一種多層次融合的APT防御模型研究與構(gòu)建

肖鳴

【摘要】 金融行業(yè)已經(jīng)在交易、結(jié)算、分析等工作領(lǐng)域開(kāi)發(fā)了信息化系統(tǒng)，積累了海量的金融機(jī)密數(shù)據(jù)，同時(shí)也成為黑客等非法人員攻擊的熱點(diǎn)目標(biāo)。針對(duì)金融行業(yè)的信息系統(tǒng)、數(shù)據(jù)庫(kù)進(jìn)行APT攻擊，具有持續(xù)性、滲透性、隱蔽性和未知性等特點(diǎn)，嚴(yán)重威脅金融行業(yè)系統(tǒng)安全。因此，構(gòu)建一種多層次、融合的防御模型，實(shí)時(shí)地、主動(dòng)地防御APT攻擊，對(duì)提高金融行業(yè)系統(tǒng)防御能力具有重要意義。

【關(guān)鍵詞】 APT 金融行業(yè) 網(wǎng)絡(luò)安全 防御

一、引言

隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的快速發(fā)展，金融行業(yè)開(kāi)發(fā)了許多信息化系統(tǒng)，比如證券交易管理系統(tǒng)、銀行現(xiàn)金管理系統(tǒng)、央行結(jié)算管理系統(tǒng)等，為人們帶來(lái)了極大的方便。但是，這些系統(tǒng)也容易成為黑客等非法人員的攻擊目標(biāo)，存在極大的安全隱患。隨著APT技術(shù)的誕生和發(fā)展，金融行業(yè)系統(tǒng)安全及防御模型成為許多學(xué)者研究的熱點(diǎn)，提出了多種安全防御技術(shù)，以提升金融信息系統(tǒng)的防御能力[1]。

二、APT攻擊原理及特點(diǎn)

高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）具有極強(qiáng)的針對(duì)性、隱蔽性、持續(xù)性，對(duì)金融行業(yè)信息系統(tǒng)的安全構(gòu)成嚴(yán)重威脅[2]。攻擊者利用金融企業(yè)或組織信任程序存在的漏洞，將木馬、病毒嵌入到程序中，搜集目標(biāo)主機(jī)、服務(wù)器的信息，這種攻擊行為采用專(zhuān)業(yè)的黑客攻擊軟件，難以被信息安全軟件檢測(cè)到，APT可以利用數(shù)月、數(shù)年的時(shí)間觀察、收集金融行業(yè)信息，逐漸滲透到金融企業(yè)內(nèi)部系統(tǒng)，獲取較高價(jià)值的信息，進(jìn)行販賣(mài)或交易，輕則影響企業(yè)安全和信譽(yù)，重則威脅國(guó)家金融系統(tǒng)。構(gòu)建一個(gè)有效的防御系統(tǒng)，狙擊APT攻擊，具有重要的作用[3]。

（1）APT目標(biāo)和途徑。APT攻擊的主要目標(biāo)是金融行業(yè)有高級(jí)權(quán)限的員工、有價(jià)值的資產(chǎn)，攻擊渠道較多，攻擊渠道包括信息收集，獲取金融機(jī)構(gòu)組織架構(gòu)、人際關(guān)系、網(wǎng)絡(luò)架構(gòu)、防護(hù)設(shè)備、資產(chǎn)存儲(chǔ)等信息；利用社工發(fā)起試探，獲取IM通訊記錄、郵件等；利用0DAY技術(shù)實(shí)施針對(duì)性攻擊，取得內(nèi)部員工的控制權(quán)；滲透到目標(biāo)核心資產(chǎn)，利用加密傳輸通道把數(shù)據(jù)外發(fā)，實(shí)現(xiàn)長(zhǎng)期獲取機(jī)密信息的目的。

（2）APT攻擊防護(hù)思路。APT攻擊防護(hù)思路包括安全需求分析、威脅模型分析、測(cè)試內(nèi)容分析、安全測(cè)試預(yù)備、安全測(cè)試、安全報(bào)告等流程。

