傳統(tǒng)網(wǎng)絡(luò)安全防御面臨的新威脅：APT攻擊

傳統(tǒng)網(wǎng)絡(luò)安全防御面臨的新威脅：APT攻擊作者：林龍成陳波郭向民來源：《信息安全與技術(shù)》2013年第03期【摘要】高級持續(xù)威脅（APT）攻擊不斷被發(fā)現(xiàn)，傳統(tǒng)網(wǎng)絡(luò)安全防御體系很難防范此類攻擊，由此給國家、社會、企業(yè)、組織及個(gè)人造成了重大損失和影響。對近幾年典型APT攻擊事件和攻擊代碼進(jìn)行了研究，分析了攻擊的產(chǎn)生背景、技術(shù)特點(diǎn)和一般流程。徹底防御APT攻擊被認(rèn)為是不可能的，重視組織面臨的攻擊風(fēng)險(xiǎn)評估，建立新的安全防御體系，重點(diǎn)保護(hù)關(guān)鍵數(shù)據(jù)成為共識。為此，提出了建立一種新的安全防御體系，即安全設(shè)備的聯(lián)動、安全信息的共享、安全技術(shù)的協(xié)作，并給出了基于社會屬性、應(yīng)用屬性、網(wǎng)絡(luò)屬性、終端屬性及文件屬性的多源態(tài)勢感知模型，以及安全信息共享和安全協(xié)作的途徑?！娟P(guān)鍵詞】高級持續(xù)威脅；社交網(wǎng)絡(luò)；態(tài)勢感知；信息安全【中圖分類號】TP393TheNewThreattoTraditionalNetworkSecurityDefense：APTAttackLinLong-chengChenBoGuoXiang-min（1.JiangsuResearchCenterofInformationSecurity&PrivacyTechnologyJiangsuNanjing210023；2.SchoolofComputerScienceandTechnologyNanjingNormalUniversityJiangsuNanjing210023）【Abstract】AdvancedPersistentThreat（APT）attacksarecontinuallytobediscovered，unfortunatelytraditionalnetworksecuritydefensesystemcanhardlypreventtheseattacks.SotheAPTattackshavecausedsignificantdamageandimpacttothecountry，society，enterprises，organizationsandindividuals.StudyingthetypicalAPTattacksinrecentyearsandanalyzingthebackground，technicalfeaturesandattackprocessconfirmedthatitisconsideredimpossibletodefenseAPTthoroughly.Ithasbecomeaconsensustopayattentiontotheriskassessment，establishanewsecuritydefensesystemandfocusontheprotectingthecriticalinformationassets.Soasituationalawarenessmodelbasedonmulti-sourcedataisproposedconsideringsocialproperty，applicationproperty，networkproperty，terminalpropertyandfileproperty.Meanwhile，casesofsecureinformationsharingandsecuritycollaborationareintroduced.