随着军队信息化建设的不断发展，各类信息网络在军事中的应用日趋广泛，与此同时，军事网络安全威胁也日益严峻[1]。我国军事网络安全防护体系已初具规模和能力，但应对大规模、高强度网络攻击的能力仍较为薄弱，特别是在应对以高级持续性威胁（AdvancedPersistentThreat,APT）攻击[2,3]为主要形式的网络作战上，还存在着较大差距。分析军事网络APT攻击特点与原理，设计应对APT攻击的防御模型，提出系统的安全防御措施，对提高军事网络防御能力，确保打赢“网络防御战”具有十分重要的意义。

1、APT攻击特点与原理

1.1 APT攻击特点

与传统的网络攻击相比，APT攻击具有以下显著特点[4,5,6]。

1）目标的针对性：在西方国家网络霸权思想影响以及相关战略资助下，APT攻击经常以我国国防部门、军事机构、军工单位等具有战略战术意义的重要部门为目标，并以窃取敏感情报、破坏目标系统为目的。

2）攻击的持续性：APT攻击者在选定军事网络目标后，会长时间地持续渗透，长期潜伏搜集各种敏感信息，挖掘其中漏洞，再制定针对性的试探攻击方法，并进行长时间的反复攻击，以获得最有价值的攻击效果。

3）力量的专业性：对军事网络的攻击者一般受国家或大型组织操控，由具有丰富经验的黑客团伙实施，可投入持续、大量的人力、物力和财力资源。

4）方式的多态性：APT攻击方式既包括病毒、木马植入等传统入侵手段，也包括SQL注入、0day漏洞等较先进手段，甚至结合社会工程学、军事外交等各种线下手段。

1.2 APT攻击原理

APT攻击过程[7,8]一般包括探测、入侵、潜伏和破坏4个阶段，具体分为情报收集、侵入网络、指挥控制、深入渗透、目标挖掘、实施攻击等6个步骤，各步骤的攻击内容、主要方法及其预期目标如表1所示。

表1APT攻击基本原理

2、APT攻击防御体系模型

由APT攻击原理可知，攻击是分阶段、逐步推进的，可围绕APT攻击周期建立多重防御体系，覆盖攻击的主要环节以有效拦截攻击行为。因此，根据“信息安全分级保护、严控信息外泄，边界防护立体多元、截断入侵途径，信息内容审计可控、追踪可疑活动，网络要素真假并存、诱骗攻击现形，重要设施容灾备份、提高抗毁能力”防御思想[9,10,11,12,13]，构建了军事网络应对APT攻击的多级防御模型，如图1所示。

图1军事网络应对APT攻击的多级防御模型

边界防控，是指将加固边界作为防御APT攻击的第一道防线，将安全控制延伸到系统边界，采用终端安全接入系统、用户信誉评估系统和服务系统弱点分析系统，构建终端、用户、服务三位一体的边界防控系统。

网络防护，是指在以防火墙、入侵检测等传统网络安全设备为中心的防护架构基础上，在网络汇聚层增加大吞吐量防火墙，级联网络核心层入侵检测设备，增加网络拓扑监控系统，建立点、线、面三层防护体系。

信息审计，是指加强安全态势的实时监测能力，部署网络流量审计系统、僵尸网络攻击行为预警系统、内容审计系统和数据库审计系统，构建涵盖流量、业务和数据多种内容的全网信息审计体系。

用户管控，是指推进网络信任基础设施建设，部署身份认证识别系统、授权管理系统、违规取证分析系统，解决用户身份认证、用户授权和责任认定等核心问题，构建涵盖认证、权限、行为的用户管控体系。

应急响应，是指依托自身力量成立安全研究组织、建立风险评估指标，与地方政府、安全企业、研究组织建立常态化协同联动机制，构建具备自主研究、风险评估、协同联动功能的应急响应体系。

