apt網路安全防禦建模

⑴ apt模型和capm模型的異同

APT與CAPM的本質區別在於，CAPM是一種均衡資產定價模型，而APT不是均衡定價模型。兩者雖然模型的線性形式相同，但建模思想不圓悶同，CAPM模型是建立在市場均衡的基礎上，以市場投資組合存在為前提，apt則不是。

apt模型和capm模型的具體如下：

1，CAPM模型是單因素模型，APT是CAPM模型中的特例模型，主要在影響證劵系統性風險方面，可以計算市場組合衡量，並且市場組合模式，可以用股票指數來代替的話，兩者是一致的。

2，CAPM模型主要是建立在效用函數方面的基礎鏈好上運作的，其中假設投資者所做的投資條件不滿足，風險厭惡。而APT模式是建立在投資者套利的基礎上運作，對於其中的風險偏好是無限制的。

3，CAPM模型橘喚彎只是考慮運作過程中的系統性風險，而APT模型主要考慮了其中很多風險成分，對於風險解釋力會更強。

4，CAPM模型的市場組合模式比較難以觀測，反觀APT模式，它只要有一個充分分散的證劵組合模式，而且不需要市場組合。

5，CAPM模式其中詳細指明了其中的風險因素，而APT模式並沒有詳細指明風險因素，而且具有主觀性。

6，APT模式在得出的結果，有時是一個動態過程，CAPM模式在得出是一個結果，有時是靜態的過程，而在市場有效組合的基礎中，往往最小化風險或者最大化收益化。

⑵ 如何應對APT對網路安全的攻擊及防禦

可以安世握喊裝一些殺毒軟體在電腦上
如電腦管家一搜野類的，然後一直保持開啟
這樣就可以預防病毒進入到電皮褲腦當中了

⑶ APT攻擊的APT攻擊防範方式

使用威脅情報。這包括APT操作者的最新信息；從分析惡意軟體獲取的威脅情報；已知的C2網站；已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行；以及惡意鏈接和網站。威脅情報在進行商業銷售，並由行業網路安全組共享。企業必須確保情報的相關性和及時性。威脅情報被用來建立「絆網」來提醒你網路中的活動。建立強大的出口規則。除網路流量（必須通過代理伺服器）外，阻止企業的所有出站流量，阻止所有數據共享、誒網站和未分類網站。阻止SSH、FTP、Telnet或其他埠和協議離開網路。這可以打破惡意軟體到C2主機的通信信道，阻止未經授權的數據滲出網路。收集強大的日誌分析。企業應該收集和分析對關鍵網路和主機的詳細日誌記錄以檢查異常行為。日誌應保留一段時間以便進行調查。還應該建立與威脅情報匹配的警報。聘請安全分析師。安全分析師的作用是配合威脅情報、日誌分析以及提醒對APT的積極防禦。這個職位的關鍵是經驗。

⑷ 應對APT 攻擊的措施或方法有哪些

應對APT攻擊的措施:

1.就是針對高級威脅的判定。攜謹頌

近年來，有組織的APT攻擊愈發呈現出隱蔽性與多樣化，並且往往針對商業和政治目標展開長期的經營與策劃。 不過一旦得手，其影響則是巨大而深遠的。

正是由於APT攻擊針對性強、隱蔽性高、代碼復雜度高等特點，傳統的安全防禦手段往往應對乏力，而受到攻擊的個人或機構更是無法進行有效判定。

任何靜態的防禦技術對於APT攻擊來說都是基本無效的。 因為APT攻擊面往往很小，單純依靠本地數據監測，無法進行有效判定。

2.則是在判定後，如何進行有效處置。

各種傳統的安全防護技術與防護產品在APT攻擊的檢測與防禦中仍將發揮基礎性作用，不僅要進行常規系統防禦，還要成為探測攻擊信息的主要情報來源。

黑客大殺器——APT：

從APT名字中的高級和持續性這兩個單詞中就能明白APT同一般的攻擊晌羨手法不是一個段位。以伊辯鄭朗核設施被震網病毒攻擊案例為例。

早在05年某超級大國就通過各種手段突破伊朗核設施的層層防護，將病毒植入其中。震網病毒造成伊朗1/5的離心機報廢，直到2012年因為在一個U盤中發現了震網病毒才徹底解決掉這個問題。

