日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

安恒信息近日發(fā)布APT攻擊(網(wǎng)絡(luò)戰(zhàn))預(yù)警平臺(tái)，該平臺(tái)可識(shí)別惡意行為，發(fā)現(xiàn)未知威脅，直擊新型網(wǎng)絡(luò)攻擊。

建網(wǎng)站原本是網(wǎng)站策劃師、網(wǎng)絡(luò)程序員、網(wǎng)頁(yè)設(shè)計(jì)師等，應(yīng)用各種網(wǎng)絡(luò)程序開發(fā)技術(shù)和網(wǎng)頁(yè)設(shè)計(jì)技術(shù)配合操作的協(xié)同工作。創(chuàng)新互聯(lián)專業(yè)提供成都網(wǎng)站制作、做網(wǎng)站,網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站制作(企業(yè)站、響應(yīng)式網(wǎng)站設(shè)計(jì)、電商門戶網(wǎng)站)等服務(wù),從網(wǎng)站深度策劃、搜索引擎友好度優(yōu)化到用戶體驗(yàn)的提升,我們力求做到極致!

APT進(jìn)攻是我們目前所能見(jiàn)識(shí)過(guò)的最危險(xiǎn)的攻擊之一。據(jù)國(guó)外權(quán)威信息安全結(jié)構(gòu)統(tǒng)計(jì)，該類型攻擊增長(zhǎng)的趨勢(shì)呈指數(shù)級(jí)發(fā)展。從2003年開始嶄露頭角，2008年開始攻擊次數(shù)一路直線上升，并且目標(biāo)明確、持續(xù)性強(qiáng)、具有穩(wěn)定性。它利用程序漏洞與業(yè)務(wù)系統(tǒng)進(jìn)行融合，不易被察覺(jué)，并且有著超常的耐心，最長(zhǎng)甚至可達(dá)七年以上，不斷收集用戶信息。發(fā)起APT攻擊所需的技術(shù)壁壘和資源壁壘，要遠(yuǎn)高于普通攻擊行為。其針對(duì)的攻擊目標(biāo)也不是普通個(gè)人用戶，而是擁有高價(jià)值敏感數(shù)據(jù)的高級(jí)用戶，特別是可能影響到國(guó)家和地區(qū)政治、外交、金融穩(wěn)定的高級(jí)別敏感數(shù)據(jù)持有者、 甚至各種工業(yè)控制系統(tǒng)。

　　如2011年RSA攻擊事件。攻擊者給RSA的母公司EMC的4名員工發(fā)送了兩組惡意郵件，附件名為“2011 Recruitment plan.xls”;其中一位員工將其從垃圾郵件中取出來(lái)閱讀，被當(dāng)時(shí)最新的Adobe Flash的0day漏洞命中。該員工電腦被植入木馬，開始從BotNet的C&C服務(wù)器下載指令執(zhí)行任務(wù)。首批受害的使用者并非“位高權(quán)重”人物，緊接著相關(guān)聯(lián)的人士包括IT與非IT等服務(wù)器管理員相繼被黑。RSA發(fā)現(xiàn)開發(fā)用服務(wù)器(Staging server)遭入侵，攻擊方立即撤離，加密并壓縮所有資料并以FTP傳送至遠(yuǎn)程主機(jī)，隨后清除入侵痕跡。

　　其威脅從以上舉例可見(jiàn)一斑，同時(shí)，從下圖，我們可以看到APT攻擊從2008年開始放量增長(zhǎng)，并呈指數(shù)級(jí)上升趨勢(shì)。

　　多路徑攻擊需要預(yù)警平臺(tái)全方位防護(hù)

　　APT攻擊的威脅已經(jīng)不單單是一個(gè)病毒，經(jīng)常伴有惡意程序、黑客攻擊以及垃圾郵件等多種威脅。

　　通過(guò)對(duì)APT攻擊進(jìn)行大量分析，我們發(fā)現(xiàn)絕大多數(shù)大攻擊通過(guò)3條路徑對(duì)目標(biāo)發(fā)起攻擊：

　　1. 通過(guò)發(fā)送帶惡意附件郵件，利用惡意附件在員工電腦種植入后門，再通過(guò)員工電腦進(jìn)行進(jìn)一步帶滲透

　　2. 直接攻擊Web服務(wù)器，由于Web服務(wù)器經(jīng)常存在嚴(yán)重的安全漏洞，所以黑客經(jīng)常對(duì)Web服務(wù)器進(jìn)行攻擊，然后再利用Web服務(wù)器為跳板，對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊

　　3. 使用欺騙或流量截獲對(duì)方式直接對(duì)員工服務(wù)器發(fā)起攻擊，利用員工電腦對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊

