信息安全的攻擊形式在發生愈來愈多的變化，也在變得愈發高端。安全威脅處于向“高級形式”進化的階段，其中最為典型的就是APT類攻擊。

　　什么是APT類攻擊

　　APT(Advanced Persistent Threat)高級持續性威脅，通常來說APT攻擊為一類特定的攻擊，為了獲取某單位的重要信息，從而進行針對性的、一系列的攻擊行為，每當惡意代碼滲透到網絡內部后，從而進行重要信息的收集。

　　通俗的來說APT的攻擊主要針對于特殊的機構或者公司，在明確攻擊目標后，通過未知病毒、后門程序、0day攻擊等多種途徑進行頻繁的滲透、潛伏、攻擊和收集，同時不會對網絡產生任何破壞的影響，導致用戶極難發覺。

　　同時，任何企事業單位，只要內部終端可以訪問互聯網、收發Email，上傳、下載文件等行為，都極有可能受到APT威脅，這些動作都可以作為APT攻擊的載體被利用，從而攻擊其它的內部終端。這種攻擊行為使得國家政府機關、軍隊、銀行、商業公司等機構面臨著嚴峻的威脅。

　　常見的APT攻擊手段

　　APT攻擊可以簡要的分為四個階段：(1)滲透(2)控制(3)探測(4)數據泄露。

　　1、滲透：典型的APT攻擊主要通過以假亂真的電子郵件、未知的惡意程序、系統和程序的漏洞及后門入侵到計算機中，同時大部分桌面端殺毒軟件無法對未知惡意代碼、后門程序進行及時的分析或查殺導致計算機被感染。

　　2、控制：當計算機被成功滲透后，主動釋放新型木馬僵尸程序，此程序會躲避殺毒軟件的查殺，同時向外網的僵尸服務器進行通訊回復報道，然后潛伏在計算機系統中。

　　3、探測：當計算機感染新型木馬僵尸病毒后，會被竊取本機的權限，同時提升權限到管理員，然后通過感染計算機不斷的去掃描其它計算機端口以及漏洞，并依靠弱口令字典去破解其它計算機的密碼，造成更多的計算機被感染和控制。此類惡意代碼會依照相關規則(例如：文件類型、名稱等)去探測重要文件的位置。

　　4、數據泄露：惡意代碼會將收集到的重要文件進行壓縮打包甚至加密，通過郵件或其它形式轉發到相應的外網僵尸服務器中。

　　如何防御APT惡意代碼

　　目前業內主要還是依靠傳統的病毒防范方式，依靠桌面端的殺毒軟件對惡意文件進行特征庫匹配。但是對于APT惡意代碼的攻擊已顯得不合時宜，無法攔截未知惡意代碼、后門程序、信息泄露等。所以應該有一套更加完善、主動、立體、多維度的安全防御體系。

　　網神安全團隊根據多年的安全經驗，建議針對APT惡意代碼攻擊通過以下幾個方面入手，包括建立異構病毒庫、多維度攔截、啟發式掃描、行為分析、URL判定、漏洞攻擊代碼檢測、沙盒技術等方式，對APT的惡意代碼的滲透、控制、探測、數據泄露四個過程進行全程的監控、阻斷和預警。

　　APT惡意代碼的攔截

　　在網關處部署網神SecAV防毒墻，通過網神1000萬以上病毒特征庫結合終端殺毒軟件，對所有進出的網絡數據包進行還原，并進行高精準度的病毒文件匹配，杜絕惡意代碼、后門程序入侵計算機終端，降低計算機病毒感染率。

　　其次，通過網神SecAV防毒墻啟發式掃描技術，對進出的數據文件的結構, 病毒遺傳基因, 文件的來源或傳播形式，虛擬脫殼以及偽裝形式等來進行判斷。同時可針對不同的特點的病毒, 制定不同的啟發式規則來提高判斷結果的準確性，全部過程均為自動化處理，使得未知惡意代碼能夠提供及時、主動的攔截，防止APT類攻擊滲透到網內計算機中。

　　通過防毒墻的URL判斷功能，對于未知的URL進行威脅性預估，對于威脅級別高的URL進行及時的阻斷，從而在阻止惡意URL的訪問。

　　為了防止已被感染的APT類惡意代碼的計算機回傳數據，或對僵尸服務器進行回復報道，造成泄密事件發生，可以通過防毒墻關鍵字、關鍵文件類型過濾，數據雙向檢測功能進行分析和阻斷，對于機密的文件名稱、類型或惡意的數據回傳進行攔截，防止數據泄露事件發生。

　　APT惡意代碼的監控和預警

　　針對APT惡意代碼攻擊，還需要對網絡中的數據包進行多維度的分析和預警，網神SecAV病毒預警系統做為防御APT惡意代碼的新利器，旁路部署在交換機旁，對所有進出的數據進行分析和預警。

　　網神SecAV 病毒預警系統將所有網絡數據進行收集，使用特有的虛擬沙盒仿真技術進行分析。沙盒技術將文件在虛擬的環境中運行，根據文件的文件屬性變化、程序啟動方式、注冊表更改、內存變動、網絡活動情況進行多維度的分析，對于APT類惡意代碼中常見的可疑僵尸行為、可疑DDOS行為、Rootkit、間諜行為、資料竊取、反查殺自我保護等行為進行及時的監控和預警。

　　同時網神SecAV病毒預警系統對網絡中的應用程序帶寬進行審計，對于異常流量進行自動分析，防止APT類惡意代碼的探測和數據泄露情況發生。使得運維人員可以快速定位感染源、對重點資產進行監控，同時配合網神防毒墻進行聯動，隔離病毒計算機，減輕病毒防毒壓力。

　　網絡信息安全不僅需要安全產品和解決方案，同時內部員工安全意識同樣不可或缺，定期進行安全信譽評估，合理的使用計算機終端，會更有效的降低APT攻擊的行為發生。