工業網絡如何防 APT 攻擊

APT是多樣攻擊方式的組合，因此也需要對其進行多方位的檢測防御：

• 惡意代碼檢測

  大多數APT攻擊都是通過惡意代碼來攻擊員工個人電腦，從而突破目標網絡和系統防御措施。因此，惡意代碼檢測對于檢測和防御APT攻擊至關重要。

• 主機應用保護

  不管攻擊者通過何種渠道向員工個人電腦發送惡意代碼，該惡意代碼必須在員工個人電腦上執行才能控制整個電腦。因此，若能加強系統內各主機節點的安全措施，確保員工個人電腦以及服務器的安全，則可以有效防御APT攻擊。

• 網絡入侵檢測

  安全分析人員發現，雖然APT攻擊所使用的惡意代碼變種多且升級頻繁，但惡意代碼所構建的命令控制通道通信模式并不經常變化。因此，可采用傳統入侵檢測方法來檢測APT的命令控制通道，關鍵是如何及時獲取APT攻擊命令控制通道的通信模式特征。

• 大數據分析檢測

  大數據分析是一種網絡取證思路，它全面采集網絡設備的原始流量及終端和服務器日志，進行集中的海量數據存儲和深入分析，可以在發現APT攻擊的蛛絲馬跡后，通過全面分析海量日志數據來還原APT攻擊場景。大數據分析檢測因涉及海量數據處理，因此需要構建Hadoop、Spark 等大數據存儲和分析平臺，并通過機器學習對數據進行分析，從而檢測出是否受到攻擊。

回答所涉及的環境：聯想天逸510S、Windows 10。