来源：https://nigesecurityguy.wordpress.com/2014/01/03/apt-detection-framework-part-2/

信息安全领域正在发生一种趋势，即从一种预防心态转变为关注快速检测，即快速识别、遏制和减轻威胁。在这种情况下，组织试图使周边地区变得难以渗透，避免违规。

为了开始理解并能够快速防御定向目标攻击，我们需要一个检测矩阵来进行可视化分析，以确保所有的威胁场景都被认为没有漏洞。该框架可以作为一种工具，将攻击特征与分析方法和业务标准联系起来。APT检测框架-第2部分继续我们的讨论，提出一个更详细的描述和用例示例。

一、检测成本和精度

APTs是一个复杂的攻击场景，使用不同的低级别攻击方法来实现预定目标的多步骤方法。它们的执行比普通攻击更隐蔽。本博客所提供的框架可以帮助分析APT威胁场景，目的是创建一种检测APTs的方法，并识别检测或响应中的任何漏洞。

就像预防和防御深度一样，有一个相关的检测成本和精确的等式，也需要考虑到资源/技能和技术的能力成熟度——这是一个核心能力，需要构建，从合作伙伴获得技能和经验，或者外包。

二、检测框架示例

下面的APT检测框架-一般描述图形提供了一个简化的示例，提供了安全操作分析人员开始为各种用例填充矩阵的内容的一般描述。

APT Detection Framework - General Descriptions

二、攻击场景用例

外国公司对产品和竞争对手的知识产权感兴趣。他们想知道详细的技术和生产资料以及关于产品生产成本的财务信息。为了获得所需的信息，他们与黑客团队签订了匿名合同，以获取竞争对手的网络。竞争对手必须对网络入侵不知情，以避免调查和可能的诉讼。

Advanced Persistent Attack Example

对APTs的检测更加困难，因为攻击者的潜行努力没有被发现，但也不是不可能的，因为在工作站和服务器上有流量生成和恶意软件或木马。有可能找到攻击的痕迹，这可以作为一种破坏的指示，以确定是否存在正在进行的APT攻击。有关更多信息，请参见APT检测指标——第1部分。

常见的防火墙、HIDS和NIDS系统很难找到合适的对象，因为它们主要关注离散和已知的攻击签名，并且不考虑APTs的结构。它们不会将不同的、微妙的低级事件联系起来，形成一个攻击场景。一种关联低级攻击元素的方法可以检测到这种攻击。

网络流量可以用来检测APTs的不同步骤。八个步骤在网络中各有不同的流量模式。上面的基本网络图给出了这些模式的一个例子。

步骤1:侦察

攻击者的第一步是侦察目标公司。他们首先浏览公司网站的名称和邮件地址，检查DNS注册，查找公共可访问服务，并检查在目标公司工作的人的社交媒体概况。主要目标是找到社会工程方法的处理方法，并在服务器和网站内容管理系统中找到版本信息，以找到可利用的漏洞。

步骤2:获取访问权限

在第一步之后，攻击者开始使用员工的个人信息来构造看起来合法的网络钓鱼邮件。这些电子邮件包含一个被感染网站的链接，该网站利用零日漏洞在受害者电脑上安装恶意软件组件。另一种方法是使用社交媒体信息创建一个合法的电子表格或PDF作为电子邮件附件，附件是关于员工福利或假期等等。可能性是无限的。

步骤3 & 4:内部侦察和扩大访问。

一旦攻击者通过恶意软件在网络中获得了立足点，他们将试图扩大他们对网络其他部分的访问。恶意软件开始监控网络中服务器的连接，收集有关已安装程序和网络用户的信息，以识别服务器地址、网络结构和扩展访问的可能性。

未修补程序、操作系统或默认配置为攻击者进一步扩展网络客户端和服务器提供了更多的可能性。攻击者还通过在恶意软件客户端执行发现的连接对网络本身进行主动侦察。

步骤5 & 6:收集和提取数据。

未被发现和秘密行动的攻击者是成功的，并且已经找到了需要的技术文件和进入目标的金融系统。他们慢慢地收集他们控制的一个服务器上的所有信息，并准备提取信息。

最后，他们将信息过滤到互联网上合法的文件存储应用程序，使提取看起来尽可能的正常。他们还会继续窥探其他数据，并从中提取数据。

步骤7和8:命令和控制和擦除痕迹。

攻击者通过恶意软件创建的后门，通过从恶意软件连接到互联网上的服务器，持续监控进展。在提取了最后一个想要的信息后，攻击者开始通过卸载恶意软件来隐藏他们的踪迹。僵尸网络客户端被用作隐藏通信来源的代理。删除日志并执行管理。一个后门可以放在可上网的设备上，以供将来使用，通过命令序列打开以启用远程访问。

三、态势感知和管理连接

通常20%的网络连接是未知的，尽管在安全技术上有投资，但是确定一个企业内的所有连接是至关重要的。这个80-20规则需要一个解决方案，它定义一个网络周长，并验证未知的连接不存在。态势感知和高水平攻击序列结构和低水平攻击元素的知识是检测的关键。

这种知识对于选择可以检测到的攻击特征是必要的，例如在网络流量中。攻击特征的选择对检测框架的设计和分析方法的选择以及它们在检测更复杂的攻击方面的成功具有一定的影响。从攻击的角度来选择分析方法，利用这些知识来提高检测和减少差距。

四、基本用例的例子

下面的APT检测框架-基本用例图展示了一个过度简化的例子，它应用了上面的用例的模型。

PT Detection Framework - Basic Use Case

结论

在我们的核心任务中，重点关注检测和响应，我们的下一系列博客将覆盖事件响应成熟度。此外，我们还将在第3部分中对APT检测框架添加更多的细节，通过与APT检测指标更紧密地结合，并利用破坏指标(IoCs)。我们将开发越来越实用和有用的用例，利用工具，例如，Splunk, RedLine, Snort, Suricata, Bro, Sguil, Squert, Snorby，以及许多其他有用的网络安全监控和分析工具。