袁 艺 辛 超 向 坚

APT——更高的威胁？

袁 艺 辛 超 向 坚

内容提要：高级持续性威胁（APT）是当前渗透力和隐蔽性最强的网络攻击形式，对网络安全构成了严重威胁。本文通过剖析高级持续性威胁的主要特点、攻击机理，提出了强化用户安全意识、对用户行为进行信誉评级、重视分析网络传出流量、严格管控关键网络终端、经常实施攻击测试、长期跟踪分析、运用新型网络安全技术等应对高级持续性威胁的技术手段和措施。

关键词：军事情报 信息技术 高级持续性威胁 网络攻击 ［APT］

作者：袁艺，军事科学院作战理论和条令研究部博士后，上校；辛超，61906部队司令部参谋，上尉；向坚，军事科学院院务部警勤连连长，中尉

随着信息技术尤其是网络技术在军事领域的广泛运用，制网络权逐渐成为敌对双方相互争夺的焦点。以计算机病毒为代表的网络战武器越发受到人们的青睐。APT就是在这种环境下“扑面而来”的。

何方神圣

APT是“高级持续性威胁”（Advanced Persistent Threat）英文的首字母缩写，具体是指组织（特别是政府）或者小团体使用先进的网络攻击技术和手段，对国防、能源、电力、金融等关系到国家核心利益或国计民生的关键业务网，进行长期持续性渗透攻击的一种网络攻击形式。APT具有三个基本特征。

一是威胁的水平很高级。APT攻击者绝不是民间闲来无事进而炫耀技术的黑客，也不是只为攫取经济利益的网络犯罪分子，而是由政府或组织资助、支持的团队，甚至直接就是隶属于某个政府或组织的秘密部门。攻击者通常都有一个精心策划、构思缜密的特定攻击策略，并充分利用包括病毒、木马、网络钓鱼、社会工程学等在内的各种技术和非技术手段。APT攻击具有明确的目的性和针对性，其攻击对象是政府部门、国际组织、大型企业等高价值目标，而不是一个无关紧要的普通网民。

二是威胁具有可持续性。如前所述，由于APT攻击对象通常是防护严密的内部网络，攻击者在攻击触发前，会进行为期几个月甚至数年的精心准备，反复运用各种黑客技术或社会工程学手段，从目标网络相对容易着手的“边界”开始渗透，逐步熟悉目标网络环境，搜集应用程序与业务流程中的安全漏洞，刺探定位关键信息的存储位置与通信方式，一旦时机成熟，就会发动关键一击，实施破坏或窃取重要情报，需要时也可长期潜伏，持续获取情报。当然，这种“可持续性”并不否认攻击者会采取多点入侵方式，并采用自动化的专业攻击程序，以提高攻击速度和成功率，尽快达成攻击目的。

三是隐蔽性极强。APT攻击者通常是利用目标网络中受信任的应用程序漏洞来形成所需攻击路径，并借助僵尸网络以掩盖攻击源。攻击程序还会不断重新编译和利用加密来逃避检测，尽可能以假乱真，在合法流量的掩盖下行动，以至于许多网络安全设备和软件根本无法分辨出来。

经典案例

APT虽然尚处于“幼年期”，但却早已是“熟悉的陌生人”。很多著名的网络攻击案例中都能找到它的影子。

“震网”病毒攻击伊朗核设施就是APT攻击的代表作。《纽约时报》曾称，“震网”是“迄今为止，最复杂的网络武器，其目的是破坏别国基础设施”。著名的计算机代码分析专家郎格尔也认为，“震网”是一个异常高级的计算机病毒，仅用于实现控制功能的代码量就高达1.5万行，开发这样的病毒必须举一国甚至几国之力并花费数年时间才能完成，仅凭几个黑客要想开发这种病毒无异于痴人说梦。“震网”病毒是一个智能化的主体，它可以利用众多的全新漏洞，通过潜伏在U盘中进行传播，无须联接互联网，便可在工厂内部计算机系统之间穿行。只要电脑操作员将被病毒感染的U盘插入USB接口，这种病毒就会在不需要任何操作的情况下，取得电脑系统的控制权，这使得“震网”病毒的潜伏和传播都具有极佳的隐身性。据美国国家实验室一项秘密评估称，“震网”在对伊朗核设施实施攻击前已经潜伏在其核程序中达两年之久。

