隨著APT攻擊從2009年開始被美國重視以來，國際安全廠商逐步提出了一些新的檢測(cè)技術(shù)并用于產(chǎn)品中，并且取得了良好的效果，這些技術(shù)逐步被重視，開始引領(lǐng)起下一代檢測(cè)技術(shù)的變革。主要有：

虛擬執(zhí)行分析檢測(cè)

通過在虛擬機(jī)上執(zhí)行檢測(cè)對(duì)抗，基于運(yùn)行行為來判定攻擊。這種檢測(cè)技術(shù)原理和主動(dòng)防御類似，但由于不影響用戶使用，可以最更深更強(qiáng)的檢測(cè)以及防止繞過和在虛擬機(jī)下層進(jìn)行檢測(cè)。另外可疑性可以由對(duì)安全研究更深入的人員進(jìn)行專業(yè)判定和驗(yàn)證。國外多家廠商APT檢測(cè)的產(chǎn)品主要使用該技術(shù)。

內(nèi)容無簽名算法檢測(cè)

針對(duì)內(nèi)容深度分析發(fā)現(xiàn)可疑特征，再配合虛擬執(zhí)行分析檢測(cè)。該技術(shù)需要對(duì)各種內(nèi)容格式進(jìn)行深入研究，并分析攻擊者負(fù)載內(nèi)容的原理性特征。該技術(shù)可以幫助快速過濾檢測(cè)樣本降低虛擬執(zhí)行分析檢測(cè)的性能壓力，同時(shí)虛擬執(zhí)行分析檢測(cè)容易被對(duì)抗，而攻擊原理性特征比較難繞過。國外幾個(gè)最先進(jìn)的APT檢測(cè)廠商檢測(cè)的產(chǎn)品里部分使用了該技術(shù)。

新的檢測(cè)技術(shù)面臨的問題

事實(shí)求是的說，新的威脅檢測(cè)技術(shù)產(chǎn)品使用后，再以前難以檢測(cè)的APT攻擊上，取得了比較明顯的效果，但應(yīng)該看到：這些效果是在攻擊者還不知道該類產(chǎn)品和相關(guān)技術(shù)原理或取得的，而隨著這些APT攻擊檢測(cè)技術(shù)的日益走向前臺(tái)，攻擊者也清楚了對(duì)抗者的存在和對(duì)抗技術(shù)的原理，之后的對(duì)抗必然產(chǎn)生，而且現(xiàn)有的檢測(cè)技術(shù)在對(duì)抗上面，并不占有優(yōu)勢(shì)，下面是一些可能APT對(duì)抗的手段分析：

◆邏輯執(zhí)行對(duì)抗：攻擊者可以使用如觸發(fā)時(shí)間邏輯，觸發(fā)條件邏輯，檢測(cè)虛擬機(jī)環(huán)境等多種手段來對(duì)抗虛擬執(zhí)行分析檢測(cè)。

◆云惡意對(duì)抗：攻擊者植入的是無惡意行為的代碼，通過檢測(cè)方難以知道的服務(wù)器端動(dòng)態(tài)條件，選擇性的下載惡意代碼來執(zhí)行以逃過檢測(cè)。

結(jié)論

APT攻擊的檢測(cè)與對(duì)抗，只是剛剛開始，還有很多很長(zhǎng)的路需要走，這需要專業(yè)的研究和產(chǎn)品團(tuán)隊(duì)，長(zhǎng)期投入并研究攻擊者的手段并不斷改進(jìn)新的檢測(cè)技術(shù)和方法，同時(shí)提供更加體系化的檢測(cè)架構(gòu)，才能對(duì)抗APT攻擊帶來的挑戰(zhàn)。