網絡運行維護中防范高級持續性攻擊設計研究

遲國靖

摘? 要：隨著軍隊信息化建設的不斷發展，各類信息網絡在軍事中的應用日趨廣泛，與此同時，軍事網絡安全威脅也日益嚴峻。本文探討了APT攻擊的特點和原理，在此基礎上，構建了APT攻擊防御模型，結合防御模型，設計提出了APT攻擊防御系統與安全措施，包括入侵防御系統、攻擊潛伏防御系統和攻擊破壞防御系統等。相信對從事相關工作的同行能有所裨益。

關鍵詞：網絡? 安全防護? 持續性攻擊? APT安全措施

中圖分類號：TP393.1? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2020）08（c）-0117-03

Abstract： With the continuous development of military information construction， all kinds of information networks are widely used in the military. At the same time， the threat of military network security is becoming increasingly serious. This paper discusses the characteristics and principles of apt attack. On this basis， the apt attack defense model is constructed. Combined with the defense model， apt attack defense system and security measures are designed， including intrusion prevention system， attack latency defense system and attack damage defense system. It is believed that it will be beneficial to the colleagues engaged in related work.

Key Words： Network; Security protection; Persistent attack; AptSecurity measures

我國軍事網絡安全防護體系已初具規模和能力，但應對大規模、高強度網絡攻擊的能力仍較為薄弱，特別是在應對以高級持續性威脅（Advanced Persistent Threat，APT）攻擊為主要形式的網絡作戰上，還存在著較大差距。

1? APT攻擊特點與原理

1.1 APT攻擊特點

與傳統的網絡攻擊相比，APT攻擊具有以下顯著特點。

（1）目標的針對性：在西方國家網絡霸權思想影響以及相關戰略資助下，APT攻擊經常以我國國防部門、軍事機構、軍工單位等具有戰略戰術意義的重要部門為目標，并以竊取敏感情報、破壞目標系統為目的。

（2）攻擊的持續性：APT攻擊者在選定軍事網絡目標后，會長時間地持續滲透，長期潛伏搜集各種敏感信息，挖掘其中漏洞，再制定針對性的試探攻擊方法，并進行長時間的反復攻擊，以獲得最有價值的攻擊效果。

（3）力量的專業性：對軍事網絡的攻擊者一般受國家或大型組織操控，由具有豐富經驗的黑客團伙實施，可投入持續、大量的人力、物力和財力資源。

（4）方式的多態性：APT攻擊方式既包括病毒、木馬植入等傳統入侵手段，也包括SQL注入、0day漏洞等較先進手段，甚至結合社會工程學、軍事外交等各種線下手段。

1.2 APT攻擊原理

APT攻擊過程一般包括探測、入侵、潛伏和破壞4個階段，具體分為情報收集、侵入網絡、指揮控制、深入滲透、目標挖掘、實施攻擊等6個步驟。

2? APT攻擊防御體系模型

由APT攻擊原理可知，攻擊是分階段、逐步推進的，可圍繞APT攻擊周期建立多重防御體系，覆蓋攻擊的主要環節以有效攔截攻擊行為。因此，根據“信息安全分級保護、嚴控信息外泄，邊界防護立體多元、截斷入侵途徑，信息內容審計可控、追蹤可疑活動，網絡要素真假并存、誘騙攻擊現形，重要設施容災備份、提高抗毀能力”防御思想，構建了軍事網絡應對APT攻擊的多級防御模型，如圖1所示。

3? APT攻擊防御系統與安全措施

在APT攻擊的4個階段中，入侵、潛伏、破壞3個階段是有效應對APT攻擊的關鍵環節。根據圖1的APT攻擊防御體系模型，在這3個階段可針對性地設計防御系統并采取安全措施。

