浅析APT攻击以及防范的四大策略

APT攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击.高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全.本文就APT攻击以及防范策略进行分析研究.     

基于网络安全态势感知的高级持续性威胁检测和研究

阐述了基于网络安全态势感知的应用及高级持续性威胁APT(Advanced Persistent Threat)类型和攻击手段,结合现有大数据分析方法及网络攻防研究成果综述了高级持续性威胁检测在网络安全态势感知中的应用.     

数据中心APT攻击检测和防御技术

在云计算、大数据、人工智能技术的广泛应用下，APT(Advanced Persistent Threat，高级持续性威胁)作为一种新型网络威胁，正成为企业组织乃至国家机构的头号安全风险。面对严峻的网络安全形势，本文详细介绍APT攻击背景、攻击特点、流程及常见防御手段。并且针对数据中心的APT攻击，从检测和防御架构图、检测和防御拓扑图等角度设计数据中心安全架构，详细阐述各种检测和防御组件的功能和技术原理，实现全网威胁事件实时告警、攻击路径和安全态势实时呈现，让攻击和威胁消灭在萌芽状态，让安全事件可以追溯，为企业和机构提供一个弹性、灵活、按需扩展的APT攻击检测和防御方案。     

信息安全威胁进化论——网神SecAV病毒预警解决方案

1什么是APT类攻击APT(Advanced Persistent Threat)高级持续性威胁,通常来说APT攻击为一类特定的攻击,为了获取某单位的重要信息,从而进行针对性的、一系列的攻击行为。每当恶意代码渗透到网络内部后,即进行重要信息的收集。通俗地说,APT的攻击主要针对于特殊的机构或者公司,在明确攻击目标后,通过未知病毒、后门程序、0day攻击等多种途径进行频繁的渗透、     

APT木马网络协议逆向自动化分析

随着网络安全需求的不断提升,对于高级持续性威胁APT(Advanced Persistent Threat)攻击中的远程控制木马的分析的要求也不断提高,也相应地出现各种分析未知网络协议的方法与工具。介绍现有的几种未知网络协议逆向的方法,再吸取现有方法中的优点,提出一种改进的基于报文数据Token化、多序列比对与凝聚型层次聚类的针对APT木马网络协议逆向的方法。     

基于战术关联的网络安全风险评估框架

电力系统网络是网络攻击的重要目标之一。为了保障电力系统的安全运行,网络管理员需要评估电力系统网络所面临的网络安全风险。现存的网络安全风险评估框架通常仅针对单一场景进行评估,不能从过多的网络安全告警中发现利用多种手段以达到目标的策略型攻击者。为应对上述挑战,文中设计了一种基于战术关联的网络安全风险评估框架,该体系利用成熟的网络安全知识库并整合重复性指标以尽可能简化使用者的输入,同时将多种网络安全系统产生的告警在战术层面关联起来,从而发现利用多种攻击手段协同的攻击方式。对高级持续性威胁(Advanced Persistent Threat, APT)攻击案例进行评估,对比结果表明,与现有的轻量级信息安全风险评估框架(Lightweight Information Security Risk Assessment, LiSRA)相比,该方法能更有效地发现高威胁风险,其鲁棒性也优于现有方法。     

“证券幽灵”恶意威胁现身

近日,趋势科技(中国区)网络安全监测实验室(CRTL)最新监测到数起针对国内金融行业的APT(Advanced Persistent Threat,高级持续性威胁)攻击事件。该威胁变化多端,会导致用户重要信息数据泄露。趋势科技通过检测BKDR_CORUM家族、TSPY_GOSME家族、TROJ_JNCTN家族及China Pattern通用检测TROJ_GENERIC.APC等恶意病毒,目前将此威胁命名为"证券幽灵"。趋势科技特别提醒金融行业用户需要做出应急响应,评估内部网络风险,谨防韩国金融行业APT攻击事件的"翻版"。     

云环境下APT攻击的防御方法综述

云计算以其快速部署、弹性配置等特性吸引了大量的组织和机构使用,然而近期出现的高级可持续性威胁(Advanced Persistent Threat,APT)相比传统的网络攻击具有攻击持续性、高隐蔽性、长期潜伏等特性,为实现云平台的信息资产的安全与隐私保护带来了极大的冲击和挑战。因此,如何有效地防护APT对云平台的攻击成为云安全领域亟待解决的问题。在阐述APT攻击的基本概念、攻击流程与攻击方法的基础之上,分析了APT新特性带来的多重安全挑战,并介绍了国内外在APT防护方面的研究进展。随后针对APT的安全挑战,提出了云平台下APT防护的建议框架,该框架融入了事前和事中防御策略,同时利用大数据挖掘综合分析可能存在的APT攻击以及用于事中的威胁定位与追踪。最后,介绍了安全框架中的关键技术的研究进展,分析了现有技术的优势与不足之处,并探讨了未来的研究方向。     

