电子期刊第一百零九期

安卓手机POP收信无法下载最新邮件的解决办法

  答:安卓手机客户端配置POP协议收信时,默认从最旧的邮件开始更新下载,当在院邮件系统的webmail 存储过多邮件的时候,则会出现无法下载最新邮件的情况。

  目前,院邮件系统支持高性能的IMAP协议,使用IMAP协议可更好地支持目前主流的智能手机系统,IMAP 协议具有邮件同步、极速收取邮件、节省流量等优势,因此我们建议用户选择使用IMAP协议配置手机客户端来收发邮件,有关使用安卓手机使用IMAP协议配置院邮箱的方法。

  院邮件系统webmail还提供手机专属模板,可使用手机自带的浏览器通过登录webmail访问院邮箱读取及发送邮件。


更多问题

大数据管理要上升到国家战略层面
 
  近些年,数字地球、数字城市、物联网、智慧城市不断演绎信息化建设的一个又一个高潮。最近又有一个新的信息化热词闪亮登场,就是大数据。然而,目前我国数据中心仍以中小规模的传统数据中心为主,其中小于400平方米的小型数据中心超过90%。由于技术、资金和人才等原因,中小规模的数据中心普遍存在着能效差、水平低、重复建设等问题。又由于维护技术复杂、成本高、运维困难、用户需求变化迅速等原因,不少数据中心难以跟上技术进步的步伐。当前大多是有关企业对市场信息资源的大数据开发应用,尚未看到大数据对基础科学研究、重点行业影响方面的成果。

科研信息化技术与应用

中科院信息化工作动态

中科院国际会议服务平台


技术追踪
  · MSA:未来无线网络演进的关键技术
  · 建立有效安全事件响应计划7步走
  · 四类APT安全解决方案
 

MSA:未来无线网络演进的关键技术
   
 

  随着无线网络的不断发展,多流汇聚(MSA,Multiple Stream Aggregation)通过采用多制式、多载波和多层网络的深度融合,可以带来500%的边缘吞吐量提升,真正实现无边界网络的理念,使用户无论处于网络的任何位置,都能够享受到高速稳定的数据接入服务,它将成为未来网络演进的关键技术。

  智能终端的普及以及移动宽带的迅猛发展,使移动数据业务呈现爆发式增长。业界预计,未来十年,全球移动数据业务量将以指数级增长,这将给当前网络带来前所未有的巨大冲击。

  当前网络所面临的挑战

  当前网络通常采用单层网络部署,即:不同的无线接入技术(RAT,Radio Access Technology),如GSM、UMTS、LTE和Wi-Fi等,分别进行独立部署和管理,且通过不同的核心网设备接入网络。 用户在同一时刻只能与一种RAT中的单个节点进行数据传输,从而导致无线资源利用不充分,网络基础设施重复投资,网络容量无法进一步提升等问题。

  虽然HetNet是目前用于提升网络容量的一种典型应用场景,可是随着小站个数的逐渐增多,未来将出现越来越多的“小区边缘”,使得频繁切换、切换失败率增加以及边缘用户的吞吐量降低等现象越来越突出,这些都对用户体验有所影响。因此,移动性、干扰、资源利用率等问题是当前网络所面临的主要挑战。

  移动性

  随着HetNet的密集部署,小站的个数逐渐增多,频繁切换以及乒乓切换等现象将不断涌现。一般情况下,由于小站天线的部署位置较低,导致小站和宏站的信号传播特性有所不同。随着距离的增加,宏站信号的衰减比较缓慢。小站部署后,虽然小站附近的信号强度明显提升,但是随着离小站距离的增加,信号会出现快速的衰减现象,严重时还将导致用户掉话。

  简言之,由于小站信道的快衰特性,以及引入小站所带来的干扰等因素,使得HetNet场景下的切换失败率普遍高于传统同构(仅部署宏站)场景下的切换失败率,尤其以用户从小站切换到宏站时更为明显。

  干扰

  如果小站部署在宏站的覆盖范围之内,因为受到宏站的同频干扰,所以小站的覆盖范围会出现明显的收缩现象,即:小站越靠近宏站,其覆盖范围越小。例如,小站如果部署在宏站的边缘,其覆盖范围可以达到100m 以上;而小站如果部署在宏站的中心,则其覆盖范围仅可以达到几十米甚至十几米。此外,因为同频干扰的存在,也会使得用户的吞吐量明显下降。

