【IT168 专稿】APT(高级持续性安全威胁)目前已经成为信息安全领域最受业界关注的威胁，在全球范围内APT攻击所掀起的风波愈演愈烈，甚至是专业的安全厂商，也难易幸免。超级工厂病毒、极光、火焰这些耳熟能详的攻击代号，俨然已经成为许多政企行业的梦魇。

　　2014年初，FireEye发布的2013年高级威胁研究报告显示，在FireEye分析的39504次网络安全事件中，与APT攻击相联系的威胁占到4192次，平均每天11次;由新的恶意软件引发的APT攻击行为占到了17995次。报告还显示，窃取知识产权，窃听敏感政府通信和破坏国家安全相关网站的整体安全性成为主要的APT攻击影响。近日，安恒信息在其组织的应用安全研讨会上，也阐述了相同的观点，根据安全信息的观察，从2008年开始，来自APT攻击的威胁呈现放量增长的趋势。

▲

　　虽然我们发现，APT攻击的案例在增长，对攻击手段、目标、获利等研究让业界对APT了解的程度在不断提升，但遗憾是针对APT攻击防御的解决方案在市场上，让用户了解到的并不多，但越来越多的厂商加大了在APT攻击领域的研究和努力，毕竟是好事。

　　安恒信息于近日发布了新的APT攻击(网络战)预警平台，安恒信息通过对APT攻击所进行的大量分析，发现绝大多数APT攻击主要通过3种途径发起，包括：首先是通过发送带恶意附件邮件，利用恶意附件在员工电脑种植入后门，再通过员工电脑进行进一步带渗透;其次是直接攻击Web服务器，由于Web服务器经常存在严重的安全漏洞，所以黑客经常对Web服务器进行攻击，然后再利用Web服务器为跳板，对内部网络发起攻击;还有，就是使用欺骗或流量截获的方式直接对员工服务器发起攻击，利用员工电脑对内部网络发起攻击。

　　安恒信息还指出，APT攻击检测设备的一个主要能力是能够检测到0day(零日)攻击。静态检测无法检测到深度多攻击行为，而动态检测由于存在大量环境组合无法穷举，无法触发所有多行为。所以不应该使用任何一种单独的方法对目标进行检测。

　　安恒信息总裁范渊表示，“目前针对APT攻击，不同厂商的理解殊途同归，思考的角度十分相似，比如针对0day攻击的分析，基于web、文件和邮件的攻击检测，以及流量分析。”

　　范渊强调，“对APT攻击的防御是体系化的问题，所涉及的层面十分广泛。比如0day漏洞行为的分析，需要有专门的团队来做特征的识别，0day漏洞地下活跃期的掌握，这些都是对0day漏洞判断和感知的核心要素。”

　　据悉，安恒信息研究院与国内的许多知名互联网企业和国外的合作伙伴建立了完善的提醒和通知机制，不断挖掘和研究0day漏洞，在互动中加强经验的积累。

▲安恒APT攻击(网络战)检测流程

　　安恒信息明御APT攻击(网络战)预警平台能够对网络进行快速抓包分析，解析关键的协议。通过丰富手段进行分析并发现APT攻击，回溯定位APT攻击的发起人。流程是主动攻击检测、恶意流量攻击检测、已知漏洞的检测、0day漏洞检测、综合关联分析，通过综合关联分析判断APT攻击的行为和攻击路径。

　　安恒信息APT攻击(网络战)预警平台具备六大主要功能：深度协议解析、WEB应用攻击检测、邮件攻击检测、文件攻击检测、0day攻击检测、流量行为分析。企业可采用旁路部署方式，并按需选择Web检测、Mail检测、文件检测和综合管理等模块，具有完整的可视化、流量实时监控、关联分析和规划和攻击日志查询等特性。

　　据了解目前明御APT攻击(网络战)预警平台包括Web检测的DAS-ATP-1000W、DAS-ATP-3000W，Mail检测的DAS-ATP-1000M、DAS-ATP-3000M，文件检测的DAS-ATP-1000F、DAS-ATP-3000F和综合管理的DAS-ATP-1000P、DAS-ATP-3000P共4大系列产品。