基于大數(shù)據(jù)的APT攻擊檢測(cè)

基于大數(shù)據(jù)的APT攻擊檢測(cè)概念高級(jí)持續(xù)性威脅（advancedpersistentthreat，APT）是指隱匿而持久的電腦入侵過(guò)程，通常由某些人員精心策劃，針對(duì)特定的目標(biāo)。其通常是出于商業(yè)或政治動(dòng)機(jī)，針對(duì)特定組織或國(guó)家，并要求在長(zhǎng)時(shí)間內(nèi)保持高隱蔽性。高級(jí)長(zhǎng)期威脅包含三個(gè)要素：高級(jí)、長(zhǎng)期、威脅。高級(jí)強(qiáng)調(diào)的是使用復(fù)雜精密的惡意軟件及技術(shù)以利用系統(tǒng)中的漏洞。長(zhǎng)期暗指某個(gè)外部力量會(huì)持續(xù)監(jiān)控特定目標(biāo)，并從其獲取數(shù)據(jù)。威脅則指人為參與策劃的攻擊。APT攻擊生命周期2013年，APT攻擊生命周期（美國(guó)Mandiant）：初始入侵

–使用社會(huì)工程學(xué)、釣魚(yú)式攻擊、零日攻擊，通過(guò)郵件進(jìn)行。在受害者常去的網(wǎng)站上植入惡意軟件（掛馬）也是一種常用的方法。站穩(wěn)腳跟

–在受害者的網(wǎng)絡(luò)中植入遠(yuǎn)程訪問(wèn)工具，打開(kāi)網(wǎng)絡(luò)后門(mén)，實(shí)現(xiàn)隱蔽訪問(wèn)。提升特權(quán)

–通過(guò)利用漏洞及破解密碼，獲取受害者電腦的管理員特權(quán)，并可能試圖獲取Windows域管理員特權(quán)。內(nèi)部勘查

–收集周遭設(shè)施、安全信任關(guān)系、域結(jié)構(gòu)的信息。橫向發(fā)展

–將控制權(quán)擴(kuò)展到其他工作站、服務(wù)器及設(shè)施，收集數(shù)據(jù)。保持現(xiàn)狀

–確保繼續(xù)掌控之前獲取到的訪問(wèn)權(quán)限和憑據(jù)。任務(wù)完成

–從受害者的網(wǎng)絡(luò)中傳出竊取到的數(shù)據(jù)。APT例子：震網(wǎng)病毒APT特點(diǎn)組織特點(diǎn)從APT攻擊事件分析來(lái)看，APT攻擊已突破傳統(tǒng)黑客小團(tuán)隊(duì)“作坊級(jí)協(xié)同”模式，上升為一種國(guó)家層面“組織級(jí)聯(lián)合”模式，攻擊數(shù)量、持續(xù)性和復(fù)雜性不斷增加攻擊目標(biāo)指向高價(jià)值資產(chǎn)或物理系統(tǒng)攻擊特點(diǎn)以“低和慢”模式運(yùn)行，同時(shí)使用用戶憑據(jù)或零日漏洞，其巨大的復(fù)雜性和逃避檢測(cè)能力，困擾著眾多安全領(lǐng)域?qū)＜?。“低模式”即網(wǎng)絡(luò)中保持低調(diào)“慢模式”即執(zhí)行過(guò)程長(zhǎng)。APT攻擊（如震網(wǎng)（Stuxnet）、毒區(qū)（