针对目前高级持续性威胁(Advanced Persistent Threat,APT)的攻击给各大企业带来的威胁,本文提出了APT的检测防御系统的设计与实现。本文采用恶意代码检测和入侵检测相结合的模式进行设计和实现,APT检测包括传统的IPS检测、静态检测和动态检测三个部分。传统的IPS检测包括特征匹配、av检测等;静态检测包括Yara检测、暴力破解等;动态检测是APT防御系统的关键,从虚拟机的选型到检测系统的分析,本文给出了详细的说明,动态检测即通过虚拟机模拟运行来判断文件是否安全,并可以导出结果进行分析。

• 单位
  新疆财经大学