一种多层次融合的APT防御模型研究与构建
2016-08-17肖鸣
肖鸣
【摘要】 金融行业已经在交易、结算、分析等工作领域开发了信息化系统,积累了海量的金融机密数据,同时也成为黑客等非法人员攻击的热点目标。针对金融行业的信息系统、数据库进行APT攻击,具有持续性、渗透性、隐蔽性和未知性等特点,严重威胁金融行业系统安全。因此,构建一种多层次、融合的防御模型,实时地、主动地防御APT攻击,对提高金融行业系统防御能力具有重要意义。
【关键词】 APT 金融行业 网络安全 防御
一、引言
随着云计算、大数据、移动互联网等技术的快速发展,金融行业开发了许多信息化系统,比如证券交易管理系统、银行现金管理系统、央行结算管理系统等,为人们带来了极大的方便。但是,这些系统也容易成为黑客等非法人员的攻击目标,存在极大的安全隐患。随着APT技术的诞生和发展,金融行业系统安全及防御模型成为许多学者研究的热点,提出了多种安全防御技术,以提升金融信息系统的防御能力[1]。
二、APT攻击原理及特点
高级持续性威胁(Advanced Persistent Threat,APT)具有极强的针对性、隐蔽性、持续性,对金融行业信息系统的安全构成严重威胁[2]。攻击者利用金融企业或组织信任程序存在的漏洞,将木马、病毒嵌入到程序中,搜集目标主机、服务器的信息,这种攻击行为采用专业的黑客攻击软件,难以被信息安全软件检测到,APT可以利用数月、数年的时间观察、收集金融行业信息,逐渐渗透到金融企业内部系统,获取较高价值的信息,进行贩卖或交易,轻则影响企业安全和信誉,重则威胁国家金融系统。构建一个有效的防御系统,狙击APT攻击,具有重要的作用[3]。
(1)APT目标和途径。APT攻击的主要目标是金融行业有高级权限的员工、有价值的资产,攻击渠道较多,攻击渠道包括信息收集,获取金融机构组织架构、人际关系、网络架构、防护设备、资产存储等信息;利用社工发起试探,获取IM通讯记录、邮件等;利用0DAY技术实施针对性攻击,取得内部员工的控制权;渗透到目标核心资产,利用加密传输通道把数据外发,实现长期获取机密信息的目的。
(2)APT攻击防护思路。APT攻击防护思路包括安全需求分析、威胁模型分析、测试内容分析、安全测试预备、安全测试、安全报告等流程。
三、多层次融合APT攻击防御模型
(1)安全预警。安全预警可以分析金融信息系统自身是否存在APT可以利用的漏洞,辅助观察APT攻击行为、攻击趋势,实现攻击行为预警和趋势预警。金融信息系统拥有的子系统较多,每一个子系统都可能采用不同的架构、技术开发,这些系统集成在一起,难免会存在漏洞,比如系统集成接口漏洞、系统兼容性漏洞等,降低了系统的安全系数,为APT攻击留下了隐患。我们可以采用补丁修复、攻击行为预警、攻击趋势预警等方法,提高系统的防御能力。
(2)安全保护。金融行业信息系统采用了各种安全保护技术,包括杀毒软件、防火墙、网络入侵检测、应用防火墙、访问控制、防篡改、数据加密、数据泄露防护等,这些防御技术可以最大程度地保障金融行业系统数据的可靠性、完整性和机密性。
(3)安全分析。安全分析是多层次融合防御模型最为重要的一个环节,通过入侵监测、网络抓包等方法获取网络流量信息,分析数据包每一个字段的内容,利用上下文信息观察是否存在病毒、木马等攻击流量,构建日常网络访问模型区分异常流量,及时将威胁报告给管理员,快速发现潜在的APT威胁。
(4)安全响应。如果防御系统发现了APT攻击威胁的病毒、木马,可以采取安全保护措施,使用杀毒软件清除病毒或木马专杀工具杀灭木马,同时使用防火墙阻断通信传输,终止APT的持续性威胁。
(5)系统恢复。金融行业系统运行遭受APT攻击是不可避免的,一旦系统遭受攻击,系统管理人员应该采用系统恢复技术,尽可能地将损失降到最低。系统恢复技术主要包括备份和恢复两个阶段,数据备份包括数据离线备份、在线备份、增量备份;数据恢复技术包括定点恢复、全部恢复等,两者集成在一起,可以将系统恢复到一个未受到APT攻击的正常状态。
结束语:金融行业信息系统安全防御是一个动态的、自适应的调整过程,随着攻击技术的提高,安全防御也需要创新理念,坚持动静结合的原则,在防御系统引入更加先进的技术,防御APT攻击,提高金融信息安全防御能力。
参 考 文 献
[1] 付钰, 李洪成, 吴晓平,等. 基于大数据分析的APT攻击检测研究综述[J]. 通信学报, 2015, 36(11):1-14.
[2]杜跃进, 翟立东, 李跃,等. 一种应对APT攻击的安全架构:异常发现[J]. 计算机研究与发展, 2014, 51(7):1633-1645.
[3]许婷. 一种有效防范APT攻击的网络安全架构[J]. 信息安全与通信保密, 2013(6):65-67.