　　在APT攻擊中， 使用0day對(duì)目標(biāo)進(jìn)行攻擊非常常見(jiàn)，由于沒(méi)有已知的特征所這些攻擊很難被傳統(tǒng)對(duì)檢測(cè)手段發(fā)現(xiàn)。 而APT攻擊檢測(cè)設(shè)備的一個(gè)主要目標(biāo)就是需要能夠檢測(cè)到0day攻擊。靜態(tài)檢測(cè)無(wú)法檢測(cè)到深度多攻擊行為，而動(dòng)態(tài)檢測(cè)由于存在大量環(huán)境組合無(wú)法窮舉，無(wú)法觸發(fā)所有多行為。所以不應(yīng)該使用任何一種單獨(dú)的方法對(duì)目標(biāo)進(jìn)行檢測(cè)。

　　通過(guò)關(guān)聯(lián)分析應(yīng)對(duì)APT攻擊是必由之路

　　APT攻擊中，由于黑客可能嘗試多種路徑進(jìn)行攻擊，所以無(wú)法使用一種方法就能有效的檢測(cè)出APT攻擊。我們需要利用多種檢測(cè)手段結(jié)合，并進(jìn)行綜合分析發(fā)才能更有效的發(fā)現(xiàn)APT攻擊，常用的檢查步驟為(見(jiàn)下圖)：

　　1. 針對(duì)Web、郵件、傳輸?shù)奈募M(jìn)行的攻擊檢測(cè)

　　2. 綜合這些攻擊的數(shù)據(jù)分離可疑文件、攻擊流量

　　3. 對(duì)Web行為模型進(jìn)行建模和統(tǒng)計(jì)分析

　　4. 對(duì)文件進(jìn)行靜態(tài)分析和動(dòng)態(tài)運(yùn)行分析

　　5. 綜合各種攻擊路徑中對(duì)告警，進(jìn)行綜合分析

　　6. 最終發(fā)現(xiàn)APT攻擊

　　常見(jiàn)的檢測(cè)方法有：

　　1、深度協(xié)議解析

　　利用各種檢測(cè)手段發(fā)現(xiàn)其中的惡意攻擊及0day攻擊。 目前解析的協(xié)議包括HTTP、SMTP、POP、FTP等。

　　APT攻擊預(yù)警平臺(tái)能檢測(cè)和預(yù)警一系列的攻擊，無(wú)論是已知的或未知的，并能夠阻止那些最常見(jiàn)的攻擊。如：基于Web的惡意攻擊、基于文件的惡意攻擊、基于特征的惡意攻擊等。

　　2、 WEB應(yīng)用攻擊檢測(cè)

　　該平臺(tái)能解碼所有進(jìn)入的請(qǐng)求，檢查這些請(qǐng)求是否合法或合乎規(guī)定;僅允許正確的格式或RFC遵從的請(qǐng)求通過(guò)。已知的惡意請(qǐng)求將被阻斷，非法植入到Header、Form 和URL中的腳本將被阻止，能夠阻止那些的攻擊如跨站點(diǎn)腳本攻擊、緩沖區(qū)溢出攻擊、惡意瀏覽、SQL注入等。

　　3、郵件攻擊檢測(cè)

　　對(duì)郵件協(xié)議進(jìn)行深度分析，記錄并分析每個(gè)郵件，并對(duì)其中的附件進(jìn)行分析并檢測(cè)，發(fā)現(xiàn)其中的安全問(wèn)題。通過(guò)對(duì)附件進(jìn)行對(duì)已知攻擊特征的掃描、未知攻擊漏洞的掃描和動(dòng)態(tài)分析的方式進(jìn)行測(cè)試，發(fā)現(xiàn)其中的攻擊。

　　4、文件攻擊檢測(cè)

　　安恒通過(guò)長(zhǎng)期的研究，總結(jié)并提權(quán)各類0day攻擊的特點(diǎn)。在網(wǎng)絡(luò)流量中分析關(guān)心的文件。通過(guò)快速檢測(cè)算法，對(duì)目標(biāo)文件進(jìn)行檢測(cè)，發(fā)現(xiàn)其中的0day攻擊樣本。

　　通過(guò)檢測(cè)目標(biāo)文件中的shellcode以及腳本類文件中的攻擊特征，并結(jié)合動(dòng)態(tài)分析技術(shù)可以有效檢測(cè)0day攻擊行為。

　　5、流量分析檢測(cè)

　　APT通常會(huì)結(jié)合人工滲透攻擊，在人工滲透攻擊中經(jīng)常使用掃描或病毒擴(kuò)散的過(guò)程。這些過(guò)程中，通常會(huì)產(chǎn)生大量的惡意流量。利用這些惡意流量特征，能檢測(cè)攻擊行為。

網(wǎng)頁(yè)題目：安恒發(fā)布APT攻擊(網(wǎng)絡(luò)戰(zhàn))預(yù)警平臺(tái)
轉(zhuǎn)載源于：http://www.dlmjj.cn/article/cdehpoc.html