⑸ 如何利用大數據來處理網路安全攻擊

「大數據」已經成為時下最火熱的IT行業詞彙，各行各業的大數據解決方案層出不窮。究竟什麼是大數據、大數據給信息安全帶來哪些挑戰和機遇、為什麼網路安全需要大數據，以及怎樣把大數據思想應用於網路安全技術，本文給出解答。
一切都源於APT
APT（Advanced Persistent Threat）攻擊是一類特定的攻擊，為了獲取某個組織甚至是國家的重要信息，有針對性的進行的一系列攻擊行為的整個過程。APT攻擊利用了多種攻擊手段，包括各種最先進的手段和社會工程學方法，一步一步的獲取進入組織內部的許可權。APT往往利用組織內部的人員作為攻擊跳板。有時候，攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼。此外，APT攻擊具有持續性，甚至長達數年。這種持續體現在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網路內部後長期蟄伏，不斷收集各種信息，直到收集到重要情報。更加危險的是，這些新型的攻擊和威脅主要就針對國家重要的基礎設施和單位進行，包括能源、電力、金融、國防等關繫到國計民生，或者是國家核心利益的網路基礎設施。
現有技術為什麼失靈
先看兩個典型APT攻擊案例，分析一下盲點在哪裡：
1、 RSA SecureID竊取攻擊
1) 攻擊者給RSA的母公司EMC的4名員工發送了兩組惡意郵件。郵件標題為「2011 Recruitment Plan」，寄件人是[email protected]，正文很簡單，寫著「I forward this file to you for review. Please open and view it.」;裡面有個EXCEL附件名為「2011 Recruitment plan.xls」；
2) 很不幸，其中一位員工對此郵件感到興趣，並將其從垃圾郵件中取出來閱讀，殊不知此電子表格其實含有當時最新的Adobe Flash的0day漏洞(CVE-2011-0609)。這個Excel打開後啥也沒有，除了在一個表單的第一個格子裡面有個「X」(叉)。而這個叉實際上就是內嵌的一個Flash；
3) 該主機被植入臭名昭著的Poison Ivy遠端控制工具，並開始自BotNet的C&C伺服器(位於 good.mincesur.com)下載指令進行任務；
4) 首批受害的使用者並非「位高權重」人物，緊接著相關聯的人士包括IT與非IT等伺服器管理員相繼被黑；
5) RSA發現開發用伺服器(Staging server)遭入侵，攻擊方隨即進行撤離，加密並壓縮所有資料(都是rar格式)，並以FTP傳送至遠端主機，又迅速再次搬離該主機，清除任何蹤跡；
6) 在拿到了SecurID的信息後，攻擊者就開始對使用SecurID的公司(例如上述防務公司等)進行攻擊了。
2、 震網攻擊
遭遇超級工廠病毒攻擊的核電站計算機系統實際上是與外界物理隔離的，理論上不會遭遇外界攻擊。堅固的堡壘只有從內部才能被攻破，超級工廠病毒也正充分的利用了這一點。超級工廠病毒的攻擊者並沒有廣泛的去傳播病毒，而是針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯網的計算機發起感染攻擊，以此 為第一道攻擊跳板，進一步感染相關人員的U盤，病毒以U盤為橋梁進入「堡壘」內部，隨即潛伏下來。病毒很有耐心的逐步擴散，利用多種漏洞，包括當時的一個 0day漏洞，一點一點的進行破壞。這是一次十分成功的APT攻擊，而其最為恐怖的地方就在於極為巧妙的控制了攻擊范圍，攻擊十分精準。
以上兩個典型的APT攻擊案例中可以看出，對於APT攻擊，現代安全防禦手段有三個主要盲點：

