对于能引起网络流量显著异常的攻击，如DDoS、扫描、蠕虫传播等，可通过异常流量检测和统计分析的方式进行识别。通过建立全面、完整的安全基准指标体系，可以快速识别网络流量异常；通过统计分析，可准确定位异常的位置和原因。

对于不引起流量异常的未知攻击，可通过可疑行为建模的方式进行识别。例如对于尚未提取特征的木马，其连接控制端的时候可能会存在未知的加密传输、疑似心跳信号的间歇性连接、恶意域名访问、异常的上下行流量比等行为，通过对这些可疑行为进行关联，就有可能检测到木马连接行为。

对于通过异常检测模块产生的各类报警，由于缺乏攻击签名信息进行验证，其准确度往往低于基于特征匹配的误用检测。为此还需要结合原始报文，对报警的有效性进一步确认。通过报文所承载的应用层对象做细粒度的协议解析和还原，可辅助分析人员判定会话内容是否包含攻击数据，从而进一步产生精确报警。

3、展示层

展示层完成从孤立的攻击报警信息生成完整的攻击场景的关联工作，并提供可视化分析前端工具，帮助分析人员从存储的海量历史数据中获取知识。对于攻击场景关联，常见的方法是基于关联规则匹配攻击场景。由于APT攻击手段的复杂性，在实际环境中往往会因为报警事件的缺失导致无法进行完整攻击路径图的匹配，进而导致建立APT场景失败，为此要解决基于不完整攻击路径的攻击场景匹配问题。对于多维数据可视化分析，要提供给分析人员一套能从地址、端口、协议类型等维度对数据进行统计展示的工具，并支持按照不同的粒度对数据进行钻取，方便分析人员在大数据中定位可疑行为。

典型应用场景

一次典型的APT攻击过程，通常包括信息搜集、获取入口点、实施远程控制、攻击目标横向转移、重要资产数据发现、数据泄露等环节。对于攻击防御方而言，由于特征的时效性和检测手段的局限性，未必能够在攻击的起始阶段实现有效检测。但对于APT这样的时间跨度长、攻击目标明确的攻击行为，在整个攻击过程中总会存在若干个攻击暴露点，以此为基础对相关的流量进行回溯关联，就有可能获取攻击者完整的攻击意图。

以某个攻击过程为例，攻击者试图获取某信息系统中的重要数据。为此，攻击者先搜集到了该信息系统部分用户的邮箱地址，然后给这些用户发送了邮件，其附件中包含了某个利用了0day漏洞的文件，导致用户打开附件时执行了恶意命令并被植入了未知木马。攻击者通过加密的命令控制通道，对用户主机实施远程控制，获取了信息系统中的重要数据。在这个攻击过程中，由于攻击者所利用的漏洞、植入的木马都缺乏特征，采用的远程控制通道又是进行了加密，现有基于攻击签名的检测方式很难进行有效检测。

有了本文所述的基于记忆的APT攻击检测系统，对整个攻击过程的数据进行存储，辅以异常检测方法，就有可能实现检测。例如，通过可疑行为识别，系统能检测到用户主机上的可疑加密传输行为；基于可疑报警，对相关主机的数据进行回溯分析，对相关的历史流量进行协议解析、应用识别和还原，能够得到邮件附件、被植入的木马文件；分析人员再对还原后的内容做进一步的确认，就能够识别攻击者的真实意图和已经发生的攻击行为，并评估自身的信息资产损失状况。

总结

APT的出现，既给传统检测技术带来了挑战，也为新兴技术的应用带来了机遇。硬件技术的发展，使得处理器运算能力不断增强、单位容量存储成本不断降低，这为我们基于大数据进行APT检测提供了必要条件。

对于APT攻击，我们的对抗策略是以时间对抗时间，改变传统基于单时间点进行特征匹配的局面，对长时间窗的数据进行关联分析，并辅以异常检测算法，以解决现有检测手段的不足。通过扩大检测域、丰富检测机制，形成了新一代基于记忆的智能检测系统。随着大数据技术的发展、各类检测算法的丰富，基于记忆的智能检测系统将在应对APT攻击中发挥更大作用。（启明星辰 周涛）