apt网络安全防御建模

⑴ apt模型和capm模型的异同

APT与CAPM的本质区别在于，CAPM是一种均衡资产定价模型，而APT不是均衡定价模型。两者虽然模型的线性形式相同，但建模思想不圆闷同，CAPM模型是建立在市场均衡的基础上，以市场投资组合存在为前提，apt则不是。

apt模型和capm模型的具体如下：

1，CAPM模型是单因素模型，APT是CAPM模型中的特例模型，主要在影响证劵系统性风险方面，可以计算市场组合衡量，并且市场组合模式，可以用股票指数来代替的话，两者是一致的。

2，CAPM模型主要是建立在效用函数方面的基础链好上运作的，其中假设投资者所做的投资条件不满足，风险厌恶。而APT模式是建立在投资者套利的基础上运作，对于其中的风险偏好是无限制的。

3，CAPM模型橘唤弯只是考虑运作过程中的系统性风险，而APT模型主要考虑了其中很多风险成分，对于风险解释力会更强。

4，CAPM模型的市场组合模式比较难以观测，反观APT模式，它只要有一个充分分散的证劵组合模式，而且不需要市场组合。

5，CAPM模式其中详细指明了其中的风险因素，而APT模式并没有详细指明风险因素，而且具有主观性。

6，APT模式在得出的结果，有时是一个动态过程，CAPM模式在得出是一个结果，有时是静态的过程，而在市场有效组合的基础中，往往最小化风险或者最大化收益化。

⑵ 如何应对APT对网络安全的攻击及防御

可以安世握喊装一些杀毒软件在电脑上
如电脑管家一搜野类的，然后一直保持开启
这样就可以预防病毒进入到电皮裤脑当中了

⑶ APT攻击的APT攻击防范方式

使用威胁情报。这包括APT操作者的最新信息；从分析恶意软件获取的威胁情报；已知的C2网站；已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行；以及恶意链接和网站。威胁情报在进行商业销售，并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。建立强大的出口规则。除网络流量（必须通过代理服务器）外，阻止企业的所有出站流量，阻止所有数据共享、诶网站和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道，阻止未经授权的数据渗出网络。收集强大的日志分析。企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。聘请安全分析师。安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。

⑷ 应对APT 攻击的措施或方法有哪些

应对APT攻击的措施:

1.就是针对高级威胁的判定。携谨颂

近年来，有组织的APT攻击愈发呈现出隐蔽性与多样化，并且往往针对商业和政治目标展开长期的经营与策划。 不过一旦得手，其影响则是巨大而深远的。

正是由于APT攻击针对性强、隐蔽性高、代码复杂度高等特点，传统的安全防御手段往往应对乏力，而受到攻击的个人或机构更是无法进行有效判定。

任何静态的防御技术对于APT攻击来说都是基本无效的。 因为APT攻击面往往很小，单纯依靠本地数据监测，无法进行有效判定。

2.则是在判定后，如何进行有效处置。

各种传统的安全防护技术与防护产品在APT攻击的检测与防御中仍将发挥基础性作用，不仅要进行常规系统防御，还要成为探测攻击信息的主要情报来源。

黑客大杀器——APT：

从APT名字中的高级和持续性这两个单词中就能明白APT同一般的攻击晌羡手法不是一个段位。以伊辩郑朗核设施被震网病毒攻击案例为例。

早在05年某超级大国就通过各种手段突破伊朗核设施的层层防护，将病毒植入其中。震网病毒造成伊朗1/5的离心机报废，直到2012年因为在一个U盘中发现了震网病毒才彻底解决掉这个问题。