1、0day漏洞與遠程加密通信
支撐現代網路安全技術的理論基礎最重要的就是特徵匹配，廣泛應用於各類主流網路安全產品，如殺毒、入侵檢測/防禦、漏洞掃描、深度包檢測。Oday漏洞和遠程加密通信都意味著沒有特徵，或者說還沒來得及積累特徵，這是基於特徵匹配的邊界防護技術難以應對的。
2、長期持續性的攻擊
現代網路安全產品把實時性作為衡量系統能力的一項重要指標，追求的目標就是精準的識別威脅，並實時的阻斷。而對於APT這種Salami式的攻擊，則是基於實時時間點的檢測技術難以應對的。
3、內網攻擊
任何防禦體系都會做安全域劃分，內網通常被劃成信任域，信任域內部的通信不被監控，成為了盲點。需要做接入側的安全方案加固，但不在本文討論范圍。

大數據怎麼解決問題
大數據可總結為基於分布式計算的數據挖掘，可以跟傳統數據處理模式對比去理解大數據：
1、數據采樣——>全集原始數據（Raw Data）
2、小數據+大演算法——>大數據+小演算法+上下文關聯+知識積累
3、基於模型的演算法——>機械窮舉（不帶假設條件）
4、精確性+實時性——>過程中的預測
使用大數據思想，可對現代網路安全技術做如下改進：
1、特定協議報文分析——>全流量原始數據抓取（Raw Data）
2、實時數據+復雜模型演算法——>長期全流量數據+多種簡單挖掘演算法+上下文關聯+知識積累
3、實時性+自動化——>過程中的預警+人工調查
通過傳統安全防禦措施很難檢測高級持續性攻擊，企業必須先確定日常網路中各用戶、業務系統的正常行為模型是什麼，才能盡早確定企業的網路和數據是否受到了攻擊。而安全廠商可利用大數據技術對事件的模式、攻擊的模式、時間、空間、行為上的特徵進行處理，總結抽象出來一些模型，變成大數據安全工具。為了精準地描述威脅特徵，建模的過程可能耗費幾個月甚至幾年時間，企業需要耗費大量人力、物力、財力成本，才能達到目的。但可以通過整合大數據處理資源，協調大數據處理和分析機制，共享資料庫之間的關鍵模型數據，加快對高級可持續攻擊的建模進程，消除和控制高級可持續攻擊的危害。

⑹ ATT&CK與CAPEC的比較

https://www.mitre.org/capabilities/cybersecurity/overview/cybersecurity-blog/attck%E2%84%A2-content-available-in-stix%E2%84%A2-20-via

https://github.com/MISP/misp-galaxy/tree/master/clusters

https://www.freebuf.com/column/197837.html

https://www.anquanke.com/post/id/185492

https://github.com/mitre/cti

了解對手的行為在網路安全中越來越重要。有兩種方法用於組織關於對手行為的知識——CAPEC和ATT&CK，每一種方法都關注於一組特定的用例。

本頁解釋了CAPEC和ATT&CK之間的相同點、不同點和關系，以及它們在網路安全中的作用。

一、常見攻擊模式枚舉和分類(CAPEC)

CAPEC關注於應用程序安全性，並描述了敵手利用網路能力中的已知弱點所使用的通用屬性和技術。(例如，SQL注入、XSS、會話固定、點擊劫持)

（1）關注應用程序安全性

（2）列舉余旅辯針對脆弱系統的攻擊

（3）包括社會工程/供應鏈

（4）與通用弱點枚舉(CWE)相關聯

二、對抗性戰術、技巧與常識(ATT&CK)

對抗性戰術、技巧與常識(ATT&CK)專注於網路防禦，描述了敵方生命周期、攻擊前和攻擊後的作戰階段(例如，持久性、橫向移動、撤退)，並詳細描述了高級持續性威脅(APT)在瞄準、破壞和在網路內作戰時用來執行目標的具體戰術、技術和程序(ttp)。