APT网络攻击与防御策略探析

随着科学技术的不断进步和发展,网络技术已经广泛应用到了人们的日常生活和工作之中,为社会的进步和人类的发展都带来了诸多的有利条件。于此同时,网络的复杂性也给利用网络的企业、组织、团体等带来安全隐患。高级持续威胁(Advanced Persistent Threat,APT)是一种新型的攻击方式,攻击者利用各种先进的攻击手段,对高价值目标进行有组织、长期持续的网络攻击,是以窃取核心资料为目的所发动的网络攻击和侵袭行为。APT攻击具有高度的危害性,但目前针对这种攻击方式的研究却较少。因此,本文针对APT攻击进行了深入的探究和分析,从APT攻击的技术特征及流程入手,提出了若干防御策略,为日后APT攻击研究工作提供了一定的理论基础和科学依据。     

基于蚁群算法的电力数据网络APT攻击预警模型

高级持续性威胁(Advanced Persistent Threat, APT)是通过预先对攻击对象的业务流程和目标系统进行多维度、多阶段、多对象的持续信息采集，隐匿地实现网络空间的数据窃取。电力网络具有天然的稳定性需求，其覆盖广、涉及面大、灾后损失大。当前APT攻击预警技术存在网络节点碎片化的有限安全域以及全域特征动态检测问题。本文提出基于蚁群算法的电力数据网络APT攻击预警模型。通过设计电力网络的全域可信系统模型，采用流形进行安全边界扩散，将碎片化节点进行柔性关联，确保全域安全控制。构建APT攻击的时效模型，实现攻击对可信系统的损害分析。将APT攻击特征等效为蚁群信息素，实现对APT攻击的自动跟踪和适应。通过实际测试表明，蚁群APT监测预警算法的预警精度有效提升12.6%。     

APT攻击行动研究

目前对APT(Advanced Persistent Threats,高级持续威胁)攻击行动的组成要素、主要任务、重要活动以及交互关系等问题已有清晰的认识,但是缺乏统一的形式化描述,不能全面系统地表达APT攻击的全过程。文章基于UML动态建模机制,构建了APT攻击行动协作模型、APT攻击行动模型和APT攻击活动模型;参考APT攻击活动模型对典型的APT攻击案例(针对Google的极光攻击行动)进行了建模,对比McAfee实验室的研究报告,找出了对APT攻击的非形式化描述所存在的不足。     

七迹象说明你可能受到APT攻击

APT攻击,即进阶持续性渗透攻击（Advanced Persistent Threat, APT）或目标攻击,被设计用来在目标网络里躲避现有的管理政策和解决方案,因此要侦测它们是一大挑战。正如文章中所强调过的,没有放诸四海皆准的解决方案可以用来对付它;企业需在所需要的地方都放置传感器好加以防护,同时IT也要有足够的设备来识别网络的异常情况,并采取相应的措施。     

一种基于攻击图的高级持续威胁检测方法北大核心CSCD

针对传统入侵检测工具无法检测高级持续威胁(Advanced Persistent Threat,APT)攻击和威胁警报疲劳问题,文章提出一种基于攻击图的APT检测方法 ADBAG(APT Detection Based on Attack Graph),该方法根据网络拓扑、漏洞报告等信息生成攻击图,并利用攻击图对攻击者行为进行预先分析,有效解决了威胁警报疲劳问题。文章结合ATT&CK(Adversarial Tactics,Techniques and Common Knowledge)模型和APT攻击三相检测模型,设计了一种缺失路径匹配评分算法,从攻击全局角度分析和检测APT攻击。同时,设计了基于灰名单的多攻击实体关联方法,以保证生成的APT攻击证据链的准确性。在公开数据集上进行实验,实验结果表明,ADBAG可以有效检测APT攻击,并能够检测基于零日漏洞的APT攻击,进一步定位攻击影响范围。     

