怎么找到APT攻擊

主要是在以下三個角度來發現apt攻擊：

• 在探測期中：攻擊者需要收集關于目標系統的大量信息，可能會使用端口掃描、代碼分析、SQL語句檢測等方式獲取有用的數據，在這個階段如果能夠通過審計系統日志分析辨識出這些活動，有效分析網絡流量數據、防御系統警報等信息，將有可能發現APT攻擊的信號，則可以認為系統已經被攻擊者所關注，需要提高警惕。此外，可以利用大數據分析技術來處理檢測數據。 APT攻擊者通常會規劃很長一段時間展開信息收集和目標突破的行動，而現有IDS或IPS系統一般是實時工作的，而且在檢測數據中存在大量冗余信息。因而，為了令初期階段的檢測更加有效，可對長時間、全流量數據用大數據分析的方法進行深度檢測，對各種來源的日志數據進行周期性關聯分析，這將非常有助于發現APT攻擊。

• 在入侵期中：攻擊者已經發現了系統中可以利用的漏洞，并通過漏洞進行木馬、病毒植入，電子郵件攻擊，此階段對于檢測者而言體現在反常事件的增多。采取基于異常檢測的IDS類實現方法，對管理員密碼修改、用戶權限提升、角色組變更和計算機啟動項、注冊表修改等活動的關注有助于發現處于入侵期的APT類攻擊；部署采用基于收發雙方關聯信息、基于電子郵件歷史分析發送者特點和基于附件惡意代碼分析等檢測技術的對策工具，可以有效檢測出利用目標性電子郵件的APT攻擊。

• 在潛伏期中：入侵后APT即進入潛伏期，此時的攻擊代理為避免被發現，在大多數時間內處于靜默狀態，僅在必要時接受主控端指令，執行破壞動作或回傳竊取到的數據。如果指令或傳輸的數據被加密，那么對其內容的檢測就十分困難，只能通過流量分析判斷系統可能處于異常狀態；但如果數據未加密，則通過內容分析技術有可能識別出敏感數據已經以非正常方式傳送到了受保護區域之外。在命令和控制階段，可能存在增加用戶、提升權限和增加新的啟動項目等行為，使用IDS或IPS檢測這類入侵將有助于發現APT攻擊，另外，研究人員發現APT攻擊者命令和控制通道的通信模式并不經常變化，若能及時獲取到各APT攻擊中命令控制通道的檢測特征，可以采用傳統入侵檢測方法進行檢測。

回答所涉及的環境：聯想天逸510S、Windows 10。