⑸ 如何利用大数据来处理网络安全攻击

“大数据”已经成为时下最火热的IT行业词汇，各行各业的大数据解决方案层出不穷。究竟什么是大数据、大数据给信息安全带来哪些挑战和机遇、为什么网络安全需要大数据，以及怎样把大数据思想应用于网络安全技术，本文给出解答。
一切都源于APT
APT（Advanced Persistent Threat）攻击是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。
现有技术为什么失灵
先看两个典型APT攻击案例，分析一下盲点在哪里：
1、 RSA SecureID窃取攻击
1) 攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件。邮件标题为“2011 Recruitment Plan”，寄件人是[email protected]，正文很简单，写着“I forward this file to you for review. Please open and view it.”;里面有个EXCEL附件名为“2011 Recruitment plan.xls”；
2) 很不幸，其中一位员工对此邮件感到兴趣，并将其从垃圾邮件中取出来阅读，殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)。这个Excel打开后啥也没有，除了在一个表单的第一个格子里面有个“X”(叉)。而这个叉实际上就是内嵌的一个Flash；
3) 该主机被植入臭名昭着的Poison Ivy远端控制工具，并开始自BotNet的C&C服务器(位于 good.mincesur.com)下载指令进行任务；
4) 首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；
5) RSA发现开发用服务器(Staging server)遭入侵，攻击方随即进行撤离，加密并压缩所有资料(都是rar格式)，并以FTP传送至远端主机，又迅速再次搬离该主机，清除任何踪迹；
6) 在拿到了SecurID的信息后，攻击者就开始对使用SecurID的公司(例如上述防务公司等)进行攻击了。
2、 震网攻击
遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此 为第一道攻击跳板，进一步感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种漏洞，包括当时的一个 0day漏洞，一点一点的进行破坏。这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。
以上两个典型的APT攻击案例中可以看出，对于APT攻击，现代安全防御手段有三个主要盲点：

1、0day漏洞与远程加密通信
支撑现代网络安全技术的理论基础最重要的就是特征匹配，广泛应用于各类主流网络安全产品，如杀毒、入侵检测/防御、漏洞扫描、深度包检测。Oday漏洞和远程加密通信都意味着没有特征，或者说还没来得及积累特征，这是基于特征匹配的边界防护技术难以应对的。
2、长期持续性的攻击
现代网络安全产品把实时性作为衡量系统能力的一项重要指标，追求的目标就是精准的识别威胁，并实时的阻断。而对于APT这种Salami式的攻击，则是基于实时时间点的检测技术难以应对的。
3、内网攻击
任何防御体系都会做安全域划分，内网通常被划成信任域，信任域内部的通信不被监控，成为了盲点。需要做接入侧的安全方案加固，但不在本文讨论范围。

大数据怎么解决问题
大数据可总结为基于分布式计算的数据挖掘，可以跟传统数据处理模式对比去理解大数据：
1、数据采样——>全集原始数据（Raw Data）
2、小数据+大算法——>大数据+小算法+上下文关联+知识积累
3、基于模型的算法——>机械穷举（不带假设条件）
4、精确性+实时性——>过程中的预测
使用大数据思想，可对现代网络安全技术做如下改进：
1、特定协议报文分析——>全流量原始数据抓取（Raw Data）
2、实时数据+复杂模型算法——>长期全流量数据+多种简单挖掘算法+上下文关联+知识积累
3、实时性+自动化——>过程中的预警+人工调查
通过传统安全防御措施很难检测高级持续性攻击，企业必须先确定日常网络中各用户、业务系统的正常行为模型是什么，才能尽早确定企业的网络和数据是否受到了攻击。而安全厂商可利用大数据技术对事件的模式、攻击的模式、时间、空间、行为上的特征进行处理，总结抽象出来一些模型，变成大数据安全工具。为了精准地描述威胁特征，建模的过程可能耗费几个月甚至几年时间，企业需要耗费大量人力、物力、财力成本，才能达到目的。但可以通过整合大数据处理资源，协调大数据处理和分析机制，共享数据库之间的关键模型数据，加快对高级可持续攻击的建模进程，消除和控制高级可持续攻击的危害。

⑹ ATT&CK与CAPEC的比较

https://www.mitre.org/capabilities/cybersecurity/overview/cybersecurity-blog/attck%E2%84%A2-content-available-in-stix%E2%84%A2-20-via

https://github.com/MISP/misp-galaxy/tree/master/clusters

https://www.freebuf.com/column/197837.html

https://www.anquanke.com/post/id/185492

https://github.com/mitre/cti

了解对手的行为在网络安全中越来越重要。有两种方法用于组织关于对手行为的知识——CAPEC和ATT&CK，每一种方法都关注于一组特定的用例。

本页解释了CAPEC和ATT&CK之间的相同点、不同点和关系，以及它们在网络安全中的作用。

一、常见攻击模式枚举和分类(CAPEC)

CAPEC关注于应用程序安全性，并描述了敌手利用网络能力中的已知弱点所使用的通用属性和技术。(例如，SQL注入、XSS、会话固定、点击劫持)

