面向企业网的APT攻击特征分析及防御技术探讨

近年来,APT攻击成为信息安全业界的关注热点。针对APT攻击特征分析传统网络安全防御体系对其失效的原因,并在此基础上提出APT攻击防御方案。该防御方案包括基础安全防御和动态防御体系,力求构建从保护、检测、响应到恢复的信息安全防御体系。最后,对APT攻击给业界带来的影响进行了思考和展望。

基于M-FlipIt博弈模型的拟态防御策略评估

针对先进持久性威胁场景中模拟防御系统安全性能评估的不足,基于FlipIt博弈论模型,提出了一种改进的博弈模型。对不同的异构性条件下的拟态防御动态策略进行评估,并设计案例进行仿真分析。仿真结果表明,不定周期的轮换能够弥补异构性的不足,维持防御者较高的博弈收益。

基于攻防树的APT风险分析方法

针对目前缺少APT攻击中系统威胁风险评估理论模型的问题,提出了一种基于攻防树的网络攻击风险分析方法。将APT攻击过程分为攻击阶段与防护阶段,定义不同阶段内的参数计算方法,首先通过漏洞收集和攻击事件捕获构建攻击行为节点,并将防护对策映射为防护行为节点;其次形式化定义了漏洞成功利用概率、攻击成本、防护成本和系统损失度等参数,利用ADTool工具生成攻防树和节点参数值;然后引入攻击回报与防护回报的概念,作为系统风险分析的依据;最后构建了基于攻防树的攻击风险分析框架,并通过一个APT攻击实例对框架效果进行了验证。计算结果表明,可通过攻击回报等参数数值的变化评估采取防护对策的效果。该方法对攻防双方策略互相影响的场景描述更加贴近实际,实现了系统威胁风险度分析与防护策略效果评估的目的。

一种基于动态污点的内存越界访问检测框架

基于软件漏洞的APT(advanced persistent threat)攻击是目前互联网终端用户面临的最大安全威胁之一.传统的基于样本的检测方法往往滞后于攻击行动,无法在攻击发生时准确阻止攻击行为.针对悬浮指针(dangling pointer,DP)及索引溢出(index overflow,IOF)两类常见漏洞错误,通过分析漏洞的形成机理及防护条件下漏洞利用过程,提出一种针对上述两种错误的自动检测框架.该框架以二进制动态分析平台Pin为基础,使用动态插桩技术和污点技术,通过动态追踪指针的整个生命周期并对指针使用的合法性进行检查,从而准确检测出DP和IOF类型的漏洞攻击样本并提供详细的漏洞信息.