深度动态防御应对APT攻击

【 摘 要 】 高级持续性威胁（APT）是当前信息安全领域最难以防范的攻击方式之一。本文通过对APT攻击的攻击方式和特点的分析，提出了以深度动态防御（Deep Dynamic Defense）应对APT攻击的思想，分别就深度防御和动态防御的思想进行了阐释，并提出了相应的解决方案。

【 关键词 】 深度动态防御（DDD）；APT；沙盒；大数据；云计算

Deep Dynamic Defense Responds to APT Attack

Guo Rui

（Guangzhou School of Administration， Information and Network Center GuangdongGuangzhou 510070 ）

【 Abstract 】 Advance Persistent Threat（APT） is one of the most difficult to prevent in the Information Security. This article analyses the attack methods and features of APT， proposes the idea of Deep Dynamic Defense to respond the APT attack， and explains the idea of Deep Defense and Dynamic Defense， and proposes the schemes of them.

【 Keywords 】 deep dynamic defense（ddd）； apt； sandboxie； big data； cloud computing

1 引言

近年来，APT（Advanced Persistent Threat）高级持续性威胁以其攻击手段丰富、持续时间长、隐蔽性强、破坏性大的特点，已经成为信息安全领域最令人头痛的攻击方式。随着Google、RSA等IT业界巨头和诸多大型机构相继成为APT攻击的牺牲品，在信息安全领域掀起了抵御APT攻击的技术创新浪潮。

APT攻击是黑客入侵网络系统的一种高级的、狡猾的伎俩。每次APT攻击都是精心策划的，攻击者可以花费数月甚至更长时间对目标网络进行踩点，有针对性地收集各种信息，包括网络环境、服务器部署情况、应用系统漏洞、业务状况、人员信息等等。通过对所收集信息的深入分析和研究，充分掌握目标网络的弱点，采用各种手段突破网络防御。渗透进目标网络后，攻击者利用各种隐蔽手段长期潜伏，监测内部通讯、窃取机密数据，在达到目的后迅速撤离并消除攻击痕迹。APT攻击是有组织、有计划、有目标、有利益驱动的行为，综合利用各种资源，针对目标环境订制攻击策略，可以将其形象地比喻为“外科手术”式的攻击。

2 APT攻击方式

“知己知彼，百战不殆”。要有效防御APT攻击，必须对APT攻击的方式有清晰的认识。通过这几年对APT攻击案例的研究，典型的APT攻击一般可分为三个阶段，如图1所示。

2.1 前期准备

攻击者利用社交网站、钓鱼、人肉搜索等手段收集目标机构员工的相关信息；利用嗅探、扫描等手段获取目标网络关键节点和服务器的信息。综合分析所获取的信息，从中发现可被利用的防御漏洞，针对发现的漏洞准备恶意软件、C&C服务器和其他渗透工具。

2.2 实施入侵

在一切准备就绪之后，攻击者开始实施入侵。攻击者利用目标网络的缺陷或漏洞，向目标主机植入恶意软件，令其成为僵尸主机，达到远程控制的目的。一旦僵尸主机部署成功，攻击者会利用其嗅探网络中带有敏感信息的关键主机，利用工具提升访问权限，获得关键主机的控制权，为后续攻击埋下伏笔。

2.3 后续攻击

攻击者在目标网络中长期潜伏下来，窃听网络中的信息，从中挖掘有价值的数据。这一过程可以持续数月甚至数年，被攻击者很难察觉。一旦得到所需的重要数据，攻击者会对数据压缩、加密，并迅速传输出去，当被攻击者发现时往往为时已晚。

为了长期渗透，提高僵尸主机的生存能力，攻击者会在潜伏期间继续深度渗透，将网络中的其他主机也变成僵尸主机。这些僵尸主机可以长期潜伏等待，只要收到破坏指令就能立即实施各种类型的攻击。在潜伏攻击阶段，为了避免被发现，攻击者会想尽方法抹除攻击痕迹，躲避常规的检测。

APT攻击之所以防不胜防，还在于它并不局限于典型的攻击方式，而是随着防御手段的提升不断调整攻击策略。例如最新发现的“水坑攻击”，攻击者通过分析被攻击者的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》中的情节：捕食者埋伏在水里或者水坑周围，等其他动物前来喝水时发起攻击。水坑攻击与钓鱼攻击相比，攻击者利用的是被攻击者信任的合法网站的弱点，无需耗费精力制作钓鱼网站，相对于通过社交工程方式引诱目标用户访问恶意网站更具欺骗性，隐蔽性更强，效率也更高。

