1.2.2 高级持续性威胁问题

高级持续性威胁（Advance Persistent Threat, APT），最初用于描述旨在实现战略优势的民族国家网络攻击。如今，这个词已经扩展到各种各样的针对企业以获取金钱利益的攻击。网络犯罪分子提高了他们攻击的复杂程度，攻击通常融合多样的攻击技术手段，而且APT攻击往往技术专业、手段隐蔽。近十年来不断爆出重大APT攻击事件，让应对APT攻击成为亟须解决的热点问题。

在2019年360威胁情报中心发布的《全球高级持续性威胁（APT）2018年报告》中，APT已经成为各个行业必须面对的问题，已成为犯罪团伙危害民用系统、实施犯罪的重要手段。报告显示，对医疗行业的威胁与传媒、电信行业处于同一水平，高于工业及电子商务行业。

进入移动互联时代，APT已成为网络攻击的主要手段之一。APT难以应对主要表现在其具有隐匿性和持续性。APT攻击具有良好的隐匿性。这使被攻击系统的用户在长时间内无法察觉其存在（一年以上或者更久）。在隐匿期，攻击者可不间断地从被攻击的系统中获取信息。从其根本目的来看，攻击者不以短期获取利益为动机，而是希望通过侵入系统长期地获取信息，直至完成攻击后消除痕迹撤离。持续性是APT攻击的另一主要特征，这主要表现在攻击者在攻击期间不断尝试不同的攻击方法和手段，在得以掌控网络内部资源后长期蛰伏，不断更新攻击方式来避免被安全防御系统检测到。在信息化高度发展的远程医疗系统中，针对日益频发的APT攻击，建立完善的信息系统，使其具有较高的可靠性和安全性已成为重点关注的问题。

APT攻击的危害还表现在其对传统安全防御检测手段的免疫上。当APT攻击发生或者完成后，受害者可能完全不知道，或者知道遭受攻击但无法明确并采取措施。造成这一状况的原因在于传统安防技术基于威胁特征的检测机制，其有效性是建立在已知威胁并分析获取其特征的基础上的，面对的是已知的威胁类型，而APT攻击通常是融合多种攻击手段构建而成的未知威胁。在APT攻击链中，攻击者先收集攻击目标的环境及其防御手段的信息，通过分析收集到的情报进行有针对性的攻击；通过利用漏洞进行变体威胁攻击，迷惑传统的防御系统（如IDS、IPS）检测，利用加密手段避开信息审计检查等。

与一般的攻击链相同，APT攻击链同样包含前期对攻击目标的侦察、信息收集及分析、攻击目标缺陷锁定，进而对攻击目标进行渗透、收集数据，并持续攻击到目标达成，消除痕迹退出。在实际攻击中，攻击链中的各环节间并没有严格的界限划分，可随时进行回溯，在理论上将其划分为攻击链的各个环节只是为了便于阐述及分析。对APT来说，各个攻击链环节都可能维持较长时间并反复进行多次。其执行过程与攻击目标的价值相关，并取决于攻击者的决策。

为远程医疗提供网络基础服务的远程医疗网络的一个重要问题就是需要有效地防御复杂的网络安全攻击。APT攻击就是其中的一种，其主要特征为多层次、多步骤、长时间持续攻击。同样，APT攻击也使用一个攻击链模型来进行攻击，以达到攻击目标的目的。传统的安全防御方法如防火墙、入侵检测系统或者入侵保护系统不能有效防御APT攻击并避免它们带来的危害。现阶段，欺骗技术被用于防御网络攻击行动。移动目标防御技术是其中最有希望的一种技术。移动目标防御技术能够应用于攻击链的各阶段，在各个抽象层级（应用、主机、网络）动态地瓦解正在进行或已成功渗透到系统的APT攻击。

针对APT攻击难以通过传统手段进行有效检测的特点，近年来一种试图改变网络攻防双方在网络防御中不对等地位的主动防御技术——移动目标防御得到广泛关注与研究。移动目标防御技术对未知的或者进行中的网络攻击均可以起到有效的抑制作用。通过移动目标防御技术可以实现对APT攻击链中多个阶段（侦察、渗透、破坏等）造成的危害进行有效抵御与瓦解，从而对网络安全形成有效的防御。