當(dāng)前，高級持續(xù)性威脅（APT，Advanced Persistent Threat）已成為各級各類網(wǎng)絡(luò)所面臨的主要安全威脅。它使網(wǎng)絡(luò)威脅從散兵游勇式的隨機(jī)攻擊變成有目的、有組織、有預(yù)謀的群體式攻擊，使傳統(tǒng)的以實(shí)時檢測、實(shí)時阻斷為主體的防御方式難以再發(fā)揮作用。因此，在對抗中，我們必須轉(zhuǎn)變思路，采取新的形式。

一、APT對傳統(tǒng)檢測技術(shù)形成的挑戰(zhàn)

正如其名稱所體現(xiàn)出來的含義，APT為傳統(tǒng)檢測技術(shù)帶來了兩大難題：

A（Advanced）難題：即高級入侵手段帶來的難題。相比傳統(tǒng)攻擊手法，APT攻擊具有單點(diǎn)隱蔽能力強(qiáng)、攻擊空間路徑不確定、攻擊渠道不確定等特點(diǎn)，使得傳統(tǒng)的基于特征匹配的邊界防御技術(shù)難以施效。

P（Persistent）難題：即持續(xù)性攻擊帶來的難題。典型的APT在攻擊時間上具有長持續(xù)性，一旦入侵成功則長期潛伏，尋找合適的機(jī)會外傳敏感信息，而在單個時間點(diǎn)上卻無明顯異常，使得基于單個時間點(diǎn)的實(shí)時檢測技術(shù)難以應(yīng)對。

從博弈雙方看，攻方可借助跳板隱藏自身，在入侵成功后刪除目標(biāo)主機(jī)上的日志信息，隱藏攻擊過程；對檢測方而言，只有在攻方與目標(biāo)之間的通信鏈路是可控的。從鏈路中獲取的流量真實(shí)完整地記錄攻擊過程且不會被攻方躲避和篡改。從鏈路流量中檢測APT攻擊是可行的辦法，這也是當(dāng)前的主流方案。

二、當(dāng)前業(yè)內(nèi)APT檢測方案對比

沙箱方案：為解決特征匹配對新型攻擊的滯后性而產(chǎn)生的解決方案。其原理是將實(shí)時流量先引入虛擬機(jī)或沙箱，通過對沙箱的文件系統(tǒng)、進(jìn)程、注冊表、網(wǎng)絡(luò)行為實(shí)施監(jiān)控，判斷流量中是否包含惡意代碼。同傳統(tǒng)的特征匹配技術(shù)相比，沙箱方案對未知惡意代碼具有較好的檢測能力，但其難點(diǎn)在于模擬的客戶端類型是否全面，如果缺乏合適的運(yùn)行環(huán)境，會導(dǎo)致流量中的惡意代碼在檢測環(huán)境中無法觸發(fā)，造成漏報(bào)。

異常檢測方案；為解決特征匹配和實(shí)時檢測不足而產(chǎn)生的解決方案。其原理是通過對網(wǎng)絡(luò)中的正常行為模式建模而識別異常。核心技術(shù)包括元數(shù)據(jù)提取、正常行為建模和異常檢測算法。該方案同樣能夠檢測未知攻擊，但檢測效率依賴于背景流量中的業(yè)務(wù)模式，如果業(yè)務(wù)模式發(fā)生偏差，則會導(dǎo)致較高的漏報(bào)與誤報(bào)。

全流量審計(jì)方案：同樣是為解決傳統(tǒng)特征匹配不足而產(chǎn)生的解決方案。其原理是對鏈路中的流量進(jìn)行深層次的協(xié)議解析和應(yīng)用還原，識別其中是否包含攻擊行為。檢測到可疑攻擊行為時，在全流量存儲的條件下，回溯分析相關(guān)流量，例如可將包含的http訪問、下載的文件、及時通信信息進(jìn)行還原，協(xié)助確認(rèn)攻擊的完整過程。這種方案具備強(qiáng)大的事后溯源能力和實(shí)時檢測能力，是將安全人員的分析能力、計(jì)算機(jī)強(qiáng)大的存儲能力和運(yùn)算能力相結(jié)合的完整解決方案。

上述異常檢測方案、全流量審計(jì)方案底層都要依靠大數(shù)據(jù)處理技術(shù)。通過對國際上主流產(chǎn)品的調(diào)研，我們發(fā)現(xiàn)目前此類產(chǎn)品的處理能力可支持10G帶寬及10TB級的海量存儲，以及對上千種協(xié)議的應(yīng)用識別與深層解析，具備常見應(yīng)用如HTTP頁面、流媒體、IM等的還原能力，同時具備規(guī)則匹配能力和異常檢測能力。

三、基于記憶的智能檢測系統(tǒng)

有了全流量審計(jì)，我們很自然地會面臨接下來的問題：傳統(tǒng)的檢測產(chǎn)品和平臺還有必要嗎？在全流量都被審計(jì)的前提下，還需要進(jìn)行傳統(tǒng)的攻擊檢測嗎？

首先，需要全流量檢測，因?yàn)閭鹘y(tǒng)的檢測技術(shù)只解決了“What”的問題，沒有解決“How”和“How Much”的問題。使用檢測產(chǎn)品雖然可以檢測到特定的攻擊，但檢測不到攻擊的細(xì)節(jié)（如：具體的攻擊流量是什么）及攻擊的進(jìn)展程度（如：目標(biāo)是否已被入侵）。通過全流量審計(jì)，這些問題都可以找到答案。

此外，也需要傳統(tǒng)檢測技術(shù)，因?yàn)樵趯θ髁窟M(jìn)行審計(jì)時，需在海量數(shù)據(jù)中找到分析任務(wù)的聚焦點(diǎn)。一個百兆的網(wǎng)絡(luò)，22個小時的流量就達(dá)1TB，如果沒有任何指示信息，在如此海量的數(shù)據(jù)中進(jìn)行攻擊檢測猶如大海撈針。此時，傳統(tǒng)檢測技術(shù)的作用則類似于“觸發(fā)器”與“探照燈”，當(dāng)檢測到APT行為的蛛絲馬跡時，結(jié)合全流量審計(jì)進(jìn)行回溯與深度分析，則可建立完整的攻擊場景。

在全流量審計(jì)的輔助下，傳統(tǒng)的檢測產(chǎn)品將對歷史流量具備“記憶”能力，形成基于記憶的智能檢測系統(tǒng)，其檢測對象不再是實(shí)時時間點(diǎn)，而是歷史時間窗；對于漏報(bào)的攻擊行為，也可通過對歷史流量進(jìn)行回溯審查的方式進(jìn)行二次檢測和關(guān)聯(lián)分析，從而具備更強(qiáng)大的檢測能力。

原文鏈接：http://tech.ccidnet.com/art/1099/20120816/4172817_1.html