首页 >> 通信技术 >> 技术滚动 >> 正文
APT攻击(网络战)预警平台发布
通信世界网 http://www.cww.net.cn 2014年3月27日 10:17
标签:APT 网络安全
 

通信世界网讯(CWW)2014年网络安全成为热议话题。2013年,在酣梦中的网络安全界被斯诺登事件这一记重锤敲醒,2014年的年初,中央网络安全领导小组成立了,并且习总亲自担任组长。此小组一经成立,立刻有人大力点赞。冰冻三尺非一日之寒,斯诺登事件曝光,折射出多少安全危机?网络安全领导小组的成立相当及时!来听听国家领导人们怎么说:

“如今是个信息化的时代,经历这没有硝烟的战争,没有网络安全就没有国家安全”;

“中国网络空间基本处于不设防的状态,我们现在所使用的通用芯片,都依赖于美国。95%的操作系统来自微软。从移动领域来看,三大操作系统平台都来自美国。而这些领域又是中国网络安全隐患的根本所在”;

“西方出口到我国的关键大型设备和工业控制软件中,秘密预设后门是一个不争的事实”;

“中国既是网络大国,同时又是信息窃取、网络攻击的主要受害国”;

……

APT攻击已经成为最具威胁的攻击方法 APT进攻是我们目前所能见识过的最危险的攻击之一据国外权威信息安全结构统计,该类型攻击增长的趋势呈指数级发展。从03年开始崭露头角,08年开始攻击次数一路直线上升,并且目标明确、持续性强、具有稳定性。它利用程序漏洞与业务系统进行融合,不易被察觉,并且有着超常的耐心,最长甚至可达七年以上,不断收集用户信息。发起APT攻击所需的技术壁垒和资源壁垒,要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户,而是拥有高价值敏感数据的高级用户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者、 甚至各种工业控制系统。

如2011年RSA攻击事件。攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件,附件名为“2011 Recruitment plan.xls”;其中一位员工将其从垃圾邮件中取出来阅读,被当时最新的Adobe Flash的0day漏洞命中。该员工电脑被植入木马,开始从BotNet的C&C服务器下载指令执行任务。首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑。RSA发现开发用服务器(Staging server)遭入侵,攻击方立即撤离,加密并压缩所有资料并以FTP传送至远程主机,随后清除入侵痕迹。

其威胁从以上举例可见一斑,同时,从下图,我们可以看到APT攻击从2008年开始放量增长,并呈指数级上升趋势。

多路径攻击需要预警平台全方位防护 APT攻击的威胁已经不单单是一个病毒,经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。

通过对APT攻击进行大量分析,我们发现绝大多数大攻击通过3条路径对目标发起攻击:

1.通过发送带恶意附件邮件,利用恶意附件在员工电脑种植入后门,再通过员工电脑进行进一步带渗透

2.直接攻击Web服务器,由于Web服务器经常存在严重的安全漏洞,所以黑客经常对Web服务器进行攻击,然后再利用Web服务器为跳板,对内部网络发起攻击

3.使用欺骗或流量截获对方式直接对员工服务器发起攻击,利用员工电脑对内部网络发起攻击

0day攻击检测在APT攻击种, 使用0day对目标进行攻击非常常见,由于没有已知的特征所这些攻击很难被传统对检测手段发现。 而APT攻击检测设备的一个主要目标就是需要能够检测到0day攻击。静态检测无法检测到深度多攻击行为,而动态检测由于存在大量环境组合无法穷举,无法触发所有多行为。所以不应该使用任何一种单独的方法对目标进行检测。

通过关联分析应对APT攻击是必由之路 APT攻击中,由于黑客可能尝试多种路径进行攻击,所以无法使用一种方法就能有效的检测出APT攻击。我们需要利用多种检测手段结合,并进行综合分析发才能更有效的发现APT攻击,常用的检查步骤为(见下图):

1.针对Web、邮件、传输的文件进行的攻击检测

2.综合这些攻击的数据分离可疑文件、攻击流量

3.对Web行为模型进行建模和统计分析

4.对文件进行静态分析和动态运行分析

5.综合各种攻击路径中对告警,进行综合分析

6.最终发现APT攻击

常见的检测方法有:

1、深度协议解析

利用各种检测手段发现其中的恶意攻击及0day攻击。 目前解析的协议包括HTTP、SMTP、POP、FTP等。

APT攻击预警平台能检测和预警一系列的攻击,无论是已知的或未知的,并能够阻止那些最常见的攻击。如:基于Web的恶意攻击、基于文件的恶意攻击、基于特征的恶意攻击等。

2、WEB应用攻击检测

该平台能解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、Form 和URL中的脚本将被阻止,能够阻止那些的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。

3、邮件攻击检测

对邮件协议进行深度分析,记录并分析每个邮件,并对其中的附件进行分析并检测,发现其中的安全问题。通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试,发现其中的攻击。

4、文件攻击检测

安恒通过长期的研究,总结并提权各类0day攻击的特点。在网络流量中分析关心的文件。通过快速检测算法,对目标文件进行检测,发现其中的0day攻击样本。

通过检测目标文件中的shellcode以及脚本类文件中的攻击特征,并结合动态分析技术可以有效检测0day攻击行为。

5、流量分析检测

APT通常会结合人工渗透攻击,在人工渗透攻击中经常使用扫描或病毒扩散的过程。这些过程中,通常会产生大量的恶意流量。利用这些恶意流量特征,能检测攻击行为。通信世界网

 

来源:通信世界网
相关文章
 
文章评论
 
    昵称:  验证码:

 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
当运营商服务遇上互..
作为以用户为中心、以服务争市场的运营商,从营业厅到客服热线,从网上营业..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网