當(dāng)前，高級(jí)持續(xù)性威脅（APT，Advanced Persistent Threat）已成為各級(jí)各類網(wǎng)絡(luò)所面臨的主要安全威脅。它使網(wǎng)絡(luò)威脅從散兵游勇式的隨機(jī)攻擊變成有目的、有組織、有預(yù)謀的群體式攻擊，使傳統(tǒng)的以實(shí)時(shí)檢測(cè)、實(shí)時(shí)阻斷為主體的防御方式難以再發(fā)揮作用。因此，在對(duì)抗中，我們必須轉(zhuǎn)變思路，采取新的形式。

一、APT對(duì)傳統(tǒng)檢測(cè)技術(shù)形成的挑戰(zhàn)

正如其名稱所體現(xiàn)出來的含義，APT為傳統(tǒng)檢測(cè)技術(shù)帶來了兩大難題：

A（Advanced）難題：即高級(jí)入侵手段帶來的難題。相比傳統(tǒng)攻擊手法，APT攻擊具有單點(diǎn)隱蔽能力強(qiáng)、攻擊空間路徑不確定、攻擊渠道不確定等特點(diǎn)，使得傳統(tǒng)的基于特征匹配的邊界防御技術(shù)難以施效。

P（Persistent）難題：即持續(xù)性攻擊帶來的難題。典型的APT在攻擊時(shí)間上具有長(zhǎng)持續(xù)性，一旦入侵成功則長(zhǎng)期潛伏，尋找合適的機(jī)會(huì)外傳敏感信息，而在單個(gè)時(shí)間點(diǎn)上卻無明顯異常，使得基于單個(gè)時(shí)間點(diǎn)的實(shí)時(shí)檢測(cè)技術(shù)難以應(yīng)對(duì)。

從博弈雙方看，攻方可借助跳板隱藏自身，在入侵成功后刪除目標(biāo)主機(jī)上的日志信息，隱藏攻擊過程；對(duì)檢測(cè)方而言，只有在攻方與目標(biāo)之間的通信鏈路是可控的。從鏈路中獲取的流量真實(shí)完整地記錄攻擊過程且不會(huì)被攻方躲避和篡改。從鏈路流量中檢測(cè)APT攻擊是可行的辦法，這也是當(dāng)前的主流方案。

二、當(dāng)前業(yè)內(nèi)APT檢測(cè)方案對(duì)比

沙箱方案：為解決特征匹配對(duì)新型攻擊的滯后性而產(chǎn)生的解決方案。其原理是將實(shí)時(shí)流量先引入虛擬機(jī)或沙箱，通過對(duì)沙箱的文件系統(tǒng)、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)行為實(shí)施監(jiān)控，判斷流量中是否包含惡意代碼。同傳統(tǒng)的特征匹配技術(shù)相比，沙箱方案對(duì)未知惡意代碼具有較好的檢測(cè)能力，但其難點(diǎn)在于模擬的客戶端類型是否全面，如果缺乏合適的運(yùn)行環(huán)境，會(huì)導(dǎo)致流量中的惡意代碼在檢測(cè)環(huán)境中無法觸發(fā)，造成漏報(bào)。

異常檢測(cè)方案；為解決特征匹配和實(shí)時(shí)檢測(cè)不足而產(chǎn)生的解決方案。其原理是通過對(duì)網(wǎng)絡(luò)中的正常行為模式建模而識(shí)別異常。核心技術(shù)包括元數(shù)據(jù)提取、正常行為建模和異常檢測(cè)算法。該方案同樣能夠檢測(cè)未知攻擊，但檢測(cè)效率依賴于背景流量中的業(yè)務(wù)模式，如果業(yè)務(wù)模式發(fā)生偏差，則會(huì)導(dǎo)致較高的漏報(bào)與誤報(bào)。

全流量審計(jì)方案：同樣是為解決傳統(tǒng)特征匹配不足而產(chǎn)生的解決方案。其原理是對(duì)鏈路中的流量進(jìn)行深層次的協(xié)議解析和應(yīng)用還原，識(shí)別其中是否包含攻擊行為。檢測(cè)到可疑攻擊行為時(shí)，在全流量存儲(chǔ)的條件下，回溯分析相關(guān)流量，例如可將包含的http訪問、下載的文件、及時(shí)通信信息進(jìn)行還原，協(xié)助確認(rèn)攻擊的完整過程。這種方案具備強(qiáng)大的事后溯源能力和實(shí)時(shí)檢測(cè)能力，是將安全人員的分析能力、計(jì)算機(jī)強(qiáng)大的存儲(chǔ)能力和運(yùn)算能力相結(jié)合的完整解決方案。

