刘俊奇

摘 要： 高级可持续性威胁（APT）被视为企业安全管理者和CSO的噩梦，一旦攻击开始，企业将很难阻止该攻击行为。为减少损失和损害，企业应将重视该攻击行为给企业带来的严重后果，需要事先制定好明确的响应计划和恢复计划。我们要清楚APT相关的活动不是攻击，它只是一些持续性较强、针对性较高的活动，同时这类活动本身也将意味着将花去筹划者大量的精力和时间。

关键词： APT；阻止；响应计划；恢复计划

1、引言

IT技术和通信技术仍在不断地发展过程中，云计算、物联网、大数据等新兴产业也在逐渐成为当今发展新热点，数据也在随着发展过程中，不断地累计，且增长速度在逐年增高，我们早已经进入大数据时代。[1]

新的发展点，新的机遇是大数据时代最突出的两个特点。但随之而来的是大数据时代下，网络环境变得更为复杂，各种形式的网络攻击不断上演，且逐年在增加，之前针对个人的网络攻击已经演化成对金融、工业、交通等领域的攻击，这对于国家安全和社会稳定来说是一颗定时炸弹，时刻威胁着它们。[2]

本文主要是介绍APT攻击的相关内容。

2、APT和其难以检测发现的原因

（一） APT特征

APT又称为高级的可持续性威胁攻击，它本身并非可以看做是一种攻击方法，而是类似一个网络形式的攻击链。在早期的攻击过程中，防御者对其不够了解，所以一直将其看做是单个环节方面的攻击，现在随着研究人员的深入调查和研究，发现这种攻击并不是由单个人来完成，而是需要一个具有组织性的团队配合完成的。所以说APT攻击可以看做是一种针持续时间长且破坏力大、对特定目标、隐蔽性较强、有组织性的新型威胁和攻击方式，具备了以下几个主要特点：多样的手段、明确的目标、持续时间长。APT之所以可以看做是高级可持续性的威胁，原因主要是体现在其难以被提取攻击行为特征、多元化的攻击渠道、不确定的攻击空间三大特征方面上。[3]首先我们要清楚APT在攻击过程中，更加注重了针对静态文件和动态行为的隐蔽，通过应用隐蔽通道和加密通道等技术来实现自身的攻击行为，其次，APT多元化的攻击方式导致APT攻击渠道的具有较强的抗攻击性，最后就是要说APT具有不确定的攻击空间，APT没有特定的攻击目标，这导致任何网络，任何节点都可以成为它攻击的目标，这种攻击对于整个网络系统来说是个无形的威胁。

APT获取权限的方式是通过零日攻击实现的，而我们平常使用的通过获取和识别指纹特征的攻击方式在此时将失去作用，没有在攻击发生时及时地识别出该攻击，也就导致我们现有的检测手段在针对APT攻击时是无效的。

（二）难以检测的原因

APT攻击难以发现有以下一些因素：

1. 攻击并不是由单个人来完成，而是需要一个具有组织性的团队配合完成的，这样的攻击很难溯源，因为具有一定的隐蔽性，又很难在现实社会中找到攻击组织。

2.大多数人对于APT不够了解，认为其攻击方式和模式与其他攻击方法相似，这将导致防御者的视野仍停留在传统安全方面，不能够深层次剖析APT攻击。

3.本攻击目标本身防御薄弱：人员意识性较弱、检测入侵系统更新不及时。

4.攻击者本身的综合能力较高，上文有提到APT攻击的背后将是一个有组织性的团队在进行攻击行为，他们能针对攻击目标的薄弱点进行多方位的攻击行为，并且在攻击过程擦除了自己的攻击路径来对抗回溯追踪。

