一种应对APT攻击的安全架构:异常发现

作     者：杜跃进 翟立东 李跃 贾召鹏 Du Yuejin;Zhai Lidong;Li Yue;Jia Zhaopeng

作者机构：中国科学院信息工程研究所北京100093 国家计算机网络应急技术处理协调中心北京100029 北京邮电大学计算机学院北京100876 

基　　金：国家"八六三"高技术研究发展计划基金项目(2011AA01A103) 

出 版 物：《计算机研究与发展》 (Journal of Computer Research and Development)

年 卷 期：2014年第51卷第7期

页      码：1633-1645页

摘      要：威胁是一种对特定系统、组织及其资产造成破坏的潜在因素,反映的是攻击实施者依照其任务需求对被攻击对象长期持续地施以各种形式攻击的过程.面对高级可持续威胁(advanced persistent threat,APT),在其造成严重经济损失之前,现有的安全架构无法协助防御者及时发现威胁的存在.在深入剖析威胁的外延和内涵的基础上,详细探讨了威胁防御模型.提出了一种应对APT攻击的安全防御理论架构:异常发现,以立足解决威胁发现的难题.异常发现作为防御策略和防护部署工作的前提,通过实时多维地发现环境中存在的异常、解读未知威胁、分析攻击实施者的目的,为制定具有针对性的应对策略提供必要的信息.设计并提出了基于异常发现的安全体系技术架构:"慧眼",通过高、低位协同监测的技术,从APT攻击的源头、途径和终端3个层面监测和发现.

主 题 词：高级可持续威胁 异常发现 高位监测 低位监测 慧眼 

学科分类：0839[0839] 08[工学] 

核心收录：

D　O　I：10.7544/issn1000-1239.2014.20131649

馆 藏 号：203130415...