本文转载自微信公众号：CETC 

通讯员 林俊     记者 杨晓艾

乌镇峰会上，中国电科发布了APT高级威胁监测产品，从多方面、多手段应对APT攻击，保障网络信息安全。

互联网时代，网络在为人们获取和交流信息提供便利的同时,也带来了极大的安全隐患。据悉，APT攻击就是当前网络安全面临的主要威胁之一。APT攻击与一般的网络攻击不同，采用了先进的攻击手段和技巧对特定目标进行长期的定向渗透和数据窃取。

传统安全手段如防火墙，入侵检测设备，反病毒软件等是通过特征检测的手段进行防御的，即在已知攻击样本的基础上，采集特征码，对收集的环境数据进行匹配、检测和识别。而APT攻击则是对目标进行专门的情报收集和漏洞研究，使用从未公布过的攻击手段，从而造成“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在目标网络里面，一旦有事就发作。所以使用传统安全手段无法对APT攻击进行有效的防御。

 APT攻击手段往往需要利用精准的社工情报、定向的攻击手段和高级的渗透技巧，来实现对目标的长期性、持续性的控守，或获取数据资产，或执行破坏任务，其攻击成本很高，所以通常会选择党政、军队、金融、能源、交通、大型企业等国家关键信息基础设施有价值的 “猎物”进行攻击。

如何监测未知威胁？

如何发现潜在攻击？

如何降低安全风险？

国家与行业亟需建设高级威胁感知能力。围绕关键信息基础设施安全保障体系的建设，中国电科发布了高级威胁监测产品，提供针对 APT攻击的监测、分析一体化解决方案。

寻丝觅迹获线索，感知全网悉态势

针对APT诱导用户、渗入系统、安装后门、建立隐蔽通道、尝试窃取机密的复杂攻击链，高级威胁监测系统基于40Gbps的海量数据收集能力，通过多级分布式的部署方式，以DNS异常解析模型、DGA检测模型、HTTP隐蔽流量模型等机器学习手段APT高级威胁监测系统集成了行为仿真、机器学习、态势感知、情报联动和追踪溯源等核心能力，建立了覆盖事前预警、事中监测和事后追溯的监测预警体系，开展对全网已知威胁和异常行为的全面检测，发现整个攻击链中的蛛丝马迹和关联关系，获取攻击线索，还原攻击过程，感知全网威胁态势。

动态检测速识别，处置威胁响应快

针对APT攻击目的性强，往往采用定向攻击手段的方式，高级威胁监测系统能够基于被保护网络中的IT资产情况，开展行为仿真分析，对捕捉的文件样本进行网络行为、文件行为等的动态检测，以指令级的分析粒度，强化在本地对未知威胁的快速识别能力，从而大大缩短对未知威胁的响应处置时间。

巧用情报追溯源，潜在威胁无处藏

针对APT攻击组织化，有预谋的特点，高级威胁监测系统配置威胁情报功能，通过对黑客指纹、恶意域名、恶意IP、恶意样本等各类威胁情报的有效利用，快速暴露网络中存在的已知安全威胁。在增强自身协同防御能力的同时，利用威胁情报开展追踪溯源分析，让攻击者无处遁形。

作为关键信息基础设施安全保障体系的重要组成，高级威胁监测系统将以“找线索，循过程，查证据，追源头”为其使命，通过态势感知、行为分析、威胁情报和追踪溯源等体系化对抗手段，持续增强关键信息基础设施遭受APT攻击时的应对能力。

责编 陈清杰

校对 杨晓艾

• 《中国电子科学研究院学报》欢迎各位专家、学者赐稿！投稿链接

• 电话：010-68893411

• 邮箱：dkyxuebao@vip.126.com