日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

對(duì)于我們來(lái)說(shuō)，那些肯定會(huì)打開(kāi)，打開(kāi)以后肯定會(huì)中招的郵件，我們?cè)撛趺慈z測(cè)，特別是檢測(cè)那種未知的惡意代碼，作為安全從業(yè)者，我們有責(zé)任幫助用戶盡快走出這個(gè)困境。

成都創(chuàng)新互聯(lián)是專業(yè)的盤山網(wǎng)站建設(shè)公司，盤山接單;提供成都做網(wǎng)站、網(wǎng)站建設(shè),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行盤山網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

從技術(shù)層面來(lái)講，APT攻擊可能用到我們所有已知、好用的攻擊技術(shù)。包括但不限于例如掃描、釣魚、社會(huì)工程欺騙獲技術(shù)取信息，利用暴力破解、嗅探、中間人攻擊、緩沖區(qū)溢出、XSS、CSRF、拒絕服務(wù)、ARP欺騙等等。更大膽的猜測(cè)是，APT攻擊更有可能跟真實(shí)的企業(yè)間諜配合?？傊珹PT攻擊手法將無(wú)所不用其極。

由于APT的特性，需要從多層次角度來(lái)防御APT攻擊。多層次需要從網(wǎng)絡(luò)層、流量協(xié)議內(nèi)容做檢測(cè)，然后主題層從文件、日志、行為去做檢測(cè)。我們更需要從多種惡意對(duì)象去做檢測(cè)，基于深度內(nèi)容檢測(cè)的惡意文檔中可能drop出惡意的exe文件，惡意exe可能又會(huì)產(chǎn)生cnc ip和通訊協(xié)議等，這樣我們又可以在流量中檢測(cè)那些惡意的元素，這樣就能夠在中招后放入安全設(shè)備后的情況下，依然有機(jī)會(huì)檢測(cè)到該APT攻擊。

在新的安全形勢(shì)下，防御的目標(biāo)、防御的對(duì)象、防御的理念都發(fā)證了變化。新一代的防御產(chǎn)品可能演化為多維度、多角度的一體化產(chǎn)品，也可能演變?yōu)槎鄠€(gè)縱深防御的獨(dú)立產(chǎn)品。

一般的攻擊事件中，例如IPS報(bào)告了攻擊事件，但往往是告訴了該用戶IP接收到了該類型的數(shù)據(jù)報(bào)文或者是文件，但是用戶是否是真正中招沒(méi)有辦法獲知。那么我們聯(lián)合比如沙盒技術(shù)，分析出行為，分析出木馬用到的網(wǎng)絡(luò)協(xié)議以及cnc ip. 那么我們就能不僅告訴用戶哪些用戶或者是機(jī)器遭受了攻擊，更能告訴用戶中招了沒(méi)有，以及它做了什么壞事，甚至還可以幫助用戶自動(dòng)清理受感染的機(jī)器。

大數(shù)據(jù)處理需要一個(gè)支點(diǎn)，這個(gè)點(diǎn)就是對(duì)事件/攻擊準(zhǔn)確定性的一個(gè)點(diǎn)。有了這個(gè)點(diǎn)，大數(shù)據(jù)處理就能依據(jù)這個(gè)做關(guān)聯(lián)，做深度分析，更能做到在過(guò)去的流量中找出更多的蛛絲馬跡

針對(duì)前面提到的我們對(duì)APT感知能力比較差的4個(gè)原因，我們分別給出解決方案。1、針對(duì)定向攻擊，我們廣布點(diǎn)，檢測(cè)到的機(jī)會(huì)就越多;即使是單點(diǎn)，也要有很強(qiáng)的捕獲能力。2、APT攻擊會(huì)針對(duì)某些安全產(chǎn)品進(jìn)行攻擊，因?yàn)榭蛻舳塑浖梢员还粽攉@得，而且容易逆向。應(yīng)對(duì)的方法是做設(shè)備，提高攻擊者的成本。3、APT利用文檔攻擊，那么我們就要有強(qiáng)有力的文檔解析能力，這種能力對(duì)產(chǎn)品的性能提出了強(qiáng)烈的挑戰(zhàn)。4、APT攻擊包含零日和特馬，所以我們必須要具備未知惡意代碼檢測(cè)能力，這是一個(gè)高對(duì)抗性的事，需要長(zhǎng)期巨大投入?？傊瑧?yīng)對(duì)感知能力差最為關(guān)鍵的就是要具備快速的未知惡意代碼檢測(cè)能力。

我們把未知惡意代碼分為兩類，一類是未知的木馬、特馬、病毒、后門、間諜軟件等等，未知的意思就是說(shuō)當(dāng)前的主流軟件查殺不到。第二類就是利用未知漏洞的惡意文檔，也是零日。我們就是要想方設(shè)法檢測(cè)這兩類未知的代碼。檢測(cè)思路是：

