趙 剛,朱 麗,肖 毅
(成都川大科鴻新技術(shù)研究所,成都 610064)
第一,專(zhuān)業(yè)性。網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境本身屬于一項(xiàng)綜合型、復(fù)雜型的工作系統(tǒng),數(shù)據(jù)信息在內(nèi)部進(jìn)行傳輸時(shí),分為多架構(gòu)分布式的模式,且開(kāi)源式信息的傳輸路徑由信息節(jié)點(diǎn)與承接信息節(jié)點(diǎn)的載體來(lái)決定,這就增加信息傳輸中的不確定性。對(duì)于攻擊者來(lái)講,要想最大限度地對(duì)某一類(lèi)信息進(jìn)行針對(duì)化獲取,攻擊者需在具有冗余性信息的網(wǎng)絡(luò)環(huán)境中尋找到此類(lèi)信息節(jié)點(diǎn),其需要攻擊者具有較高的專(zhuān)業(yè)技能,深度了解網(wǎng)絡(luò)防御架構(gòu),且能夠同時(shí)運(yùn)用多種攻擊手段,來(lái)面對(duì)不同信息傳輸路徑。所以,APT攻擊針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的運(yùn)行形式具有相對(duì)的專(zhuān)業(yè)性與針對(duì)性。
第二,滲透性。APT攻擊正確界定好信息目標(biāo)后,一般通過(guò)長(zhǎng)時(shí)間的網(wǎng)絡(luò)分析來(lái)制定出周密的侵入計(jì)劃,其可隨著信息流通路徑進(jìn)行跟隨,或者是通過(guò)信息引復(fù)制進(jìn)行侵入,長(zhǎng)時(shí)間地潛伏在目標(biāo)信息的流通節(jié)點(diǎn)下。APT通過(guò)對(duì)數(shù)據(jù)信息進(jìn)行敏感度確定,然后針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)中的安全防護(hù)機(jī)制進(jìn)行試探,與攻擊正確界定出網(wǎng)絡(luò)通信體系下的安全防護(hù)等級(jí),然后通過(guò)自主優(yōu)化手段制定出較為嚴(yán)謹(jǐn)?shù)墓舴桨?,以保證在最短的時(shí)間內(nèi)攻克網(wǎng)絡(luò)安全防護(hù)體系,獲得相關(guān)數(shù)據(jù)信息。
第三,危害性。獲得攻擊目標(biāo)信息以后,其并不是以信息竊取為終結(jié),而是仍對(duì)既定的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行繼續(xù)侵害,將病毒擴(kuò)散到更多的信息傳輸架構(gòu)內(nèi),以獲取網(wǎng)絡(luò)組織中核心價(jià)值信息,進(jìn)而令整體網(wǎng)絡(luò)造成嚴(yán)重的信息傳輸癱瘓問(wèn)題。
鎖定式攻擊。APT在攻擊過(guò)程中,先對(duì)信息目標(biāo)進(jìn)行界定,然后通過(guò)目標(biāo)在網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境中的活動(dòng)路徑,向目標(biāo)傳達(dá)帶有病毒的郵件或是推特,然后通過(guò)目標(biāo),對(duì)網(wǎng)絡(luò)操作環(huán)境中的規(guī)律進(jìn)行特征分析,尋找信息目標(biāo)存在的安全漏洞。
利用漏洞進(jìn)行攻擊。在確定好攻擊目標(biāo)以后,攻擊者侵入目標(biāo)的電腦設(shè)備,針對(duì)目標(biāo)電腦設(shè)備內(nèi)軟件等應(yīng)用程序存在的漏洞,進(jìn)行病毒的設(shè)定,當(dāng)用戶(hù)在病毒程序中輸入相關(guān)權(quán)限信息后,攻擊者將立即對(duì)信息進(jìn)行復(fù)制,然后在用戶(hù)空閑時(shí)間內(nèi),操控病毒軟件,對(duì)用戶(hù)設(shè)備中的價(jià)值信息進(jìn)行竊取。此類(lèi)信息截取過(guò)程具有一定的潛伏性,且信息讀取過(guò)程無(wú)法被既定的網(wǎng)絡(luò)安全防護(hù)機(jī)制所檢測(cè)到,將加大網(wǎng)絡(luò)安全運(yùn)營(yíng)問(wèn)題。
