APT攻击检测.pdf

APT 攻 击 检 测 技术与观念 演讲人：韩志立 职务：天眼产品经理 日期：2014.09 China Internet Security Conference 2014 2014中国互联网安全大会 目录 APT背景下的新挑战 对抗高级恶意软件 检测内网持续渗透 变革：技术与观念 威胁已经发生变化 过去 现在 攻击者 个人 团体 目的 挑战/声誉 政治/经济 目标 大范围目标 特定目标 工具 已知漏洞/工具 未知漏洞/工具 频率 一次 长久持续 特征 公开 隐秘 典型的攻击过程 1 2 3 4 5 6 7 8 9 10 11 锁 组 构 研 针 部 初 出 建 盗 掩 定 建 建 究 对 署 始 局 立 取 藏 目 队 或 目 检 实 入 连 立 数 踪 标 伍 购 标 测 施 侵 接 足 据 迹 买 测 点 持 工 试 续 具 渗 透 黑客行动主义 网络犯罪 APT攻击 来源：Wikipedia 挑战一：高级恶意软件 54% 的恶意软件，传统AV无法检测 NTT Group 《2014 Global Threat Intelligence Report》 基于签名技术的检测无法应对： •针对目标攻击无法提前取得样本； •零日漏洞无法得到利用特征； •定制工具无法得到攻击特征； •多态和变形使我们掌