一種多層次融合的APT防御模型研究與構建

肖鳴

【摘要】 金融行業已經在交易、結算、分析等工作領域開發了信息化系統，積累了海量的金融機密數據，同時也成為黑客等非法人員攻擊的熱點目標。針對金融行業的信息系統、數據庫進行APT攻擊，具有持續性、滲透性、隱蔽性和未知性等特點，嚴重威脅金融行業系統安全。因此，構建一種多層次、融合的防御模型，實時地、主動地防御APT攻擊，對提高金融行業系統防御能力具有重要意義。

【關鍵詞】 APT 金融行業 網絡安全 防御

一、引言

隨著云計算、大數據、移動互聯網等技術的快速發展，金融行業開發了許多信息化系統，比如證券交易管理系統、銀行現金管理系統、央行結算管理系統等，為人們帶來了極大的方便。但是，這些系統也容易成為黑客等非法人員的攻擊目標，存在極大的安全隱患。隨著APT技術的誕生和發展，金融行業系統安全及防御模型成為許多學者研究的熱點，提出了多種安全防御技術，以提升金融信息系統的防御能力[1]。

二、APT攻擊原理及特點

高級持續性威脅（Advanced Persistent Threat，APT）具有極強的針對性、隱蔽性、持續性，對金融行業信息系統的安全構成嚴重威脅[2]。攻擊者利用金融企業或組織信任程序存在的漏洞，將木馬、病毒嵌入到程序中，搜集目標主機、服務器的信息，這種攻擊行為采用專業的黑客攻擊軟件，難以被信息安全軟件檢測到，APT可以利用數月、數年的時間觀察、收集金融行業信息，逐漸滲透到金融企業內部系統，獲取較高價值的信息，進行販賣或交易，輕則影響企業安全和信譽，重則威脅國家金融系統。構建一個有效的防御系統，狙擊APT攻擊，具有重要的作用[3]。

（1）APT目標和途徑。APT攻擊的主要目標是金融行業有高級權限的員工、有價值的資產，攻擊渠道較多，攻擊渠道包括信息收集，獲取金融機構組織架構、人際關系、網絡架構、防護設備、資產存儲等信息；利用社工發起試探，獲取IM通訊記錄、郵件等；利用0DAY技術實施針對性攻擊，取得內部員工的控制權；滲透到目標核心資產，利用加密傳輸通道把數據外發，實現長期獲取機密信息的目的。

（2）APT攻擊防護思路。APT攻擊防護思路包括安全需求分析、威脅模型分析、測試內容分析、安全測試預備、安全測試、安全報告等流程。

三、多層次融合APT攻擊防御模型

（1）安全預警。安全預警可以分析金融信息系統自身是否存在APT可以利用的漏洞，輔助觀察APT攻擊行為、攻擊趨勢，實現攻擊行為預警和趨勢預警。金融信息系統擁有的子系統較多，每一個子系統都可能采用不同的架構、技術開發，這些系統集成在一起，難免會存在漏洞，比如系統集成接口漏洞、系統兼容性漏洞等，降低了系統的安全系數，為APT攻擊留下了隱患。我們可以采用補丁修復、攻擊行為預警、攻擊趨勢預警等方法，提高系統的防御能力。

（2）安全保護。金融行業信息系統采用了各種安全保護技術，包括殺毒軟件、防火墻、網絡入侵檢測、應用防火墻、訪問控制、防篡改、數據加密、數據泄露防護等，這些防御技術可以最大程度地保障金融行業系統數據的可靠性、完整性和機密性。

（3）安全分析。安全分析是多層次融合防御模型最為重要的一個環節，通過入侵監測、網絡抓包等方法獲取網絡流量信息，分析數據包每一個字段的內容，利用上下文信息觀察是否存在病毒、木馬等攻擊流量，構建日常網絡訪問模型區分異常流量，及時將威脅報告給管理員，快速發現潛在的APT威脅。

（4）安全響應。如果防御系統發現了APT攻擊威脅的病毒、木馬，可以采取安全保護措施，使用殺毒軟件清除病毒或木馬專殺工具殺滅木馬，同時使用防火墻阻斷通信傳輸，終止APT的持續性威脅。

（5）系統恢復。金融行業系統運行遭受APT攻擊是不可避免的，一旦系統遭受攻擊，系統管理人員應該采用系統恢復技術，盡可能地將損失降到最低。系統恢復技術主要包括備份和恢復兩個階段，數據備份包括數據離線備份、在線備份、增量備份；數據恢復技術包括定點恢復、全部恢復等，兩者集成在一起，可以將系統恢復到一個未受到APT攻擊的正常狀態。

結束語：金融行業信息系統安全防御是一個動態的、自適應的調整過程，隨著攻擊技術的提高，安全防御也需要創新理念，堅持動靜結合的原則，在防御系統引入更加先進的技術，防御APT攻擊，提高金融信息安全防御能力。

參 考 文 獻

[1] 付鈺， 李洪成， 吳曉平，等. 基于大數據分析的APT攻擊檢測研究綜述[J]. 通信學報， 2015， 36（11）：1-14.

[2]杜躍進， 翟立東， 李躍，等. 一種應對APT攻擊的安全架構：異常發現[J]. 計算機研究與發展， 2014， 51（7）：1633-1645.

[3]許婷. 一種有效防范APT攻擊的網絡安全架構[J]. 信息安全與通信保密， 2013（6）：65-67.