【Keywords】advancedpersistentthreat；socialnetwork；situationalawareness；informationsecurity1引言自2007年以來，高級持續(xù)威脅（AdvancedPersistentThreat,APT）攻擊不斷被發(fā)現(xiàn)，如2009年的GhostNet攻擊，專門盜取各國大使館、外交部等政府機(jī)構(gòu)以及銀行的機(jī)密信息，兩年內(nèi)就已滲透到至少103個(gè)國家的1295臺政府和重要人物的電腦中；2010年6月，Stuxnet首次被發(fā)現(xiàn)，是已知的第一個(gè)以關(guān)鍵工業(yè)基礎(chǔ)設(shè)施為目標(biāo)的蠕蟲，其感染并破壞了伊朗納坦茲核設(shè)施，并最終使伊朗布什爾核電站推遲啟動；2011年9月發(fā)現(xiàn)的Duqu病毒，被用來從工業(yè)控制系統(tǒng)制造商收集情報(bào)信息，目前已監(jiān)測到來自法國、荷蘭、瑞士及印度等8個(gè)國家的6家組織受到該病毒感染；2012年5月發(fā)現(xiàn)的Flamer攻擊，相對于Stuxnet攻擊復(fù)雜數(shù)十倍，被稱為有史以來最復(fù)雜的惡意軟件，而且據(jù)猜測其已經(jīng)潛伏了數(shù)年，據(jù)報(bào)道遭受Flamer攻擊的國家包括伊朗（189個(gè)目標(biāo)）、巴勒斯坦地區(qū)（98個(gè)目標(biāo)）、蘇丹（32個(gè)目標(biāo)）、敘利亞（30個(gè)目標(biāo)）、黎巴嫩（18個(gè)目標(biāo)）等。當(dāng)然，安全專家認(rèn)為一定還有APT攻擊沒有被人們發(fā)現(xiàn)，還有更多的公司由于種種原因而沒有公布它們遭到APT攻擊以及造成的損失。可以說，APT攻擊已經(jīng)成為近幾年給國家、社會、企業(yè)、組織及個(gè)人造成了重大損失和影響的攻擊形式，安全企業(yè)以及一些學(xué)者對APT的研究給予了極大關(guān)注。RSA、邁克菲（McAfee）、澳大利亞安全公司CommandFivePtyLtd、趨勢科技、瑞星、金山、啟明星辰、安天實(shí)驗(yàn)室等國內(nèi)外安全企業(yè)報(bào)道了APT攻擊的事件，分析并公布了部分攻擊代碼，提出了一些防御APT攻擊的思路和架構(gòu)。學(xué)者對APT攻擊的研究相對偏少，主要集中在分析攻擊過程和具體防御技術(shù)兩方面，例如FrankieLi等利用靜態(tài)和動態(tài)分析技術(shù)對發(fā)生在香港的一次APT攻擊樣本進(jìn)行了具體研究，但是由于樣本不足，只分析了釣魚郵件的附件；AdityaKSood等總結(jié)了GhostNet、OperationAurora、Stuxnet三種APT攻擊的一般過程，對于防范APT攻擊只給出了一些傳統(tǒng)的防御措施；陳劍鋒等分析了APT攻擊步驟，并從響應(yīng)、檢測及預(yù)防三個(gè)層次給出了防范策略。本文首先給出了APT攻擊的定義及產(chǎn)生背景，接著分析了APT攻擊的典型特征和攻擊過程，最后給出了關(guān)于APT的整體防御模型。2APT的概念及產(chǎn)生背景2.1APT的定義美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）對APT的定義為：攻擊者掌握先進(jìn)的專業(yè)知識和有效的資源，通過多種攻擊途徑（如網(wǎng)絡(luò)、物理設(shè)施和欺騙等），在特定組織的信息技術(shù)基礎(chǔ)設(shè)施建立并轉(zhuǎn)移立足點(diǎn)，以竊取機(jī)密信息，破壞或阻礙任務(wù)、程序或組織的關(guān)鍵系統(tǒng)，或者駐留在組織的內(nèi)部網(wǎng)絡(luò)，進(jìn)行后續(xù)攻擊。我們可以從“人”、“P”、“T”三個(gè)方面來理解NIST對APT的定義：A：技術(shù)高級。