3.1 APT攻擊入侵防御系統

APT攻擊在入侵階段具有針對性強、方法靈活、手段多樣等特點，應根據“封鎖邊界、全域布控”的原則設計防御系統，并采取“禁入、拉網、補漏、阻斷”等安全措施。

⑴禁入——嚴格管控，防“敵”入侵。應防止惡意軟件、代碼入侵軍事組織用戶的個人設備以及軍事網絡系統，具體措施包括：①制度上嚴管。嚴格內外網隔離制度;不在互聯網泄露個人信息;嚴禁非注冊移動存儲載體處理涉密信息，接入內部網絡;嚴禁將涉密移動存儲載體帶出辦公區或送交非指定單位維修。②策略上嚴防。采用軍用、民用網絡安防結合，同防同治的策略，爭取第一時間發現安全隱患，堵住漏洞。

⑵拉網——構筑屏障，堵源截流。應防止APT攻擊隱蔽迂回進入軍事網絡內部，具體措施包括：①構筑縱深防御體系。綜合構筑集網絡/桌面防火墻、殺毒軟件、網絡入侵防護、安全審計、漏洞掃描（補漏洞）各類安全設備于一體，涵蓋應用、用戶、數據多層面的，由內到外、由淺至深、多級聯動的縱深防御體系，嚴防惡意代碼進入。②檢測非可信代碼。結合云殺毒技術，實現對軟件、代碼的可信檢測和可控執行，及時發現非法軟件及代碼，并在其運行前或運行過程中進行阻斷。

⑶補漏——查找漏洞，升級修補。應及時發現并修補軍事網絡安全漏洞，具體措施包括：①及時發現安全漏洞。將漏洞掃描與防火墻、入侵防護、安全審計等防護系統緊密聯動，及時發現可被利用和已被發現的系統漏洞。②全網聯動升級。利用大數據、云計算等技術分析漏洞原因，預測擴散范圍，及時對軍事網絡系統內的所有主機進行升級，防止APT攻擊入侵或擴大入侵面。

⑷阻斷——安全隔離，防患未然應通過隔離阻斷APT攻擊的指揮控制通路，具體措施為：針對軍事網絡高安全級別的特殊要求，遵循“凡是不可信的，均阻斷”的原則，利用可信程序、可信行為特征庫發現“異?！贝a和行為后，堅決加以阻止，對已被入侵的非重點主機實行斷網物理隔離。

3.2 APT攻擊潛伏防御系統

APT攻擊在潛伏階段通常以軍事網絡非關鍵節點為跳板滲透入侵核心系統和要害部位，應根據“誘敵深入、追蹤溯源”的原則設計防御系統，并采用“分區、佯動、遮斷、反擊”等安全措施。

⑴分區——分割區域，重點保護。應加強重要節點、敏感數據保護，具體措施包括：①對重要節點和一般節點進行分區，對重要節點和敏感數據進行重點防護。②一旦發現針對關鍵節點和敏感數據的攻擊意圖，應立即按照網絡防護預案，提升網絡安全防護等級，對網絡系統內的所有主機系統進行升級防護。

⑵佯動——虛實結合，隱真示假。應隱蔽偽裝軍事網絡，欺騙迷惑APT攻擊者，具體措施包括：①實體偽裝。綜合利用云計算、云存儲等技術全方位、多層次、立體、隱蔽、疏散配置計算機網絡路由、交換、主機設備，增大APT攻擊發現軍事網絡關鍵節點的難度，降低受攻擊破壞的概率。②信號偽裝。采用傳假態勢、發假指示、利用空閑信道傳輸信息等方式使真正有用的信息隱藏其中，使APT攻擊者難以接收處理正確信息。

⑶遮斷——封鎖隔斷，切斷交流。應切斷APT攻擊信息傳輸通道以封鎖控制信息交換、割斷控制脈絡，具體措施包括：①功率倍增法壓制。當發現APT攻擊采用無線控制信息通路時，可設立電子干擾臺（站）并施放大功率電磁干擾信息，使APT攻擊者無法正常收到或無法分離有用信息。②路由策略阻斷。當APT攻擊采用有線控制信息通路時，可采用路由策略等各種高級控制策略及時阻斷信息通路。