上述異常檢測(cè)方案、全流量審計(jì)方案底層都要依靠大數(shù)據(jù)處理技術(shù)。通過對(duì)國際上主流產(chǎn)品的調(diào)研，我們發(fā)現(xiàn)目前此類產(chǎn)品的處理能力可支持10G帶寬及10TB級(jí)的海量存儲(chǔ)，以及對(duì)上千種協(xié)議的應(yīng)用識(shí)別與深層解析，具備常見應(yīng)用如HTTP頁面、流媒體、IM等的還原能力，同時(shí)具備規(guī)則匹配能力和異常檢測(cè)能力。

三、基于記憶的智能檢測(cè)系統(tǒng)

有了全流量審計(jì)，我們很自然地會(huì)面臨接下來的問題：傳統(tǒng)的檢測(cè)產(chǎn)品和平臺(tái)還有必要嗎？在全流量都被審計(jì)的前提下，還需要進(jìn)行傳統(tǒng)的攻擊檢測(cè)嗎？

首先，需要全流量檢測(cè)，因?yàn)閭鹘y(tǒng)的檢測(cè)技術(shù)只解決了"What"的問題，沒有解決"How"和"How Much"的問題。使用檢測(cè)產(chǎn)品雖然可以檢測(cè)到特定的攻擊，但檢測(cè)不到攻擊的細(xì)節(jié)（如：具體的攻擊流量是什么）及攻擊的進(jìn)展程度（如：目標(biāo)是否已被入侵）。通過全流量審計(jì)，這些問題都可以找到答案。

此外，也需要傳統(tǒng)檢測(cè)技術(shù)，因?yàn)樵趯?duì)全流量進(jìn)行審計(jì)時(shí)，需在海量數(shù)據(jù)中找到分析任務(wù)的聚焦點(diǎn)。一個(gè)百兆的網(wǎng)絡(luò)，22個(gè)小時(shí)的流量就達(dá)1TB，如果沒有任何指示信息，在如此海量的數(shù)據(jù)中進(jìn)行攻擊檢測(cè)猶如大海撈針。此時(shí)，傳統(tǒng)檢測(cè)技術(shù)的作用則類似于"觸發(fā)器"與"探照燈"，當(dāng)檢測(cè)到APT行為的蛛絲馬跡時(shí)，結(jié)合全流量審計(jì)進(jìn)行回溯與深度分析，則可建立完整的攻擊場(chǎng)景。

在全流量審計(jì)的輔助下，傳統(tǒng)的檢測(cè)產(chǎn)品將對(duì)歷史流量具備"記憶"能力，形成基于記憶的智能檢測(cè)系統(tǒng)，其檢測(cè)對(duì)象不再是實(shí)時(shí)時(shí)間點(diǎn)，而是歷史時(shí)間窗；對(duì)于漏報(bào)的攻擊行為，也可通過對(duì)歷史流量進(jìn)行回溯審查的方式進(jìn)行二次檢測(cè)和關(guān)聯(lián)分析，從而具備更強(qiáng)大的檢測(cè)能力。

總之，對(duì)于APT這種攻擊模式，傳統(tǒng)的檢測(cè)技術(shù)難以應(yīng)對(duì)，我們的對(duì)抗策略是以時(shí)間對(duì)抗時(shí)間，對(duì)長(zhǎng)時(shí)間、全流量數(shù)據(jù)進(jìn)行深度分析，以解決傳統(tǒng)的特征匹配與實(shí)時(shí)檢測(cè)的不足。全流量存儲(chǔ)與現(xiàn)有檢測(cè)技術(shù)相結(jié)合，形成了新一代基于記憶的智能檢測(cè)系統(tǒng)，這使得我們可在長(zhǎng)時(shí)間窗口上對(duì)流量進(jìn)行回溯分析，提升對(duì)APT攻擊的檢測(cè)能力。