攻擊者掌握先進(jìn)的攻擊技術(shù)，使用多種攻擊途徑，包括購買或自己開發(fā)的0day漏洞，而一般攻擊者卻不能使用這些資源。而且，攻擊過程復(fù)雜，攻擊持續(xù)過程中攻擊者能夠動態(tài)調(diào)整攻擊方式，從整體上掌控攻擊進(jìn)程。P：持續(xù)時(shí)間長。與傳統(tǒng)黑客進(jìn)行網(wǎng)絡(luò)攻擊的目的不同，實(shí)施APT攻擊的黑客組織通常具有明確的攻擊目標(biāo)和目的，通過長期不斷的信息搜集、信息監(jiān)控、滲透入侵實(shí)施攻擊步驟，攻擊成功后一般還會繼續(xù)駐留在網(wǎng)絡(luò)中，等待時(shí)機(jī)執(zhí)行進(jìn)行后續(xù)攻擊。T：威脅性大。APT攻擊通常擁有雄厚的資金支持，由經(jīng)驗(yàn)豐富的黑客團(tuán)隊(duì)發(fā)起，一般以破壞國家或是大型企業(yè)的關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)，竊取內(nèi)部核心機(jī)密信息，危害國家安全和社會穩(wěn)定。2.2APT攻擊產(chǎn)生的背景近幾年國際政治、經(jīng)濟(jì)和軍事的對抗隨著信息技術(shù)和網(wǎng)絡(luò)的發(fā)展而轉(zhuǎn)向信息空間的對抗，移動網(wǎng)絡(luò)不斷普及到全球用戶的應(yīng)用背景，以及傳統(tǒng)安全防御體系的固有弱點(diǎn)為APT攻擊的產(chǎn)生提供了可能。APT攻擊成為國家層面信息對抗的需求。當(dāng)前，國際形勢正經(jīng)歷“冷戰(zhàn)”結(jié)束以來最為深刻復(fù)雜的變化。金融危機(jī)以來的世界形勢如同二十世紀(jì)初一樣，出現(xiàn)新一輪的動蕩不安，全球經(jīng)濟(jì)復(fù)蘇緩慢，西亞北非政局動蕩，軍備競賽愈演愈烈。各國展開了政治、經(jīng)濟(jì)、文化、軍事和科技全方位的較量。如今，各國的關(guān)鍵部門、重要產(chǎn)業(yè)等經(jīng)濟(jì)社會領(lǐng)域，正在被互聯(lián)網(wǎng)聯(lián)成一體，形成各個(gè)國家的“關(guān)鍵性基礎(chǔ)設(shè)施”，包括政務(wù)、電力、交通、能源、通信、航空、金融、傳媒、軍事等領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)。因而，各國都十分看重網(wǎng)絡(luò)空間的跨國屬性和戰(zhàn)略價(jià)值，國家之間的對抗也由原來的軍事對抗轉(zhuǎn)變?yōu)樾畔?；國家之間的打擊也從傳統(tǒng)的物理打擊變?yōu)槿缃駭?shù)字戰(zhàn)場。在這些復(fù)雜因素的驅(qū)動下，APT攻擊成為國家層面信息對抗的需求。社交網(wǎng)絡(luò)的廣泛應(yīng)用為APT攻擊提供了可能。社交網(wǎng)絡(luò)正在從根本上改變我們辦公、交友、生活的方式，它消除了由網(wǎng)絡(luò)設(shè)備形成的有形邊界，成為跨越傳統(tǒng)網(wǎng)絡(luò)安全邊界的無形通道。CarlTimm在2010年出版的SevenDeadliestSocialNetworkAttacks一書中詳細(xì)分析了社交網(wǎng)絡(luò)的七大威脅：社交網(wǎng)絡(luò)基礎(chǔ)設(shè)施攻擊、惡意軟件攻擊、釣魚攻擊、冒充攻擊、身份竊取、網(wǎng)上欺凌、物理威脅。著名的網(wǎng)絡(luò)安全公司BlueCoat在2011年發(fā)布的WebSecurityReport中列出了社交網(wǎng)絡(luò)中存在的一些潛在威脅：動態(tài)鏈接、釣魚攻擊、點(diǎn)擊劫持、數(shù)據(jù)泄露。