（1）專注於網路防禦

（2）基於威脅情報和紅隊的研究豎缺

（3）提供對惡意行為的上下文理解

（4）鎮虛支持測試和分析防禦選項

三、它們是如何聯系在一起的……

CAPEC列舉的許多攻擊模式都是通過ATT&CK描述的特定技術由對手使用的。這使得能夠在對手的操作生命周期內對攻擊模式進行上下文理解。CAPEC攻擊模式和相關的ATT&CK技術在適當的時候在兩個工作之間相互引用。

四、何時使用…

使用CAPEC:

應用程序的威脅建模

開發人員的培訓和教育

滲透測試

使用ATT&CK:

比較計算機網路防禦能力

防禦持續的高級威脅

尋找新的威脅

增強威脅情報

對手模擬練習

mitre定義的APT組織

https://attack.mitre.org/groups/

⑺ CAPM模型和APT模型的區別和聯系

一、CAPM（又叫做資本資產定價模型）和APT（又叫做套利定價模型）有3點不同：

1、兩者的實質不同：

（1）CAPM的實質：主要研究證券市場中資產的預期收益率與風險資產之間的關系，以及均衡價格是如何形成的，是現代金融市場價格理論的支柱。

（2）APT的實質：APT模型表明，資本資產的收益率是各種因素綜合作用的結果，諸如GDP的增長、通貨膨脹的水平等因素的影響，並不僅僅只受證券組合內部風險因素的影響。

2、兩者的起源不同：

（1）CAPM的的起源：段行由美國學者夏普（William Sharpe）、林特爾（John Lintner）、特里諾（Jack Treynor）和莫辛（Jan Mossin）等人於1964年在資產組合理論和資本市場理論的基礎上發展起來的。

（2）APT的起源：由羅斯在1976年提出，實際上也是有關資本資產定價的模型。

3、兩者的假設條件不同：

（1）CAPM的假設條件：投資者希望財富越多愈好，效用是財富的函數，財富又是投資收益率的函數，因此可以認為效用為收益率的函數。投資者能事先知道投資收益率的概率分布為正態分布。投資風險用投資收益率的方差或標准差標識。影響投資決策的主要因素為期望收益率和風險兩項。

（2）APT的假設條件：單一投資期；不存在稅收握陸嘩；投資者能以無風險利率自由借貸；投資者以收益率的均值和方差為基礎選擇投資組合。

二、CAPM和APT之間的聯系：

APT模型是CAPM模型的替代理論。雖然被稱作套利定價模型，但實際與套利交易無關，是適用於所有資產的估值模型，其理論基礎是「一項資產的價格由不同因素驅動。將這些因素分別乘上其對資產價格影響的貝塔系數，加總後再加上無風險收益率，就可以得出該項資產的價值」。

雖然APT理論在形式上很完美，但是由於它沒有給出具體驅動資產價格的因素悉備，而這些因素可能數量眾多、只能憑投資者經驗自行判斷選擇，且每項因素都要計算相應的貝塔值、CAPM模型只需計算一個貝塔值，所以在對資產價格估值的實際應用時，CAPM比APT使用得更廣泛。

⑻ 應對APT 攻擊的措施或方法有哪些

我認為防禦APT攻擊，和增強一個企業的信息安全程度是一致的。信息安全的整體思想其實就在對抗APT。下面都是雜談。

（1）網路設備和服務
1. 合理配置邊防設備，例如防火牆。具備基本的出入過濾功能，條件允許的實況下使用屏蔽子網結構。防火牆策略按照默認拒絕。如果願意安裝入侵檢測系統更好。
2. 使用有相關安全技術的路由器，例如很多新的路由器有一定的抗ARP攻擊的能力。
3. 善於使用代理伺服器（例如反向代理）、web網關（例如一些檢測xss的軟體）
4. 內部的辦公工作，設計為只有內網用戶可以進行。有子公司的情況下，使用VPN技術。
5. 郵件系統要具有防假冒郵件、防垃圾郵件的基本能力。
6. 全網內的終端機器，至少使用可靠可更新的安全反病毒軟體。
7. 不必要的情況下，企業內部不要配置公共Wifi。如果需要，限制公共Wifi的許可權，使用有效密碼，至少使用WPA2的安全設置，條件允許可以隱藏SSID。
8. 企業內部的通訊使用加密，對抗監聽和中間人。

