张婷婷

摘要

公安网络系统安全直接影响国家机密信息的安全，近年来，针对政府保密信息，出现了一种更为高级的网络攻击：APT攻击。因此，有必要在理论上研究在公安网络中应对APT攻击的防御技术。本文主要从不同角度对APT攻击的防御技术进行分析。

【关键词】防御技术 APT攻击 沙箱技术

随着公安信息化工作的全面提升，公安机关数据规模急速增大，应用需求快速增长，公安网络也经常受到不同类型的网络攻击。目前APT攻击受到社会广泛关注，其所带来的攻击力和破坏力强度非常大，因此要积极研究和分析不同防御技术，从而有效抵御APT攻击所带来的危害。

1APTI击概况分析

1.1 APT攻击概况

APT攻击在实施过程中带有一定的政治目的或商业目的，通过不同的方式来对某一国家或组织的重要信息进行攻击，针对性比较强，APT攻击通过网络渗透方式来长期持续地实施攻击，从而对目标网络权限进行获取，并且会在目标网络内部进行潜伏，获取目标的核心数据信息，最终实现情报的窃取或破坏。通常APT攻击主要包括以下几个时期，首先是APT攻击前的准备时期，其次是APT攻击的入侵时期，最后是APT攻击的持续性时期，同时可以细化为以下五个步骤，分别为获取情报、突破防线、建设通道、横向进行渗透以及收集信息和外传信息。

1.2 APT攻击过程分析

1.2.1 APT攻击的情报收集环节

攻击者会获取目标人员及网络系统的信息，主要获取渠道有公司网站、社交网站、博客等，或者通过某种违法渠道来购买目标信息，从而获取攻击目标的人员关系、组织构架以及网络防御软件和应用情况，并且利用网络系统存在的漏洞来进行攻击，从而进入目标网络的服务器当中，为后期的攻击提供条件。

1.2.2突破防线和建立通道

攻击人员在获取网络相关技术和情报后会对目标的电脑进行攻击，比如利用电子邮箱攻击、远程漏洞攻击等方式来获取目标电脑的权限，从而实现对电脑的控制。建立通道要在防线突破以后实施，通道主要建立在入侵服务器和目标组织人员电脑之间，利用HTTP/HTTPS协议来对通道进行命令控制，对目标网络系统的防火墙进行突破，最终实现通道的建立，将恶意软件发送过去。

1.2.3横向渗透和信息收集与外传

APT攻击在达到控制目的后会实施进一步渗透，从而进入到目标服务器当中，获取更多的权限，在潜伏后会获取内部数据信息，并实施进一步的攻击与破坏。

2 APTI击防御技术分析

2.1沙箱技术分析

沙箱同时又叫做沙盘，是一种APT攻击核心防御技术，该技术在应用时能够创造一种模拟化的环境来隔离本地系统中的注册表、内存以及对象，而实施系统访问、文件观察等可以通过虚拟环境来实施操作，同时沙箱能够利用定向技术在特定文件夹当中定向进行文件的修改和生成，防止出现修改核心数据和真实注册表的现象，一旦系统受到APT攻击，实现的虚拟环境能够对特征码实施观察和分析，从而将攻击进行有效的防御。在实际应用过程中，沙箱技术能够充分发挥防御作用，但是由于其消耗本地资料过多，导致工作处理过程周期过长，对此要进一步加强其应用效率的提升，从而有效区分和处理软件与文件，有效提升自身的应用效率，充分防御来自于外界的APT攻击。

2.2信誉技术

安全信誉主要是评估互联网资源和有关服务主体在安全性能方面的指数和表现，而信誉技术在应用过程中能够以一种辅助的方式来检测APT攻击，并针对性建设信誉数据库，其中包括威胁情报库、僵尸网络地址库、文件MD5码库以及WEB URL信誉库，能够作为辅助支撑技术帮助系统提升检测APT攻击，比如常见的木马病毒和新型病毒等，一旦遇到不良信誉资源能够利用网络安全设备进行过滤和阻断。在此过程中，信誉库能够充分发挥自身优势，有效保护系统相关数据和信息，提升安全产品的安全防护指数，依照实际情况来分析，信誉技术已经广泛应用到网络类安全产品当中，并且通过安全信誉评估策略服务和信誉过滤器等功能为信息系统的安全提供有效保障。

2.3异常流量分析技术

异常流量分析技术在应用过程中主要以一种流量检测方式和分析方式对有关流量信息实施提取，并且针对其中的带宽占用、CPU/RAM、物理路径、IP路由、标志位、端口、协议、帧长、帧数等实施有效的监视和检测，并且融入节点、拓扑和时间等分析手段来统计流量异常、流量行为等可能出现的异常信息，从而依照分析的结果和数据来对可能出现的ODAY漏洞攻击进行准确识别。同时，异常流量分析技术进一步融入了机器学习技术和统计学技术，能够以科学化、合理化的方式来对模型实施建立。与传统的网络防御技术相比，异常流量分析技术能够充分发挥自身优势，以一种数据采集机制来保护原有系统，并且对出现的异常行为进行有效的追踪，分析历史流量数据，从而有效确定异常流量点，最终起到防御APT攻击的目的。

2.4大数据分析技术

在防御APT攻击时，要充分发挥大数据分析技术的优势，针对网络系统中出现的日志数据和SOC安全管理平台中出现的日志数据，利用大数据分析技术能够实施有效的分析和研究，并通過态势分析、数据挖掘、数据统计技术，对大量历史数据进行分析，获取其中存在的APT攻击痕迹，从而以一种弥补方式来对传统安全防御技术实施加强。同时，大数据分析技术要想发挥自身作用，需要提升自身数据分析和数据采集能力，并积极融合全自动相应系统，从而快速监控不同区域中的数据信息，改变出现的信息孤岛所导致的调查分析问题。

3结束语

综上所述，APT攻击事件频繁发生，给网络空间安全保护带来了一定难度，其具有的攻击能力与传统的网络病毒存在一定区别，对此要积极应用专业的防御技术，针对APT攻击构建相应的应对策略，从而充分发挥不同技术优势，有效防御APT攻击。

参考文献

[1]徐剑新，还约辉，王迎，工业控制系统APT攻击分析和防御问题探讨[J].信息技术与网络安全，2018 （03）：32-36.

[2]焦贤龙，陈玉鑫，廉哲等，一种软件定义APT攻击移动目标防御网络架构[J].山东大学学报：理学版，2018，53 （01）： 38-45.