3 深度动态防御

通过对APT攻击方式的分析可以看出，手段多样、方式多变是APT攻击的显著特点，这也是防御APT攻击的关键。深度动态防御（Deep Dynamic Defense）正是从空间和时间两个维度针对APT攻击采取的系统化防御思想。

3.1 深度防御

深度防御是指将现有的信息安全技术整合起来，在APT攻击的整个攻击链条上进行纵深防御的防御方式。从技术本身来说，APT攻击的手段并无多少新鲜之处，漏洞和攻击工具的利用都是惯用手段。针对这些手段，业界早已形成了较成熟的防御技术。APT攻击的全过程是一个环环相扣的整体，只要打破其中的任何一环都能使攻击者铩羽而归。但是，任何一种单一的防御技术都不是无懈可击的，过分依赖单一的防御技术，一旦被攻破，整条防线顷刻间土崩瓦解。深度防御正是最大限度地发挥现有防御技术的优势，对已知的攻击手段进行全方位抵御。

在APT攻击的前期准备阶段，社交工程扮演了必不可少的角色。据IT168《2014年APT攻击发展趋势及防御策略调查报告》显示，81%的受访用户听说过APT，只有19%的用户暂未听说过APT攻击。然而，在另一项能否清楚了解APT攻击所造成的危害调查中，却只有14%的受访用户对APT攻击十分了解，61%的用户表示只是大概了解APT攻击，还有25%的用户表示基本不了解APT攻击所造成的危害。可见用户对APT攻击的认知还处于初级阶段。报告还显示，电子邮件（68%）和社交网站（65%）已超越了病毒、恶意链接、钓鱼网站等传统的攻击途径，成为攻击者发动APT攻击最主要的途径。因此，提高员工的信息安全意识是深度防御的首要环节，对员工的信息安全意识培训更是刻不容缓。特别是针对电子邮件和社交网站的攻击手段，需要及时向员工培训、宣传，降低遭受社交工程攻击的风险。

在APT攻击的入侵实施阶段，攻击者利用自动化方式在网络系统防御最薄弱的主机上植入恶意软件。恶意软件的植入大多是利用木马、0day漏洞、未知漏洞等手段，深度防御在这一阶段必须利用现有的漏洞、木马扫描，使系统具备基本的防护能力，并配合使用传统的入侵防御系统、防病毒系统、Web应用防火墙，进一步筑牢防线。但面对利用0day漏洞和未知漏洞发起的攻击，无法得到恶意软件的特征码，这些防御手段还远远不足，此时，“沙盒”技术就可以派上用场。恶意软件进入“沙盒”所打造的虚拟运行环境，便可通过其“行为”来判断是恶意还是善意，从而不需要特征码也可以有效防御。除此之外，“沙盒”还能够通过跟踪入侵行为，达到及时发现系统未知漏洞的目的。

在APT攻击的后续攻击阶段，攻击者成功渗透并潜伏下来后，其主要目的就是窃听网络通信，伺机窃取重要数据。面对隐蔽性极强的APT攻击，深度防御必须利用现有的一切技术手段监控网络中的数据流。对于 APT而言，流出网络边界的数据流量更具危险性，监控传出流量是检测异常行为、防止信息外泄的有效途径。一旦发现有异常数据流出及时阻断，最大限度的减少数据外泄的可能。在此基础上，必须对重要数据的存储和传输进行加密，降低数据泄露的风险。攻击者为了避免暴露，会通过删除日志内容等方式抹除攻击痕迹。因此，系统日志为深度防御提供了亡羊补牢的机会。除了常规的日志审计以外，还应主动监测日志文件的写入，一旦发现异常的写入、删除操作应及时报警。

面对APT攻击，深度防御作为基础性手段，虽然可以应对现有的多样化攻击，但是应对APT多变的攻击方式，仅仅采用深度防御还远远不够，因此动态防御应运而生。

3.2 动态防御

动态防御是指综合利用大数据分析、云计算、邮件动态检测、沙盒等技术，从APT攻击中提取行为特征，自我学习、自我完善的防御方式。APT攻防是最顶端攻防知识的对抗，对抗胜利的关键是快速获取攻击者的知识并转化为防御知识的能力。一个好的防御体系，不是强调自己的无懈可击，而是在新的攻击发起时，能否快速建立起对攻击数据的快速感知、获取、分析、响应的能力。

