压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　大規模爆發的病毒在逐漸減少，定向攻擊卻日漸增多，網絡風險升級到針對特定領域與特定機構的定向APT攻擊。在這種趨勢下，安全廠商紛紛推出APT防御方案，其中既包含傳統的特征匹配、白名單方案，也結合了時下流行的虛擬化、云計算技術。當然，不同的技術組合優缺點也非常明顯，首先對幾類主流的APT解決方案作簡要分析。

　　主流APT解決方案對比

　　1、傳統特征匹配+虛擬執行引擎。代表廠商：Fireeye

　　基于行為異常的檢測方法核心思想是通過沙箱（高級蜜罐）模擬運行環境，把未知程真實運行一遍，從程序工作的行為判斷其合法性。

　　優點：判斷準確性較高不易誤判或漏判；

　　缺點：計算資源消耗比較大，部署成本較高；

　　2、基于白名單的終端安全檢測方案。代表廠商：Bit9

　　通過在公有云上部署的80億條白名單庫，對安裝在用戶終端上的終端軟件提供注冊服務，凡在白名單庫里未注冊過的文件均被終端禁止訪問，同時其終端軟件具有終端管理軟件常見的屬性，如移動設備控制、注冊表保護等。

　　優點：節省了計算資源，部署成本低；

　　缺點：不夠靈活，根據事先定義的特征，很有可能導致阻斷合法應用；

　　3、私有云解決方案。代表廠商：網御星云、Fortinet

　　以網御星云私有云解決方案為例，通過系統智能集成的海量黑白名單、規?；摂M機動態鑒定等，對文件是否包括惡意行為進行判定，形成自動化分析報告，并與安全網關進行聯動，在不影響轉發性能的前提下大幅增強安全網關的檢測能力。

　　優點：節省了安全網關的計算資源，檢測準確性較高不易誤判或漏判，結合網關部署方式較靈活。

　　2009-2010年，Google等20多家公司遭受了極光攻擊。攻擊者利用了IE的0day漏洞、十多種惡意代碼和多層次的加密避免被發現。

　　無論如何，攻擊者需要一個突破點。當被滲透目標踏入攻擊者設立的圈套時，IE瀏覽器的0day漏洞被惡意代碼利用，下載攻擊者精心構造的、可以輕松騙過殺毒引擎的程序。

　　以前，傳統網關、殺毒軟件在檢測該惡意程序時，多是特征掃描；而攻擊被發現之前安全廠商又不可能獲取樣本，更不可能將該惡意程序的特征更新到威脅特征庫中（事實上直到2010年1月份，Google公開了此事后特征才被眾多廠家獲取），安全防范總是滯后的。

　　如果我們在網絡中使用了網御星云私有云解決方案，結果又會如何呢？

　　首先我們在網絡傳輸過程中由安全網關捕獲到了該程序，經過安全網關本地初步判斷，無法確定該程序就是安全的。接下來將該程序送到私有云防御中心，進行動態行為分析。

　　觀察該程序的所有行為，其中至少有三個行為是高度可疑的：

　　1、連續下載加密的程序；

　　2、刪除自身；

　　3、構建后門，發起反向連接。

　　新下載的加密程序仍會運行起來進行動態行為分析，其中有很多特殊的行為都存在危害性，如釋放PE文件、獲取敏感信息、隱藏文件、添加服務等。通過將分析結果與安全網關聯動，足以引起管理員的重視，從而將威脅消滅在初始階段。