系統(tǒng)控制攻擊。當(dāng)攻擊者網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)長(zhǎng)時(shí)間潛伏以后,通過(guò)對(duì)用戶(hù)的日常操作行為進(jìn)行規(guī)律查驗(yàn),然后在特定的時(shí)間段內(nèi)向用戶(hù)下達(dá)代碼及病毒程序,令主機(jī)設(shè)備下載相關(guān)軟件,此時(shí)軟件對(duì)于設(shè)備安全系統(tǒng)來(lái)講屬于認(rèn)證的用戶(hù),當(dāng)帶有病毒的程序得到網(wǎng)絡(luò)協(xié)議的認(rèn)可,為APT攻擊規(guī)避了安全系統(tǒng)的檢測(cè),系統(tǒng)內(nèi)病毒程序?qū)⒆詣?dòng)對(duì)計(jì)算機(jī)設(shè)備的主系統(tǒng)進(jìn)行操控。
當(dāng)前網(wǎng)絡(luò)安全系統(tǒng)對(duì)于APT攻擊的防護(hù)策略一般有以下幾種實(shí)現(xiàn)方式。首先,通過(guò)大數(shù)據(jù)技術(shù),網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的數(shù)據(jù)信息進(jìn)行價(jià)值挖掘,檢測(cè)到數(shù)據(jù)信息運(yùn)營(yíng)中存在的異常狀態(tài),然后分析出數(shù)據(jù)信息結(jié)構(gòu)內(nèi)的威脅問(wèn)題。其次,主動(dòng)分析APT攻擊鏈條,通過(guò)APT數(shù)據(jù)模型的潛入模式,對(duì)APT攻擊特征行為進(jìn)行檢測(cè)與分析,然后以目標(biāo)信息的運(yùn)行路徑對(duì)APT攻擊手段進(jìn)行反向檢測(cè),發(fā)現(xiàn)APT攻擊行為,進(jìn)而對(duì)APT攻擊進(jìn)行阻止。最后,考慮到APT攻擊問(wèn)題的不可規(guī)避性因素,在網(wǎng)絡(luò)安全防護(hù)中要想提高檢測(cè)機(jī)制,需對(duì)APT的攻擊行為進(jìn)行主動(dòng)檢測(cè),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)用戶(hù)信息行為存在的異常特性,針對(duì)異常狀態(tài)的網(wǎng)絡(luò)協(xié)議及DNS進(jìn)行全路徑跟蹤,以制定完整的網(wǎng)絡(luò)防御體系,降低APT攻擊危害。
APT攻擊一般是針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的業(yè)務(wù)信息層進(jìn)行攻擊,而對(duì)于網(wǎng)絡(luò)運(yùn)作體系來(lái)講,其屬于信息持續(xù)性傳播的一種有效載體,通過(guò)各類(lèi)信息節(jié)點(diǎn),對(duì)數(shù)據(jù)信息定向傳輸,來(lái)保證承接互聯(lián)網(wǎng)體系運(yùn)行的企業(yè)實(shí)現(xiàn)數(shù)據(jù)的高質(zhì)量傳輸??尚艠I(yè)務(wù)模塊的設(shè)定可將其界定為持續(xù)性防御層面,即針對(duì)信息傳輸路徑來(lái)制定跟隨性、持續(xù)性的防御機(jī)制,以對(duì)APT攻擊形成同步防護(hù)。