  资源利用率

  一般而言,在不同的时间和地理位置,宏站和小站之间总是存在不同业务需求的差异。在传统HetNet场景下,不同站点之间无法进行资源共享,从而导致资源利用不充分,不同站点下的用户体验也有所不同。

  宏站因为其覆盖范围大,能够吸附更多的用户,因此,一般而言宏站的负载可能较重,这将导致宏站内用户的吞吐量较低,尤其是宏站的边缘用户,因为距离宏站较远,同时又受到同频小站的干扰,其用户吞吐量就更低。而对小站而言,因为受到覆盖范围的约束,导致其吸附的用户个数不多,负载较轻,所以小站内用户的吞吐量较高。因此,宏站和小站下的用户感受明显不一致。

  未来无线网络演进的关键技术——MSA

  随着无线网络的不断发展,MSA通过采用多制式、多载波和多层网络的深度融合,可以较好地解决当前网络所面临的移动性支持待提升、干扰问题突出和资源利用率不高等问题,从而极大地提升边缘吞吐量,真正实现无边界网络的理念。

  未来无线网络通过采用网络分层和MSA的完美结合,可以使用户无论处于网络的任何位置,都能够享受到高速稳定的数据接入服务,实现超宽带、零等待和无处不在的连接,从而带来高速、高质量以及简单自由分享的业务体验。其中,网络分层是指多层的网络架构,包括Host Layer和Boosting Layer,如图1所示。Host Layer主要用于确保网络覆盖,通过建立Host link来为用户提供信令和数据的传输,提供无处不在的连接,保证可靠的基本用户体验;Boosting Layer主要用于提升网络容量,通过建立Boosting link来为用户提供数据的传输,达到最佳的用户体验。而MSA是有机聚合Host Layer和Boosting Layer的关键技术,通过多个节点为用户提供多流汇聚,进一步提升了用户感受和网络容量,该技术已经被业界广泛认可,并从3GPP R10版本开始逐步被支持,成为当前标准讨论的热点。

  RAN侧的网络实体,如BBU pool或者SRC(Single Radio Controller),可作为MSA的集中控制节点,执行统一的控制功能,从而更好地实现网络分层、数据分流以及协调调度等。

  Host Layer:保证可靠的基本用户体验

  Host Layer能够有效地解决当前网络所面临的移动性和干扰问题。

  在同频场景下,Host Layer可采用相同小区ID的网络部署方式,通过不同节点使用相同的物理小区标识(PCI,Physical Cell Identifier),从而避免同频切换;在异频场景下,例如多载波或者多制式场景,Host Layer可使用户总是附着在宏站上,即:无论用户在宏站覆盖范围内如何移动,始终保持用户和宏站之间的Host link存在,从而避免异频切换。

  网络分层后,干扰进一步可分为层内干扰和层间干扰。协调调度可用于解决层内干扰,例如:针对干扰敏感用户,Host Layer可以通过协调邻区的调度,降低其所受干扰。时频资源分离可用于解决层间干扰,例如:预留一部分时频资源在Host Layer的不同节点间进行SFN(Single Frequency Network)传输,以达到最佳的覆盖,而其他的时频资源在节点间进行空间复用,以达到最佳的效率。换言之,不同层之间通过保证资源的相互独立,从而降低层间干扰。

  Host Layer通过避免切换,保证了用户业务的连续性;通过降低干扰,提升了用户的吞吐量,从而保证了可靠的基本用户体验。

  Boosting Layer:提供最佳的用户体验

  MSA是有机聚合Host Layer和Boosting Layer的关键技术,针对不同的应用场景又进一步包括:Intra-frequency MSA、Inter-frequency MSA和Inter-RAT MSA。