社交網(wǎng)絡(luò)通過廣泛存在的社交交友關(guān)系，為APT攻擊搜集信息、持續(xù)滲透提供了可能。復(fù)雜脆弱的IT環(huán)境還沒有做好應(yīng)對的準(zhǔn)備，造成APT攻擊事件頻發(fā)。傳統(tǒng)的網(wǎng)絡(luò)安全防御雖然在網(wǎng)絡(luò)安全邊界、可信內(nèi)網(wǎng)、終端等關(guān)鍵區(qū)域構(gòu)建了分層的防御體系，并且建立了風(fēng)險(xiǎn)評估、攻擊防護(hù)、入侵檢測、響應(yīng)恢復(fù)等動態(tài)安全機(jī)制，但是防護(hù)的整體性一直沒有達(dá)到應(yīng)對不斷變化安全威脅的需求。例如雖然防火墻能夠檢測到的大量端口掃描，用戶能夠發(fā)現(xiàn)收到釣魚郵件，管理層用戶發(fā)現(xiàn)社交賬號有莫名的好友申請，但是目前的防護(hù)體系中還不能將這些安全事件進(jìn)行有效關(guān)聯(lián)，從而發(fā)現(xiàn)APT攻擊的跡象進(jìn)行阻止。此外，目前公司復(fù)雜的網(wǎng)絡(luò)環(huán)境、大量有漏洞的應(yīng)用軟件，使得攻擊者更加容易找到薄弱環(huán)節(jié)和安全漏洞，再加上員工普遍使用智能終端和社交應(yīng)用，為攻擊者提供了多種攻擊途徑。計(jì)算機(jī)事件響應(yīng)小組（CIRT）和安全運(yùn)維中心（SOC）可能都沒有關(guān)鍵基礎(chǔ)設(shè)施或是重點(diǎn)企業(yè)、公司重要電子資產(chǎn)的完整資料。因而我們認(rèn)為，安全設(shè)備的聯(lián)動、安全信息的共享、安全技術(shù)的協(xié)作應(yīng)當(dāng)成為解決APT攻擊的重要途徑。3APT攻擊分析3.1APT攻擊一般過程本文對近5年來的典型APT攻擊案例，如圖1所示，進(jìn)行了分析，給出了APT攻擊的一般過程。如圖2所示，APT攻擊的一般過程包括四個(gè)重要步驟。1）信息偵查：在入侵之前，攻擊者首先會使用技術(shù)和社會工程學(xué)手段對特定目標(biāo)進(jìn)行偵查。偵查內(nèi)容主要包括兩個(gè)方面：一是對目標(biāo)網(wǎng)絡(luò)用戶的信息收集，例如高層領(lǐng)導(dǎo)、系統(tǒng)管理員或者普通職員等員工資料、系統(tǒng)管理制度、系統(tǒng)業(yè)務(wù)流程和使用情況等關(guān)鍵信息；二是對目標(biāo)網(wǎng)絡(luò)脆弱點(diǎn)的信息收集，例如軟件版本、開放端口等。隨后，攻擊者針對目標(biāo)系統(tǒng)的脆弱點(diǎn)，研究0day漏洞、定制木馬程序、制訂攻擊計(jì)劃，用于在下一階段實(shí)施精確攻擊。2）持續(xù)滲透：利用目標(biāo)人員的疏忽、不執(zhí)行安全規(guī)范，以及利用系統(tǒng)應(yīng)用程序、網(wǎng)絡(luò)服務(wù)或主機(jī)的漏洞，攻擊者使用定制木馬等手段不斷滲透以潛伏在目標(biāo)系統(tǒng)，進(jìn)一步地在避免用戶覺察的條件下取得網(wǎng)絡(luò)核心設(shè)備的控制權(quán)。例如通過SQL注入等攻擊手段突破面向外網(wǎng)的Web服務(wù)器，或是通過釣魚攻擊發(fā)送欺詐郵件獲取內(nèi)網(wǎng)用戶通信錄并進(jìn)一步入侵高管主機(jī)，采用發(fā)送帶漏洞的Office文件誘騙用戶將正常網(wǎng)址請求重定向至惡意站點(diǎn)。3）長期潛伏：為了獲取有價(jià)值信息，攻擊者一般會在目標(biāo)網(wǎng)絡(luò)長期潛伏，有的達(dá)數(shù)年之久。潛伏期間，攻擊者還會在已控制的主機(jī)上安裝各種木馬、后門，不斷提高惡意軟件的復(fù)雜度，以增強(qiáng)攻擊能力并避開安全檢測。