（1）关注应用程序安全性

（2）列举余旅辩针对脆弱系统的攻击

（3）包括社会工程/供应链

（4）与通用弱点枚举(CWE)相关联

二、对抗性战术、技巧与常识(ATT&CK)

对抗性战术、技巧与常识(ATT&CK)专注于网络防御，描述了敌方生命周期、攻击前和攻击后的作战阶段(例如，持久性、横向移动、撤退)，并详细描述了高级持续性威胁(APT)在瞄准、破坏和在网络内作战时用来执行目标的具体战术、技术和程序(ttp)。

（1）专注于网络防御

（2）基于威胁情报和红队的研究竖缺

（3）提供对恶意行为的上下文理解

（4）镇虚支持测试和分析防御选项

三、它们是如何联系在一起的……

CAPEC列举的许多攻击模式都是通过ATT&CK描述的特定技术由对手使用的。这使得能够在对手的操作生命周期内对攻击模式进行上下文理解。CAPEC攻击模式和相关的ATT&CK技术在适当的时候在两个工作之间相互引用。

四、何时使用…

使用CAPEC:

应用程序的威胁建模

开发人员的培训和教育

渗透测试

使用ATT&CK:

比较计算机网络防御能力

防御持续的高级威胁

寻找新的威胁

增强威胁情报

对手模拟练习

mitre定义的APT组织

https://attack.mitre.org/groups/

⑺ CAPM模型和APT模型的区别和联系

一、CAPM（又叫做资本资产定价模型）和APT（又叫做套利定价模型）有3点不同：

1、两者的实质不同：

（1）CAPM的实质：主要研究证券市场中资产的预期收益率与风险资产之间的关系，以及均衡价格是如何形成的，是现代金融市场价格理论的支柱。

（2）APT的实质：APT模型表明，资本资产的收益率是各种因素综合作用的结果，诸如GDP的增长、通货膨胀的水平等因素的影响，并不仅仅只受证券组合内部风险因素的影响。

2、两者的起源不同：

（1）CAPM的的起源：段行由美国学者夏普（William Sharpe）、林特尔（John Lintner）、特里诺（Jack Treynor）和莫辛（Jan Mossin）等人于1964年在资产组合理论和资本市场理论的基础上发展起来的。

（2）APT的起源：由罗斯在1976年提出，实际上也是有关资本资产定价的模型。

3、两者的假设条件不同：

（1）CAPM的假设条件：投资者希望财富越多愈好，效用是财富的函数，财富又是投资收益率的函数，因此可以认为效用为收益率的函数。投资者能事先知道投资收益率的概率分布为正态分布。投资风险用投资收益率的方差或标准差标识。影响投资决策的主要因素为期望收益率和风险两项。

（2）APT的假设条件：单一投资期；不存在税收握陆哗；投资者能以无风险利率自由借贷；投资者以收益率的均值和方差为基础选择投资组合。

二、CAPM和APT之间的联系：

APT模型是CAPM模型的替代理论。虽然被称作套利定价模型，但实际与套利交易无关，是适用于所有资产的估值模型，其理论基础是“一项资产的价格由不同因素驱动。将这些因素分别乘上其对资产价格影响的贝塔系数，加总后再加上无风险收益率，就可以得出该项资产的价值”。

虽然APT理论在形式上很完美，但是由于它没有给出具体驱动资产价格的因素悉备，而这些因素可能数量众多、只能凭投资者经验自行判断选择，且每项因素都要计算相应的贝塔值、CAPM模型只需计算一个贝塔值，所以在对资产价格估值的实际应用时，CAPM比APT使用得更广泛。

⑻ 应对APT 攻击的措施或方法有哪些

我认为防御APT攻击，和增强一个企业的信息安全程度是一致的。信息安全的整体思想其实就在对抗APT。下面都是杂谈。

（1）网络设备和服务
1. 合理配置边防设备，例如防火墙。具备基本的出入过滤功能，条件允许的实况下使用屏蔽子网结构。防火墙策略按照默认拒绝。如果愿意安装入侵检测系统更好。
2. 使用有相关安全技术的路由器，例如很多新的路由器有一定的抗ARP攻击的能力。
3. 善于使用代理服务器（例如反向代理）、web网关（例如一些检测xss的软件）
4. 内部的办公工作，设计为只有内网用户可以进行。有子公司的情况下，使用VPN技术。
5. 邮件系统要具有防假冒邮件、防垃圾邮件的基本能力。
6. 全网内的终端机器，至少使用可靠可更新的安全反病毒软件。
7. 不必要的情况下，企业内部不要配置公共Wifi。如果需要，限制公共Wifi的权限，使用有效密码，至少使用WPA2的安全设置，条件允许可以隐藏SSID。
8. 企业内部的通讯使用加密，对抗监听和中间人。

