大数据背景下的APT攻击检测与防御.docx

大数据背景下的 APT 攻击检测与防御刘 昕（陕西省行政学院电子设备与信息管理处，陕西西安，710048）摘要 ：APT 攻击愈演愈烈，传统的网络安全检测与防御体系已不能实现对网络信息数据安全的保障。大数据时代的来临，为网 络安全防御提供了一种更新、更先进的技术。关键词 ：大数据 ；APT 攻击 ；检测与防御APT attack detection and prevention under the background of large dataLiu Xin(Shaanxi province administrative institute of electronic equipment and information management,710048)Abstract ：APT attacks intensified,traditional network security detection and prevention system has been unable to achieve the protection of network and information security data.The advent of the era of big data,network security defense provides a newer,more advanced technology.Keywords ：Large data;APT attack;detection and prevention0引言2009 年，大数据一词出现在世人面前，大数据带给了人们强 烈的冲击，对现代化的发展有着深远的意义。云计算、物联网给人 们带来了革命性的改变，大数据是它们之后在信息技术领域的新 革命。1大数据背景下对 APT 攻击的检测所谓大数据，就是数据量大，数据类型十分复杂，数据处理速 度更快，数据包含的价值高。据有关专家分析近两、三年时间来人 们所产生的数据量，几乎是 2010 年以前产生的所有数据量的总 和。在网络上产生的数据类型复杂多样，如视频、语音、图形等一 些非结构化数据。数据处理速度与以往相比更加快速、快捷。而数 据包含着更高的价值，每个行业、每个领域都会产生数据，这些数 据逐渐变成一种新的生产资料、新的资本，对这些数据的存储、处 理都具有较高的价值。1.1 沙箱方案沙箱方案能够有效检测 APT 攻击，对攻击方式进行非特征匹 配。攻击方与防护方信息不对称，攻击方很容易就隐藏起来，而防 护的一方则要大海捞针。使用智能沙箱技术，能够对可能存在的 异常行为进行技术性识别，检测出存在高级威胁的问题。但是沙 箱检测与整个网络运行环境相关，操作系统的类型、浏览器的版本、安装的插件版本等都对沙箱检测的结果起着影响。因而导致 沙箱检测在这种情形下检测不出来恶意代码，但是在另外一种情 形下可能检测出来。1.2 异常检测异常检测是利用正常行为产生的数据量建立一个有效的模 型，对所有的数据量与之进行对比。这种异常检测方法借鉴了现 实生活中警察抓坏人的思维方式，在不明确坏人的基本特征的情 况下，那就对好人进行行为模式的建构，但一个人的行为模式偏 离好人的正常范围，那么这个人就有可能是坏人，对此再进行具 体的检测。异常检测注重的是对元数据的提取，以此对整个网络 流量的基本情况进行检测，从而发现异常行为。运用连接特征中 对恶意代码形成的检测规则，检测已知的僵尸网络、木马通信。对 行为模式中的异常行为进行计算，有效检测隧道通信或是加密文 件。1.3 基于记忆的检测系统基于记忆的检测系统，是由全流量审计与日志审计相结合形 成的，它对抗 APT 的关键方法就是以时间对抗时间。APT 攻击发 生的时间很长，对攻击的检测应建立一个有效的时间窗，对长时 间内的数据流量进行更为深入、细致的分析。全流量审计，是指对 全过程流量施以应用上的识别与还原，从而检测出异常的行为。基于记忆的检测系统具体的检测步骤分为四步 ：802014.2网络与信息工程（1）扩大检测领域 对数据流量的检测领域进行拓展，将全流量数据进行有效的存储、深入分析。扩大检测领域，能够提高发现可疑行为的概率。 发现异常情况后，利用全流量的存储，将异常行为倒回到与之相 关的时间点。在已经发生的，分析时未予以重视的报警中，也许就 掩藏着蓄谋已久的攻击意图。对出现可疑情况的数据流量进行关 联性的技术分析，实现有效识别。（2）对数据量进行浓缩 对数据量进行浓缩，全流量中的数据进行筛选，将与攻击不相关联的数据及时删除，同时保留有关的数据流量，缩小对数据 量的检测，腾出更大的空间。筛选、删除不必要的数据流量，可以 依靠第三方的检测报警设备，也可以利用全数据流量的异常检测 技术。（3）对攻击行为作精