2012年5月，一种名为“火焰”的病毒疯狂来袭，一时震惊全球。其实，“火焰”病毒也是APT家族中的重要一员。“火焰”病毒是一种后门程序和木马病毒，同时又具有蠕虫病毒的特点，它的部分特征与“震网”病毒相似，但结构更复杂、危害更大。“火焰”病毒文件所占内存达20兆，其代码打印出来的纸张长度可达2400米，程序代码量是“震网”病毒的20倍、普通商业信息盗窃病毒的100倍，包含大约20个程序模块。如此多的代码用紧凑的编程语言进行编写，可便于更好地隐蔽，并已经成功规避100多种杀毒软件的查杀。国际电信联盟向联合国成员国发出警告，称“火焰”病毒是迄今最为强大的间谍工具。政府机构、大型企业的电脑系统一旦被感染，将迅速蔓延，面临机密信息泄露的风险。据了解，这种神秘病毒的危害程度超过了已知的其他任何一种电脑病毒，可实施包括检测网络流量、截获屏幕画面、记录音频对话、截获键盘输入等一系列复杂行动，被感染系统中所有数据都能通过链接传到病毒指定的服务器，让操控者一目了然。

此外，以谷歌和其他大约20家大公司为目标的“极光”攻击，针对美国政府、联合国、国际红十字会等组织，以及军工企业、能源公司、金融公司等企业的ShadyRAT攻击等，也都是APT攻击的典型案例。

如何应对

由于APT的复杂性和多样性，传统的严控网络边界的防御方法效果甚微，必须采取新的防御策略，扩大防御纵深，加强计算机网络的安全防护。

一是强化用户安全意识。“你不能阻止愚蠢行为发生，但你可以对其加以控制。”很多APT攻击往往通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能，能够降低整体安全风险，这是一项需要长期坚持的措施。

二是对用户行为进行信誉评级。传统网络安全解决方案采用的，是判断行为“好”或“坏”进而“允许”或“拦截”之类的策略，而APT攻击在开始时伪装成合法流量进入网络，得逞后再实施破坏。因此，需要对用户行为进行跟踪，并对其进行信誉评级，以确定其合法性。

三是重视分析网络传出流量。传统的网络防御重视通过分析判断传入流量，以防止和拦截攻击者进入内部网络，这对于截获某些攻击还是有效的，但对于APT，传输流量则更具危险性。如能有效监控分析网络传出流量，更易于检测到异常行为，并对机密信息的外泄实施拦截。

四是严格管控关键网络终端。攻击者通常只将入侵网络作为跳板和起点，其最终目的是要窃取关键网络终端中的数据信息。要想有效控制风险，防止核心机密信息泄露，严格管控网络终端仍是一项长期有效的保护措施。

五是经常实施攻击测试。聘请经验丰富的黑客和技术专家，模拟不明攻击者对内部网络反复进行攻击测试，从中发现系统漏洞和管理隐患，并综合采取各种技术和管理措施进行弥补，就能大大提高内部网络的安全性能。

六是进行长期跟踪分析。这是应对APT攻击“持续性”的有效方法。对于关键业务部门或单位，在网络安全记录审查方面，除日报、周报、月报外，时间更长的季报甚至年报所呈现出来的攻击趋势更为重要。APT攻击绝不是一次偶然或孤立的单一事件，应对尽可能长的网络安全记录进行持续跟踪观察，从中捕捉发现APT攻击的蛛丝马迹。

七是采用新型网络安全技术。当前，网络安全技术也在不断发展，“云安全”技术就是防御APT攻击的一种重要手段。传统的网络实时监测和管理工具，都是针对不同的网络平台，因为要审查所有事件和日志往往效率较低，这就给了攻击者更多的时间和机会实施入侵。如果利用“云安全”架构，将各种网络安全基础设施统一管理，并将网络安全报表和日志整合起来进行系统分析，能大大提高对APT攻击的发现概率。

当前，APT已经成为网络安全领域的一个热词。由于它并非小打小闹，一旦攻击成功便会造成严重的危害和损失，从而对被攻击国家的网络安全构成严峻挑战，因此愈发引起世界各国的广泛关注。

如果说每一次敲击键盘就等于击发一颗子弹，每一块CPU就是一架战略轰炸机的话，那么，实施APT攻击就好比在网络领域发动核攻击。鉴于其巨大的作战运用潜力和极强的计算机网络破坏力，在不久的将来，APT必将成为一个异常火爆的明星，在网络领域勇担“撒手锏”的角色。

（责任编辑：何 荷）

简 讯

山东省高唐县定向招聘退伍大学生

近两年，山东省高唐县通过定向招聘，有36名退伍大学生经过层层选拔，顺利录用到事业单位，占报考人数的35.3%。该县人武部以“拓宽退伍大学生的就业渠道”为重要抓手，同县委、县政府联合制定了《高唐县高校毕业生退役士兵优待安置暂行办法》。每年公开招聘事业单位工作人员时，预留岗位定向招聘三年内退伍的大学生士兵，并对高学历、立功、优秀士兵、任班长职务、参加重大平暴和救灾行动的，给予相应的加分。报考人员通过笔试、资格审查、面试、体检和政审后，按照总成绩择优录用，得到用人单位和退伍大学生的一致好评。该举措为进一步做好新形势下征兵工作创造了条件。

（李泽新 陶玉栋）

中图分类号：E9

文献标识码：B

文章编号：ISSN1002-4484（2015）04-0079-03