APT

APT概念

• APT（Advanced Persistent Threat，高级持续性威胁）是一种复杂且有针对性的网络攻击形式，通常由组织良好、资源丰富的攻击者进行。这些攻击者可能是国家支持的黑客组织、犯罪集团或其他有能力进行长期操作的黑客团体。

• 针对特定对象，长期、有计划、有组织的网络攻击行为：潜伏性、持续性、复杂性

• APT攻击对目标的威胁极大，因为它们不仅能够造成经济损失，还可能对国家安全、企业声誉和关键基础设施造成严重影响。因此，防范APT攻击需要多层次的安全措施和持续的监控与响应能力。

APT攻击过程

网络空间与网络空间安全

网络空间(Cyberspace)

• 俄罗斯：信息空间中的一个活动范围，其构成要素包括互联网和其它电信网络的通信信道，还有确保其正常运转以及确保在其上所发生的任何形式的人类（个人、组织、国家）活动的技术基础设施。按此定义，网络空间包含设施、承载的数据、人以及操作。
• 以色列：网络空间是由下述部分或全部组件构成的物理和非物理域：包括机械化和自动化系统、计算机和通信网络、程序、自动化信息、计算机所表达的内容、交易和监管数据以及那些使用这些数据的人。
• 中国：网络空间是信息时代人们赖以生存的信息环境，是所有信息系统的集合。
• 方滨兴：网络空间（Cyberspace）是一种人造的电磁空间，其以互联网、各种通信系统与电信网、各种传播系统与广电网、各种计算机系统、各类关键工业设施中的嵌入式处理器和控制器等信息通信技术基础设施为载体，用户通过在其上对数据进行创造、存储、改变、传输、使用、展示等操作，以实现特定的信息通信技术活动。
  • 网络空间载体：设施，信息通信技术系统的集合
  • 网络操作对象：数据，表达人类所能理解的意图的信号状态
  • 网络活动主体：用户，网络活动的主体要素，属于人的代理
  • 网络活动形式：操作，对数据的幼工、存储、传输、展示等服务形式

网络空间安全(Cyberspace Security)

• 网络空间安全涉及到在网络空间中电磁设备、信息通信系统、运行数据、系统应用中所存在的安全问题，既要防止、保护包括互联网、各种电信网与通信系统、各种传播系统与广电网、各种计算机系统、各类关键工业设施中的嵌入式处理器和控制器等在内的信息通信技术系统及其所承载的数据免受攻击；也要防止、应对运用或滥用这些信息通信技术系统而波及到政治安全、经济安全、文化安全、社会安全、国防安全等情况的发生。针对上述风险，需要采取法律、管理、技术、自律等综合手段来进行应对，确保信息通信技术系统及其所承载数据的机密性、可鉴别性（包括完整性、真实性、不可抵赖性）、可用性、可控性得到保障。

网络安全属性

• 网络是否安全主要通过“安全属性”来评估
• 安全属性的种类（一般都包括：机密性、完整性和可用性）、名称、内涵并不统一。

机密性(Confidentiality或Security)

• 保密性：对信息资源开放范围的控制，不让不应知晓的人知道秘密。
• 保护措施主要包括：信息加密、解密；信息划分密级，对用户分配不同权限，对不同权限的用户访问的对象进行访问控制

完整性(Integrity)

• 完整性(Integrity)包括系统完整性和数据完整性。
  • 系统完整性：指系统不被非授权地修改
  • 数据完整性：使信息保持完整、真实或未受损状态，任何篡改、伪造信息应用特性或状态等行为都会破坏信息的完整性。
• 保护措施主要包括：严格控制对系统中数据的写访问，只允许许可的当事人进行更改。

可用性（Availability）

• 资源可以是信息，也可以是系统。资源只能由合法的当事人使用。大多数情况下，可用性主要是指系统的可用性。
• 保护措施主要有：在坚持严格的访问控制机制的条件下，为用户提供方便和快速的访问接口，提供安全的访问工具。

