安全專家們均認(rèn)同高性能的盒內(nèi)與云端的沙盒技術(shù)是檢測潛在APT攻擊的有效手段。但是如何識別潛在的零日攻擊漏洞呢?

Fortinet發(fā)布導(dǎo)致潛在APT攻擊的漏洞與滲透最常用五種行為。

1. 隨機生成的IP地址。一些APT負(fù)載中包含了隨機生成IP地址字符串的功能，目的在于鋪墊進一步滲透的陷阱。

2. 命令與控制連接試探。 一旦滲透成功，APT攻擊會使用連接命令并進一步控制服務(wù)器從而竊取數(shù)據(jù)或發(fā)信號給僵尸網(wǎng)絡(luò)以進一步發(fā)動攻擊。檢測需要基于控制命令特征以及匯合區(qū)域的檢測。

3. 主機模擬。一個APT攻擊可能開始對其主機設(shè)備或應(yīng)用進行行為模擬，從而試圖逃避檢測技術(shù)。

4.Java腳本的模糊處理。記錄在案的APT案例已經(jīng)進化出無數(shù)模糊Java腳本代碼的真實意圖與目的的技術(shù)，從而進行惡意代碼的勾當(dāng)。

5. 加密流量。APT負(fù)載中嵌入的加密灰色軟件的趨勢使用所有的加密流量都橫亙在提高風(fēng)險評估的局面中。

Fortinet公司2012年底發(fā)布的FortiOS 5操作系統(tǒng)新增超過150項功能，主要集中在當(dāng)前企業(yè)以及公司機構(gòu)面臨的移動終端與應(yīng)用激增帶來的安全困擾與防御。FortiOS 5 中同時對APT的防御，設(shè)計了盒內(nèi)與云端的沙盒技術(shù)，對未知灰色軟件，執(zhí)行特有的“緊湊模式識別語言”處理，使用單一特征覆蓋超過50000種不同的病毒，包括零日攻擊的變種。