一、傳統安全檢測體系的挑戰

下一代的威脅已經流行，但由于攻擊的專業性和隱蔽性，其危害被大眾所認知還需要較長的時間。而其中最大的誤區在于，傳統的安全檢測體系能夠檢測到這些威脅，但是事實上，傳統安全檢測體系應對下一代威脅時，往往是失效的，傳統安全檢測體系廣泛使用的檢測技術有：

基于簽名的檢測技術

這類技術，廣泛使用于傳統殺病毒廠商、IDS、IPS廠商，其技術原理是通過獲取已經廣泛傳播的攻擊(漏洞、病毒、木馬)樣本，進行特征分析與提取，然后將特征寫入檢測產品中進行檢測，這種方式針對已知且長期大量傳播的攻擊比較有效，但是針對廣發使用0DAY漏洞、NDAY漏洞變形以及特馬以及病毒木馬變形的下一代威脅則很困難。2013年，SANS發布了一篇測評報告，報告選取了國際知名的主流傳統安全檢測設備(HP TippingPoint IPS、Check Point Firewall with IPS Blade、Palo Alto Networks Firewall、Cisco ASA with integrated IPS、Fortinet FortiGate、Snort (in-line mode using Security Onion)，通過一個5年前的老漏洞(MS08-067)進行變形來發起攻擊，以上主流設備無一能檢測到。(報告下載地址：http://www.sans.org/reading_room/whitepapers/intrusion/beating-ips_34137)，體現了傳統安全檢測技術在應對下一代威脅時的尷尬。

主動行為防御檢測技術

在實際運行環境中基于運行行為的主動防御式檢查，這類技術，主要使用在殺毒廠商的桌面防御系統上，但由于實時監控進程行為，會影響用戶使用;同時由于大量的誤報，需要用戶對安全非常了解來作出判定，很難適應企業級的需求。同時，攻擊者也研究出了不是對抗和繞過手段。#p#

二、新型威脅檢測技術

隨著APT攻擊從2009年開始被美國重視以來，國際安全廠商逐步提出了一些新的檢測技術并用于產品中，并且取得了良好的效果，這些技術逐步被重視，開始引領起下一代檢測技術的變革。主要有：

虛擬執行分析檢測

通過在虛擬機上執行檢測對抗，基于運行行為來判定攻擊。這種檢測技術原理和主動防御類似，但由于不影響用戶使用，可以最更深更強的檢測以及防止繞過和在虛擬機下層進行檢測。另外可疑性可以由對安全研究更深入的人員進行專業判定和驗證。國外多家廠商APT檢測的產品主要使用該技術。

內容無簽名算法檢測

針對內容深度分析發現可疑特征，再配合虛擬執行分析檢測。該技術需要對各種內容格式進行深入研究，并分析攻擊者負載內容的原理性特征。該技術可以幫助快速過濾檢測樣本降低虛擬執行分析檢測的性能壓力，同時虛擬執行分析檢測容易被對抗，而攻擊原理性特征比較難繞過。國外幾個最先進的APT檢測廠商檢測的產品里部分使用了該技術。

新的檢測技術面臨的問題

事實求是的說，新的威脅檢測技術產品使用后，再以前難以檢測的APT攻擊上，取得了比較明顯的效果，但應該看到：這些效果是在攻擊者還不知道該類產品和相關技術原理或取得的，而隨著這些APT攻擊檢測技術的日益走向前臺，攻擊者也清楚了對抗者的存在和對抗技術的原理，之后的對抗必然產生，而且現有的檢測技術在對抗上面，并不占有優勢，下面是一些可能APT對抗的手段分析：

◆邏輯執行對抗：攻擊者可以使用如觸發時間邏輯，觸發條件邏輯，檢測虛擬機環境等多種手段來對抗虛擬執行分析檢測。

◆云惡意對抗：攻擊者植入的是無惡意行為的代碼，通過檢測方難以知道的服務器端動態條件，選擇性的下載惡意代碼來執行以逃過檢測。

結論

APT攻擊的檢測與對抗，只是剛剛開始，還有很多很長的路需要走，這需要專業的研究和產品團隊，長期投入并研究攻擊者的手段并不斷改進新的檢測技術和方法，同時提供更加體系化的檢測架構，才能對抗APT攻擊帶來的挑戰。#p#

三、下一代安全檢測體系思想

即使不考慮人的意識與管理制度的問題，只基于現有IT系統的脆弱性，我們也很難再IT基礎架構上從根本上解決安全問題，現有IT基礎沒有客觀技術標準定義惡意行為，加上大量很少考慮安全的IT產品的廣泛部署和應用，注定APT攻擊的檢測與防御，其實是專業攻擊團隊與防御團隊，是人和人，在技術、安全理解與智力的對抗。對于檢測與防御者來說，短板在于必須兼顧用戶的可用性易用性與習慣意識，并要在沖突時做出重大退讓，而且企業IT環境的云化、移動化、軟件定義化必然帶來防御邊界的模糊，攻擊者進入路徑過多，難以面面俱到，同時要考慮攻擊者潛在可能的對抗手段以及后續帶來的對方成本和檢測成本。這就意味：難以期待一個萬能的藥方可以做到極致并全面解決問題，而建立一個縱深、立體的檢測體系，才能適應這種環境的變化。

