翻譯來源：https://www.scnsoft.com/blog/detecting-apt-activity-with-network-traffic-analysis

高級的持續威脅持續擴大了征服的地理位置，目標不僅是大型組織，還有小型企業。作為這一現象的一個指標，APT保護市場繼續增長。根據Radicati 組織的報告，APT保護解決方案的年收入將在2021年達到75億美元。

對于及時的APT檢測，公司應該采用諸如SIEM解決方案、IPS/IDS系統、反病毒、防火墻和網絡流量分析等多種方法。后者被認為是一個強制元素的ＡＰＴ保護,它的基本任務是區分合法和非法的流量。這可以通過一系列方法來完成，這些方法在其應用程序中是不同的。

本文介紹了網絡流量分析在APT攻擊對抗中的作用。

一、與C&C服務器的惡意軟件通信:如何識別?

１.1檢查IP地址

通過滲透網絡，惡意軟件與一個命令和控制(C&C)服務器通信。在IP地址黑名單的幫助下，可以識別這種通信。許多信息安全資源(例如，IBM X-Force)在internet上發布僵尸網絡IP地址的范圍。檢查在你的網絡中是否有來自C&C黑名單的IP地址的可疑通信。

１.2注意IRC和P2P簽名。

僵尸網絡使用某些協議進行通信。協議類型是僵尸網絡分類的標準:

IRC(互聯網中繼聊天)協議的第一代，

P2P(對等點)基于協議的第二代，

HTTPS(超文本傳輸協議安全)基于協議的第三代，最先進的和難以識別的僵尸網絡生成，由于通信加密。

一些SIEM系統有集成的組件(例如，IBM QRadar QFlow Collector)，它分析網絡數據包并識別IRC和P2P簽名。

１.３使用行為分析

三向量網絡行為分析包括流量模式分析、系統活動分析和沙箱。在本文中，我們將集中討論流量模式分析。

SIEM系統建立了網絡流量的基線，反映了主要網絡服務器的正常通信模式。任何與流量模式的偏離都是一個警告信號，而SIEM系統則會產生防御。

二、選擇流量模式分析

流量模式分析廣泛適用于以下目的:

２.1探測未知的威脅

在各種威脅檢測技術中，流量模式分析被證明是最有效的工具，可以用來檢測未知的威脅(又稱為零日漏洞)。通常，安全管理員為其本地網絡中的每個服務器配置IPs的范圍。當服務器在這個范圍之外啟動通信時，它可能是一個信號，表明未知的IP地址屬于一個僵尸網絡。

零日漏洞探測的成功與否很大程度上取決于安全軟件對已知APTs的識別方法進行推斷的能力。通常情況下，惡意軟件至少可以做到以下一種:在網絡中傳播，感染文件，隱藏自己，從受影響的環境中傳輸數據，與C&C通信，并利用多態技術。因此，惡意軟件在功能上有所不同，但它有一些共同的特征，可以在零日惡意軟件中找到。

2.2檢測內部C&C服務器。

僵尸網絡可以在私有網絡中進行組織。放置在外圍，網絡防御無法檢測可疑的流量，因為通信在內部發生。在這種情況下，我們不能使用外部IP地址標識，因為沒有與外部服務器的通信。

SIEM系統從網絡交換機獲取內部通信的信息。為了注意到內部網絡流量基線的偏差，安全管理員采用了流量模式分析。另一種識別與內部C&C服務器連接的方法是第7層應用程序流量分析。它包括網絡數據包的簽名和有效負載分析。如果檢測到私有網絡策略禁止的IRC或P2P通信，它可能表明有人組織了一個內部僵尸網絡。

２.３檢測與可信源的惡意軟件通信。

一個典型的例子是木馬惡意軟件通信，當惡意數據被認為是可信的來源偽裝成合法的溝通和滲透到你的網絡。以特洛伊為例。有針對性的Gmail攻擊，電子郵件從欺騙的電子郵件地址有惡意PDF附件。這個PDF文件利用了adobereader漏洞，將惡意軟件注入目標系統，并修改了Internet Explorer瀏覽器。每次打開web瀏覽器，惡意軟件就會登錄到Gmail帳戶。在這種情況下，在流量模式分析的幫助下，安全管理員可以觀察到電子郵件主機的網絡流量峰值，這是進一步進行網絡檢查的起點。

２.４通過HTTPS檢測惡意軟件通信

正如上面所提到的，由于協議加密的原因，HTTPS代“僵尸網絡”的是最先進的。今天，如果沒有解密密鑰，就很難解密HTTPS。然而，即使在HTTPS通信的情況下，我們也可以采用流量模式分析。基于流量模式，它允許在一定的時間范圍內識別交通偏差，以及估計流量和從一個IP地址的連接數。

３沒有萬能的治療方法

由于對所有疾病都沒有萬能的治療方法，所以沒有一種萬能的方法來對抗高級的持續威脅。網絡流量分析(特別是流量模式分析)是一種有用的技術，但它不能保證100%的惡意軟件檢測。然而，有可能在信息安全顧問的幫助下最大化您的APT保護，他們將為特定的環境配置自定義的流量分析規則。