基于APT入侵的网络安全防护系统模型及其关键技术研究

2.1 安全防护模型技术

整个安全防护服务模型采用静态检测和动态分析的技术手段实时对网络数据包全流量监控。静态检测主要是检测APT攻击的模式及其行为，审计网络带宽流量及使用情况，对实时获取的攻击样本进行逆向操作，对攻击行为进行溯源并提取其功能特征。动态分析主要是利用所构建的沙箱模型对网络传输文件进行关键字检测，对Rootkit、Anti-AV等恶意程序实施在线拦截，对邮件、数据包和URL中的可疑代码实施在线分析，利用混合型神经网络和遗传算法等检测技术对全流量数据包进行深度检测，结合入侵检测系统审核文件体，分析系统环境及其文件中异常结构，扫描系统内存和CPU的异常调用。在关键位置上检测各类API钩子和各类可能注入的代码片段。

2.2 安全防护模型结构

用户终端层是整个模型的基础设施层，它主要由用户身份识别，利用基于用户行为的访问控制技术对用户的访问实施验证和控制，结合用户池和权限池技术，访问控制系统可以精确地控制管理用户访问的资源和权限，同时访问者根据授权和访问控制原则访问权限范围内的信息资源。

网络建模层是整个安全防护模型的核心。由内网资源表示模型和多种安全访问控制服务模型共同构成。

采用对内部资源形式化描述和分类的内网资源表示模型为其他安全子模型提供了基础的操作平台。结合安全存储、信息加密、网络数据流监控回放、操作系统安全、入侵检测和信息蜜罐防御，以整个内网资源为处理目标，建立基于访问控制技术的多维度安全防御保障体系。

安全应用层是整个安全防护模型的最高层，包括操作审计、日志审查、病毒防御、识别认证、系统和网络管理等相关应用扩展模块。在用户终端层和网络建模层的基础上构建整个安全防护系统的安全防护服务。

基于APT入侵建立安全防护模型，最关键的就是在现有安全模型上建立用户身份识别，用户行为管控和网络数据流量监控的机制，建立安全防护模型的协议和标准的安全防御体系，并为整个安全解决方案和网络资源安全实现原型。

3 网络安全防护的关键技术

3.1 基于网络全流量模块级异域沙箱检测技术

原理是将整个网络实时流量引入沙箱模型，通过沙箱模型模拟网络中重要数据终端的类型和安全结构模式，实时对沙箱系统的文件特征、系统进程和网络行为实现整体监控，审计各种进程的网络流量，通过代码检查器扫描威胁代码，根据其危险度来动态绑定监控策略。利用动态监控对跨域调用特别是系统调用以及寄存器跳转执行进行监控和限制，避免由于威胁代码或程序段躲过静态代码检查引起的安全威胁。但整个模型的难点在于模拟的客户端类型是否全面，如果缺乏合适的运行环境，会导致流量中的恶意代码在检测环境中无法触发，造成漏报。

3.2 基于身份的行为分析技术

其原理是通过发现系统中行为模式的异常来检测到入侵行为。依据正常的行为进行建模，通过当前主机和用户的行为描述与正常行为模型进行比对，根据差异是否超过预先设置的阀值来判定当前行为是否为入侵行为，从而达到判定行为是否异常的目的。其核心技术是元数据提取、当前行为的分析，正常行为的建模和异常行为检测的比对算法，但由于其检测行为基于背景流量中的正常业务行为，因而其阀值的选择不当或者业务模式发生偏差可能会导致误报。

3.3 基于网络流量检测审计技术

原理是在传统的入侵检测机制上对整个网络流量进行深层次的协议解析和数据还原。识别用于标识传输层定义的传输协议类型，解析提取分组中所包含的端口字段值，深度解析网络应用层协议信息，寻找符合特定的特征签名代码串。利用网络数据层流量中交互信息的传输规律，匹配识别未知协议，从而达到对整个网络流量的数据检测和审计。利用传统的入侵检测系统检测到入侵攻击引起的策略触发，结合全流量审计和深度分析还原APT攻击场景，展现整个入侵行为的攻击细节和进展程度。

3.4 基于网络监控回放技术

原理是利用云存储强大的数据存储能力对整个网络数据流量进行在线存储，当检测到发生可疑的网络攻击行为，可以利用数据流量回放功能解析可疑攻击行为，使整个基于时间窗的网络流量监控回放技术形成具有记忆功能的入侵检测机制，利用其检测机制确认APT攻击的全过程。比如可以对网络传输中的邮件、可疑程序、URL中的异常代码段实施检测分析，监控整个网络中异常加密数据传输，从而更快地发现APT攻击行为。

若发生可疑行为攻击漏报时，可以依据历史流量进行多次分析和数据安全检测，形成更强的入侵检测能力。由于采用全流量的数据存储，会显着影响高速的数据交换入侵检测中其系统的检测处理和分析能力，在这方面可能还存在一定的技术差距。

4 结语

用传统的入侵检测手段很难检测到APT攻击。因此检测的策略是要在大量网络数据中发现APT攻击的蛛丝马迹，通过沙箱模型、网络流量检测审计和网络监控回放技术结合入侵检测系统和信息蜜罐技术，形成基于记忆的智能检测系统，利用网络流量对攻击行为进行溯源操作，结合工作流程对相关数据进行关联性分析，提高对APT攻击的检测能力，及时发现网络中可能存在的APT 攻击威胁。在下一步工作中，要结合当前云技术，在企业内部搭建专属的私有安全网络，建立可信程序基因库，完善私有云在防范APT攻击的应用。