4）竊取信息：目前絕大部分APT攻擊的目的都是為了竊取目標(biāo)組織的機(jī)密信息。攻擊者一般采用SSLVPN連接的方式控制內(nèi)網(wǎng)主機(jī)，對于竊取到的機(jī)密信息，攻擊者通常將其加密存放在特定主機(jī)上，再選擇合適的時(shí)間將其通過隱秘信道傳輸?shù)焦粽呖刂频姆?wù)器。由于數(shù)據(jù)以密文方式存在，APT程序在獲取重要數(shù)據(jù)后向外部發(fā)送時(shí)，利用了合法數(shù)據(jù)的傳輸通道和加密、壓縮方式，難以辨別出其與正常流量的差別。3.2APT攻擊與傳統(tǒng)攻擊比較為了更加清晰地描繪APT攻擊的特點(diǎn)，以及其與傳統(tǒng)攻擊方式的異同，本文從以下四個(gè)方面將傳統(tǒng)攻擊和APT攻擊進(jìn)行了對比，如表1所示。Who：誰在策劃這次攻擊；What：攻擊者瞄準(zhǔn)了哪些特定組織和信息資產(chǎn)；Why:攻擊者的目的是什么；How：使用了哪些實(shí)現(xiàn)技術(shù)。通過表1的比較，我們可以更加清晰地認(rèn)識APT攻擊的兩個(gè)顯著特點(diǎn)。1）目標(biāo)明確：攻擊者一般在攻擊之前會有明確的攻擊目標(biāo)，這里的目標(biāo)主要包括兩個(gè)方面：一是組織目標(biāo)，如針對某個(gè)特定行業(yè)或某國政府的重要基礎(chǔ)設(shè)施；二是行動目標(biāo)，例如竊取機(jī)密信息或是破壞關(guān)鍵系統(tǒng)。2）手段多樣：攻擊者在信息偵查階段主要采用社會工程學(xué)方法，會花較長時(shí)間深入調(diào)查公司員工、業(yè)務(wù)流程、網(wǎng)絡(luò)拓?fù)涞然拘畔?，通過社交網(wǎng)絡(luò)收集目標(biāo)或目標(biāo)好友的聯(lián)系方式、行為習(xí)慣、業(yè)余愛好、計(jì)算機(jī)配置等基本信息，以及分析目標(biāo)系統(tǒng)的漏洞；在持續(xù)滲透階段，攻擊者會開發(fā)相應(yīng)的漏洞利用工具，尤其是針對0day安全漏洞的利用工具，針對0day漏洞的攻擊是很難防范的。在竊取信息階段，攻擊者會運(yùn)用先進(jìn)的隱藏和加密技術(shù)，在被控制的主機(jī)長期潛伏，并通過隱秘信道向外傳輸數(shù)據(jù)，從而不易被管理員和安全軟件發(fā)現(xiàn)。4APT防御通過分析最近幾年的攻擊案例可以發(fā)現(xiàn)，目前的防御技術(shù)、防御體系很難有效應(yīng)對APT攻擊，導(dǎo)致很多攻擊直到幾年后才被發(fā)現(xiàn)，甚至可能還有很多APT攻擊未被發(fā)現(xiàn)。通過前面APT攻擊背景以及攻擊特點(diǎn)、攻擊流程的分析，我們認(rèn)為，需要一種新的安全思維，即放棄保護(hù)所有數(shù)據(jù)的觀念，轉(zhuǎn)而重點(diǎn)保護(hù)關(guān)鍵數(shù)據(jù)資產(chǎn)，同時(shí)在傳統(tǒng)的縱深防御的網(wǎng)絡(luò)安全防護(hù)基礎(chǔ)上，建立一種新的安全防御體系，即安全設(shè)備的聯(lián)動、安全信息的共享、安全技術(shù)的協(xié)作。4.1網(wǎng)絡(luò)安全態(tài)勢感知模型態(tài)勢感知（SituationAwareness）這一概念是由JacquesTheureau于1998年最先提出的，此后在軍事戰(zhàn)場、核反應(yīng)控制、空中交通監(jiān)管及醫(yī)療應(yīng)急調(diào)度等領(lǐng)域被廣泛研究°Bass于1999年首次提出網(wǎng)絡(luò)態(tài)勢感知（CyberspaceSituationalAwareness）的概念，網(wǎng)絡(luò)安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、提供比較準(zhǔn)確的網(wǎng)絡(luò)安全演變趨勢，在網(wǎng)絡(luò)安全事件發(fā)生之前進(jìn)行預(yù)測，為網(wǎng)絡(luò)管理員制定決策和防御措施提供依據(jù)，做到防患于未然。