  Intra-frequency MSA:利用多个同频节点为用户提供多流汇聚。

  在传统HetNet场景下,用户仅能与其单个附着节点进行数据的传输,系统资源无法得到充分利用。而未来网络可通过采用Intra- frequency MSA技术,使用户可以动态地实现与一个或者多个最佳节点进行数据传输,完成同频节点间的多流汇聚,达到最佳的用户体验。同频MSA中,数据传输节点对用户而言是透明的,即使是在不同小区ID的场景下,也不需要信令的开销,从而最大化利用系统资源,更好地解决当前网络存在的资源利用不充分问题,实现用户体验的一致性。

  此外,Intra-frequency MSA还采用了一些先进的算法,可带来200%的边缘吞吐量提升,包括:CS-PC(Coordination Scheduling Power Control),通过协调调度功率控制来实现干扰管理;CLB(Coordination Load Balance),通过自适应协调负载均衡提升频谱效率;CoMP(Coordinated Multi-Point),基于实时的信道变化进行动态节点选择或者联合传输,从而实现业务的负载均衡等。

  Inter-frequency MSA:利用多个异频节点为用户提供多流汇聚

  在传统HetNet场景下,当用户在宏站和小站之间移动过程中,异频切换将被触发,可能影响用户的体验。而未来网络可通过采用Inter- frequency MSA技术,使得用户总是附着在宏站上,即:始终保持用户和宏站之间存在Host link,并动态选择最佳小站,通过用户和最佳小站之间的Boosting link来对宏站进行数据分流。对用户而言,形成了不同载波间的多流汇聚,进一步提升了用户感受和网络容量。

  根据宏站和小站之间backhaul link的时延特性,Inter-frequency MSA又分为两种场景:理想backhaul和非理想backhaul。 理想backhaul指的是宏站和小站之间backhaul link的传输时延可以忽略不计,非理想backhaul指的是宏站和小站之间backhaul link的传输时延不可忽略。值得一提的是,非理想backhaul场景下将不同节点不同载波上的数据流进行灵活的汇聚,是3GPP Rel-12标准的核心热点之一,受到业界广泛关注。

  Inter-RAT MSA:利用多个不同制式的节点为用户提供多流汇聚

  异制式的多流汇聚(Inter-RAT MSA)是实现不同制式融合方案的关键技术。其中,Host Layer可以是UMTS或者LTE,Boosting Layer可以是LTE或者Wi-Fi。

  以LTE和Wi-Fi融合场景为例。LTE作为Host Layer,用于提供覆盖,保持用户和宏站之间的Host link始终存在,保证可靠的基本用户连接;Wi-Fi作为Boosting Layer,用于容量提升,通过用户和Wi-Fi之间的Boosting link提升传输速率,达到最佳的用户体验。

  在网络部署时,大多数数据业务的下行业务量远超过上行,然而蜂窝网络的传输资源基本上是上下行对称的,所以蜂窝网络的下行数据传输更急需增强。此外,由于Wi-Fi网络的上行存在更为严重的接入冲突、隐藏终端以及QoS等问题,并且这些问题会随着用户数目的增加而急剧恶化。基于上述考虑,华为认为,最高效的传输方案是将Wi-Fi主要用于下行数据传输,即:根据信道、网络负载和干扰状况等因素,通过在RAN侧新定义的控制实体SRC,灵活地将蜂窝的Host link上的下行数据分流到Wi-Fi的Boosting link上,从而使得用户的峰值体验成倍提升,同时也可以极大地提升网络容量。

  目前,基于上述方案和技术,华为已经利用现有的产品平台实现了MSA技术,并在外场成功地验证了网络分层和MSA技术融合所带来的用户体验提升,真正实现了未来无边界网络的理念。

 
  建立有效安全事件响应计划7步走
   
 

  咨询公司Forreste曾经把2011和2012年称作“黑客的黄金年代”,而今,2013年刚过去的一个季度显示这个黄金年代毫无疑问的还在继续。在今年前三个月里,Apple,Bit9,Facebook,Microsoft,《纽约时报》,《华尔街日报》,以及Twitter都把安全违规问题变成了头等关注大事。

  在安全威胁变得更加不容易控制的今天,攻击技术变得越来越成熟和复杂。尽管如此,安全事件响应并没有获得应有的重视。

  安全事件响应计划应该成为企业内部一项战略活动。然而即使一个企业在遭遇了安全违规之后,安全事件响应计划仍然没有获得应有的重视。根据我们最新的福雷斯特安全调查,2011年和2012年,当企业遭遇安全违规之后,对于安全事件响应计划的投资仅仅增加5个百分点,从18%上升到23%。一个令人震惊的趋势是,21%的企业表示一次安全违规事件并未导致企业进行任何变化。

