如何檢測到 APT 攻擊

• 沙箱方案：這一方案是為了解決高級入侵手段引起的問題的，即解決特征匹配對新型攻擊的滯后性而產生的解決方案。攻擊者利用0day漏洞，使特征碼的匹配不成功，這樣我們就可以對癥下藥使用非特征匹配，利用沙箱技術識別0day漏洞攻擊和異常行為。沙箱方案的原理是將實時流量先引進虛擬機或者沙箱，通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控，監測流量中是否包含了惡意代碼。相較于一般傳統的特征匹配技術，沙箱方案對未知的惡意程序攻擊具有較好的檢測能力。

• 異常檢測方案：這一方案是同時解決兩大問題的，即為解決特征匹配和實時檢驗不足而產生的解決方案。這一方案是利用將網絡中正常行為產生的數據量建立一個模型，通過將所有數據量與這一標準模型進行對比，從而找出異常的數據量。正如警察在抓捕壞人時的方法是一致的，由于警察并不知道壞人的姓名，性別，長相已經其他行為特征，但是警察是知道好人的行為特征的，他可以利用這些行為特征建立一個可行的標準模型，當一個人的行為特征與現有的好人的行為特征模型大部分不相符時，警察就可以判斷這個人不是個好人，是一個危險人物。異常檢測的核心技術是基于連接特征的惡意代碼檢測規則、基于行為模式的異常檢測算法、元數據提取技術。

• 基于連接特征的惡意代碼檢測方案：是用來檢測已知的木馬通信行為。基于行為模式的異常檢測算法包含可疑加密文件傳輸等。

• 全流量審計方案：這一方案是解決A，P問題的，即是為了解決傳統特征匹配不足而產生的解決方案。這一方案的核心思想是通過對檢測到的流量進行應用識別，還原所發生的異常行為。它的原理是對流量進行更為深刻的協議解析和應用還原，識別這些網絡行為中是否包含有攻擊行為。當檢測到可疑性攻擊行為時，回溯分析與之相關的流量。包含了大數據存儲處理，應用識別和文件還原等技術。這一方案具備強大的實時檢測能力和事后回溯能力，是將計算機強大的存儲能力與安全人員的分析能力相結合的完整解決方案。

• 基于記憶的檢測系統方案：這是一個由全流量審計與日志審計相結合形成的系統，APT攻擊發生的時間很長，我們應該對長時間內的數據流量進行更加深入，細致的分析。這一檢測系統具體分為四個步驟：

  （1）擴大檢測領域：對數據流量的檢測領域進行適當的拓展，將全流量數據進行有效的存儲，進一步進行深入的分析。

  （2）將數據量進行精煉化：將龐大的數據進行精煉化，將全流量中的數據進行篩選，將與攻擊行為沒有任何相關性的數據進行及時的刪除，同時保留有相關性的數據流量，能夠釋放出更大的空間。挑選，刪除無相關性達到數據流量，可以依靠的第三方的檢測報警設備，也可以利用全數據流量的異常檢測技術。

  （3）對檢測出的攻擊行為進行精確的報警：將保存下來的與攻擊行為有關的數據進行后續分析，做出進一步的精確的報警。

  （4）構建攻擊的場景：我們將上一步做出的精確的報警進行關聯性的分析，明確它們之間存在了哪些語義關系，將孤立的攻擊報警提取出來，構建全面的，整體性的攻擊場景。

• 基于深層次協議解析的異常識別方案：可以仔細檢查發現是哪一種協議，一個數據在哪個地方出現了異常，直到找出它的異常點時停止檢測。

• 攻擊溯源方案：通過已經提取出來的網絡對象，可以重建一個時間內可疑的所有內容。通過將這些事件重新排列順序，可以幫助我們迅速的發現攻擊源。

回答所涉及的環境：聯想天逸510S、Windows 10。