APT检测技术三大方向 - APT防御产品

APT检测技术三大方向

新一代检测技术已经出现

在APT攻击出现之后,已经没有一个国家能够在肆虐的APT攻击面前独善其身,因此各国安全厂商、安全组织纷纷投入到APT攻击检测技术的研究之中,尤其是在APT攻击的故乡美国,对APT攻击的检测与防御技术已经开始取得了实质性的进展。通过对目前APT攻击的检测与防御思路进行总结可以看到,目前对APT攻击的防范主要分为两个主要的技术方向。

第一种技术思路,是以APT攻击的在线检测与实时防御为主要目标的技术
方向,在这个技术方向下,受到大家公认且效果比较好的主流技术是深度沙箱检测技术,这个技术的优点是能发现大多数的未知攻击行为,并且这种检测也是在线的实时检测,防范效果非常好,对于APT攻击的核心攻击步骤,即:利用0day漏洞植入未知恶意代码具有非常有效的检测效果,但这种技术也有明显的问题。首先,已经出现了可以探测运行环境的智能恶意代码,这种恶意代码在感知到当前运行的环境非攻击目标时,将主动停止执行,以此躲避沙箱的检测。其次,单纯利用沙箱进行检测对于检测设备的系统性能要求非常高,需要强大的计算资源保障检测的实时性和检测设备的性能。另一个关键的问题是,沙箱的检测能力受限于沙箱的种类是否丰富,否则会出现缺乏虚拟执行的环境导致无法精确检测出样本中的恶意代码。最后,这种防御思路即使能够检测出恶意代码,但是无法确定这次攻击行为是否属于APT攻击,这是APT攻击定型上的一个遗憾。采用这个技术思路的典型代表厂商是美国的安全公司Fireeye,该公司产品直接为美国政府和军方服务,并且对华禁售。
    第二种技术思路,是依托于大数据的历史数据回溯与关联分析技术方向,在这个技术方向下,采用的是以人工智能、数据挖据理论为基础的大数据分析技术,这个技术方向难度相比沙箱技术来说难度要大得多,因此还没有出现非常成熟的商业化产品,而多是在学术界、各大专业安全公司的研究院、实验室中被小范围验证。这个技术思路的优点非常明显,即:通过该方法,能够发现几乎所有隐蔽的APT攻击,同时能够利用历史数据对APT攻击过程进行完整的回放溯源,能够明确定性APT攻击行为,但该技术思路的缺陷也非常明显:即该技术思路属于事后追溯,也就是说,利用该方法发现的APT攻击属于已经发生过的攻击行为,而无法做到有效的实时防御,同时,由于目前大数据分析技术还存在精度上的问题,所以使用该方法需要大量的人工干预才能取得理想的分析效果。另一个问题是该方法需要非常完备的历史数据,甚至是网络原始流量的存储,否则可能因为历史数据不全而无法对APT过程进行完整溯源,更严重的可能是因为关键历史数据的缺失而无法检测到APT攻击。目前世界上尚无效果得到广泛认可、
采用了该技术思路的成功的商业化产品。
   除了这两个技术方向,还有一种综合了上述两种技术思路的检测方法,具体来说就是依靠沙箱进行在线检测,在检测到攻击之后,以此为线索对相关的历史数据进行大范围的关联分析。这种技术的优点在于既满足了APT攻击的实时检测与防御的要求,又能够对APT攻击进行定性和全过程追溯,但由于这个技术思路刚刚开展,因此尚无可商业化的技术成果,也没有成功的产品。


转载请注明出处 APT防御产品 » APT检测技术三大方向

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址