李书豪：高级持续威胁（APT）防御关键技术及应用探讨

9月21日，一场聚焦关键信息基础设施安全保护的网络安全行业盛会——2024年度关键信息基础设施安全保护论坛，在北京圆满落下帷幕，取得圆满成功。会上， 中关村实验室科研02部副部长李书豪发表了《高级持续威胁（APT）防御关键技术及应用探讨》的主题演讲。

中关村实验室科研02部副部长 李书豪

一、APT攻击的严峻现实

李书豪首先指出，APT攻击作为一种高危网络攻击手段，其目标常为国家关键部门和重要组织机构。他引用了乌克兰在俄乌冲突期间遭受的大规模网络攻击案例，以及中国西北工业大学遭受的网络窃密事件，强调了APT攻击对国家安全和社会经济运行造成的重大影响。

二、APT攻击的构成与防御困局

李书豪在演讲中对APT攻击的生命周期进行了深入解析，将其划分为七个关键阶段，统称为APT杀伤链。这七个阶段分别是：初始入侵、建立落脚点、提升权限、内部侦查、横向移动、保持存在和完成任务。

李书豪进一步指出，APT组织的攻击手法变化多端，极难被感知和防范。他们能够巧妙地规避传统的安全防护措施，使得攻击行为难以被及时检测。此外，近年来对华APT攻击活动虽然鲜有公开报道，但这并不意味着威胁有所减少。相反，这可能意味着APT攻击者更加隐蔽，其攻击手段和技术也在不断进化，从而大大增加了防御的难度。这种隐蔽性和不断变化的攻击策略，对现有的网络安全防御体系提出了更高的要求，需要我们不断更新防御策略和技术，以应对日益复杂的网络威胁。

三、APT防御关键技术

李书豪提出了四项APT防御关键技术：

1.多步技战术模式驱动的未知APT攻击线索发现。通过多步关联挖掘和技战术比对，从海量告警数据中发现未知APT攻击线索。

2.基于攻击资源精细画像的APT攻击线索智能拓线。构建精细化APT组织攻击资源画像，实现核心拓线规则的自动化生成与关键线索的智能化甄别。

3.协作式、高仿真APT样本常态化养殖。建立协作式、高仿真、全链条样本激活运行环境，实现高危样本长期观测与线索生产能力。

4.基于终端监测的关键数据资源防护。通过生成诱饵资源代替关键资源，诱导APT攻击者对诱饵数据开展攻击，达到消解本体危害的防御效果。

综合这四项技术，李书豪展示了一个全面、多层次的APT防御体系，旨在从不同角度和层面上增强对APT攻击的检测、跟踪和防御能力，以保护关键信息基础设施免受高级持续威胁的侵害。

四、技术应用与展望

李书豪展示了中关村实验室APT防御平台的应用成果，包括及时掌握对华APT组织新变化、形成国内领先的对华APT攻击情报自生产能力，以及与职能部门、重点高校、头部厂商的合作，推进APT防御产业技术合作平台的实施落地。

他展望了面向关键信息基础设施安全保护的核心技术，强调了安全检测评估、监测、防护、识别等关键环节的重要性，并提出了典型关基安全保护应用场景。

编者注：

李书豪的演讲不仅为与会者提供了APT防御的深刻见解，也为我国网络安全防护工作指明了方向，其内容的深度与广度均体现了其在APT防御领域的专业素养和前瞻性思维。