不可否认性（Non-repudiation）

• 不可否认性（不可抵赖性）：指通信双方在通信过程中，对于自己所发送或接收的消息不可抵赖。数据收发双方都不能伪造所收发数据的证明信息发送者无法否认已发出的信息，信息接收者无法否认已经接收的信息。
• 保护措施主要包括：数字签名、可信第三方认证技术

可靠性（Reliability）

• 可靠性：指系统在规定条件下和规定时间内，能够有效地执行其预期功能的能力。在网络安全中，可靠性强调的是系统抵抗故障和攻击，保持正常运行的能力。

主要保护措施：

1. 冗余设计：通过在系统中设置冗余组件（如备用服务器、电源、网络连接等），确保在某个组件发生故障时，系统可以无缝切换到备用组件，继续提供服务。
2. 故障检测和恢复：实施有效的监控和故障检测机制，一旦检测到问题，立即采取措施进行恢复，如自动重启服务、切换到备用系统等。
3. 定期维护和更新：定期对系统进行维护，包括硬件检查、软件更新、安全补丁应用等，以预防潜在的故障和安全漏洞。
4. 安全审计和监控：通过安全审计和实时监控，确保系统的安全状态，及时发现并响应安全事件。

可行性（Dependability or Trusty）

• 可行性：指系统在需要时能够提供服务的能力。可行性关注的是确保信息和资源对授权用户始终可用，同时防止未授权访问和破坏。

主要保护措施：

1. 访问控制：实施严格的访问控制策略，确保只有授权用户才能访问系统资源。
2. 数据备份和恢复：定期备份关键数据，并确保有有效的数据恢复计划，以便在数据丢失或损坏时迅速恢复。
3. 负载均衡：通过负载均衡技术分配网络流量，确保系统资源得到合理利用，避免过载导致的系统不可用。
4. DDoS防御：部署DDoS（分布式拒绝服务）防御措施，如流量清洗服务、限制异常流量等，以防止大规模的网络攻击导致服务中断。
5. 应急响应计划：制定并定期演练应急响应计划，以便在发生安全事件时能够迅速采取行动，减少服务中断时间。

网络安全属性(方滨兴院士观点)

• 以保护系统为主的属性：可用性、可控性
• 以保护信息为主的属性：机密性、可鉴别性

---

• 可用性：系统可以随时提供给授权者使用：系统运行稳定（稳定性）、可靠（可靠性）、易于维护（可维护性），在最坏情况下至少要保证系统能够为用户提供最核心的服务（可生存性）。
• 可控性：系统对拥有者来说是可掌控的，管理者能够分配资源（可管理性），决定系统的服务状态（可记账性），溯源操作的主体（可追溯性），审查操作是否合规（可审计性）。
• 机密性：保证信息在产生、传输、处理和存储的各个环节中不被非授权获取以及非授权者不可理解的属性。
• 可鉴别性：保证信息的真实状态是可以鉴别的，即信息没有被篡改（完整性）、身份是真实的（真实性）、对信息的操作是不可抵赖的（不可抵赖性）。

网络空间安全（方滨兴院士观点）

• 在信息通信技术的硬件、代码、数据、应用4个层面，围绕着信息的获取、传输、处理、利用4个核心功能，针对网络空间的设施、数据、用户、操作4个核心要素来采取安全措施，以确保网络空间的机密性、可鉴别性、可用性、可控性4个核心安全属性得到保障，让信息通信技术系统能够提供安全、可信、可靠、可控的服务。

基础概念

计算机网络安全

• 计算机网络安全：指计算机网络中的硬件资源和信息资源的安全性，它通过网络信息的产生、存储、传输和使用过程来体现。
• 包括：网络设备（包括设备上网络软件）的安全性，使其能够正常地提供网络服务；网络中信息的安全性，即网络系统的信息安全。其目的是保护网络设备、软件、数据，使其能够被合法用户正常使用或访问，同时要免受非授权的使用或访问。

