日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一次典型的APT攻擊過程，通常包括信息搜集、獲取入口點、實施遠程控制、攻擊目標橫向轉(zhuǎn)移、重要資產(chǎn)數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)泄露等環(huán)節(jié)。對于攻擊防御方而言，由于特征的時效性和檢測手段的局限性，未必能夠在攻擊的起始階段實現(xiàn)有效檢測。但對于APT這樣的時間跨度長、攻擊目標明確的攻擊行為，在整個攻擊過程中總會存在若干個攻擊暴露點，以此為基礎(chǔ)對相關(guān)的流量進行回溯關(guān)聯(lián)，就有可能獲取攻擊者完整的攻擊意圖。

以某個攻擊過程為例，攻擊者試圖獲取某信息系統(tǒng)中的重要數(shù)據(jù)。為此，攻擊者先搜集到了該信息系統(tǒng)部分用戶的郵箱地址，然后給這些用戶發(fā)送了郵件，其附件中包含了某個利用了0day漏洞的文件，導致用戶打開附件時執(zhí)行了惡意命令并被植入了未知木馬。攻擊者通過加密的命令控制通道，對用戶主機實施遠程控制，獲取了信息系統(tǒng)中的重要數(shù)據(jù)。在這個攻擊過程中，由于攻擊者所利用的漏洞、植入的木馬都缺乏特征，采用的遠程控制通道又是進行了加密，現(xiàn)有基于攻擊簽名的檢測方式很難進行有效檢測。

有了本文所述的基于記憶的APT攻擊檢測系統(tǒng)，對整個攻擊過程的數(shù)據(jù)進行存儲，輔以異常檢測方法，就有可能實現(xiàn)檢測。例如，通過可疑行為識別，系統(tǒng)能檢測到用戶主機上的可疑加密傳輸行為;基于可疑報警，對相關(guān)主機的數(shù)據(jù)進行回溯分析，對相關(guān)的歷史流量進行協(xié)議解析、應(yīng)用識別和還原，能夠得到郵件附件、被植入的木馬文件;分析人員再對還原后的內(nèi)容做進一步的確認，就能夠識別攻擊者的真實意圖和已經(jīng)發(fā)生的攻擊行為，并評估自身的信息資產(chǎn)損失狀況。

APT的出現(xiàn)，既給傳統(tǒng)檢測技術(shù)帶來了挑戰(zhàn)，也為新興技術(shù)的應(yīng)用帶來了機遇。硬件技術(shù)的發(fā)展，使得處理器運算能力不斷增強、單位容量存儲成本不斷降低，這為我們基于大數(shù)據(jù)進行APT檢測提供了必要條件。

對于APT攻擊，我們的對抗策略是以時間對抗時間，改變傳統(tǒng)基于單時間點進行特征匹配的局面，對長時間窗的數(shù)據(jù)進行關(guān)聯(lián)分析，并輔以異常檢測算法，以解決現(xiàn)有檢測手段的不足。通過擴大檢測域、豐富檢測機制，形成了新一代基于記憶的智能檢測系統(tǒng)。隨著大數(shù)據(jù)技術(shù)的發(fā)展、各類檢測算法的豐富，基于記憶的智能檢測系統(tǒng)將在應(yīng)對APT攻擊中發(fā)揮更大作用。

網(wǎng)頁標題：基于記憶的APT攻擊檢測系統(tǒng)典型應(yīng)用場景
當前地址：http://www.5511xx.com/article/cdoheds.html