  确定一个高效的安全事件响应计划应该具备七条原则。采用以下原则,你将能更好的应对威胁形势并能从安全事件中实现更有效的恢复。

  1. 自我意识

  让安全事件响应团队意识到自身的能力和约束是关键。成功取决于对计划准备的客观认识水平。当寻求自我意识,安全事件响应团队必须避免高估自己对某个威胁的响应能力,并清楚在哪里可以获得帮助。

  2. 认清技术的优点和局限性

  在诸如RSA大会之类的行业活动展会现场,到处都充斥着一个普遍的市场信息:下一个伟大的技术将会解决你所有面临的问题。但高级威胁防护不等于一个产品,也没有一个孤立的解决方案可以实现。尽管如此,企业技术投资的比重还是高于安全事件响应计划的投资。根据我们福雷斯特安全调查,当一个安全违规事件发生之后,25%的企业增加了用于购买安全违规预防技术的费用,然而只有23%的企业增加了用于安全事件响应计划自身的费用。

  3. 建立符合实际的报告和衡量机制

  许多企业使用错误的度量机制来测量他们安全事件响应计划的性能。侦查扫描活动不等于安全事件,就像防病毒(AV)定义更新无法测量安全事件响应能力的成功与否一样。有效的安全事件响应团队使用更有意义的业务指标。一旦你已经建立了一个通用的安全事件定义,你就需要测量检测它所用的时间、抑制它扩散所用的时间和补救所用的时间。攻击者进入你的网络后你要花多久时间才能检测到它?一旦检测出来,你要花多久时间才能抑制住攻击者?你要花多久时间才能完成对该安全事件的补救工作?这些测量都是以结果为导向输出的度量机制。当企业提升了员工的技能,部署了新的安全控制措施,这些测量数字就会有所改善。

  4. 让计划可扩展

  当处理全球性公司的安全事件时,安全事件响应的可扩展性就变成非常关键的因素。很多人会对世界上最大的公司作了错误的假设,仅仅因为它们拥有最成熟的技术和能力。事实上,全球性公司的规模和自身复杂性导致安全事件响应特别具有挑战性。正如一位咨询公司的安全事件响应总监所说:“个头越大,摔得越重”。流程和监督对于确保安全事件响应计划的可扩展性来说至关重要。

  5.内外协作

  安全事件响应团队不是孤立的在工作;他们是一个更大社区的一部分。鉴于企业面对的绝大多数威胁形势和操作上的限制,这些团队必须工作在一个更大的社区内才能成功。成功的团队能建立良好的IT关系,认识到顾问的重要性,并能在可信合作伙伴之间共享威胁信息。

  6.鼓励高管参与

  在过去,安全专家们在为博得业务领导的关注而努力奋斗。但过度聚焦在战术安全度量指标上,不能与业务需求保持一致,以及“不存在的部门”的名声,已经遏制了业务领导对安全的兴趣。然而根据福雷斯特调查显示,最近几年发生的高调的网络攻击事件已经提升了70%本次调查受访企业的高管的安全意识。业务领袖们正从《华尔街周刊》和《金融时报》的头版阅读着这些网络攻击的文章。现在是时候利用这个优势去鼓励那些已经准备好听你的见解的高管门参与其中。

  7.自主运作

  安全事件响应团队的工作就是打击攻击者,他们必须感觉到有权作出关键决定,而不是必需花时间去寻求对他们行动的审批。当数据正从网络向外泄漏,损失是以秒来计算的,你必须建立一个启用自主权的框架。为了启动自主权,安全事件响应团队必须制定清晰的交战规则定义,避免出现微观管理和向上操纵指挥系统的现象。最后,你必须确保高层管理层支持安全事件响应分析师们做出的决定——哪怕这个响应决定最后被证明是错的。错误会发生,但一旦他们这样做了,安全领导必须支持这些前线的分析师们的决定。安全事件响应参与者们必须能感觉到管理层将会支持他们的决定,当做了错误的决定,安全事件响应团队不会因此成为替罪羊。

