一次典型的APT攻击过程,通常包括信息搜集、获取入口点、实施远程控制、攻击目标横向转移、重要资产数据发现、数据泄露等环节。对于攻击防御方而言,由于特征的时效性和检测手段的局限性,未必能够在攻击的起始阶段实现有效检测。但对于APT这样的时间跨度长、攻击目标明确的攻击行为,在整个攻击过程中总会存在若干个攻击暴露点,以此为基础对相关的流量进行回溯关联,就有可能获取攻击者完整的攻击意图。
以某个攻击过程为例,攻击者试图获取某信息系统中的重要数据。为此,攻击者先搜集到了该信息系统部分用户的邮箱地址,然后给这些用户发送了邮件,其附件中包含了某个利用了0day漏洞的文件,导致用户打开附件时执行了恶意命令并被植入了未知木马。攻击者通过加密的命令控制通道,对用户主机实施远程控制,获取了信息系统中的重要数据。在这个攻击过程中,由于攻击者所利用的漏洞、植入的木马都缺乏特征,采用的远程控制通道又是进行了加密,现有基于攻击签名的检测方式很难进行有效检测。
有了本文所述的基于记忆的APT攻击检测系统,对整个攻击过程的数据进行存储,辅以异常检测方法,就有可能实现检测。例如,通过可疑行为识别,系统能检测到用户主机上的可疑加密传输行为;基于可疑报警,对相关主机的数据进行回溯分析,对相关的历史流量进行协议解析、应用识别和还原,能够得到邮件附件、被植入的木马文件;分析人员再对还原后的内容做进一步的确认,就能够识别攻击者的真实意图和已经发生的攻击行为,并评估自身的信息资产损失状况。
APT的出现,既给传统检测技术带来了挑战,也为新兴技术的应用带来了机遇。硬件技术的发展,使得处理器运算能力不断增强、单位容量存储成本不断降低,这为我们基于大数据进行APT检测提供了必要条件。
对于APT攻击,我们的对抗策略是以时间对抗时间,改变传统基于单时间点进行特征匹配的局面,对长时间窗的数据进行关联分析,并辅以异常检测算法,以解决现有检测手段的不足。通过扩大检测域、丰富检测机制,形成了新一代基于记忆的智能检测系统。随着大数据技术的发展、各类检测算法的丰富,基于记忆的智能检测系统将在应对APT攻击中发挥更大作用。