1、從攻擊手法上去檢測(cè)，而非基于簽名。為了得到控制權(quán)，有些攻擊在手法上很難有較大的變動(dòng)，例如堆棧緩沖區(qū)溢出漏洞，利用的技術(shù)無(wú)非幾種。

2、從動(dòng)態(tài)行為分析上去檢測(cè)而非靜態(tài)。動(dòng)態(tài)行為分析不僅能告訴用戶是不是惡意代碼，更能告訴用戶該惡意代碼進(jìn)行了哪些惡意操作，為用戶的下一步應(yīng)對(duì)提供重要有價(jià)值的參考。

3、從內(nèi)容上檢測(cè)，而非流量上。因?yàn)锳PT的惡意負(fù)載都在內(nèi)容里面。

4、檢測(cè)APT攻擊更要使用智能啟發(fā)，大數(shù)據(jù)分析。從全局角度把握APT攻擊手法、特性的變遷，才可能在新一輪的貓和老鼠的游戲中勝出。

還有很重要的一點(diǎn)，要把快速鑒別未知惡意代碼的能力交給用戶。在APT時(shí)代，安全廠家獨(dú)自作戰(zhàn)變得非常困難，必須緊密聯(lián)系用戶。廠家需要用戶設(shè)備的計(jì)算能力，用戶需要安全廠家的應(yīng)對(duì)分析能力，用戶和安全廠家都是APT防御體系的重要一環(huán)。

對(duì)APT正面的防御就是在入口流量中去實(shí)時(shí)的檢測(cè)惡意內(nèi)容的負(fù)載，檢測(cè)對(duì)象包括：文檔、程序、URL、HTML、壓縮包、郵件等等。我們第一個(gè)重要的思路是基于攻擊手法的無(wú)簽名算法。文檔數(shù)據(jù)到代碼過(guò)程的攻擊手法識(shí)別，上面已經(jīng)講到過(guò)，例如堆棧緩沖區(qū)溢出漏洞，要讓數(shù)據(jù)變成代碼執(zhí)行必須要有的一些手段是逃不脫的。惡意文檔中的SHELLCODE也是避免不了的，所以給我們的檢測(cè)提供了一些依據(jù)。 當(dāng)然，APT攻擊中往往嵌入EXE可執(zhí)行文件，在我們捕獲到的真實(shí)APT樣本中，有一半以上的APT文檔樣本都帶有各種加密/編碼的惡意的可執(zhí)行文件。有人可能會(huì)問(wèn)，APT的攻擊者為什么會(huì)在攻擊樣本中嵌一個(gè)exe文件，讓我們有了這個(gè)檢測(cè)的方法。其實(shí)原因比較簡(jiǎn)單，就是很多被攻擊的網(wǎng)絡(luò)是隔離的，只有嵌入文檔中，才有機(jī)會(huì)被一同帶入隔離的網(wǎng)絡(luò)運(yùn)行起來(lái)。

第二個(gè)思路是基于動(dòng)態(tài)行為分析技術(shù)，所謂知己知彼，百戰(zhàn)不殆。了解了程序的一舉一動(dòng)，是否惡意就比較好判斷了。

利用已知可發(fā)現(xiàn)未知，我們做過(guò)測(cè)試，對(duì)于已有十幾萬(wàn)個(gè)真實(shí)文檔攻擊樣本，基于無(wú)簽名算法我們的檢測(cè)率為98%以上。我們部署了一系列的用戶真實(shí)環(huán)境，利用已知的漏洞發(fā)現(xiàn)了未知木馬和未知病毒攻擊。例如6月8號(hào)，我們預(yù)警了利用PDF漏洞的奈特幣木馬來(lái)襲。該攻擊利用了4個(gè)老的PDF漏洞，進(jìn)行了變形，當(dāng)前各大殺毒軟件都查不出來(lái)奈特幣木馬。

在實(shí)際的環(huán)境中，我們利用基于攻擊手法的無(wú)簽名算法和基于動(dòng)態(tài)行為的分析技術(shù)，成功發(fā)現(xiàn)了未知木馬和未知病毒攻擊。例如5月份，我們預(yù)警了新一波針對(duì)銀行金融和運(yùn)營(yíng)商的攻擊，我們?cè)谖臋n中檢測(cè)到SHELLCODE的利用，里面用到的木馬也是當(dāng)前各大殺毒軟件都查不出來(lái)的。

APT事件接連不斷，攻擊者已經(jīng)遙遙領(lǐng)先于我們好幾年了，防御方已經(jīng)輸在了起跑線上，我們還需要加倍努力。

新聞名稱：基于未知惡意代碼檢測(cè)的APT防御
轉(zhuǎn)載注明：http://www.dlmjj.cn/article/djcddji.html