对付高级持续威胁,经验很重要

今天来看,APT(Advanced Persistent Threat,高级持续威胁)已经不是一个新鲜的词儿了。与木马入侵这样的小打小闹不同,APT因为其目标明确、潜伏周期长、有组织而更加难以对付,它让网络攻击的形式变得更为复杂和多元化。近两年,我们正在越来越多地感受到APT的威胁。2011年,在美国本土,光是有据可查的大型安全攻击就有70多起,受攻击的包括银行信用卡中心等。在国内,2012年也有一些公布于众的网络安全犯罪     

APT攻击防护浅谈

APT攻击作为一种高级持续性网络攻击手段,正威胁着各个行业企业的安全。本文通过对多个APT攻击案例进行分析,针对APT攻击过程,在技术和管理方法上提出了一些建议和实现的思路。     

APT攻击瞄准白领办公

相信任何一个具有时代特征的企业都会减少或者拒绝纸质化的工作流程,取而代之的是各种版本的电子邮件与电子文档。由于这些电子邮件及电子文档包含了敏感的商业机密,因此相应的办公终端和程序极易成为黑客利用高级可持续威胁(Advanced Persistent Threat,简称APT)攻入企业内部,对客户进行定向攻击从而进行威胁破坏与数据窃取的行为。     

基于虚拟机与API调用监控技术的APT木马取证研究

APT（Advanced Persistent Threat）攻击通常由具有丰富经验的网络渗透组织或团队实施,具有持续时间长、技术性强、策略性高的特点,攻击中使用的APT木马变化无穷,常规杀毒软件难于检测,严重威胁了国家核心机构和重点部门的安全,同时也给电子数据取证带来了很大的挑战。文章提出了一种基于基于虚拟机与API调用监控技术的APT木马取证模型,可有效对APT木马的攻击行为进行取证。     

恶意文档检测研究综述

近年来,以窃取敏感数据、破坏国家重要基础设施为主要目标的高级持续威胁（Advanced Persistent Threat,APT）已经给国家安全带来了严重的威胁。与可执行文件相比,恶意文档具有涉及领域广、影响范围大、用户防范意识不足、攻击手段灵活多样、难以检测等诸多特点,已经成为实施APT攻击的重要载体。因此有必要关注恶意文档检测已有的研究成果与发展趋势。本文首先对文档类型及其结构进行了解析,然后阐述了文档的安全隐患、攻击技术以及传播途径等。将当前恶意文档检测方法归纳为静态检测法、动态检测法、动静态结合检测法以及其他相关研究等四类,分别对各类检测方法的研究状况、进展进行了分析和总结。最后,提出了当前恶意文档检测研究的性能评价方法,综述了代表性的数据、检测工具和平台,并展望了未来的研究方向。     

基于GAN-LSTM的APT攻击检测

高级持续性威胁(Advanced Persistent Threat,APT)带来的危害日趋严重。传统的APT检测方法针对的攻击模式比较单一,处理的APT攻击的时间跨度相对较短,没有完全体现出APT攻击的时间序列性,因此当攻击数据样本较少、攻击持续时间较长时准确率很低。为了解决这个问题,文中提出了基于生成式对抗网络(Generative Adversarial Netwokrs,GAN)和长短期记忆网络(Long Short-term Memory,LSTM)的APT攻击检测方法。一方面,基于GAN模拟生成攻击数据,为判别模型生成大量攻击样本,从而提升模型的准确率;另一方面,基于LSTM模型的记忆单元和门结构保证了APT攻击序列中存在相关性且时间间距较大的序列片段之间的特征记忆。利用Keras开源框架进行模型的构建与训练,以准确率、误报率、ROC曲线等技术指标,对攻击数据生成和APT攻击序列检测分别进行对比实验分析。通过生成式模型生成模拟攻击数据进而优化判别式模型,使得原有判别模型的准确率提升了2.84%,与基于循环神经网络(Recurrent Neural Network,RNN)的APT攻击序列检测方法相比,文中方法在检测准确率上提高了0.99个百分点。实验结果充分说明了基于GAN-LSTM的APT攻击检测算法可以通过引入生成式模型来提升样本容量,从而提高判别模型的准确率并减少误报率;同时,相较于其他时序结构,利用LSTM模型检测APT攻击序列有更好的准确率和更低的误报率,从而验证了所提方法的可行性和有效性。     

深度动态防御应对APT攻击

高级持续性威胁(APT)是当前信息安全领域最难以防范的攻击方式之一。本文通过对APT攻击的攻击方式和特点的分析,提出了以深度动态防御(Deep Dynamic Defense)应对APT攻击的思想,分别就深度防御和动态防御的思想进行了阐释,并提出了相应的解决方案。