5.政府以及相关受害者，在這方面的人力和财力投入有限。

3、基于大数据检测APT

（一）大数据分析在检测APT攻击时的作用

可以从两个方面入手，通过大数据分析来检测APT攻击。首先第一点利用大数据的数据挖掘和数据分析能力，通过对互联网大数据分析，提取到具有一定价值的威胁情报，通过情报消息，对发动APT攻击事件的组织进行有效的追踪。其次是在本地客户这一块入手，通过建立有效的大数据平台，尽最大可能对本地的数据进行有效的采集过程，这样防御者将建立起有效的威胁情报-本地数据平台的防御机制，但是这种效果不一定是最好的，还需要进行相关的技术提升，要能从整体去认知APT攻击，相关防御组织要提高自己的防御水平和认知水平，要从“一棵树”的角度去观察“这片叶子”，这样在对抗APT攻击的实战中，才能达到最好的效果。

（二）现有国内APT检测系统

APT作为一种有效的攻击手段，在未来的社会生产过程中，会是一种持续存在的威胁。这种攻击存在的时间已经很久，多数防御者由于对其不够了解，加之这种攻击具有相当高的复杂度和隐蔽性，使得真正能做到对此类攻击进行检测的安全公司要具备高于同行水平的综合技术能力。

现在国内应用效果比较明显的就是360安全公司的天眼系统，这种系统在对抗APT攻击的试验中表明，具有较高的检测能力，事实上，较高的检测能力也是意味着要对APT攻击的每个环节进行深入的思考和研究，不在让此类攻击发现防御系统中的漏洞，使其有机可乘。

先关的安全公司也研发了针对APT攻击的防御检测系统，效果相对于360安全公司的天眼系统较弱，但是这恰恰也说明了我国现在的网络安全意识以及网络防御能力在逐年上升，这对于一个国家来说，是保证国家安全、社会稳定的重要保障。

4、展望与总结

事实上， APT组织实力呈现出的金字塔结构，各个组之间存在着很大的差异性。这里面包括了一些小的黑客组织，他们还在不断利用现有的漏洞进行攻击，相对防御者来说，这种攻击的有效性很弱。而另一种黑客攻击组织则是有高端黑客以及充分的资金来源支撑的高端黑客组织，他们通过寻找防御者未知的漏洞进行攻击，利用最新的攻击技术，使得一些受害者在毫无察觉的情况下遭受了严重的损失。现在的攻击方式和攻击目标在不断的变化，Windows系统之前一直是攻击者的重要攻击目标，现在攻击者将攻击范围延伸到Linux、安卓、现有的工业控制系统。除了传统的PC平台，针对移动平台的攻击也是越演越烈。我们常用的智能手机、学习机、平板都成为了他们的攻击目标。而且物联网、车联网的逐步发展，使得这种攻击的方式演化速度加快，甚至威胁到我们个人的人身安全。

APT攻击一直是一个值得讨论的话题，我们对它的认识还将进一步提高。但是我们作为互联网时代的受益者，应该清楚地知道这些威胁的存在，日常的生活中，我们应该提高自己的网络安全意识，从全民角度出发，去防御这种威胁。

而相关政府和安全机构也应该加大对网络安全的投入，降低其对我们社会安全生产以及社会稳定方面存在的威胁，加强网络舆情监测和管理，政府把控舆论导向。国家政府可以对网络舆情的具体情况进行监督和适当的管控，维护国家意识形态安全，加强相关制度建设。建立健全有关网络的法律法规，通过法律合理加强全民的网络安全观念和意识。

参考文献

[1] 刘修峰，范志刚. 网络攻击与网络安全分析[J].网络安全技术与应用，2006（12）.

[2] 孟小峰，慈祥.大数据管理：概念、技术与挑战[J].计算机研究与发展，2013，50（1）.

[3] 高等级安全网络抗APT攻击方案研究[J]. 李凤海，李爽，张佰龙，宋衍.信息网络安全.2014（09）.

[4] 张军伟.高校网络安全分析及其对策[J].网络安全技术与应用，2009（10）.

[5] 大数据系统和分析技术综述[J]. 程学旗，靳小龙，王元卓，郭嘉丰，张铁赢，李国杰.软件学报.2014（09）.

[6] 大数据隐私管理[J]. 孟小峰，张啸剑.计算机研究与发展.2015（02）.