本文提出基于多維度信息融合的防御技術(shù)，從一個(gè)組織網(wǎng)絡(luò)的社會屬性、應(yīng)用屬性、網(wǎng)絡(luò)屬性、終端屬性以及文件屬性進(jìn)行數(shù)據(jù)融合分析，建立態(tài)勢感知模型，如圖3所示。模型中，對象層包括了一個(gè)組織網(wǎng)絡(luò)的關(guān)鍵人員、關(guān)鍵應(yīng)用和關(guān)鍵設(shè)備。管理員是整個(gè)系統(tǒng)的管理者以及防御系統(tǒng)的部署者，如果管理員賬號遭到劫持或者泄露，那么攻擊者就可以輕而易舉進(jìn)入內(nèi)部系統(tǒng)，做任何想做的事；高層領(lǐng)導(dǎo)通常擁有獲取關(guān)鍵數(shù)據(jù)的權(quán)力，并且新的安全策略的實(shí)施也需要領(lǐng)導(dǎo)的支持；由于社交網(wǎng)絡(luò)的廣泛使用，員工通常是最容易遭受釣魚攻擊或社會工程學(xué)攻擊的。應(yīng)用軟件漏洞一直是APT攻擊的主要切入點(diǎn)，也是攻擊者尋找0day漏洞的主要對象。在攻擊者發(fā)送一封包含惡意文件的郵件之前，總是會先偵察系統(tǒng)的應(yīng)用漏洞，再根據(jù)漏洞制定出相關(guān)攻擊方式。隨著智能移動終端的普及，各種平板電腦和智能手機(jī)被引入公司。但是由于員工較低的安全意識，智能終端的脆弱性，使得攻擊者更喜歡由此進(jìn)入內(nèi)部系統(tǒng)。關(guān)鍵數(shù)據(jù)是攻擊者的目標(biāo)，也是公司的防護(hù)對象，因此對公司重要資產(chǎn)的監(jiān)視就成為防御和檢查威脅的關(guān)鍵部分。1）對象層的安全風(fēng)險(xiǎn)計(jì)算。這里，假設(shè)對象安全風(fēng)險(xiǎn)概率=威脅指數(shù)*脆弱性，對每個(gè)對象風(fēng)險(xiǎn)進(jìn)行量化。根據(jù)威脅指數(shù)Pt和脆弱性Pr，可以得到對象層的安全風(fēng)險(xiǎn)概率Po如下：Po=Pt*Pr（1）2）屬性層的安全狀況感知合成。由對象層各子對象的威脅屬性共同決定，所以屬性層的安全概率風(fēng)險(xiǎn)為各屬性對象風(fēng)險(xiǎn)概率的聯(lián)合概率函數(shù)，第i個(gè)屬性pi的安全風(fēng)險(xiǎn)概率為：PPi=1-?（1-Poij）（2）式中Poij為根據(jù)式（1）計(jì)算得到的屬性pi的對象oij的安全風(fēng)險(xiǎn)指數(shù)；m為屬性pi的對象總數(shù)。3）整個(gè)網(wǎng)絡(luò)的安全態(tài)勢感知融合。由所有屬性安全狀況決定，所以整個(gè)網(wǎng)絡(luò)的安全態(tài)勢為：P=1-?（1-PPi）（3）式中PPi為根據(jù)式（2）計(jì)算出的屬性pi的風(fēng)險(xiǎn)指數(shù)；n為網(wǎng)絡(luò)中考慮的屬性個(gè)數(shù)。4.2安全信息共享和安全協(xié)作在如今的威脅環(huán)境下，任何一方都不可能期望孤立地保護(hù)自己。對抗APT，國家政府部門、企業(yè)、安全廠商、科研機(jī)構(gòu)、公共互聯(lián)網(wǎng)用戶需要相互合作，分享信息，建立互信交流機(jī)制。全球公司需要參與到國家甚至是國際交流，目前，很多國家或地區(qū)都已提供了相應(yīng)的平臺，例如北美的信息分享和分析中心（ISACs）。