  客户(和大多数公众)并不期望你的企业具有防弹能力;大家越来越同情那些被资金充裕、技术高超、有组织的犯罪分子侵害的企业。对于一次安全违规事件的态度,已经从指责的红字转变成鼓励勇气的红勋章。一个协调一致、行动利落的安全响应计划能优先确保对客户的透明沟通和保护客户身份和财务信息,这将会提高你企业的品牌。

 

四类APT安全解决方案
   
 

  APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。传统基于攻击特征的入侵检测和防御方法在检测和防御APT方面效果很不理想,因此,各安全厂商都在研究新的方法并提出了多种多样的解决方案。我们先回顾一下整个APT攻击过程,对APT安全解决方案进行分类,再介绍一些代表性厂商的APT安全解决方案,最后给出我们的建议。

  APT攻击过程分解

  整个APT攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等步骤:

  1、定向情报收集,即攻击者有针对性的搜集特定组织的网络系统和员工信息。信息搜集方法很多,包括网络隐蔽扫描和社会工程学方法等。从目前所发现的APT攻击手法来看,大多数APT攻击都是从组织员工入手,因此,攻击者非常注意搜集组织员工的信息,包括员工的微博、博客等,以便了解他们的社会关系及其爱好,然后通过社会工程方法来攻击该员工电脑,从而进入组织网络。

  2、单点攻击突破,即攻击者收集了足够的信息后,采用恶意代码攻击组织员工的个人电脑,攻击方法包括:(1)社会工程学方法,如通过email给员工发送包含恶意代码的文件附件,当员工打开附件时,员工电脑就感染了恶意代码;(2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页木马,当员工访问该网站时,就遭受到网页代码的攻击,RSA公司去年发现的水坑攻击(Watering hole)就是采用这种攻击方法。这些恶意代码往往攻击的是系统未知漏洞,现有杀毒和个人防火墙安全工具无法察觉,最终结果是,员工个人电脑感染恶意代码,从而被攻击者完全控制。

  3、控制通道构建,即攻击者控制了员工个人电脑后,需要构建某种渠道和攻击者取得联系,以获得进一步攻击指令。攻击者会创建从被控个人电脑到攻击者控制服务器之间的命令控制通道,这个命令控制通道目前多采用HTTP协议构建,以便突破组织的防火墙,比较高级的命令控制通道则采用HTTPS协议构建。

  4、内部横向渗透,一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

  5、数据收集上传,即攻击者在内部横向渗透和长期潜伏过程中,有意识地搜集各服务器上的重要数据资产,进行压缩、加密和打包,然后通过某个隐蔽的数据通道将数据传回给攻击者。

  APT检测和防御方案分类

  纵观整个APT攻击过程发现,有几个步骤是APT攻击实施的关键,包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、通过构建的控制通道获取攻击者指令,以及最后的敏感数据外传等过程。当前的APT攻击检测和防御方案其实都是围绕这些步骤展开。我们把本届RSA大会上收集到的APT检测和防御方案进行了整理,根据它们所覆盖的APT攻击阶段不同,将它们分为以下四类:

  1、恶意代码检测类方案:该类方案主要覆盖APT攻击过程中的单点攻击突破阶段,它是检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施的,因此,恶意代码检测对于检测和防御APT攻击至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定其APT检测和防御方案的,典型代表厂商包括FireEye和GFI Software。

  2、主机应用保护类方案:该类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工电脑发送恶意代码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,如果能够加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以有效防御APT 攻击。很多做终端和服务器安全的厂商就是从这个角度入手来制定APT检测和防御方案的,典型代表厂商包括Bit9和趋势科技。

  3、网络入侵检测类方案:该类方案主要覆盖APT攻击过程中的控制通道构建阶段,通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道。安全分析人员发现,虽然APT攻击所使用的恶意代码变种多且升级频繁,但恶意代码所构建的命令控制通道通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT的命令控制通道。该类方案成功的关键是如何及时获取到各APT攻击手法的命令控制通道的检测特征。