容灾备份，是指着眼受APT攻击后的最低限度保障，对重要网络建立备份网络，对一般网络建立备份路由，对核心设备实施双机热备和离线备份，对机密数据利用数据中心容灾备份，构建重要网络、核心设备、机密数据软硬件相结合的容灾备份体系。

3、APT攻击防御系统与安全措施

在APT攻击的4个阶段中，入侵、潜伏、破坏3个阶段是有效应对APT攻击的关键环节。根据图1的APT攻击防御体系模型，在这3个阶段可针对性地设计防御系统并采取安全措施。

3.1 APT攻击入侵防御系统

APT攻击在入侵阶段具有针对性强、方法灵活、手段多样等特点[14]，应根据“封锁边界、全域布控”的原则设计防御系统，并采取“禁入、拉网、补漏、阻断”等安全措施，如图2所示。

图2APT攻击入侵防御系统设计结构

1）禁入——严格管控，防“敌”入侵

应防止恶意软件、代码入侵军事组织用户的个人设备以及军事网络系统，具体措施包括：(1)制度上严管。严格内外网隔离制度；不在互联网泄露个人信息；严禁非注册移动存储载体处理涉密信息，接入内部网络；严禁将涉密移动存储载体带出办公区或送交非指定单位维修。(2)策略上严防。采用军用、民用网络安防结合，同防同治的策略，争取第一时间发现安全隐患，堵住漏洞。(3)技术上严控。利用口令+生物识别等综合认证方式阻断APT攻击者以假冒身份侵入军事网络；利用数字证书技术防止非法设备接入军事网络系统；利用安全认证技术对军事网络传输的数据进行加密认证。

2）拉网——构筑屏障，堵源截流

应防止APT攻击隐蔽迂回进入军事网络内部，具体措施包括：(1)构筑纵深防御体系。综合构筑集网络/桌面防火墙、杀毒软件、网络入侵防护、安全审计、漏洞扫描（补漏洞）各类安全设备于一体，涵盖应用、用户、数据多层面的，由内到外、由浅至深、多级联动的纵深防御体系，严防恶意代码进入。(2)检测非可信代码。结合云杀毒技术，实现对软件、代码的可信检测和可控执行，及时发现非法软件及代码，并在其运行前或运行过程中进行阻断。

3）补漏——查找漏洞，升级修补

应及时发现并修补军事网络安全漏洞，具体措施包括：(1)及时发现安全漏洞。将漏洞扫描与防火墙、入侵防护、安全审计等防护系统紧密联动，及时发现可被利用和已被发现的系统漏洞。(2)采用“以时间对抗时间”的策略。利用新一代基于记忆的智能检测系统对长时间、全流量数据进行深度分析，在长时间窗口上对流量进行回溯分析，发现可能的APT攻击。(3)全网联动升级。利用大数据、云计算等技术分析漏洞原因，预测扩散范围，及时对军事网络系统内的所有主机进行升级，防止APT攻击入侵或扩大入侵面。

4）阻断——安全隔离，防患未然

应通过隔离阻断APT攻击的指挥控制通路，具体措施为：针对军事网络高安全级别的特殊要求，遵循“凡是不可信的，均阻断”的原则，利用可信程序、可信行为特征库发现“异常”代码和行为[15]后，坚决加以阻止，对已被入侵的非重点主机实行断网物理隔离。

3.2 APT攻击潜伏防御系统

APT攻击在潜伏阶段通常以军事网络非关键节点为跳板渗透入侵核心系统和要害部位[16,17,18,19,20]，应根据“诱敌深入、追踪溯源”的原则设计防御系统，并采用“分区、佯动、遮断、反击”等安全措施，如图3所示。

图3APT攻击潜伏防御系统设计结构

1）分区——分割区域，重点保护

应加强重要节点、敏感数据保护，具体措施包括：(1)对重要节点和一般节点进行分区，对重要节点和敏感数据进行重点防护。(2)一旦发现针对关键节点和敏感数据的攻击意图，应立即按照网络防护预案，提升网络安全防护等级，对网络系统内的所有主机系统进行升级防护。

