基于大数据的APT攻击检测VIP免费

基于大数据的APT攻击检测概念高级持续性威胁（advancedpersistentthreat，APT）是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。APT攻击生命周期2013年，APT攻击生命周期（美国Mandiant）：初始入侵–使用社会工程学、钓鱼式攻击、零日攻击，通过邮件进行。在受害者常去的网站上植入恶意软件（挂马）也是一种常用的方法。站稳脚跟–在受害者的网络中植入远程访问工具，打开网络后门，实现隐蔽访问。提升特权–通过利用漏洞及破解密码，获取受害者电脑的管理员特权，并可能试图获取Windows域管理员特权。内部勘查–收集周遭设施、安全信任关系、域结构的信息。横向发展–将控制权扩展到其他工作站、服务器及设施，收集数据。保持现状–确保继续掌控之前获取到的访问权限和凭据。任务完成–从受害者的网络中传出窃取到的数据。APT例子：震网病毒APT特点组织特点从APT攻击事件分析来看，APT攻击已突破传统黑客小团队“作坊级协同”模式，上升为一种国家层面“组织级联合”模式，攻击数量、持续性和复杂性不断增加攻击目标指向高价值资产或物理系统攻击特点以“低和慢”模式运行，同时使用用户凭据或零日漏洞，其巨大的复杂性和逃避检测能力，困扰着众多安全领域专家。“低模式”即网络中保持低调“慢模式”即执行过程长。APT攻击（如震网（Stuxnet）、毒区（Duqu）、火焰（Flame）和红十月（RedOctober）等病毒）网络安全“老三样”使用IDS、防火墙、防病毒等常规安全防护系统，乃至于安全信息和事件管理系统（SIEM）都较难应对APT攻击需要借助于安全专家的人工分析。大数据APT检测思路若将大数据分析技术应用于APT攻击检测，将大大提高检测能力。应对APT攻击“低模式”，检测系统需将所辖网域中各种异常事件及数据完整记录，并利用大数据强分析能力处理数据间的相关性来揭示攻击轨迹应对“慢模式”，需保留长时间窗口的历史记录数据，在时间窗口内处理所有攻击相关上下文信息。“低模式”的应对研究Beehive（蜂窝）传感器（蜜蜂）感知异常行为如：提升权限、窃取敏感信息、破坏操作系统检测系统（蜂群）分工各异的蜂群维护整个蜂窝一次APT攻击是由多阶段攻击动作（漏洞发掘、控制权获取、横向移动、目标攻击）组成。大数据分析将细微动作关联以发现APT攻击的“低模式”。不同安全产品日志的语义相关性，以及日志的大数据特性是重点解决的问题。Beehive:Large-scaleloganalysisfordetectingsuspiciousactivityinenterprisenetworks[C]，Proceedingsofthe29thAnnualComputerSecurityApplicationsConference.ACM,2013:199-208.“慢模式”的应对研究攻击金字塔（AttackPyramid）采用攻击树原理及分层模型Usinglargescaledistributedcomputingtounveiladvancedpersistentthreats[J].SCIENCE,2013,1(3):pp.93-105.“慢模式”的应对研究攻击金字塔（AttackPyramid）使用不同的算法并以MapReduce分布式计算，来判断上下文间和上下文中可能的恶意活动Usinglargescaledistributedcomputingtounveiladvancedpersistentthreats[J].SCIENCE,2013,1(3):pp.93-105.APT检测产品IBM公司产品称为大数据安全智能平台（SecurityIntelligencewithBigData）它综合安全智能平台的实时处理及安全操作、和大数据平台的大数据处理及分析取证。Intel公司产品称为安全商务智能平台（SecurityBusinessIntelligenceplatform）可每天从超过60亿条事件提取特定的事件日志，能更快更智能的响应APT攻击。