信息安全

• 信息安全：信息系统安全、信息自身安全和信息行为安全的总称。
• 目的：保护信息和信息系统免遭偶发的或有意的非授权泄露、修改、破坏或失去处理信息的能力。
• 实质：保护信息的安全属性，如机密性、完整性、可用性和不可否认性。

计算机安全

• 计算机安全：指计算机硬件、软件以及其中的数据的安全性（机密性、完整性、可用性、可控性等）不受自然和人为有害因素的威胁和危害

网络攻击

• 网络攻击：指采用技术或非技术手段，利用目标网络信息系统的安全缺陷，破坏网络信息系统的安全属性的措施和行为。
• 目的：窃取、修改、伪造或破坏信息或系统，以及降低、破坏网络和系统的使用效能。

网络攻击分类

• 按照发起攻击的来源可将攻击分为三类：外部攻击、内部攻击和行为滥用。
• 从攻击对被攻击对象的影响来分，可分为被动攻击和主动攻击
  • 被动攻击：攻击者监听网络通信时的报文流，从而获取报文内容或其它与通信有关的秘密信息，主要包括内容监听（或截获）和通信流量分析
  • 主动攻击：指攻击者需要对攻击目标发送攻击报文，或者中断、重放、篡改目标间的通信报文等手段来达到欺骗、控制、瘫痪目标，劫持目标间的通信链接，中断目标间的通信等目的。
  • 针对通信的主动攻击：中断，伪造、重放、修改（或篡改）通信报文
  • 针对网络或信息的主动攻击：扫描、缓冲区溢出、恶意代码

---

• 基于攻击实施手段的网络攻击分类
  

---

从网络战的角度看，美军将“计算机网络作战（Computer NetworkOperations, CNO）”分为:

• 计算机网络攻击（Computer Network Attack, CNA），指通过计算机网络扰乱、否认、功能或性能降级、损毁计算机和计算机网络内的信息、计算机或网络本身的行为。
• 计算机网络利用（Computer Network Exploitation, CNE），指从目标信息系统或网络收集信息并加以利用的行为
• 计算机网络防御（Computer Network Defense, CND），是指使用计算机网络分析、探测、监控和阻止攻击、入侵、扰乱以及对网络的非授权访问。

一般攻击过程

1. 足迹追踪：Target Footprinting
2. 远端扫描：Remote Scaning
3. 资源列举： Resource Enumerating
4. 权限获取： Access Gaining
5. 权限提升： Privilege Escalating
6. 设置后门： Backdoors Creating
7. 毁踪灭迹： Tracks Coverin
   

网络防护

• 网络防护是指为保护己方网络和系统正常工作以及信息的安全而采取的措施和行动。其目的是保证己方网络、系统、信息的安全属性不被破坏。

网络安全保障体系

网络安全模型

• 网络安全模型以建模方式给出解决安全问题的过程和方法，主要包括：
  • 准确描述构成安全保障机制的要素以及要素之间的相互关系；
  • 准确描述信息系统的行为和运行过程；
  • 准确描述信息系统行为与安全保障机制之间的相互关系

PDRR模型

• DoD提出：防护（Protection）、检测（Detection）、恢复（Recovery）、响应（Response）
  

P2DR模型

IATF模型

• IATF从整体、过程的角度看待信息安全问题，认为稳健的信息保障状态意味着信息保障的策略、过程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施，其代表理论为“深度防护战略”。
• IATF强调人、技术、操作三个核心要素，关注四个信息安全保障领域：保护网络和基础设施、保护边界、保护计算环境、支撑基础设施，为建设信息保障系统及其软硬件组件定义了一个过程，依据纵深防御策略，提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。
• IATF定义的三要素中，人是信息体系的主体，是信息系统的拥有者、管理者和使用者，是信息保障体系的核心，同时也是最脆弱的。
  • 人是第一位的要素：安全管理的重要性
  • 针对人的攻击：社会工程学攻击