（2）安全管理
1. 企业建立安全策略，分配职责，雇佣背景清晰的安全工作人员。
2. 企业制度允许的情况下，合理运用强制休假、岗位轮换的方法。
3. 企业有一定权限的管理人员（例如人事部门），要合理分权，最小权限，不能集中某一些人都有最高的权限，特别领导同志要主动放弃最高权限。
4. 入职和离职的时候要仔细检查，例如离职时要有人监督他收拾东西离开，避免最后一刻留下后门，还要及时清除他的账户。使用证书的企业，还要停止他的证书。
5. 要建立日志审核的制度，有专门的人员审核边防设备记录的重要信息。
6. 企业架设合理的打卡、门禁制度，作为确定用户的上下班时间，在其不在职时间的奇怪访问，很可能是攻击。
7. 员工定期清理自己的桌面（不是电脑桌面），目的是确保秘密的文件没有被随意放置。
8. 员工系统使用强密码，使用要求密码的电脑屏保。
9. 员工使用的电子设备有基本的防盗能力，至少有锁屏图案，最好有远程数据抹除，如果有全设备加密更好。
10. 及时更新公司的操作系统到稳定的安全版本，这样可以有效对抗新攻击。特别是web服务器。
11. 设立一定的监督记录，例如员工不要使用电驴这些可能泄漏敏感信息的内容。
12. 雇佣有资质的单位，对员工进行安全培训，使员工明白基本的安全知识。

（3）物理安全
1. 建筑要有一定的防盗设计，例如人造天花板的设计、重要的门有B型以上的锁。
2. 高度机密的环境下，可以使用电磁屏蔽的技术，一般用于机房。
3. 雇佣必要的保安人员，设置摄像头。

（4）Web安全
1. 企业的Web服务器很可能受到攻击，应该配置基本的安全防护软件，尽量使用适当硬化的系统（有条件的情况下配置Linux而不是Windows，并删除不必要的功能和服务）。
2. 企业的Web应用，如果自身没有安全开发的能力，应该外包给有资质，特别是经济情况正常的企业完成。要避免为了节省费用，使用小家的企业去做。
3. 内网如果有Web服务（如内部办公，应该和外网适当分离。
4. 隐藏一些可能泄漏服务器软件类型和版本的信息。

（5）长期的安全维护
1. 雇佣有能力的、安全底细清楚的安全人员，或者咨询外面的公司。
2. 定期使用缺陷扫描仪、端口扫描仪等等进行检查。
3. 有条件的企业，应该配置蜜罐或者蜜网。
4. 建立安全基准，有助于识别未知的安全攻击。

⑼ apt模型和多因子模型区别

APT模型和多因子模型都是用于解释资产收益率的模型，但它们的建模思路和方法不同，具体区别如下：

1. 模型思路不同：APT模型是基于风险溢价理论，认为资产的收益率是由多种因素决定的，包括市场因素、行业因素、公司因素等；而多因子模型则是基于统计学方法，通过分析历史数据中的多个因子与资产收益率之间的关系，来建立资产收益率的模型。

2. 因子数量不同：APT模型认为资产收益率由多种因素决定，但只需要考虑少数几个主要因素，通常不超过10个；而多因子模型则通常考虑更多的因子，可以达到几十个。

3. 因子的选择方式不同：APT模型的因子选择通常基于理论分析和专家经验，而多因子模型则通常基于统计学方法，通过数据分析和回归模型来确定最优的因子组合。

4. 模册链消型的解释力不同：APT模型的解释力较强，可以对资产收益率的波动进行较好的解释和预测；而多唤兆因子模型的解释力较弱，只能解释资产收益率的一部分波动。

总的来说，APT模型和多因子模型都有其适用的场景和优劣势，选州知择哪种模型需要根据具体的分析需求和数据特征来决定。