APT技术分析与思考

APT高级持续性威胁(Advanced Persistent Threat),是一种新型的攻击手段,威胁着网络信息安全。本文通过APT攻击典型案例介绍了APT攻击的基本概念、攻击过程、攻击原理及攻击方法等,逐步找到防范策略。APT高级持续性威胁(Advanced Persistent Threat),是一种新型的攻击手段,威胁着网络信息安全。本文通过APT攻击典型案例介绍了APT攻击的基本概念、攻击过程、攻击原理及攻击方法等,逐步找到防范策略。     

云环境下APT攻击的防御方法综述

云计算以其快速部署、弹性配置等特性吸引了大量的组织和机构使用,然而近期出现的高级可持续性威胁(Advanced Persistent Threat,APT)相比传统的网络攻击具有攻击持续性、高隐蔽性、长期潜伏等特性,为实现云平台的信息资产的安全与隐私保护带来了极大的冲击和挑战。因此,如何有效地防护APT对云平台的攻击成为云安全领域亟待解决的问题。在阐述APT攻击的基本概念、攻击流程与攻击方法的基础之上,分析了APT新特性带来的多重安全挑战,并介绍了国内外在APT防护方面的研究进展。随后针对APT的安全挑战,提出了云平台下APT防护的建议框架,该框架融入了事前和事中防御策略,同时利用大数据挖掘综合分析可能存在的APT攻击以及用于事中的威胁定位与追踪。最后,介绍了安全框架中的关键技术的研究进展,分析了现有技术的优势与不足之处,并探讨了未来的研究方向。     

面向APT攻击的关联分析检测模型研究

近年来随着Flame、Duqu以及Stuxnet等病毒攻击的曝光,高级持续性威胁(APT)攻击已引起社会各界的广泛重视。APT攻击相比传统攻击具有目标性、持续性、隐蔽性以及复杂性,具有很强的破坏性,造成的攻击后果十分严重。然而,由于APT攻击方式多样化,具有很强的隐蔽性,传统的防护机制,包括防火墙、杀毒软件、入侵检测等很难发现APT攻击,或者发现时可能已经完成了攻击目的。在研究APT攻击特性的基础上建立APT攻击检测模型;同时设定时间窗,对多种攻击检测方法得到的攻击事件进行关联分析,并与APT攻击检测模型进行路径匹配,通过攻击路径的匹配度来判断系统受到的攻击中是否存在APT攻击。实验表明,在攻击检测模型相对完整的情况下,对APT攻击的检测能够达到较高的准确率。     

“证券幽灵”恶意威胁现身

近日,趋势科技(中国区)网络安全监测实验室(CRTL)最新监测到数起针对国内金融行业的APT(Advanced Persistent Threat,高级持续性威胁)攻击事件。该威胁变化多端,会导致用户重要信息数据泄露。趋势科技通过检测BKDR_CORUM家族、TSPY_GOSME家族、TROJ_JNCTN家族及China Pattern通用检测TROJ_GENERIC.APC等恶意病毒,目前将此威胁命名为"证券幽灵"。趋势科技特别提醒金融行业用户需要做出应急响应,评估内部网络风险,谨防韩国金融行业APT攻击事件的"翻版"。     

对付高级持续威胁,经验很重要

今天来看,APT(Advanced Persistent Threat,高级持续威胁)已经不是一个新鲜的词儿了。与木马入侵这样的小打小闹不同,APT因为其目标明确、潜伏周期长、有组织而更加难以对付,它让网络攻击的形式变得更为复杂和多元化。近两年,我们正在越来越多地感受到APT的威胁。2011年,在美国本土,光是有据可查的大型安全攻击就有70多起,受攻击的包括银行信用卡中心等。在国内,2012年也有一些公布于众的网络安全犯罪     

信息安全威胁进化论——网神SecAV病毒预警解决方案

1什么是APT类攻击APT(Advanced Persistent Threat)高级持续性威胁,通常来说APT攻击为一类特定的攻击,为了获取某单位的重要信息,从而进行针对性的、一系列的攻击行为。每当恶意代码渗透到网络内部后,即进行重要信息的收集。通俗地说,APT的攻击主要针对于特殊的机构或者公司,在明确攻击目标后,通过未知病毒、后门程序、0day攻击等多种途径进行频繁的渗透、     

时间对抗：防御APT攻击的新思路

高级持续性威胁（AdvancedPersistentThreat）是当前信息安全产业界的热点。作为一种有目标、有组织的攻击方式,APT在流程上同普通攻击行为并无明显区别,但在具体攻击步骤上,APT体现出以下特点,使其具备更强的破坏性：     

浅析APT攻击以及防范的四大策略

APT攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击.高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全.本文就APT攻击以及防范策略进行分析研究.     

工业控制网络中APT攻击检测系统设计

高级持续性威胁(advanced persistent threat, APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击。现有研究者认为,敏感数据窃密是APT攻击的重要目的之一。为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(Control and Command, C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测。实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。     

基于网络安全态势感知的高级持续性威胁检测和研究

阐述了基于网络安全态势感知的应用及高级持续性威胁APT(Advanced Persistent Threat)类型和攻击手段,结合现有大数据分析方法及网络攻防研究成果综述了高级持续性威胁检测在网络安全态势感知中的应用.     