下一代安全檢測體系，必須考慮基于如下角度來建立：

基于攻擊生命周期的縱深檢測體系

從攻擊者發起的攻擊生命周期角度，可以建立一個縱深檢測體系，覆蓋攻擊者攻擊的主要環節。這樣即使一點失效和被攻擊者繞過，也可以在后續的點進行補充，讓攻擊者很難整體逃逸檢測。

◆信息收集環節的檢測：攻擊者在這個環節，會進行掃描、釣魚郵件等類型的刺探活動，這些刺探活動的信息傳遞到受害者網絡環境中，因此可以去識別這類的行為來發現攻擊準備。

◆入侵實施環節的檢測：攻擊者在這個環節，會有基于漏洞利用的載體、木馬病毒的載體傳遞到受害者網絡環境中，因此可以去識別這類的行為和載體來發現攻擊發起。

◆木馬植入環節：攻擊者在這個環節，會釋放木馬并突破防御體系植入木馬。因此可以去識別這類的行為來發現入侵和入侵成功。

◆控制竊取與滲透環節：攻擊者在這個環節，會收集敏感信息，傳遞敏感信息出去，與控制服務器通訊，在本地滲透等行為。因此可以去識別已經受害的主機和潛在被攻擊的主機。#p#

基于信息來源的多覆蓋檢測

從攻擊者可能采用的攻擊路徑的角度，可以建立一個覆蓋廣泛的檢測體系，覆蓋攻擊者攻擊的主要路徑。這樣避免存在很大的空區讓攻擊者繞過，同時增加信息的來源度進行檢測。

◆從攻擊載體角度覆蓋：攻擊者發起攻擊的內容載體主要包括：數據文件、可執行文件、URL、HTML、數據報文等，主要發起來源的載體包括：郵件、HTTP流量和下載、IM通訊、FTP下載、P2P通訊。

◆雙向流量覆蓋：攻擊者在信息收集環節、入侵實施環節主要是外部進入內部的流量。但在木馬植入環節、控制竊取與滲透環節，則包含了雙向的流量。對內部到外部的流量的檢測，可以發現入侵成功信息、潛在可疑已被入侵的主機等信息。

◆從攻擊類型角度覆蓋：覆蓋主要的可以到達企業內容的攻擊類型，包括但不限于，基于數據文件應用的漏洞利用攻擊、基于瀏覽器應用的漏洞利用攻擊、基于系統邏輯的漏洞利用攻擊、基于XSS、CSRF的漏洞利用攻擊、惡意程序、信息收集于竊取、掃描、嗅探等。

◆從信息來源角度覆蓋：主要覆蓋網絡流來收集流量，但是考慮到加密流量、移動介質帶入的攻擊等方式，還需要補充客戶端檢測機制。同時為了發現更多的可疑點，針對主機的日志挖掘，也是一個非常重要的信息補充。#p#

基于攻擊載體的多維度檢測

針對每個具體攻擊載體點的檢測，則需要考慮多維度的深度檢測機制，保證攻擊者難以逃過檢測。

◆基于簽名的檢測：采用傳統的簽名技術，可以快速識別一些已知的威脅。

◆基于深度內容的檢測：通過對深度內容的分析，發現可能會導致危害的內容，或者與正常內容異常的可疑內容。基于深度內容的檢測是一種廣譜但無簽名檢測技術，讓攻擊者很難逃逸，但是又可以有效篩選樣本，降低后續其他深度分析的工作量。

◆基于虛擬行為的檢測：通過在沙箱中，虛擬執行漏洞觸發、木馬執行、行為判定的檢測技術，可以分析和判定相關威脅。

◆基于事件關聯的檢測：可以從網絡和主機異常行為事件角度，通過分析異常事件與發現的可疑內容事件的時間關聯，輔助判定可疑內容事件與異常行為事件的威脅準確性和關聯性。

◆基于全局數據分析的檢測：通過全局收集攻擊樣本并分析，可以獲得攻擊者全局資源的信息，如攻擊者控制服務器、協議特征、攻擊發起方式，這些信息又可以用于對攻擊者的檢測。

◆對抗處理與檢測：另外需要考慮的就是，攻擊者可以采用的對抗手段有哪些，被動的對抗手段(條件觸發)可以通過哪些模擬環境手段以達到，主動的對抗手段(環境檢測)可以通過哪些方式可以檢測其對抗行為。

下一代威脅檢測思想，就是由時間線(攻擊的生命周期)、內容線(信息來源覆蓋)、深度線(多維度檢測)，構成一個立體的網狀檢測體系，攻擊者可能會饒過一個點或一個面的檢測，但想全面地逃避掉檢測，則非常困難。

我們認為：只有逐步實現了以上的檢測體系，才是一個最終完備可以應對下一代威脅(包括APT)的下一代安全檢測體系。當然，對抗是逐步的，產品也是逐步的，新型的下一代威脅檢測產品會有一個逐步演化的過程。但只有最初的架構和演進的方向是明晰，且長期投入到APT攻防對抗實戰演練中的安全企業，才能實現