  4、大数据分析检测类方案:该类方案并不重点检测APT攻击中的某个步骤,它覆盖了整个APT攻击过程。该类方案是一种网络取证思路,它全面采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据存储和深入分析,它可在发现APT攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个APT攻击场景。大数据分析检测方案因为涉及海量数据处理,因此需要构建大数据存储和分析平台,比较典型的大数据分析平台有Hadoop。很多做大数据分析和日志分析的厂商都是从这个角度入手来制定APT攻击检测防御方案的,典型的厂商有RSA和SOLERA。

  FireEye可以说是本次RSA大会上最火的公司,它所推出的基于恶意代码防御引擎的APT检测和防御方案最引人瞩目。FireEye的APT安全解决方案包括MPS(Malware protection System)和CMS(Central Management System)两个组件,其中MPS是恶意代码防护引擎,它是一个高性能的智能沙箱,可直接采集网络流量,抽取所携带文件,然后放到沙箱中进行安全检测;CMS是集中管理系统模块,它管理系统中各MPS引擎,同时实现威胁情报的收集和及时分发。FireEye的MPS引擎有以下特点:(1)支持对Web、邮件和文件共享三种来源的恶意代码检测;(2)对于不同来源的恶意代码,采取专门MPS硬件进行专门处理,目的是提高检测性能和准确性;;(3)MPS支持除可执行文件之外的多达20种文件类型的恶意代码检测;(4)MPS可支持旁路和串联部署,以实现恶意代码的检测和实时防护;(5)MPS可实时学习恶意代码的命令和控制信道特征,在串联部署模式可以实时阻断APT攻击的命令控制通道。CMS除了对系统中多个MPS引擎进行集中管理外,还可以连接到云中的全球威胁情报网络来获取威胁情报,并支持将检测到的新型恶意代码情报上传到云中,以实现威胁情报广泛共享。此外,FireEye还可以和其它日志分析产品结合起来,形成功能更强大的信息安全解决方案。FireEye被认为是APT安全解决方案的佼佼者,其产品被很多500强企业采购。

  Bit9可信安全平台(Trust-based security Platform)使用了软件可信、实时检测审计和安全云三大技术,为企业网络提供网络可视、实时检测、安全保护和事后取证等四大安全功能,从而可以检测和抵御各种高级威胁和恶意代码。Bit9解决方案核心是一个基于策略的可信引擎,管理员可以通过安全策略来定义哪些软件是可信的。Bit9可信安全平台默认假设所有软件都是可疑和禁止加载执行的,只有那些符合安全策略定义的软件才被认为可信和允许执行。Bit9可以基于软件发布商和可信软件分发源等信息来定义软件的可信策略,同时bit9还使用安全云中的软件信誉服务来度量软件可信度,从而允许用户下载和安装可信度较高的自由软件。这种基于安全策略的可信软件定义方案其实是实现了一个软件白名单,只有那些在软件白名单中的应用软件才可以在企业计算环境中执行,其它则是禁止执行的,从而保护企业的计算环境安全。Bit9解决方案还包括一个可安装在每个终端和服务器上的轻量级实时检测和审计模块,它是实现实时检测、安全防护和事后取证的关键部件。Bit9的实时检测和审计模块将帮助你获得对整个网络和计算环境的全面可视性,通过它你可以实时了解到各终端和服务器的设备状态和关键系统资源状态,可以看到各终端上的文件操作和软件加载执行情况;同时,实时检测和审计模块还审计终端上的文件进入渠道、文件执行、内存攻击,进程行为、注册表、外设挂载情况等等。Bit9解决方案还包括一个基于云的软件信誉服务,它通过主动抓取发布于互联网上的软件,基于软件发布时间、流行程度、软件发布商、软件来源以及AV扫描结果计算各软件信誉度。Bit9解决方案还支持从其它恶意代码检测厂商(比如FireEye)处获取文件哈希列表,从而可以识别更多的恶意代码和可疑文件。

  趋势科技的Deep Discovery专门为APT攻击检测而设计,它采用网络入侵检测技术来检测APT攻击的命令控制通道,同时,还可以通过在入侵检测引擎上部署恶意代码检测沙箱来弥补传统特征攻击检测的不足。Deep Discovery方案包括检测、分析、调整、响应四个步骤。产品形态上包括Inspector和Advisor两个组件。

