返回
针对高级持续性威胁的防护研究

针对高级持续性威胁的防护研究

ID:31039645

大小:67.00 KB

页数:6页

时间:2019-01-05

针对高级持续性威胁的防护研究_第1页
针对高级持续性威胁的防护研究_第2页
针对高级持续性威胁的防护研究_第3页
针对高级持续性威胁的防护研究_第4页
针对高级持续性威胁的防护研究_第5页
资源描述:

《针对高级持续性威胁的防护研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、针对高级持续性威胁的防护研究摘要:国网江苏省电力公司信通分公司基于虚拟执行技术的APT检测模型,采用了最新的虚拟执行技术,对网络内的APT攻击进行监测和分析,帮助公司了解自身网络的脆弱性,并采取有效措施。一.背景如今,企业面临着一个不断演变的网络威胁环境。最初的黑客攻击是为了获得影响力及自我满足去攻击媒体网站,或者使用DoS方式来中断网站的服务;而现在已演变成为了经济、政治等目的的攻击。攻击者能够通过窃取知识产权来直接获取利益,也可以入侵、窃取客户的个人金融信息,更有甚者破坏对方的服务以至国家的基础设施。动机的变化,同时也

2、带来了攻击方式的变化。从过去广泛、漫无目的的攻击威胁,在数年内迅速的转化为针对受害者组织将造成严重后果的高级可持续威胁(AdvancedPersistentThreat)o高级可持续威胁(APT)是由美国空军的信息安全分析师与2006年创造的术语,一般来说,高级可持续威胁具备以下三个特点:咼级:攻击者为黑客入侵技术方面的专家,能够自主的开发攻击工具,或者挖掘漏洞,并通过结合多种攻击方法和工具,以达到预定攻击目标。持续性渗透:攻击者会针对确定的攻击目标,进行长期的渗透。在不被发现的情况下,持续攻击以获得最大的效果。威胁:这是

3、一个由组织者进行协调和指挥的人为攻击。入侵团队会有一个具体的目标,这个团队训练有素、有组织性、有充足的资金,同时有充分的政治或经济动机。此类APT威胁往往可以绕过防火墙、IPS、AV以及网闸等传统的安全机制,悄无声息的从企业或政府机构获取高级机密资料。在2012年Verizon信息外泄调查报告中可以看到,2011年发生的重大信息数据外泄的受访组织中,有59%是在相关执法机构告知后才知道信息外泄的情况。Gartner在2012年的报告中说道:”越来越多的人同意APT攻击是可以避开我们传统的基于特征的安全检测机制,并且存在与系

4、统内的时间越来越长,无法被侦测出来。威胁真的发生了,你已经被入侵,只是你不知道而已”。高级可持续威胁(APT)已经成为当今公认最具威胁的网络攻击类型。为了对APT有一个更好的认知,以更好的防护,我们对基于虚拟执行技术的APT检测模型进行了研究。二.模型原理2.1模型技术原理基于虚拟执行技术的APT检测模型(简称AAS)通过新型的动态检测和静态检测技术可以精确检测通过网页、电子邮件或文件共享方式试图进入内部网络的恶意软件,包括零日攻击及具有抗检测能力的高级恶意软件。当前的恶意软件大多具备强大的抗逃避能力,而APT攻击还可能使

5、用零口攻击的方式,传统的防病毒引擎很难发现它们。AAS可以有效发现这些攻击行为,帮助客户有效的遏制由此带来的风险,如敏感信息泄露、业务中断等。2.2检测原理基于虚拟执行技术的APT检测模型(AAS)除了集成传统的反病毒引擎,还有集成了虚拟执行引擎。从不同的检测深度来看,AAS的虚拟执行引擎分为轻量级虚拟执行引擎和系统级虚拟执行引擎。轻量级虚拟执行引擎实现快速检测,系统级虚拟执行引擎实现深度检测。这种互补性提升了AAS引擎的检测效果。2.3基于文件格式的深入检测技术基于文件格式的深入检测技术,是通过对文件进行解析,提取其中的

6、关键部分进行恶意特征和恶意行为检测。相对于直接将原始文件丢入引擎的做法,基于文件格式的深入检测技术可以大大提高检测效果。如从PDF中提取JS脚本、从SWF里面提取AS脚本,然后针对脚本进行恶意检测,这使得检测引擎的检测效果大大提升。2.4轻量级虚拟执行技术轻量级虚拟执行技术基于一个指令模拟器,可以将一段数据作为二进制指令流进行模拟执行,同时也支持对JS脚本进行模拟执行。通过观察执行过程中的指令行为,实现对恶意软件的检测。这种技术的优点是执行速度较快,部分情况下可以应用到流式引擎中。但缺点在只能再指令、寄存器和内存级别进行模

7、拟执行,是无法模拟完整操作系统的。因此在模拟过程中只能执行部分指令片段,对于大量依赖于第三方库调用的指令序列则无法模拟。当然,轻量级虚拟执行本身就不是追求完整模拟整个软件行为,而是从指令层面对恶意行为进行捕获。轻量级虚拟执行引擎可以作为一个普通的用户态进程,跑在操作系统上。为了提高检测性能,可以在用户态跑多个轻量级虚拟执行引擎。每个引擎内部集成了一个指令模拟器,将引擎接收的数据放在模拟器里面进行模拟执行。通过模拟器对外的API接口,可以获取或控制模拟器执行状态和执行过程。比如让模拟器单步执行、获取当前模拟器执行指令EIP、

8、获取当前寄存器状态等等。在实际应用过程中,模拟执行的效率仍然远低于签名引擎,因此我们需要更多的技术来干预执行过程。而不能将所有的网络数据统统放到模拟器中进行执行。一般做法是轻量级虚拟执行引擎真正开始模拟运行之前,还是要通过一些反编译技术来做前置过滤。2.5基于二进制动态翻译的系统级虚拟执行技术相较于传统

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。