近來，APT攻擊已經(jīng)成為業(yè)界關(guān)注和討論的熱點，根據(jù)Fireeye APT報告數(shù)據(jù)顯示，2013年來自HTTP的APT攻擊是來自郵件攻擊的5倍，而且2014年將會有更多的APT是來自于HTTP，水坑攻擊和社交媒體攻擊將會取代郵件攻擊成為主流的APT攻擊途徑。

APT攻擊以其獨特的攻擊方式和手段，使得傳統(tǒng)的安全防御工具已無法進行有效的防御。APT攻擊不單是一個整體，而是將眾多入侵滲透技術(shù)進行整合而實現(xiàn)的隱秘性的攻擊手法，其體現(xiàn)出三個特點---復(fù)雜性、持久性、目的性。

傳統(tǒng)安全體系之困

傳統(tǒng)的檢測技術(shù)主要在網(wǎng)絡(luò)邊界和主機邊界進行檢測,具體為防火墻、入侵檢測、安全網(wǎng)關(guān)、殺毒軟件和反垃圾郵件系統(tǒng)。但是它們均缺乏對未知攻擊的檢測能力和對流量的深度分析能力。

面向APT攻擊的多維網(wǎng)絡(luò)監(jiān)測

科來APT解決方案是一套完整的解決方案，涵蓋了異常流量分析、動態(tài)分析和全流量回溯分析技術(shù)。

用戶可以評價異常流量和動態(tài)分析技術(shù)發(fā)現(xiàn)網(wǎng)絡(luò)的異常和未知的高危文件型木馬，使用全流量記錄設(shè)備--回溯系統(tǒng)來調(diào)取工具數(shù)據(jù)進行數(shù)據(jù)包級的分析，系統(tǒng)還具有阻斷功能，可以阻斷高危的會話和域名訪問，保護內(nèi)部用戶，做到及時的止損。這樣使得APT解決方案從異常發(fā)現(xiàn)到取證和防御能夠形成一個閉環(huán)的工作模式。

1、動態(tài)行為分析技術(shù)---基于硬件模擬的虛擬化動態(tài)分析技術(shù)

硬件模擬技術(shù)區(qū)別于傳統(tǒng)的虛擬化技術(shù)，CPU、內(nèi)存等核心部件以及光驅(qū)、網(wǎng)卡等外圍設(shè)備全部由軟件模擬實現(xiàn)，所有指令必須經(jīng)過模擬CPU翻譯執(zhí)行，所有數(shù)據(jù)都存儲在模擬硬件中，硬件模擬器可以觀察到虛擬系統(tǒng)中執(zhí)行的每一條指令，并可獲取虛擬系統(tǒng)中的任何數(shù)據(jù)，因此，基于硬件模擬技術(shù)開展動態(tài)分析不需要對虛擬系統(tǒng)進行任何修改，也不需要在虛擬系統(tǒng)內(nèi)部安裝任何輔助分析工具。

2、異常流量檢測技術(shù)---基于行為異常的流量檢測技術(shù)

1）協(xié)議模式

 根據(jù)通訊協(xié)議的規(guī)范，檢測發(fā)現(xiàn)非規(guī)范協(xié)議的通信流量

 檢測的異常行為：木馬私有控制協(xié)議；隱蔽信道

2）網(wǎng)絡(luò)狀態(tài)

 根據(jù)網(wǎng)絡(luò)運行狀態(tài)的歷史數(shù)據(jù)統(tǒng)計，形成正常行為輪廓，以此為基礎(chǔ)檢測異常

 檢測的異常行為：內(nèi)網(wǎng)探測；應(yīng)用數(shù)據(jù)異常

3）網(wǎng)絡(luò)行為

 根據(jù)業(yè)務(wù)應(yīng)用特點定義正常行為輪廓，以此為基礎(chǔ)檢測異常

 檢測的異常行為：跳板攻擊；應(yīng)用訪問異常

3、全流量回溯分析技術(shù)

1）基于索引的海量數(shù)據(jù)快速檢索

 自主設(shè)計的海量數(shù)據(jù)存儲結(jié)構(gòu)和預(yù)處理算法

 1TB數(shù)據(jù)的檢索時間低于3秒鐘

2）多維度的網(wǎng)絡(luò)流量線索分析

 支持從時間、會話、協(xié)議、事件等不同維度進行網(wǎng)絡(luò)流量追蹤分析

 可根據(jù)發(fā)現(xiàn)的異常事件進行深度追蹤、溯源，快速確定潛在的威脅，全面評估事件的危害