2）佯动——虚实结合，隐真示假

应隐蔽伪装军事网络，欺骗迷惑APT攻击者，具体措施包括：(1)实体伪装。综合利用云计算、云存储等技术全方位、多层次、立体、隐蔽、疏散配置计算机网络路由、交换、主机设备，增大APT攻击发现军事网络关键节点的难度，降低受攻击破坏的概率。(2)信号伪装。采用传假态势、发假指示、利用空闲信道传输信息等方式使真正有用的信息隐藏其中，使APT攻击者难以接收处理正确信息。(3)隐真示假。建立蜜罐系统，佯动诱惑APT攻击者发出攻击，同时利用蜜罐系统强大的分析能力综合分析攻击的特征和规律。

3）遮断——封锁隔断，切断交流

应切断APT攻击信息传输通道以封锁控制信息交换、割断控制脉络，具体措施包括：(1)功率倍增法压制。当发现APT攻击采用无线控制信息通路时，可设立电子干扰台（站）并施放大功率电磁干扰信息，使APT攻击者无法正常收到或无法分离有用信息。(2)路由策略阻断。当APT攻击采用有线控制信息通路时，可采用路由策略等各种高级控制策略及时阻断信息通路。

4）反击——先机制敌，以攻助防

应利用APT攻击需长时间搜集信息的时间差发起反击，削弱和破坏APT攻击行动，具体措施包括：(1)追踪溯源。在发现军事网络中受控的潜伏节点后，可结合国内外形势对重点方向进行侦测和追踪，揭露支持APT攻击的国家或组织机构。(2)网络战反击。发生网络战时可利用网络病毒武器、电磁脉冲武器等软、硬网络战武器对APT攻击源实施反击，削弱甚至破坏其攻击能力。

3.3 APT攻击破坏防御系统

在APT攻击破坏阶段，为确保关键部位安全，将损失减少到最小，应根据“隔离施救、备份保底”的原则设计防御系统，并采取“断路、备份、补救”等安全措施，如图4所示。

图4APT攻击破坏防御系统设计结构

1）断路——断网破链，切断通路

军事网络中一些没有设防或安全防护级别较差的主机通常被设置成代理服务器，作为APT攻击的“跳板机”。因此，一旦确认某台主机被控制成为“跳板机”后，应立即切断该主机与外界的网络通路，并执行病毒查杀程序，使该主机无法将信息传出或无法收到相关的指示信息，从而切断APT攻击的通路。

2）备份——数据备份，防止瘫痪

军事网络受到APT攻击后，容易造成军事信息数据大面积破坏，为此应进行数据容灾备份，具体措施包括：(1)对于核心网络或信息系统中的数据采用远程容灾备份。当某一个节点受到APT攻击时，及时通过网络将备份在两个或多个异地的数据，以同步远程镜像或异步远程镜像方式进行数据恢复，甚至还可通过网络中另一个备份节点继续进行信息处理与业务运行。(2)对于非核心网络或信息系统中的数据采用本地容灾备份。当节点被APT攻击、重要数据遭到破坏时，可直接启用本地系统备份的节点。

3）补救——亡羊补牢，以防后患

遭受APT攻击后，应尽快分析APT攻击路径、方法，进行针对性的应对及防范，具体措施包括：(1)及时对APT攻击样本进行逆向分析，从中提取攻击特征与功能特性，从而定位攻击者的地址等相关信息。(2)及时更新病毒库、恶意站点列表和入侵检测规则库，修复已知的系统漏洞，完善防火墙、访问控制等防护机制，避免再次遭受类似的APT攻击。

4、系统测试

为了验证本文所提出的军事网络APT攻击防御体系的有效性，本节利用单位办公局域网，以word2010运行日志、APT-C-00病毒样本日志和AreyouOK病毒样本日志作为测试样本进行试验。其中，APT-C-00是专门针对我国政府、科研机构的高级持续性渗透攻击病毒，威胁程度和隐蔽性高；而AreyouOK病毒属于恶搞性质的病毒，并不属于APT病毒，除了让计算机蓝屏崩溃，并不破坏用户数据，也不长驻内存自动运行，因此威胁性低。

