APT攻击技术研究与防范对策

APT攻击技术研究与防范对策
发表时间：2020-09-22T09:26:49.714Z 来源：《学习与科普》2020年8期作者：卢俊峰彭浩王保平[导读] 其攻击方式更隐蔽、更精确、更难防御。

APT攻击是当前信息安全产业界研究的热点之一。

西安秦易信息技术有限公司西安 710075摘要：高级可持续威胁攻击（APT攻击）是当前网络安全热点问题。

本文在分析了APT攻击的特点、攻击目标及攻击方法基础上，提出了APT攻击的防范对策，为指导网络安全防护工作具有一定的借鉴意义。

关键词：APT 高级持续性威胁；网络攻击；攻击方法
1 引言
近年来，基于TCP/IP协议族的互联网络正在面临前所未有的挑战，网络攻击手段和形式日益复杂，使网络所面临的各种主动和被动攻击的形势越来越严峻，攻击从传统带有恶作剧、技术炫耀、经济利益性质逐步转变为军事、政治和意识形态的斗争。

高级可持续威胁（Advanced Persistent Threat，APT）攻击是目前常见的网络攻击方式，它结合了钓鱼攻击、木马攻击、恶意软件攻击等多种攻击形式，是针对重要目标和系统发起的有组织、有特定目标、持续时间极长的一种新型高端定向攻击模式[1]，其攻击方式更隐蔽、更精确、更难防御。

APT攻击是当前信息安全产业界研究的热点之一。

2 APT攻击过程分析
2.1 APT特点
作为有目标、有组织的攻击方式，APT攻击具有以下特点：
（1）针对性强：攻击者通过搜集攻击目标收集信息，寻找特定目标和特定系统等有针对性的安全漏洞，用于搭建专门的环境，测试特定的木马是否能饶过检测。

（2）攻击渠道多样化：APT攻击可通过不同渠道实现，社交攻击、零日漏洞利用、物理摆渡等攻击方式层出不穷，防不胜防。

（3）长期潜伏与控制：攻击者一般长期潜伏在信息系统中，绕过目标所在网络防御系统的检测，利用搜索引擎、高级爬虫和数据泄露等攻击手段，极其隐蔽地控制和窃取重要数据和信息，并在关键时进行爆发型破坏。

（4）攻击持续时间长：APT攻击具有较强的持续性，从最初策划准备，到控制窃取，以及伺机攻击等过程，攻击者通常会在目标网络中潜伏几个月甚至几年，通过反复渗透，不断改进攻击路径和方法，发动持续攻击。

（5）攻击行为特征难以提取：APT攻击普遍采用零日漏洞获取权限、通过未知木马进行远程控制。

攻击者还会代码变换、消除异常行为和系统日志。

2.2 APT攻击目标
APT是为特定组织定制的专门攻击方式，适合专业网络团伙或有组织和国家支持的特种攻击团队。

因此APT攻击是针对有重要价值资产、重要战略意义或重要资料等目标实施的一种攻击方式，一般军工、能源、金融、军事、政府、重要高科技企业等是APT攻击的核心目标，而普通网民有可能成为APT攻击的中间跳板。

2.3 APT攻击过程
APT攻击是一个综合性攻击，攻击行为是经过缜密计划，并具备高度隐蔽性。

APT攻击者通过远程访问并向目标系统植入恶意软件，达到实施访问和控制目标系统的目的。

整个攻击过程可分为三个阶段：
（1）扫描探测
APT攻击者会长时间寻找可攻击的“目标”，针对性地进行信息收集，包括线上服务器分布情况、目标网络环境探测等，通过分析应用程序的脆弱点或利用漏洞信息等，了解网络实际业务状况等。

（2）漏洞利用，安装恶意代码
APT攻击者利用网络系统中已知、未知的漏洞或0day漏洞执行自身。

如果漏洞利用成功的话，投送恶意代码，更多恶意软件的可执行文件，如击键记录器、木马后门、密码破解和文件采集程序将被下载和安装。

系统将受到感染。

（3）远程控制，横向渗透
恶意软件安装之后，攻击者从防御内部建立控制点，在系统内部进行横向渗透，其目的是发现有价值的重要数据，并允许从外部控制员工电脑或服务器，执行命令，这种方式使其更加难以检测。

3 APT攻击防范对策
结合APT攻击特点及攻击过程，传统检测方式难以有效发挥作用，对抗APT攻击防御方案仍存在多方面薄弱点。

3.1 APT攻击检测
与传统网络攻击相比，APT攻击采用low-and-slow方式实施攻击，攻击系统高度复杂，难以被发现，攻击成功率较高。

APT攻击者使用的是目标主机上现有的工具，通过常用网络端口，并将他们的命令、控制、通信隐藏在正常的网络通信中，使得APT攻击发现和检测非常困难，具体表现在以下几方面：
（1）隐蔽性攻击
APT攻击者能适应传统的入侵检测能力，不断更换和改进入侵方法，其攻击入口、攻击途径、攻击时间都是不确定和不可预见的，使得基于特征匹配等传统检测防御技术很难有效检测出攻击。

（2）持续性攻击
APT攻击成功进入目标系统后，通常进入休眠状态，在系统中并无明显异常，使得基于单点时间或短时间窗口的实时检测技术难以成功检测出异常攻击。

3.2 APT攻击检测对策
APT攻击不是一种特定攻击方法，因此可将APT攻击划分为三个阶段：初期阶段、入侵阶段和潜伏阶段，分别在APT攻击的初期阶段、入侵阶段及长期潜伏阶段采取对策，有效应对和防御APT攻击。

3.1大数据分析技术有效防范APT攻击初期阶段
APT攻击方式非常隐蔽，目前已知攻击防范方式无法有效检测，但APT攻击可能是通过端口扫描、代码分析、SQL语句检测等方式获取有用数据，因此，可以利用大数据分析技术检测处理数据，借助审计系统日志分析辨识网络活动，通过有效分析网络流量数据、防御系统报警等信息，对各种来源的日志数据进行关联分析，深度检测，能够识别分析出服务器和客户端的微妙变化和异常，这将非常有助于发现APT攻击。

3.2检测技术等工具有助于发现APT攻击入侵阶段
攻击者利用系统存在的漏洞，进行木马、病毒植入，电子邮件攻击等，对管理员密码进行修改、用户权限提升、角色组变更和计算机启动项、注册表修改等活动。

一旦发现了异常行为，采用基于高级检测技术等对策工具，可以有效检测出APT攻击的入侵阶段。

3.3流量分析方法应对潜伏期的APT攻击
APT攻击实施入侵之后，长期潜伏在信息系统中，此时在大多数时间内，攻击处于隐蔽状态，仅在必要时执行破坏动作或窃取数据。

通过流量分析判断、内容分析技术等方法可发现系统处于异常状态，可以获取各种APT攻击的命令控制通道的检测特征。

4结束语
全球信息技术不断演变，使得APT攻击更具有侵略性和目的性。

APT攻击的目的不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到能彻底掌握所针对的目标人、事、物为止，APT攻击采用病毒、木马植入等传统入侵手段，也采取如SQL注入、零日漏洞、软件后门、操作系统缺陷等，甚至结合社会工程学、心理学等各种线下手段开展攻击，通过APT攻击不断收集有用信息，直到收集到重要情报等。

因此，在APT攻击防范过程中，主要从APT攻击初期阶段、入侵阶段和潜伏阶段三个阶段提出了应对对策。

参考文献：
[1]张玉清《网络攻击与防御技术》清华大学出版社，2012.。