高级持续性威胁(APT)以窃取特定目标的机密情报或者是破坏计算机系统为目的,严重威胁着企业、社会甚至是国家层面的信息安全。针对现有APT攻击检测技术不能完全有效地检测出APT攻击的问题,提出了APT攻击的检测思路。首先,从定义和实际情况出发对APT攻击的特征进行了总结,围绕APT攻击的生命周期详细分析了APT攻击的过程,并列举了常用的技术手段;然后,归纳了传统检测技术在应对APT攻击时的困难之处,总结了目前APT攻击检测技术以及它们的优缺点;最后,提出了检测APT攻击的思路。对APT攻击的检测应充分考虑对未知威胁的检测、对APT攻击的判断、对部分历史数据的分析以及实时性检测。

• 单位
  西南交通大学