⑷反擊——先機制敵，以攻助防。應利用APT攻擊需長時間搜集信息的時間差發起反擊，削弱和破壞APT攻擊行動，具體措施包括：①追蹤溯源。在發現軍事網絡中受控的潛伏節點后，可結合國內外形勢對重點方向進行偵測和追蹤，揭露支持APT攻擊的國家或組織機構。②網絡戰反擊。發生網絡戰時可利用網絡病毒武器、電磁脈沖武器等軟、硬網絡戰武器對APT攻擊源實施反擊，削弱甚至破壞其攻擊能力。

3.3 APT攻擊破壞防御系統

在APT攻擊破壞階段，為確保關鍵部位安全，將損失減少到最小，應根據“隔離施救、備份保底”的原則設計防御系統，并采取“斷路、備份、補救”等安全措施。

⑴斷路——斷網破鏈，切斷通路。軍事網絡中一些沒有設防或安全防護級別較差的主機通常被設置成代理服務器，作為APT攻擊的“跳板機”。因此，一旦確認某臺主機被控制成為“跳板機”后，應立即切斷該主機與外界的網絡通路，并執行病毒查殺程序，使該主機無法將信息傳出或無法收到相關的指示信息，從而切斷APT攻擊的通路。

⑵備份——數據備份，防止癱瘓。軍事網絡受到APT攻擊后，容易造成軍事信息數據大面積破壞，為此應進行數據容災備份，具體措施包括：①對于核心網絡或信息系統中的數據采用遠程容災備份。當某一個節點受到APT攻擊時，及時通過網絡將備份在兩個或多個異地的數據，以同步遠程鏡像或異步遠程鏡像方式進行數據恢復，甚至還可通過網絡中另一個備份節點繼續進行信息處理與業務運行。②對于非核心網絡或信息系統中的數據采用本地容災備份。當節點被APT攻擊、重要數據遭到破壞時，可直接啟用本地系統備份的節點。

⑶補救——亡羊補牢，以防后患。遭受APT攻擊后，應盡快分析APT攻擊路徑、方法，進行針對性的應對及防范，具體措施包括：①及時對APT攻擊樣本進行逆向分析，從中提取攻擊特征與功能特性，從而定位攻擊者的地址等相關信息。②及時更新病毒庫、惡意站點列表和入侵檢測規則庫，修復已知的系統漏洞，完善防火墻、訪問控制等防護機制，避免再次遭受類似的APT攻擊。

4? 結語

高級持續性威脅以攻擊軍事網絡關鍵設施、竊取敏感軍事情報為目的，是一種有目的、有組織、有預謀的群體式定向攻擊，已成為最嚴重的軍事網絡安全威脅之一。通過分析軍事網絡APT攻擊的步驟及方法，建立了應對APT攻擊的多級防御體系模型，提出了系統、有效、具體的防御系統及安全措施，可構建面向APT攻擊的軍事網絡安全防護體系，為進一步提高軍事網絡安全防御能力提供參考和支撐。

參考文獻

[1] 宋曉峰.基于大數據引擎的軍事信息網絡安全防護系統[J].電子信息對抗技術，2019（5）：44-46.

[2] 王寶國.軍事網絡對抗安全預警技術探討[J].信息化建設，2016（3）：14-15.

[3] 王寶國.基于攻防博弈的軍事信息網絡安全風險評估[J].軍事運籌與系統工程，2020（1）：29-31.

[4] 楊天寶.網絡攻擊下的網絡控制系統安全策略研究[D].南京：南京郵電大學，2019.

[5] 劉嘉銘.蜂窩網絡下D2D物理層安全方案研究[D]. 南京：南京郵電大學，2019.

[6] 張雨平.公安網絡安全監管法律問題研究[D].長春：吉林大學，2019.