基于大數據的APT攻擊檢測概念高級持續性威脅（advancedpersistentthreat，APT）是指隱匿而持久的電腦入侵過程，通常由某些人員精心策劃，針對特定的目標。其通常是出于商業或政治動機，針對特定組織或國家，并要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素：高級、長期、威脅。高級強調的是使用復雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標，并從其獲取數據。威脅則指人為參與策劃的攻擊。APT攻擊生命周期2013年，APT攻擊生命周期（美國Mandiant）：初始入侵

–使用社會工程學、釣魚式攻擊、零日攻擊，通過郵件進行。在受害者常去的網站上植入惡意軟件（掛馬）也是一種常用的方法。站穩腳跟

–在受害者的網絡中植入遠程訪問工具，打開網絡后門，實現隱蔽訪問。提升特權

–通過利用漏洞及破解密碼，獲取受害者電腦的管理員特權，并可能試圖獲取Windows域管理員特權。內部勘查

–收集周遭設施、安全信任關系、域結構的信息。橫向發展

–將控制權擴展到其他工作站、服務器及設施，收集數據。保持現狀

–確保繼續掌控之前獲取到的訪問權限和憑據。任務完成

–從受害者的網絡中傳出竊取到的數據。APT例子：震網病毒APT特點組織特點從APT攻擊事件分析來看，APT攻擊已突破傳統黑客小團隊“作坊級協同”模式，上升為一種國家層面“組織級聯合”模式，攻擊數量、持續性和復雜性不斷增加攻擊目標指向高價值資產或物理系統攻擊特點以“低和慢”模式運行，同時使用用戶憑據或零日漏洞，其巨大的復雜性和逃避檢測能力，困擾著眾多安全領域專家。“低模式”即網絡中保持低調“慢模式”即執行過程長。APT攻擊（如震網（Stuxnet）、毒區（Duqu）、火焰（Flame）和紅十月（RedOctober）等病毒）網絡安全“老三樣”使用IDS、防火墻、防病毒等常規安全防護系統，乃至于安全信息和事件管理系統（SIEM）都較難應對APT攻擊需要借助于安全專家的人工分析。大數據APT檢測思路若將大數據分析技術應用于APT攻擊檢測，將大大提高檢測能力。應對APT攻擊“低模式”，檢測系統需將所轄網域中各種異常事件及數據完整記錄，并利用大數據強分析能力處理數據間的相關性來揭示攻擊軌跡應對“慢模式”，需保留長時間窗口的歷史記錄數據，在時間窗口內處理所有攻擊相關上下文信息?！暗湍Ｊ健钡膽獙ρ芯緽eehive（蜂窩）傳感器（蜜蜂）感知異常行為如：提升權限、竊取敏感信息、破壞操作系統檢測系統（蜂群）分工各異的蜂群維護整個蜂窩一次APT攻擊是由多階段攻擊動作（漏洞發掘、控制權獲取、橫向移動、目標攻擊）組成。大數據分析將細微動作關聯以發現APT攻擊的“低模式”。不同安全產品日志的語義相關性，以及日志的大數據特性是重點解決的問題。Beehive:Large-scaleloganalysisfordetectingsuspiciousactivityinenterprisenetworks[C]，Proceedingsofthe29thAnnualComputerSecurityApplicationsConference.ACM,2013:199-208.“慢模式”的應對研究攻擊金字塔（AttackPyramid）采用攻擊樹原理及分層模型Usinglargescaledistributedcomputingtounveiladvancedpersistentthreats[J].SCIENCE,2013,1(3):pp.93-105.“慢模式”的應對研究攻擊金字塔（AttackPyramid）使用不同的算法并以MapReduce分布式計算，來判斷上下文間和上下文中可能的惡意活動Usinglargescaledistributedcomputingtounveiladvancedpersistentthreats[J].SCIENCE,2013,1(3):pp.93-105.APT檢測產品IBM公司產品稱為大數據安全智能平臺（SecurityIntelligencewithBigData）它綜合安全智能平臺的實時處理及安全操作、和大數據平臺的大數據處理及分析取證。In