基于大数据分析的 APT 攻击检测研究综述

　　高级持续性威胁（APT,advanced persistent threat）已成为高安全等级网络的最主要威胁之一，其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别，因此新型攻击检测技术成为APT攻击防御领域的研究热点。首先，结合典型APT攻击技术和原理，分析攻击的6个实施阶段，并归纳攻击特点；然后，综述现有APT攻击防御框架研究的现状，并分析网络流量异常检测、恶意代码异常检测、社交网络安全事件挖掘和安全事件关联分析等4项基于网络安全大数据分析的APT攻击检测技术的研究内容与最新进展；最后，提出抗APT攻击的系统综合防御框架和智能反馈式系统安全检测框架，并指出相应技术在应对APT攻击过程中面临的挑战和下一步发展方向。

　　在全球网络信息化程度高速发展的大背景下，具备隐蔽性、渗透性和针对性的高级持续性威胁（APT, advanced persistent threat）对各类高等级信息安全系统造成的威胁日益严重，针对特定目标的有组织的 APT 攻击日益增多，国家、企业的网络信息系统和数据安全面临严峻挑战。例如，2008年中国长城网遭遇到美国国防部网络黑客的攻击渗透，被植入后门并窃取情报；2010 年的“震网”经过多年的准备和潜伏，成功攻击了位于物理隔离内网中的工业控制系统，迟滞了伊朗的核计划；2011 年的“夜龙行动”窃取了多个跨国能源巨头公司的高度敏感内部文件；2012 年的超级病毒“火焰”成功获取了中东各国大量的机密信息。可以看出，APT 攻击已经对各类关键信息基础设施安全造成巨大威胁，开展 APT 攻击防御工作刻不容缓。

　　在 APT 攻击防御工作中，攻击检测是安全防护和加固的前提和依据，也是 APT 攻击防御中最困难的部分，因此检测技术已成为当前 APT 攻击防御
领域的研究热点。然而，从典型案例来看，APT 攻击具有极强的隐蔽能力和针对性，传统的检测设备面对 APT 攻击大多束手无策。

　　由于网络中的安全数据具有体量巨大、来源多样、增涨速度快和价值密度低等大数据典型特点，所以基于网络大数据分析的安全检测技术近年来逐步兴起。该技术可以实现海量网络安全数据的深度关联分析，并对宽时间窗内的多类型安全事件进行智能关联，因此在检测 APT 攻击方面具有明显优势。

　　因此，本文在充分认清 APT 攻击过程及特点的基础上，对基于网络安全大数据分析的 APT 攻击检测技术进行系统分析，提出了抗 APT 攻击的系统综合防御体系框架和系统安全检测框架，并给出了现有检测技术面临的挑战和发展方向。

一、APT 攻击的概念、过程及特点

1.1 APT 攻击的概念

　　目前，比较权威的APT攻击定义是由美国国家标准与技术研究所（NIST,national institute of standards and technology）提出的，该定义描述了APT攻击的攻击者、攻击目的、攻击手段和攻击过程，但没有突出APT攻击具有特定攻击对象的性质。因此，本文对该定义进行补充，给出以下定义：“APT攻击是以敌对方的高水平专业知识和丰富资源为基础，以多种攻击方式为手段，以破坏关键信息基础设施和阻碍重要任务实施为目的，以特定组织为攻击对象的隐蔽网络攻击”。

1.2 APT 攻击的实施过程

　　虽然每个 APT 攻击案例的具体攻击过程都不尽相同，但都可以看作是以下 6 个阶段的组合。

1.2.1 侦查准备阶段

　　为了在高安全等级的网络中找到可供入侵的脆弱点，攻击者需要进行充分的侦查和准备工作。除常用的网络漏洞扫描外，APT 攻击采用的侦查技术还包括基于大数据分析的隐私挖掘和基于社会工程学的信息收集等技术。

1) 基于大数据分析的隐私挖掘。网络大数据分析技术为使攻击者能够从公开数据中提取目标组织的机密信息。这些机密信息可以为 APT 攻击者开展进一步的攻击工作做准备。

2) 基于社会工程学的信息收集。在高安全等级的网络中，最脆弱的防御点是人员。攻击者利用社会工程手段对目标组织中的各类人员进行心理控制或利用，进而获得敏感信息。

………………

　　基于大数据分析的 APT 攻击检测研究综述 PDF 完整版下载（文字可复制）：

https://www.aliyundrive.com/s/GvEueQfShRs 提取码: 5x0w