  Inspector是个网络入侵检测引擎,依据获取的威胁情报信息来检测APT攻击过程中的命令控制通道,Inspector可以通过Advisor及时获取到趋势科技的全球威胁情报信息,以便及时检测到各种新型的APT攻击命令控制通道;同时,Inspector还包括一个Virtual Analyzer组件,它是一个智能沙箱,用来分析捕获的恶意代码。Adivsor为一个管理组件,可以实现对各Inspector引擎的集中管理;同时,它还包括一个可选的恶意代码分析引擎,可以接收来自检测引擎的恶意代码,从而实现恶意代码的集中分析;此外,Advisor还承担了威胁情报的实时收集和分发工作,以实现各Inspector引擎之间威胁情报的广泛共享。

  RSA NetWitness是一款革命性的网络安全监控平台,它可为企业提供发生在网络中任何时间的网络安全态势,从而协助企业解决多种类型的信息安全挑战。 RSA NetWitness是一组软件集合,针对APT攻击的检测和防御则主要由Spectrum、Panorama和Live三大组件实现,其中RSA NetWitness Spectrum是一款安全分析软件,专门用来识别和分析基于恶意软件的企业网络安全威胁,并确定安全威胁的优先级;RSA NetWitness Panorama通过融合成百上千种日志数据源与外部安全威胁情报,从而可可以实现创新性信息安全分析;RSA NetWitness Live是一种高级威胁情报服务,通过利用来自全球信息安全界的集体智慧和分析技能,可以及时获得各APT攻击的威胁情报信息,极大缩短了针对潜在安全威胁的响应时间。RSA NetWitness具有以下特点:(1)可对所有网络流量和各网络服务对象的离散事件进行集中分析,实现对网络的全面可视性,从而获得整个网络的安全态势;(2)可以识别各种内部威胁、检测零日漏洞攻击、检测各种定向设计的恶意代码和检测各种APT攻击事件和数据泄密事件;(3)可对所捕获的网络和日志数据进行实时上下文智能分析,从而为企业提供可行动的安全情报信息;(4)可以借助NetWitness监控平台的可扩展性和强大分析能力来实现过程自动化,从而减少安全事件响应时间,并对变化的安全威胁做出及时调整。

  纵观RSA2013大会上参展的主流APT攻击检测和方案后发现,目前各厂家所推出的APT检测防御方法都具有一定的局限性,主要表现为:很多APT攻击检测和防御方案都只能覆盖到APT攻击的某个阶段,从而可能导致漏报;很多APT安全解决方案只能检测APT攻击,并没有提供必要的APT攻击实时防御能力。我们认为,理想的APT 安全解决方案应该覆盖APT攻击的所有攻击阶段,也就是说,我们的APT安全解决方案应该包括事前、事中和事后三个处置阶段,从而可能全面的检测和防御APT攻击。理想APT安全解决方案应该同时具有检测和实时防御能力,大数据分析和入侵检测防御技术相结合,大数据智能分析平台应该是APT安全解决方案的核心,实现对APT 攻击事件的事后分析和情报获取;同时,还应该配合主机应用控制、实时恶意代码检测和网络入侵防御等技术,以实现对APT攻击的时间检测和防御。各APT安全厂商也已经注意到这个问题,开始通过合作或者完善自身技术方法来改进自己的APT检测和防御方案,以弥补其不足,比如,Junior和RSA近期宣布在威胁情报共享上达成合作协议,Junior的安全产品可以使用RSA NetWitness Live提供的安全威胁情报信息,从而提升其安全网关的检测能力;Bit9的可信安全平台可以和FireEye产品集成,利用FireEye高性能智能沙箱和上亿的恶意代码库识别恶意代码,从而更有效地保障主机终端的安全;FireEye的恶意代码防御引擎可以和第三方的安全事件分析平台(SIEM)进行集成,从而可以实现对APT攻击的事后分析和取证。

 

 
7*24专线:010-58812000   技术支持邮箱:support@cstnet.cn   垃圾邮件投诉邮箱:abuse@cstnet.cn
    © 1994-2013 版权所有:中国科技网网络中心     意见反馈: support@cstnet.cn