一次典型的APT攻擊過(guò)程，通常包括信息搜集、獲取入口點(diǎn)、實(shí)施遠(yuǎn)程控制、攻擊目標(biāo)橫向轉(zhuǎn)移、重要資產(chǎn)數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)泄露等環(huán)節(jié)。對(duì)于攻擊防御方而言，由于特征的時(shí)效性和檢測(cè)手段的局限性，未必能夠在攻擊的起始階段實(shí)現(xiàn)有效檢測(cè)。但對(duì)于APT這樣的時(shí)間跨度長(zhǎng)、攻擊目標(biāo)明確的攻擊行為，在整個(gè)攻擊過(guò)程中總會(huì)存在若干個(gè)攻擊暴露點(diǎn)，以此為基礎(chǔ)對(duì)相關(guān)的流量進(jìn)行回溯關(guān)聯(lián)，就有可能獲取攻擊者完整的攻擊意圖。

以某個(gè)攻擊過(guò)程為例，攻擊者試圖獲取某信息系統(tǒng)中的重要數(shù)據(jù)。為此，攻擊者先搜集到了該信息系統(tǒng)部分用戶的郵箱地址，然后給這些用戶發(fā)送了郵件，其附件中包含了某個(gè)利用了0day漏洞的文件，導(dǎo)致用戶打開附件時(shí)執(zhí)行了惡意命令并被植入了未知木馬。攻擊者通過(guò)加密的命令控制通道，對(duì)用戶主機(jī)實(shí)施遠(yuǎn)程控制，獲取了信息系統(tǒng)中的重要數(shù)據(jù)。在這個(gè)攻擊過(guò)程中，由于攻擊者所利用的漏洞、植入的木馬都缺乏特征，采用的遠(yuǎn)程控制通道又是進(jìn)行了加密，現(xiàn)有基于攻擊簽名的檢測(cè)方式很難進(jìn)行有效檢測(cè)。

有了本文所述的基于記憶的APT攻擊檢測(cè)系統(tǒng)，對(duì)整個(gè)攻擊過(guò)程的數(shù)據(jù)進(jìn)行存儲(chǔ)，輔以異常檢測(cè)方法，就有可能實(shí)現(xiàn)檢測(cè)。例如，通過(guò)可疑行為識(shí)別，系統(tǒng)能檢測(cè)到用戶主機(jī)上的可疑加密傳輸行為;基于可疑報(bào)警，對(duì)相關(guān)主機(jī)的數(shù)據(jù)進(jìn)行回溯分析，對(duì)相關(guān)的歷史流量進(jìn)行協(xié)議解析、應(yīng)用識(shí)別和還原，能夠得到郵件附件、被植入的木馬文件;分析人員再對(duì)還原后的內(nèi)容做進(jìn)一步的確認(rèn)，就能夠識(shí)別攻擊者的真實(shí)意圖和已經(jīng)發(fā)生的攻擊行為，并評(píng)估自身的信息資產(chǎn)損失狀況。

APT的出現(xiàn)，既給傳統(tǒng)檢測(cè)技術(shù)帶來(lái)了挑戰(zhàn)，也為新興技術(shù)的應(yīng)用帶來(lái)了機(jī)遇。硬件技術(shù)的發(fā)展，使得處理器運(yùn)算能力不斷增強(qiáng)、單位容量存儲(chǔ)成本不斷降低，這為我們基于大數(shù)據(jù)進(jìn)行APT檢測(cè)提供了必要條件。

對(duì)于APT攻擊，我們的對(duì)抗策略是以時(shí)間對(duì)抗時(shí)間，改變傳統(tǒng)基于單時(shí)間點(diǎn)進(jìn)行特征匹配的局面，對(duì)長(zhǎng)時(shí)間窗的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，并輔以異常檢測(cè)算法，以解決現(xiàn)有檢測(cè)手段的不足。通過(guò)擴(kuò)大檢測(cè)域、豐富檢測(cè)機(jī)制，形成了新一代基于記憶的智能檢測(cè)系統(tǒng)。隨著大數(shù)據(jù)技術(shù)的發(fā)展、各類檢測(cè)算法的豐富，基于記憶的智能檢測(cè)系統(tǒng)將在應(yīng)對(duì)APT攻擊中發(fā)揮更大作用。