在制定業(yè)務(wù)流防御體系時(shí),通過(guò)內(nèi)部數(shù)據(jù)信息傳輸特征進(jìn)行檢測(cè),例如:訪問(wèn)時(shí)間協(xié)議入口、信息傳輸路徑等,將此類(lèi)信息模式作為特征檢測(cè)的基準(zhǔn),同時(shí)也可將其界定為企業(yè)網(wǎng)絡(luò)運(yùn)行的一種常態(tài)機(jī)制,然后深度分析出每一類(lèi)信息在網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)所占用的資源,從而達(dá)到數(shù)據(jù)精準(zhǔn)檢測(cè)的目的。另外,考慮到企業(yè)網(wǎng)絡(luò)運(yùn)行的持續(xù)性,固定時(shí)間段內(nèi)呈現(xiàn)出信息傳輸峰值,此時(shí)信息傳輸節(jié)點(diǎn)在同一時(shí)間下將面臨著一定的冗余性問(wèn)題,企業(yè)需針對(duì)網(wǎng)絡(luò)運(yùn)作模式來(lái)建立信息流量傳輸?shù)目煽空J(rèn)證機(jī)制,將檢測(cè)威脅作為主要安全防護(hù)手段。
針對(duì)APT攻擊形式所設(shè)定的威脅檢測(cè)模型分為4個(gè)環(huán)節(jié):
第一,數(shù)據(jù)統(tǒng)計(jì)模型的設(shè)定。針對(duì)企業(yè)網(wǎng)絡(luò)運(yùn)行模式下的信息流量進(jìn)行特征統(tǒng)計(jì),例如同一時(shí)間節(jié)點(diǎn)下信息峰值情況、時(shí)間段內(nèi)信息傳輸規(guī)律、不同部門(mén)工作時(shí)間下網(wǎng)絡(luò)結(jié)構(gòu)的信息訪問(wèn)途徑。綜合上述信息特征來(lái)建立基于企業(yè)運(yùn)行的數(shù)據(jù)統(tǒng)計(jì)模型,通過(guò)大數(shù)據(jù)技術(shù)、數(shù)據(jù)信息模型內(nèi)的參數(shù)進(jìn)行正確界定,得出某一信息在某一節(jié)點(diǎn)下的運(yùn)行行為及其預(yù)期運(yùn)行路徑,然后生成相關(guān)數(shù)據(jù)和參數(shù),作為衡量APT攻擊防御的基準(zhǔn)。
第二,檢測(cè)流量偏差。通過(guò)統(tǒng)計(jì)數(shù)據(jù)模型的確定,對(duì)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中的信息傳輸流量進(jìn)行同步化檢測(cè),然后將信息確定值反饋到系統(tǒng),進(jìn)行參數(shù)比對(duì),如產(chǎn)生的誤差范圍超出固定的閾值時(shí),則表明此類(lèi)信息存在未知風(fēng)險(xiǎn),此時(shí)數(shù)據(jù)信息模型將對(duì)此類(lèi)信息進(jìn)行標(biāo)記,并及時(shí)反饋到計(jì)算機(jī)系統(tǒng)中向設(shè)備管理員進(jìn)行提示。
第三,數(shù)據(jù)異常分析模型。如發(fā)現(xiàn)某類(lèi)未知威脅,且此類(lèi)未知威脅并不是由系統(tǒng)維護(hù)和升級(jí)造成的,則數(shù)據(jù)信息模型將對(duì)此類(lèi)信息進(jìn)行標(biāo)記,并依據(jù)專(zhuān)家系統(tǒng)及數(shù)據(jù)挖掘技術(shù)對(duì)承載信息的業(yè)務(wù)流進(jìn)行分析。
第四,響應(yīng)模型。當(dāng)系統(tǒng)檢測(cè)到信息業(yè)務(wù)流存在未知威脅時(shí),系統(tǒng)將自動(dòng)開(kāi)啟防護(hù)舉措對(duì)存在威脅性的信息進(jìn)行訪問(wèn)限制,然后將檢測(cè)到的數(shù)據(jù)實(shí)時(shí)上傳到計(jì)算機(jī)管理界面上。一旦管理員對(duì)此類(lèi)信息確認(rèn)為病毒攜帶載體,則系統(tǒng)自動(dòng)對(duì)信息及其傳輸路徑進(jìn)行全面清查與跟隨式監(jiān)控,以提高網(wǎng)絡(luò)系統(tǒng)的運(yùn)營(yíng)質(zhì)量。
APT攻擊對(duì)網(wǎng)絡(luò)信息結(jié)構(gòu)造成的危害性較大,要想最大限度規(guī)避網(wǎng)絡(luò)攻擊所帶來(lái)的危害,應(yīng)深度分析APT攻擊特性,并建立多方位特征檢測(cè)手段,深度挖掘出信息存在的安全隱患,為網(wǎng)絡(luò)安全運(yùn)營(yíng)奠定堅(jiān)實(shí)基礎(chǔ)。