要检测恶意代码,最具挑战性的就是利用0day漏洞的恶意代码 。因为是0day,就意味着没有特征,传统的恶意代码检测技术就此失效 。
沙箱技术简单说就是构造一个模拟的执行环境,让可疑文件在这个模拟环境中运行起来,通过监控可疑文件所有的真正的行为(程序外在的可见的行为和程序内部调用系统的行为)判断是否为恶意文件 。
沙箱技术的模拟环境可以是真实的模拟环境,也可以是一个虚拟的模拟环境 。而虚拟的模拟环境可以通过虚拟机技术来构建(KVM),或者通过一个特制程序来虚拟(Docker) 。
2、基于异常的流量检测技术——IDS(已知的特征库的检测)
传统的IDS都是基于特征的技术去进行DPI分析(入侵检测系统),检测能力的强弱主要看ids库的能力(规则库要广泛还要及时更新),主要是安全分析人员要从各种开源机构或自发渗透挖掘出利用代码或恶意代码,来加入ids规则库来增强检测能力 。这种防御技术的方法显而易见对已知的网络威胁检测时可以的,对未知的威胁就尴尬了 。
面对新型威胁,有的ids也加入了DFI技术,来增强检测能力 。基于Flow,出现了一种基于异常的流量检测技术,通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通讯,以及信息渗出 。本质上,这是一种基于统计学和机器学习的技术 。
3、全包捕获与分析技术
应对APT攻击,需要做好最坏的打算 。万一没有识别出攻击并遭受了损失怎么办?对于某些情况,我们需要全包捕获及分析技术(FPI) 。
借助天量的存储空间和大数据分析(BDA)方法,FPI能够抓取网络中的特定场合下的全量数据报文并存储起来,进行历史分析或者准实时分析 。通过内建的高效索引机制及相关算法,协助分析师剖丝抽茧,定位问题 。
有了全流量然后用机器学习—检测建模—数据挖掘—引擎分析,做全面的大数据安全分析 。
4、信誉技术
信誉技术早已存在,在面对新型威胁的时候,可以助其他检测技术一臂之力 。无论是WEB URL信誉库、文件MD5码库、僵尸网络、恶意IP、恶意邮件,还是威胁情报库,都是检测新型威胁的有力武器 。而信誉技术的关键在于信誉库的构建,这需要一个强有力的技术团队来维护 。
一般是借助第三方情报平台:如国内的有"烽火台"、"微步在线"等,实时的收集互联网上的最新威胁情报,实时的更新情报库 。
5、关联分析技术
把前述的技术关联在一起,进一步分析的威胁的方法 。我们已经知道APT攻击是一个过程,是一个组合,如果能够将APT攻击各个环节的信息综合到一起,有助于确认一个APT攻击行为 。通过ids+情报+沙箱+机器学习等综合的判断网络数据是否有威胁 。
综合分析技术要能够从零散的攻击事件背后透视出真正的持续攻击行为,包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术,等等 。
6、安全人员的挖掘,提升安全防御技术
要实现对这种有组织隐蔽性极高的攻击攻击,除了监测/检测技术之外,还需要依靠强有力的专业分析服务做支撑,通过专家团队和他们的最佳实践,不断充实安全知识库,进行即时的可疑代码分析、渗透测试、漏洞验证,等等 。安全专家的技能永远是任何技术都无法完全替代的 。
文章插图
【黑客必学知识点---APT攻击详解】
推荐阅读
- 中国顶级黑客在国际上是什么样的水平?
- 高性能负载均衡知识点
- “黑客必杀技”Redis未授权访问漏洞的完美复现
- 黑客“御用”扫描神器W3AF
- 黑客“实战”内容之Redis未授权访问漏洞复现
- 黑客渗透提权过程解析
- 粉底|化妆师传授卡粉误区!过度去油、粉底用量都是关键,鼻翼、嘴角绝不卡粉技巧必学
- 初学者必学的几组瑜伽动作,开髋瘦腿同时进行,身材变得更婀娜了
- 跟潮汕人喝茶时必学茶话
- 黑客必学知识系列之access注入,带你深入了解黑客的世界