测试结果如表2所示。

表2APT攻击防御体系测试结果

可见，该APT攻击防御体系能很好地识别APT病毒，并及时进行阻止，从而保证军事网络安全。

此外，利用病毒、木马和漏洞等多种形式的APT攻击进行大量测试，还可以得出以下结论：

1)APT攻击初始，军事网络内被植入后门以及受感染的节点处于增加的状态，随着时间的增加，防御体系各系统发挥各自作用，使系统逐渐恢复。

2)APT攻击防御体系整体能力依赖于各个系统能力的合成，各系统能力的增加能够提升体系整体防御能力。

5、结束语

高级持续性威胁以攻击军事网络关键设施、窃取敏感军事情报为目的，是一种有目的、有组织、有预谋的群体式定向攻击，已成为最严重的军事网络安全威胁之一。通过分析军事网络APT攻击的步骤及方法，建立了应对APT攻击的多级防御体系模型，提出了系统、有效、具体的防御系统及安全措施，可构建面向APT攻击的军事网络安全防护体系，为进一步提高军事网络安全防御能力提供参考和支撑。

参考文献：

[1]吴晓平,付枉,李洪成.防范高级持续性威胁的军事信息系统安全框架研究[J].海军工程大学学报(综合版),2016,13(2):30-35.

[2]肖新光.高级持续性网络威胁场景下的保密工作思考[J].保密科学技术,2016:38-43.

[3]高伟.APT高级可持续性威胁防御系统设计[J].电脑知识与技术,2015,11(7):33-35.

[4]孙健,王晨.基于行为分析的APT攻击检测研究[J].电子设计工程,2019,27(8):142-146.

[5]张滨,袁捷,乔喆,等.高级持续性威胁分析与防护[J].电信工程技术与标准化,2018,31(2):48-51.

[6]麦欢怡.APT攻击的特点及防范[J].电信快报,2018(2):13-15.

[7]张瑜,潘小明,LiuQingzhong,等.APT攻击与防御[J].清华大学学报:自然科学版,2017,57(11):1127-1133.

[8]孙文君,苏旸.基于攻防树的APT风险分析方法[J].计算机应用研究,2018,35(2):511-515.

[9]梁静.计算机网络安全防御系统设计研究[J].电子设计工程,2019,27(10):155-158.

[10]孙少华,孙晓东,李卫.计算机网络的安全防护设计与实现[J].电子设计工程,2017,25(13):118-121.

[11]倪振华,刘靖旭,王泽军,等.面向APT攻击的网络安全防护体系能力分析[J].兵器装备工程学报,2017,38(4):127-131.

[12]任恒妮.大数据时代计算机网络安全防御系统设计研究分析[J].电子设计工程,2018,26(12):59-63.

[13]叶木林.基于防火墙的网络安全技术的实现[J].电子设计工程,2018,26(17):158-161.

[15]付钰,李洪成,吴晓平,等.基于大数据分析的APT攻击检测研究综述[J].通信学报,2015,36(11):1-14.

[17]许学添.基于模糊约束的网络入侵检测方法[J].西安工程大学学报,2016(5):627-632.

[18]温斯琴,王彪.基于神经网络的计算机网络安全评价仿真模型[J].现代电子技术,2017(3):89-91.

[19]黄秀丽,马媛媛,费稼轩,等.配电自动化系统信息安全防护设计[J].供用电,2018(3):47-51.

[20]孟敏.基于渗透测试的网络安全评估技术研究[J].自动化与仪器仪表,2018(10):182-184.

陶荣.军事网络APT攻击防御体系设计[J].电子设计工程,2020,28(08):1-5.

基金：陆军武器装备军内科研项目(LJ20182B040014).