我國也于2009年10月成立了國家信息安全漏洞共享平臺（ChinaNationalVulnerabilityDatabase，CNVD），建立軟件安全漏洞統(tǒng)一收集驗(yàn)證、預(yù)警發(fā)布及應(yīng)急處置體系。趨勢科技創(chuàng)建的威脅情報(bào)資源（ThreatIntelligenceResource）也為信息、系統(tǒng)和網(wǎng)絡(luò)管理者提供關(guān)于APT攻擊最新、最可靠的研究和分析。釣魚郵件一直是業(yè)界難以解決的一個(gè)問題，2012年1月，由谷歌（Google）、微軟（Microsoft）、雅虎（Yahoo?。┑?5家行業(yè)巨頭聯(lián)手宣布成立了新的互聯(lián)網(wǎng)聯(lián)盟，致力于提交并推廣一款新的電子郵件安全協(xié)議DMARC，為通過各個(gè)郵件服務(wù)提供商之間的協(xié)作消除釣魚郵件提供了重要的途徑。本文作者在文獻(xiàn)中也曾探討了漏洞信息的共享問題，考慮了安全廠商之間、漏洞信息源之間、安全產(chǎn)品廠商與漏洞信息源之間的信息共享問題，并提出了一種漏洞統(tǒng)一描述語言，能夠整合漏洞信息，解決多廠商、多部件的協(xié)同工作問題。信息分享機(jī)制需要更加實(shí)時(shí)，這樣一旦識別某個(gè)攻擊模式，其它企業(yè)就可以利用這些信息調(diào)整自己的防御策略。但是行業(yè)和政府因?yàn)榉N種原因并不愿意分享威脅信息。在信息交流中，很多組織希望獲得威脅情報(bào)，卻很少有組織愿意分享自己的信息。因此，解決當(dāng)前問題需要政府清除信息分享的障礙。例如政府可以規(guī)定超過一定規(guī)模或與關(guān)鍵設(shè)施有關(guān)系的公司都需要參與到一個(gè)可以信任的團(tuán)體（如CNVD）。一個(gè)切實(shí)可行的方案是確保組織可以匿名參與，這樣也可以保護(hù)組織的相關(guān)信息。5結(jié)束語APT攻擊不斷被發(fā)現(xiàn)，傳統(tǒng)網(wǎng)絡(luò)安全防御體系很難防范此類攻擊，由此給國家、社會、企業(yè)、組織及個(gè)人造成了重大損失和影響。本文針對近幾年典型的APT攻擊，分析了攻擊的產(chǎn)生背景、技術(shù)特點(diǎn)和一般流程，比較了其與傳統(tǒng)網(wǎng)絡(luò)攻擊的特殊性。APT攻擊的目標(biāo)明確性和手段多樣性，提示我們，徹底防御APT攻擊被認(rèn)為是不可能的，重視組織面臨的攻擊風(fēng)險(xiǎn)評估，建立新的安全防御體系，重點(diǎn)保護(hù)關(guān)鍵數(shù)據(jù)應(yīng)當(dāng)成為共識。為此，提出了建立一種新的安全防御體系，即安全設(shè)備的聯(lián)動、安全信息的共享、安全技術(shù)的協(xié)作。文中給出了基于社會屬性、應(yīng)用屬性、網(wǎng)絡(luò)屬性、終端屬性及文件屬性的多源態(tài)勢感知模型，以及安全信息共享和安全協(xié)作的途徑。APT攻擊的防御任重道遠(yuǎn)，目前安全企業(yè)給予了更多的關(guān)注，學(xué)者們也需要積極行動起來，一同探討APT攻擊的防御之道。參考文獻(xiàn)Wiki.GhostNet[EB/OL].http：///wiki/GhostNet.Wiki.OperationAurora[EB/OL].http：///wiki/Operation_Aurora.Wiki.Stuxnet[EB/OL].http：///wiki/Stuxnet.CovielloA.OpenLettertoRSACustomers[EB/OL].http：///node.aspx？