网络安全体系结构

• 开放系统互联(OSI， Open System Interconnection)安全体系结构标准，该标准等同于国家标准的GB/T 9387.2- 1995。1990年，ITU决定采用ISO 7498-2作为其X.800推荐标准。因此，X.800和ISO 7498-2标准基本相同。
• 1998年，RFC 2401给出Internet协议的安全结构，定义IPsec适应系统的基本结构，目的是为IP层传输提供多种安全服务。

安全体系结构

• 提供安全服务和安全机制的一般性描述，指明在网络系统中，并规定如何进行安全管理。
  

5种安全服务

• 定义：指加强数据处理系统和信息传输的安全性的处理过程或通信服务，主要利用一种或多种安全机制对攻击进行反制来实现

鉴别

• 鉴别（authentication）或认证：最基本的安全服务，提供通信中的对等实体和数据来源的鉴别，是对付假冒攻击的有效方法。
• 鉴别可以分为对等实体鉴别和数据源鉴别

访问控制

• 访问控制：是对某些确认身份（即进行了身份认证）的实体，在其访问资源时进行控制，是实现授权（authorization）的一种主要方式。
• 用于防止在未得到授权的情况下使用某一资源

数据机密性服务

• 保护信息（数据）不泄露或不泄露给那些未授权掌握这一信息的实体
• 分为两类：数据机密性服务和业务流机密性服务
  • 数据机密性服务：使攻击者想要从某个数据项中推导出敏感信息十分困难；
  • 业务流机密性服务：使得攻击者很难通过观察通信系统的业务流来获得敏感信息

数据完整性服务

• 用于防止数据在存储、传输等处理过程中被非授权修改，主要包括3种类型：连接完整性服务、无连接完整性服务及选择字段完整性服务

抗抵赖（不可抵赖/不可否认）服务

• 有数据原发证明的抗抵赖。为数据的接收者提供数据的原发证据，使发送者不能抵赖发送过这些数据或否认发送过这些内容；
• 有交付证明的抗抵赖。为数据的发送者提供数据交付证据，使接收者不能抵赖收到过这些数据或否认接收内容

安全机制(8种)

• 定义：用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程（或实现该过程的设备、系统、措施或技术）

1 加密

• 对网络通信中的数据进行密码变换以产生密文。
• 通常情况下，加密机制需要有相应的密钥管理机制配合。加密可为数据或业务流信息提供机密性，并且可以作为其他安全机制的一部分或对安全机制起补充作用。
• 分类：对称加密与非对称（公开）加密。

2 数字签名

• 附加在数据单元上的一些数据，用来供接收者确认数据来源（真实性）、数据完整性，防止发送方抵赖，包括签名内容、时间（不可抵赖性），并保护数据，防止被人（例如接收者）伪造（真实性和完整性）

3 访问控制

• 对资源访问或操作进行限制的安全机制
• 利用某个经鉴别的实体身份、关于该实体的信息，确定并实施实体的访问目标权限。支持数据的机密性、完整性、可用性及合法使用等安全目标。
• 常见机制：DAC、MAC、RBAC

4 数据完整性保护

• 避免未授权的数据乱序、丢失、重放、插入和篡改，包括两个方面：单个数据或字段的完整性，数据单元流或字段流的完整性。
• 常见机制：检验和、散列码、消息认证码（MAC）、现时（Nonce）

5 认证交换

• 向验证方传递认证所需的信息，驱动实体认证。如果得到否定结果，则会导致连接拒绝或终止。
• 可用于认证交换的信息主要包括：认证信息（如口令）；密码技术；该实体的特征（如指纹、虹膜）

6 通信业务填充

• 通信业务填充（流量填充）：是一种反通信业务分析技术，通过将一些虚假数据填充到协议数据单元中，达到抗通信业务分析的目的。
• 只有在通信业务填充受到保护（如加密）时才有效。

7 路由选择机制

• 使路由能动态地或预定地选取，使敏感数据只在具有适当保护级别的路由上传输。

8 公证

• 保证在两个或多个实体之间通信的数据安全性，有时必须有可信任的第三方参与，如数据抗抵赖性等服务。
• 第三方公证人掌握必要的信息，为通信实体所信任，以一种可证实方式向通信实体提供所需的保证。
• 常见公证机制：数字证书认证中心（CA）、密钥分配中心（KDC）等。

