新闻链接：http://sec.chinabyte.com/473/12902473.shtml
新闻时间：2014-03-28
新闻正文：
    APT进攻是我们目前所能见识过的最危险的攻击之一据国外权威信息安全结构统计，该类型攻击增长的趋势呈指数级发展。从03年开始崭露头角，08年开始攻击次数一路直线上升，并且目标明确、持续性强、具有稳定性。它利用程序漏洞与业务系统进行融合，不易被察觉，并且有着超常的耐心，最长甚至可达七年以上，不断收集用户信息。

   发起APT攻击所需的技术壁垒和资源壁垒，要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户，而是拥有高价值敏感数据的高级用户，特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者、甚至各种工业控制系统。

　　APT攻击从2008年开始放量增长，并呈指数级上升趋势。

　　多路径攻击需要预警平台全方位防护

　　APT攻击的威胁已经不单单是一个病毒，经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。

　　通过对APT攻击进行大量分析，我们发现绝大多数大攻击通过3条路径对目标发起攻击：

　　1. 通过发送带恶意附件邮件，利用恶意附件在员工电脑种植入后门，再通过员工电脑进行进一步带渗透

　　2. 直接攻击Web服务器，由于Web服务器经常存在严重的安全漏洞，所以黑客经常对Web服务器进行攻击，然后再利用Web服务器为跳板，对内部网络发起攻击

　　3. 使用欺骗或流量截获对方式直接对员工服务器发起攻击，利用员工电脑对内部网络发起攻击

　　 0day攻击检测

　　在APT攻击种， 使用0day对目标进行攻击非常常见，由于没有已知的特征所这些攻击很难被传统对检测手段发现。 而APT攻击检测设备的一个主要目标就是需要能够检测到0day攻击。静态检测无法检测到深度多攻击行为，而动态检测由于存在大量环境组合无法穷举，无法触发所有多行为。所以不应该使用任何一种单独的方法对目标进行检测。

　　通过关联分析应对APT攻击是必由之路

　　APT攻击中，由于黑客可能尝试多种路径进行攻击，所以无法使用一种方法就能有效的检测出APT攻击。我们需要利用多种检测手段结合，并进行综合分析发才能更有效的发现APT攻击，常用的检查步骤为(见下图)：

　　1. 针对Web、邮件、传输的文件进行的攻击检测

　　2. 综合这些攻击的数据分离可疑文件、攻击流量

　　3. 对Web行为模型进行建模和统计分析

　　4. 对文件进行静态分析和动态运行分析

　　5. 综合各种攻击路径中对告警，进行综合分析

　　6. 最终发现APT攻击

　　 常见的检测方法有：

　　1、深度协议解析

　　利用各种检测手段发现其中的恶意攻击及0day攻击。 目前解析的协议包括HTTP、SMTP、POP、FTP等。

　　APT攻击预警平台能检测和预警一系列的攻击，无论是已知的或未知的，并能够阻止那些最常见的攻击。如：基于Web的恶意攻击、基于文件的恶意攻击、基于特征的恶意攻击等。

　　2、 WEB应用攻击检测

　　该平台能解码所有进入的请求，检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断，非法植入到Header、Form 和URL中的脚本将被阻止，能够阻止那些的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。

　　3、邮件攻击检测

　　对邮件协议进行深度分析，记录并分析每个邮件，并对其中的附件进行分析并检测，发现其中的安全问题。通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试，发现其中的攻击。

　　4、文件攻击检测

　　安恒通过长期的研究，总结并提权各类0day攻击的特点。在网络流量中分析关心的文件。通过快速检测算法，对目标文件进行检测，发现其中的0day攻击样本。

　　通过检测目标文件中的shellcode以及脚本类文件中的攻击特征，并结合动态分析技术可以有效检测0day攻击行为。

　　5、流量分析检测

　　APT通常会结合人工渗透攻击，在人工渗透攻击中经常使用扫描或病毒扩散的过程。这些过程中，通常会产生大量的恶意流量。利用这些恶意流量特征，能检测攻击行为。

原文出自【比特网】，转载请保留原文链接：http://sec.chinabyte.com/473/12902473.shtml

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！