當前，高級持續(xù)性威脅（APT，Advanced Persistent Threat）已成為各級各類網(wǎng)絡所面臨的主要安全威脅。它使網(wǎng)絡威脅從散兵游勇式的隨機攻擊變成有目的、有組織、有預謀的群體式攻擊，使傳統(tǒng)的以實時檢測、實時阻斷為主體的防御方式難以再發(fā)揮作用。因此，在對抗中，我們必須轉(zhuǎn)變思路，采取新的形式。

一、APT對傳統(tǒng)檢測技術(shù)形成的挑戰(zhàn)

正如其名稱所體現(xiàn)出來的含義，APT為傳統(tǒng)檢測技術(shù)帶來了兩大難題：

A（Advanced）難題：即高級入侵手段帶來的難題。相比傳統(tǒng)攻擊手法，APT攻擊具有單點隱蔽能力強、攻擊空間路徑不確定、攻擊渠道不確定等特點，使得傳統(tǒng)的基于特征匹配的邊界防御技術(shù)難以施效。

P（Persistent）難題：即持續(xù)性攻擊帶來的難題。典型的APT在攻擊時間上具有長持續(xù)性，一旦入侵成功則長期潛伏，尋找合適的機會外傳敏感信息，而在單個時間點上卻無明顯異常，使得基于單個時間點的實時檢測技術(shù)難以應對。

從博弈雙方看，攻方可借助跳板隱藏自身，在入侵成功后刪除目標主機上的日志信息，隱藏攻擊過程；對檢測方而言，只有在攻方與目標之間的通信鏈路是可控的。從鏈路中獲取的流量真實完整地記錄攻擊過程且不會被攻方躲避和篡改。從鏈路流量中檢測APT攻擊是可行的辦法，這也是當前的主流方案。

二、當前業(yè)內(nèi)APT檢測方案對比

沙箱方案：為解決特征匹配對新型攻擊的滯后性而產(chǎn)生的解決方案。其原理是將實時流量先引入虛擬機或沙箱，通過對沙箱的文件系統(tǒng)、進程、注冊表、網(wǎng)絡行為實施監(jiān)控，判斷流量中是否包含惡意代碼。同傳統(tǒng)的特征匹配技術(shù)相比，沙箱方案對未知惡意代碼具有較好的檢測能力，但其難點在于模擬的客戶端類型是否全面，如果缺乏合適的運行環(huán)境，會導致流量中的惡意代碼在檢測環(huán)境中無法觸發(fā)，造成漏報。

異常檢測方案；為解決特征匹配和實時檢測不足而產(chǎn)生的解決方案。其原理是通過對網(wǎng)絡中的正常行為模式建模而識別異常。核心技術(shù)包括元數(shù)據(jù)提取、正常行為建模和異常檢測算法。該方案同樣能夠檢測未知攻擊，但檢測效率依賴于背景流量中的業(yè)務模式，如果業(yè)務模式發(fā)生偏差，則會導致較高的漏報與誤報。

全流量審計方案：同樣是為解決傳統(tǒng)特征匹配不足而產(chǎn)生的解決方案。其原理是對鏈路中的流量進行深層次的協(xié)議解析和應用還原，識別其中是否包含攻擊行為。檢測到可疑攻擊行為時，在全流量存儲的條件下，回溯分析相關(guān)流量，例如可將包含的http訪問、下載的文件、及時通信信息進行還原，協(xié)助確認攻擊的完整過程。這種方案具備強大的事后溯源能力和實時檢測能力，是將安全人員的分析能力、計算機強大的存儲能力和運算能力相結(jié)合的完整解決方案。

上述異常檢測方案、全流量審計方案底層都要依靠大數(shù)據(jù)處理技術(shù)。通過對國際上主流產(chǎn)品的調(diào)研，我們發(fā)現(xiàn)目前此類產(chǎn)品的處理能力可支持10G帶寬及10TB級的海量存儲，以及對上千種協(xié)議的應用識別與深層解析，具備常見應用如HTTP頁面、流媒體、IM等的還原能力，同時具備規(guī)則匹配能力和異常檢測能力。

三、基于記憶的智能檢測系統(tǒng)

有了全流量審計，我們很自然地會面臨接下來的問題：傳統(tǒng)的檢測產(chǎn)品和平臺還有必要嗎？在全流量都被審計的前提下，還需要進行傳統(tǒng)的攻擊檢測嗎？

首先，需要全流量檢測，因為傳統(tǒng)的檢測技術(shù)只解決了"What"的問題，沒有解決"How"和"How Much"的問題。使用檢測產(chǎn)品雖然可以檢測到特定的攻擊，但檢測不到攻擊的細節(jié)（如：具體的攻擊流量是什么）及攻擊的進展程度（如：目標是否已被入侵）。通過全流量審計，這些問題都可以找到答案。

此外，也需要傳統(tǒng)檢測技術(shù)，因為在對全流量進行審計時，需在海量數(shù)據(jù)中找到分析任務的聚焦點。一個百兆的網(wǎng)絡，22個小時的流量就達1TB，如果沒有任何指示信息，在如此海量的數(shù)據(jù)中進行攻擊檢測猶如大海撈針。此時，傳統(tǒng)檢測技術(shù)的作用則類似于"觸發(fā)器"與"探照燈"，當檢測到APT行為的蛛絲馬跡時，結(jié)合全流量審計進行回溯與深度分析，則可建立完整的攻擊場景。

在全流量審計的輔助下，傳統(tǒng)的檢測產(chǎn)品將對歷史流量具備"記憶"能力，形成基于記憶的智能檢測系統(tǒng)，其檢測對象不再是實時時間點，而是歷史時間窗；對于漏報的攻擊行為，也可通過對歷史流量進行回溯審查的方式進行二次檢測和關(guān)聯(lián)分析，從而具備更強大的檢測能力。

總之，對于APT這種攻擊模式，傳統(tǒng)的檢測技術(shù)難以應對，我們的對抗策略是以時間對抗時間，對長時間、全流量數(shù)據(jù)進行深度分析，以解決傳統(tǒng)的特征匹配與實時檢測的不足。全流量存儲與現(xiàn)有檢測技術(shù)相結(jié)合，形成了新一代基于記憶的智能檢測系統(tǒng)，這使得我們可在長時間窗口上對流量進行回溯分析，提升對APT攻擊的檢測能力。