深度动态防御应对APT攻击

高级持续性威胁(APT)是当前信息安全领域最难以防范的攻击方式之一。本文通过对APT攻击的攻击方式和特点的分析,提出了以深度动态防御(Deep Dynamic Defense)应对APT攻击的思想,分别就深度防御和动态防御的思想进行了阐释,并提出了相应的解决方案。     

基于通信特征的APT攻击检测方法

高级持续性威胁（APT）已经在全球范围内产生了严重的危害,APT攻击检测已经成为网络安全防护领域的重点。由于APT具有攻击手段多样,持续时间长等特点,传统的检测技术已经起不到理想的效果。利用从国际安全公司报告中提取的APT通信特征,提出了一种基于通信特征的APT攻击检测方法。为了提高该方法的检测效果,还提出了利用bloom filter对报文进行快速筛选和精确匹配相结合的双层通信特征匹配算法。实验结果表明,该方法具有较高的检测率和较低的误报率。     

数据中心APT攻击检测和防御技术

在云计算、大数据、人工智能技术的广泛应用下，APT(Advanced Persistent Threat，高级持续性威胁)作为一种新型网络威胁，正成为企业组织乃至国家机构的头号安全风险。面对严峻的网络安全形势，本文详细介绍APT攻击背景、攻击特点、流程及常见防御手段。并且针对数据中心的APT攻击，从检测和防御架构图、检测和防御拓扑图等角度设计数据中心安全架构，详细阐述各种检测和防御组件的功能和技术原理，实现全网威胁事件实时告警、攻击路径和安全态势实时呈现，让攻击和威胁消灭在萌芽状态，让安全事件可以追溯，为企业和机构提供一个弹性、灵活、按需扩展的APT攻击检测和防御方案。     

构建关基资产数字化全息地图，让安全始于洞察未知

<正>关键信息基础设施的保护是国家网络安全的重中之重。对于维护国家安全、促进经济健康发展、维护社会稳定和社会公共利益具有重要意义。2023年4月,中国信息安全测评中心发布了《全球高级持续性威胁（APT）态势报告》,报告中指出,针对全球的APT攻击持续上升,在主要攻击目标机构的分布占比中,政府、军事机构、金融、知名企业、能源行业位列前五,占比高达89%。关键信息基础设施单位一直是APT攻击的重要目标,并在未来趋势更加明显,已经成为网络空间与物理社会相互影响的最为直接的体现。面对以网络攻击、     

基于深度学习的智能动态防御系统

在面对日益突出的网络安全问题,现有的基于威胁特征感知的防御机制,在应对未知风险、高级持续性威胁(APT)、机器流量中,暴露其不足之处,论文提出了基于深度学习的智能动态防御系统架构,提升了互联网应用网络安全威胁应对能力。     

基于深度学习的智能动态防御系统

在面对日益突出的网络安全问题,现有的基于威胁特征感知的防御机制,在应对未知风险、高级持续性威胁(APT)、机器流量中,暴露其不足之处,论文提出了基于深度学习的智能动态防御系统架构,提升了互联网应用网络安全威胁应对能力.     

APT攻击防护浅谈

APT攻击作为一种高级持续性网络攻击手段,正威胁着各个行业企业的安全。本文通过对多个APT攻击案例进行分析,针对APT攻击过程,在技术和管理方法上提出了一些建议和实现的思路。     

趋势科技推出Smart Protection Strategy智慧防护策略

随着网关安全防御和传统安全防护越来越无法应付高级持续性威胁攻击(APT),全球服务器安全、虚拟化及云计算安全领导厂商趋势科技日前正式发布Smart Protection Strategy智慧防护策略来协助企业重新定义自己的安全策略,以应付日渐精密、隐匿、难缠的网络威胁。这套策略提出了全新的解决方案概念,     

基于GAN-LSTM的APT攻击检测

高级持续性威胁(Advanced Persistent Threat,APT)带来的危害日趋严重。传统的APT检测方法针对的攻击模式比较单一,处理的APT攻击的时间跨度相对较短,没有完全体现出APT攻击的时间序列性,因此当攻击数据样本较少、攻击持续时间较长时准确率很低。为了解决这个问题,文中提出了基于生成式对抗网络(Generative Adversarial Netwokrs,GAN)和长短期记忆网络(Long Short-term Memory,LSTM)的APT攻击检测方法。一方面,基于GAN模拟生成攻击数据,为判别模型生成大量攻击样本,从而提升模型的准确率;另一方面,基于LSTM模型的记忆单元和门结构保证了APT攻击序列中存在相关性且时间间距较大的序列片段之间的特征记忆。利用Keras开源框架进行模型的构建与训练,以准确率、误报率、ROC曲线等技术指标,对攻击数据生成和APT攻击序列检测分别进行对比实验分析。通过生成式模型生成模拟攻击数据进而优化判别式模型,使得原有判别模型的准确率提升了2.84%,与基于循环神经网络(Recurrent Neural Network,RNN)的APT攻击序列检测方法相比,文中方法在检测准确率上提高了0.99个百分点。实验结果充分说明了基于GAN-LSTM的APT攻击检测算法可以通过引入生成式模型来提升样本容量,从而提高判别模型的准确率并减少误报率;同时,相较于其他时序结构,利用LSTM模型检测APT攻击序列有更好的准确率和更低的误报率,从而验证了所提方法的可行性和有效性。     

基于LDA模型的海量APT通信日志特征研究

为实现高级持续性威胁(APT)的通信检测,提出一种对服务器端和主机端日志数据的检测方法。通过建立IP地址数据库,采用DBSCAN聚类算法对海量日志数据进行收集和处理得到异常通信日志。利用高级持续性威胁14种通信特征的隐含狄利克雷分布(LDA)建模对异常通信日志进行检测。实验结果表明,与潜在语义分析和概率潜在语义分析检测模型相比,LDA建模提高了APT通信检测的效率和准确度。