普遍性安全机制(8种)

• 普遍性安全机制不是为任何特定的服务而特设的安全机制：可信功能度、安全标记、事件检测、安全审计跟踪、安全恢复

1 可信功能度

• 提供对于某个特定的安全机制的有效性证明。保证使人们相信实施安全机制的模块能达到相应的目标。
• 对安全机制的保证，通常通过对机制的规格说明、设计和实现三个过程的可信度来提供。
  • 规格说明：对机制的功能给出准确的形式化描述。
  • 设计：将准确地把规格说明内容转换为功能模块，并保证无论在何种环境下设计将不允许违反规格描述的条款。
  • 实现：最后需要忠实地按照设计实现一种安全机制

2 安全标记

• 安全标记：是为数据资源所附加的指明其安全属性的标记。例如安全标记可以用来指明数据的机密性级别。
• 安全标记可以是显式的，也可能是隐含的：例如使用一个特定密钥加密数据所隐含的信息，或由该数据的上下文所隐含的信息，例如数据来源或路由隐含。

3 事件检测和安全审计

• 事件检测，包括对明显违反安全规则的事件和正常完成事件的检测
• 安全审计则在专门的事件检测存档和系统日志中提取信息，进行分析、存档和报告，是事件检测的归纳和提升。
• 目前经常提到的漏洞扫描和入侵检测都属于事件检测和审计的范畴。

安全恢复

• 恢复包括：数据的恢复和运行状态的恢复。
• 对于数据的恢复而言，为了有效地恢复，通常需要事先使用关联的数据备份机制。
• 系统运行状态的恢复，可分为：
  • 立即恢复：指立即退出系统，例如切断连接、关机等，其效果没有持久性
  • 当前恢复：指针对具体实体停止当前的活动，例如取消用户的访问权、终止和一个用户的交易等，其效果覆盖当前一段时间
  • 长久恢复：执行类如把攻击者写入“黑名单”、更换用户密码等操作

网络防护技术发展

第一代安全技术

• 目的：以“保护”为目的的第一代网络安全技术，主要针对系统的保密性和完整性。
• 方法：利用各种保护和隔离技术手段，如用户鉴别和认证，访问控制、权限管理和信息加解密等，在网络边界上阻止非法入侵，达到信息安全的目的。
• 问题：通用的商用产品对安全技术的支持不够，因而也限制安全技术在军事中的应用；对一些攻击行为如计算机病毒、用户身份假冒、系统漏洞攻击等显得无能为力。

第二代安全技术

• 目的：以检测技术为核心，以恢复技术为后盾，融合保护、检测、响应、恢复四大技术。通过检测和恢复技术，发现网络系统中异常的用户行为，根据事件的严重等级，提示系统管理员，采取相应的措施。
• 基本假定：如果挡不住敌人，至少要能发现敌人和敌人的破坏。例如，能够发现系统死机，发现有人扫描网络，发现网络流量异常。通过发现，可以采取一定的响应措施，当发现严重情况时，可以采用恢复技术，恢复系统原始的状态。
• 问题：依赖于检测结论，检测系统的性能就成为信息保障技术中最为关键的部分。

第三代安全技术

• 第三代安全技术是一种信息生存技术，即系统在攻击、故障和意外事故已发生的情况下，在限定时间内完成全部或关键使命的能力

• 第三代安全技术与前两代安全技术的最重要差别在于设计理念上：它假定我们不能完全正确地检测、阻止对系统的入侵行为。

• 核心：入侵容忍技术

• 由于安全漏洞是因系统中的程序存在错误所致，而人们又不可能发现并修正系统中存在的所有错误，因此，必须设计一种能够容忍漏洞存在的系统体系结构（称为顽存系统体系结构），当入侵和故障突然发生时，能够利用“容忍”技术来解决系统的“生存”问题，以确保信息系统的机密性、完整性、可用性。