三、多層次融合APT攻擊防御模型

（1）安全預(yù)警。安全預(yù)警可以分析金融信息系統(tǒng)自身是否存在APT可以利用的漏洞，輔助觀察APT攻擊行為、攻擊趨勢(shì)，實(shí)現(xiàn)攻擊行為預(yù)警和趨勢(shì)預(yù)警。金融信息系統(tǒng)擁有的子系統(tǒng)較多，每一個(gè)子系統(tǒng)都可能采用不同的架構(gòu)、技術(shù)開(kāi)發(fā)，這些系統(tǒng)集成在一起，難免會(huì)存在漏洞，比如系統(tǒng)集成接口漏洞、系統(tǒng)兼容性漏洞等，降低了系統(tǒng)的安全系數(shù)，為APT攻擊留下了隱患。我們可以采用補(bǔ)丁修復(fù)、攻擊行為預(yù)警、攻擊趨勢(shì)預(yù)警等方法，提高系統(tǒng)的防御能力。

（2）安全保護(hù)。金融行業(yè)信息系統(tǒng)采用了各種安全保護(hù)技術(shù)，包括殺毒軟件、防火墻、網(wǎng)絡(luò)入侵檢測(cè)、應(yīng)用防火墻、訪(fǎng)問(wèn)控制、防篡改、數(shù)據(jù)加密、數(shù)據(jù)泄露防護(hù)等，這些防御技術(shù)可以最大程度地保障金融行業(yè)系統(tǒng)數(shù)據(jù)的可靠性、完整性和機(jī)密性。

（3）安全分析。安全分析是多層次融合防御模型最為重要的一個(gè)環(huán)節(jié)，通過(guò)入侵監(jiān)測(cè)、網(wǎng)絡(luò)抓包等方法獲取網(wǎng)絡(luò)流量信息，分析數(shù)據(jù)包每一個(gè)字段的內(nèi)容，利用上下文信息觀察是否存在病毒、木馬等攻擊流量，構(gòu)建日常網(wǎng)絡(luò)訪(fǎng)問(wèn)模型區(qū)分異常流量，及時(shí)將威脅報(bào)告給管理員，快速發(fā)現(xiàn)潛在的APT威脅。

（4）安全響應(yīng)。如果防御系統(tǒng)發(fā)現(xiàn)了APT攻擊威脅的病毒、木馬，可以采取安全保護(hù)措施，使用殺毒軟件清除病毒或木馬專(zhuān)殺工具殺滅木馬，同時(shí)使用防火墻阻斷通信傳輸，終止APT的持續(xù)性威脅。

（5）系統(tǒng)恢復(fù)。金融行業(yè)系統(tǒng)運(yùn)行遭受APT攻擊是不可避免的，一旦系統(tǒng)遭受攻擊，系統(tǒng)管理人員應(yīng)該采用系統(tǒng)恢復(fù)技術(shù)，盡可能地將損失降到最低。系統(tǒng)恢復(fù)技術(shù)主要包括備份和恢復(fù)兩個(gè)階段，數(shù)據(jù)備份包括數(shù)據(jù)離線(xiàn)備份、在線(xiàn)備份、增量備份；數(shù)據(jù)恢復(fù)技術(shù)包括定點(diǎn)恢復(fù)、全部恢復(fù)等，兩者集成在一起，可以將系統(tǒng)恢復(fù)到一個(gè)未受到APT攻擊的正常狀態(tài)。

結(jié)束語(yǔ)：金融行業(yè)信息系統(tǒng)安全防御是一個(gè)動(dòng)態(tài)的、自適應(yīng)的調(diào)整過(guò)程，隨著攻擊技術(shù)的提高，安全防御也需要?jiǎng)?chuàng)新理念，堅(jiān)持動(dòng)靜結(jié)合的原則，在防御系統(tǒng)引入更加先進(jìn)的技術(shù)，防御APT攻擊，提高金融信息安全防御能力。

參 考 文 獻(xiàn)

[1] 付鈺， 李洪成， 吳曉平，等. 基于大數(shù)據(jù)分析的APT攻擊檢測(cè)研究綜述[J]. 通信學(xué)報(bào)， 2015， 36（11）：1-14.

[2]杜躍進(jìn)， 翟立東， 李躍，等. 一種應(yīng)對(duì)APT攻擊的安全架構(gòu)：異常發(fā)現(xiàn)[J]. 計(jì)算機(jī)研究與發(fā)展， 2014， 51（7）：1633-1645.

[3]許婷. 一種有效防范APT攻擊的網(wǎng)絡(luò)安全架構(gòu)[J]. 信息安全與通信保密， 2013（6）：65-67.