（2）安全管理
1. 企業建立安全策略，分配職責，僱傭背景清晰的安全工作人員。
2. 企業制度允許的情況下，合理運用強制休假、崗位輪換的方法。
3. 企業有一定許可權的管理人員（例如人事部門），要合理分權，最小許可權，不能集中某一些人都有最高的許可權，特別領導同志要主動放棄最高許可權。
4. 入職和離職的時候要仔細檢查，例如離職時要有人監督他收拾東西離開，避免最後一刻留下後門，還要及時清除他的賬戶。使用證書的企業，還要停止他的證書。
5. 要建立日誌審核的制度，有專門的人員審核邊防設備記錄的重要信息。
6. 企業架設合理的打卡、門禁制度，作為確定用戶的上下班時間，在其不在職時間的奇怪訪問，很可能是攻擊。
7. 員工定期清理自己的桌面（不是電腦桌面），目的是確保秘密的文件沒有被隨意放置。
8. 員工系統使用強密碼，使用要求密碼的電腦屏保。
9. 員工使用的電子設備有基本的防盜能力，至少有鎖屏圖案，最好有遠程數據抹除，如果有全設備加密更好。
10. 及時更新公司的操作系統到穩定的安全版本，這樣可以有效對抗新攻擊。特別是web伺服器。
11. 設立一定的監督記錄，例如員工不要使用電驢這些可能泄漏敏感信息的內容。
12. 僱傭有資質的單位，對員工進行安全培訓，使員工明白基本的安全知識。

（3）物理安全
1. 建築要有一定的防盜設計，例如人造天花板的設計、重要的門有B型以上的鎖。
2. 高度機密的環境下，可以使用電磁屏蔽的技術，一般用於機房。
3. 僱傭必要的保安人員，設置攝像頭。

（4）Web安全
1. 企業的Web伺服器很可能受到攻擊，應該配置基本的安全防護軟體，盡量使用適當硬化的系統（有條件的情況下配置Linux而不是Windows，並刪除不必要的功能和服務）。
2. 企業的Web應用，如果自身沒有安全開發的能力，應該外包給有資質，特別是經濟情況正常的企業完成。要避免為了節省費用，使用小家的企業去做。
3. 內網如果有Web服務（如內部辦公，應該和外網適當分離。
4. 隱藏一些可能泄漏伺服器軟體類型和版本的信息。

（5）長期的安全維護
1. 僱傭有能力的、安全底細清楚的安全人員，或者咨詢外面的公司。
2. 定期使用缺陷掃描儀、埠掃描儀等等進行檢查。
3. 有條件的企業，應該配置蜜罐或者蜜網。
4. 建立安全基準，有助於識別未知的安全攻擊。

⑼ apt模型和多因子模型區別

APT模型和多因子模型都是用於解釋資產收益率的模型，但它們的建模思路和方法不同，具體區別如下：

1. 模型思路不同：APT模型是基於風險溢價理論，認為資產的收益率是由多種因素決定的，包括市場因素、行業因素、公司因素等；而多因子模型則是基於統計學方法，通過分析歷史數據中的多個因子與資產收益率之間的關系，來建立資產收益率的模型。

2. 因子數量不同：APT模型認為資產收益率由多種因素決定，但只需要考慮少數幾個主要因素，通常不超過10個；而多因子模型則通常考慮更多的因子，可以達到幾十個。

3. 因子的選擇方式不同：APT模型的因子選擇通常基於理論分析和專家經驗，而多因子模型則通常基於統計學方法，通過數據分析和回歸模型來確定最優的因子組合。

4. 模冊鏈消型的解釋力不同：APT模型的解釋力較強，可以對資產收益率的波動進行較好的解釋和預測；而多喚兆因子模型的解釋力較弱，只能解釋資產收益率的一部分波動。

總的來說，APT模型和多因子模型都有其適用的場景和優劣勢，選州知擇哪種模型需要根據具體的分析需求和數據特徵來決定。