在APT攻击的前期准备阶段，电子邮件是攻击者利用的成本最低、最有效的手段。在邮件服务器上部署邮件动态检测系统，对邮件内容进行动态扫描，快速隔离威胁邮件，可以有效降低受到APT攻击的风险。一个典型的邮件动态检测系统由三部分组成，入侵威胁检测引擎（ATSE）、动态威胁分析系统（DTAS）和APT扫描过滤器。ATSE负责对邮件做初步检测，提取出可能存在威胁的邮件。通过APT扫描过滤器和DTAS相结合，对可能的威胁邮件进行动态分析和扫描。DTAS通过与云端的威胁分析数据共享，具备动态分析的能力，形成自我学习的邮件检测体系。

防御APT攻击的最大难点在于对攻击行为的检测，而造成这一困难的关键是APT攻击行为的多变性。在APT攻击的入侵实施和后续攻击阶段，孤立地进行恶意代码检测和主机应用保护，对防御APT攻击来说收效甚微。APT攻击是以分布式方式进行的，其行为存在于网络行为的大数据之中。将“沙盒”技术、全流量审计、大数据分析和云计算技术相结合，可以有效检测未知的攻击行为，提升检测效果。

“沙盒”技术与主动防御技术原理截然不同。主动防御发现可疑行为时立即拦截并终止运行，而“沙盒”技术则是发现可疑行为后让程序继续运行，当发现的确是恶意软件时才会将其隔离。“沙盒”让疑似恶意软件的可疑行为在虚拟的环境里充分表演，并记下它的每一个动作；当恶意软件充分暴露了其行为后，“沙盒”执行回滚机制，抹去恶意软件的痕迹，恢复系统到正常状态。利用“沙盒”捕捉并收集APT攻击行为，可以作为大数据分析的基础。

APT攻击的长期潜伏性是最让人头痛的难题之一，令现有的入侵检测手段难以捕捉。长期潜伏的攻击者，其攻击行为在全年中可能只有为数不多的几次，极易被入侵检测系统忽略。全流量审计正好可以弥补常规入侵检测的缺陷。通过对年度网络数据流的全流量审计，能够较容易地发现网络流量中的短时间异常，令长期潜伏性攻击被发现的几率大大增加。

“沙盒”捕捉的攻击行为数据加上全流量审计得到的异常数据，经由大数据分析，形成APT攻击者的知识。大数据包含有各层面、各阶段的全方位信息数据，综合各种微观行为的检测数据，进行深度的宏观分析，从海量数据中提取出攻击者的知识，形成APT攻击行为的知识库。在此基础上，利用云计算具备的资源共享能力，将大数据分析得到的攻击者知识库有效放大，实现APT攻击知识的全面共享和自我更新、自我学习，形成针对APT攻击行为的智慧检测系统。

大数据和云技术共同构成自我学习的动态防御体系，对于APT不断变化的攻击方式形成持续性的防御能力。综合利用各项技术的优势，就能有效应对APT攻击隐蔽性强、持续时间长、手段复杂多变的难题。

4 结束语

APT攻击是全方位的，针对APT攻击的防御必须是体系化的，涉及信息安全的各个层面。面对APT攻击，以深度动态防御（DDD）的思想，综合利用各种防御手段，充分发挥现有技术的优势，不断向攻击者学习，持续完善防御策略，才是应对APT攻击的有效途径。

参考文献

[1] 杜跃进，方鹏，翟立东.APT的本质探讨.电信网技术，2013.11.

[2] 张帅.对APT攻击的检测与防御.信息安全与技术，2011.9.

[3] 张之硕.邮箱服务器APT攻击检测与防御工具的设计及实现.南京大学，2013.5.

[4] 周涛.大数据与APT攻击检测.信息安全与通信保密，2012.7.

[5] 赵金龙，王海晋，张磊.基于云计算安全的APT防御.数字技术与应用，2013.11.

[6] 魏亮.网络与信息安全新趋势与新挑战.电信技术，2013.1.

[7] 钟金鑫.恶意代码二进制程序行为分析关键技术研究.北京邮电大学，2012.6.

[8] 董建伟.2014年APT攻击发展趋势及防御策略调查报告.

， 2014.7.3.

[10] 中国互联网协会反垃圾信息中心.APT攻击新手段 水坑式攻击隐蔽难防. 2013.5.13.

作者简介：

郭瑞（1981-），男，湖北武汉人，苏州大学物理系物理学专业理学学士，上海交通大学电子与通信工程专业工程硕士，现任职于中共广州市委党校（广州行政学院） 信息网络中心，讲师，系统分析师；工作业绩：2009-2013年党校信息化项目建设；主要研究方向和关注领域：信息安全、开源软件。