时间:2025-02-02 02:26:13 作者:知网查重入口 www.9foxs.cn
该框架基于将APT建模为攻击金字塔,金字塔的顶部表示攻击目标,侧向平面表示APT生命周期所涉及的环境。 这个检测框架需要大量的专家知识来建立和维护。 最后,现有APT检测系统在实现实时检测、假阳性率与假阴性率之间的平衡以及长时间事件关联等方面存在严重缺陷。
APT 又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的网络入侵过程,通常由某些人员精心策划,针对特定的目标。
资料窃取阶段,攻击者通过跳板访问关键服务器,在利用0day漏洞等方式攻击服务器,窃取有用信息。 然后将窃取道德数据,应用、文件、邮件等资源回传,攻击者会将这些资源重新分割成细小的碎片逐步以不同的时间周期穿给自己。 4. 退出期:清理痕迹 以窃取信息为目的的APT类攻击一旦完成任务,用户端恶意程序便失去了使用价值;以破坏为目的的APT类攻击得手后即暴露了其存在。 这两种情况中为了避免受害者推断出攻击的来源,APT代码需要对其在目标网络中存留的痕迹进行销毁,这个过程可以称之为APT的退出。 APT根据入侵之前采集的系统信息,将滞留过的主机进行状态还原,并恢复网络配置参数,清除系统日志数据,使事后电子取证分析和责任认定难以进行 特征检查无法识别未知流量。
大部分的APT攻击目的在于窃取数据而不是进行破坏性的攻击。 当成功进入网络之后,攻击者会在受害主机安装恶意程序(比如木马僵尸、网络后门),不仅能够用来控制受控主机,还能够长期从受害主机窃取敏感数据。 DNS是一种将域名映射到IP的协议,通常也被用于恶意攻击。 为了远程控制受害主机,攻击者经常建立CC通道,用于在受控主机和攻击者之间传输数据和传递指令。 大多数恶意软件,比如木马后门以及远程控制工具, 都利用域名定位到CC服务器以及攻击者。 在APT攻击中,恶意软件需要维持与C&C服务器的持久连接。 攻击者 广泛使用DNS来定位恶意软件的命令和控制服务器 。 原因有以下两点:其一,因为如果攻击者将C&C服务器的IP硬编码为恶意软件二进制文件,则将导致某种无法恢复的故障。