id=3872.Symantec.W32.Duqu：ThePrecursortotheNextStuxnet[EB/OL].http：///connect/w32_duqu_precursor_next_stuxnet.Wiki.Flame（malware）[EB/OL].http：///wiki/Flame_（malware）.N.AllisonM，BhimaniA，BoniW，etal.WhenAdvancedPersistentThreatsGoMainstream[R].America：RSA，2011.McAfeeLabsandMcAfeeFoundstoneProfessionalServices.ProtectingYourCriticalAssets[R].America：McAfee，2010.CommandFivePtyLtd.AdvancedPersistentThreats：ADecadeinReview[R].Australia：CommandFivePtyLtd，2011.劉婷婷.APT攻擊悄然來襲，企業(yè)信息面臨“精準(zhǔn)打擊”[J].信息安全與通信保密，2012（3）：39-40.LIUTingting.APTattacksarecreepingup,enterpriseinformationfacing“precisionstrike”[J].InformationSecurityandCommunicationsPrivacy，2012（3）.（inChinese）.瑞星.全面解析APT攻擊過程全貌，為企業(yè)排除安全疑惑[EB/OL].http：///safe/2012-07-06/11866.html.張帥.對APT攻擊的檢測與防御[J].信息安全與技術(shù)，2011（09）：125-127.ZHANGShuai.TheDetectionandDefenseaboutAPTAttack[J].Informationsecurityandtechnology，2011（09）：125-127.（inChinese）.周濤.大數(shù)據(jù)與APT攻擊檢測[J].信息安全與通信保密，2012(7)：23.ZHOUTao.TheBigDataandAPTdetection[J].InformationSecurityandCommunicationsPrivacy，2012(7)：23.(inChinese).肖新光.APT對傳統(tǒng)反病毒技術(shù)的威脅和我們的應(yīng)對嘗試[EB/OL].http：///antiy_seak/article/details/8254080.LiF，LaiA，DdlD.EvidenceofAdvancedPersistentThreat：Acasestudyofmalwareforpoliticalespionage[C]//Proceedingsof6thIEEEInternationalConferenceonMaliciousandUnwantedSoftware，F(xiàn)ajardo，PR，USA，2011:102-109.SoodA.K，EnbodyR.J.TargetedCyberAttacks：ASupersetofAdvancedPersistentThreats[C]//ProceedingsofIEEESecurityandPrivacyMagazine,2012.陳劍鋒，王強(qiáng)，伍淼.網(wǎng)絡(luò)APT攻擊及防范策略[J].信息安全與通信保密，2012(7)：24-27.CHENJianfeng，WANGQiang，WUMiao.Network-basedAPTAttackandDefenseStrategies[J].InformationSecurityandCommunicationsPrivacy，2012(7)：24-27(inChinese).LockeGary，GallagherP.ManagingIn-formationSecu