通信世界网讯(CWW) 2013年4月11日消息，人民邮电出版社和中国通信学会普及与教育委员今日举办“第五届通信网络和信息安全高层论坛”，在工业和信息化部通信保障局、互联网安全中心、中国电信、中国移动、中国联通等电信企业和腾讯等增值电信企业的指导和支持下，邀请政府主管领导、运营商领导、增值电信企业领导、安全企业专家领导等各方面权威人士，进行深入研讨和交流。来自于启明星辰的核心研究院资深研究员周涛先生，将演讲的题目是“新检测—APT攻击应对之道”。

启明星辰核心研究院资深研究员 周涛

周涛：各位来宾下午好！很高兴有机会跟大家在一起分享一下我们启明星辰在APT攻击检测方面的一些心得。说到圈内的朋友都不陌生。作为有组织有目标的攻击我们说APT它有没有一些可以常见的套路可寻呢？我们对一些典型攻击案例分析可以得到一个结论，APT是有一个套路可寻的。

典型APT攻击可以分六个步骤。第一步就是情报收集工作，因为攻击别人总得先了解对手。情报收集包括对方IT资产情况搜集和人员情况的搜集。第二步利用情报展开特定攻击，有可能是针对资产攻击，也有可能对人员的利用。攻击的目标是获得目标系统中的入口点，然后可以在这上面安装一些木马，建立一个长期的命令通信通道实施一个长期控制。一般来说攻击不会撞大运，一般踩点进去就会有收获，会找一些主机，找到一个有价值的东西把这些重要的资产和数据以隐蔽通信的方式传输出去，整个过程非常长我们认为这就是典型APT攻击的套路。

单单从套路来讲APT和历史上已有的攻击没有什么特别的区别，但是APT攻击显示出的特点是，攻击行为特征难以提取。再一个就是单点隐蔽能力强，第三就是攻击渠道多样化。

APT它体现了以上特点招招指向传统前侧防御技术的软肋。首先是无法进行边界防御，另外难以进行特征匹配，再一个，攻击一成功之后会进行长时间的横向转移，因为我们现在大部分的检测设备都是基于单个时间点的检测，比如说防火墙也是实时的匹配，这样对长时间的关联没办法做到。再一个一旦攻击都伪装成正常的访问，行为上看跟正常的没有什么两样，所以我们没办法做异常行为的检测。比如恶意代码检测就是在关口做样本的识别和过滤，让你进不来，再一个是做有机防护的。各种检测方法五花八门也都有自己的特点，比如说傻箱方案，针对攻击手段比较高级的解决方案，它的初衷是这样的，既然APT不能检测木马，因为有滞后性就利用沙箱，所有来的都是都作沙箱中跑一跑，这种方法挺好，但是有一个确定对未知攻击方式和恶意代码的识别很好，但是执行效率有问题，终端多样性导致漏报。沙箱只能模拟一定的终端环境，如果模拟的不全就有可能导致恶意代码被放过去。

再一个是异常检测，核心数据是提取元数据，优势是可以进行异常行为的模式识别，但是不足是业务模式变化导致漏报和误报率高。那么在做异常检测的时候就有比较高的漏报率。还有一种思路是大数据的玩法，既然正常的不好区分，异常的也不好区分，那么把流量都拿到，进行一个一个流量识别，看哪些是可以识别的，就放过去，不能识别的就认为是非法的，这种技术是大数据存储及处理应用识别和文化还原的技术。优势是对APT完整过程攻击溯源，缺点是很难在海量数据中定位真正的攻击源。因为数据太多，做一次分析从哪个地方开始入手单单有大数据是不够的。