为提高威胁情报自动分析效率,设计并实现了基于ATT&CK的APT攻击语义规则。首先,构建带标签的有向图语义规则模型,对自然语言文本描述的攻击技术进行知识化描述;其次,定义语义规则,阐释网络实体属性及其逻辑运算关系的形式化描述方法;最后,利用关键词组识别、知识抽取等自然语言处理技术,从攻击技术文本中抽取形成123个APT攻击语义规则,涵盖ATT&CK的115项技术和12种战术。利用模拟场景采集的APT攻击日志数据,对语义规则进行验证,实验结果表明,语义规则检出率达到93.1%,并具备一定的攻击上下文信息还原能力,可有效支撑威胁检测分析。     

APT攻击分层表示模型

针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题,提出了一种高级可持续性威胁（APT）攻击分层表示模型（APT-HARM）。通过总结分析大量公开的APT事件报告和参考APT攻击链模型与分层攻击表示模型（HARM）,将APT攻击分为攻击链和攻击树上下两层,并将其形式化定义。首先,将APT攻击分为由侦察、渗透、行动和撤出四个阶段组成的攻击链,并研究了各阶段特点;然后,研究各阶段中采取的攻击手段,并依据其逻辑关系组成攻击树。APT攻击按照攻击链分阶段依次进行,各阶段按照攻击树流程依次执行。案例分析表明,本模型相较攻击链模型具有粒度划分合理、攻击描述完备准确的优点。APT-HARM形式化地定义了APT攻击,为APT攻击的预测和防范提供了一种思路。     

数据中心APT攻击检测和防御技术

在云计算、大数据、人工智能技术的广泛应用下，APT(Advanced Persistent Threat，高级持续性威胁)作为一种新型网络威胁，正成为企业组织乃至国家机构的头号安全风险。面对严峻的网络安全形势，本文详细介绍APT攻击背景、攻击特点、流程及常见防御手段。并且针对数据中心的APT攻击，从检测和防御架构图、检测和防御拓扑图等角度设计数据中心安全架构，详细阐述各种检测和防御组件的功能和技术原理，实现全网威胁事件实时告警、攻击路径和安全态势实时呈现，让攻击和威胁消灭在萌芽状态，让安全事件可以追溯，为企业和机构提供一个弹性、灵活、按需扩展的APT攻击检测和防御方案。     

基于蚁群算法的电力数据网络APT攻击预警模型

高级持续性威胁(Advanced Persistent Threat, APT)是通过预先对攻击对象的业务流程和目标系统进行多维度、多阶段、多对象的持续信息采集，隐匿地实现网络空间的数据窃取。电力网络具有天然的稳定性需求，其覆盖广、涉及面大、灾后损失大。当前APT攻击预警技术存在网络节点碎片化的有限安全域以及全域特征动态检测问题。本文提出基于蚁群算法的电力数据网络APT攻击预警模型。通过设计电力网络的全域可信系统模型，采用流形进行安全边界扩散，将碎片化节点进行柔性关联，确保全域安全控制。构建APT攻击的时效模型，实现攻击对可信系统的损害分析。将APT攻击特征等效为蚁群信息素，实现对APT攻击的自动跟踪和适应。通过实际测试表明，蚁群APT监测预警算法的预警精度有效提升12.6%。     

云环境下APT攻击的防御方法综述

云计算以其快速部署、弹性配置等特性吸引了大量的组织和机构使用,然而近期出现的高级可持续性威胁(Advanced Persistent Threat,APT)相比传统的网络攻击具有攻击持续性、高隐蔽性、长期潜伏等特性,为实现云平台的信息资产的安全与隐私保护带来了极大的冲击和挑战。因此,如何有效地防护APT对云平台的攻击成为云安全领域亟待解决的问题。在阐述APT攻击的基本概念、攻击流程与攻击方法的基础之上,分析了APT新特性带来的多重安全挑战,并介绍了国内外在APT防护方面的研究进展。随后针对APT的安全挑战,提出了云平台下APT防护的建议框架,该框架融入了事前和事中防御策略,同时利用大数据挖掘综合分析可能存在的APT攻击以及用于事中的威胁定位与追踪。最后,介绍了安全框架中的关键技术的研究进展,分析了现有技术的优势与不足之处,并探讨了未来的研究方向。     

SCADA系统通信网中的高级持续性攻击检测方法

高级持续性攻击（advanced persistent threat,APT）作为一种新型攻击,已成为SCADA（supervisory control and data acquisition）系统安全面临的主要威胁,而现有的入侵检测技术无法有效应对这一类攻击,因此研究有效的APT检测模型具有重要的意义。提出了一种新的APT攻击检测方法,该方法在正常日志行为建模阶段改进了对行为模式的表示方式,采用多种长度不同的特征子串表示行为模式,通过基于序列模式支持度来建立正常日志行为轮廓;在充分考虑日志事件时序特征的基础上,针对APT攻击行为复杂多变的特点,提出了基于矩阵相似匹配和判决阈值联合的检测模型。通过对比研究,该检测方法表现出了良好的检测性能。     

工业控制网络中APT攻击检测系统设计

高级持续性威胁(advanced persistent threat, APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击。现有研究者认为,敏感数据窃密是APT攻击的重要目的之一。为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(Control and Command, C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测。实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。     

远离网页威胁有法宝

上网无忧电子眼是来自趋势科技的一款Web威胁防御工具,可以有效且主动防护您的计算机免受Web威胁或遭到僵尸Bot程序渗透。该工具采用趋势科技革命性的互联网实时服务（in—the—cloud）安全技术来监控网页请求。这套实时防护能丰动扫描来自瓦联网的恶意威胁,避免使用者浏览遭到入侵、攻击或挂马的网站。     

信息安全威胁进化论——网神SecAV病毒预警解决方案

1什么是APT类攻击APT(Advanced Persistent Threat)高级持续性威胁,通常来说APT攻击为一类特定的攻击,为了获取某单位的重要信息,从而进行针对性的、一系列的攻击行为。每当恶意代码渗透到网络内部后,即进行重要信息的收集。通俗地说,APT的攻击主要针对于特殊的机构或者公司,在明确攻击目标后,通过未知病毒、后门程序、0day攻击等多种途径进行频繁的渗透、