分享一下我老師大神的人工智慧教程！零基礎，通俗易懂！http://blog.csdn.net/jiangjunshow

也歡迎大家轉載本篇文章。分享知識，造福人民，實現我們中華民族偉大復興！

APT攻擊，即進階持續性滲透攻擊 (Advanced Persistent Threat, APT)或目標攻擊，被設計用來在目標網路裡躲避現有的管理政策和解決方案，因此要偵測它們是一大挑戰。正如我們在之前關於

然而，要及早發現異常狀況，IT管理者需要知道首先要看到什麼。由於攻擊通常會設計成只有很少或幾乎沒有痕跡可循，重要的是要知道哪裡可以找到入侵的可能指標。在此，我們將列出IT管理者所需要密切監視的網路部分以發覺任何入侵的跡象。

一、檢查被注入的DNS記錄

攻擊者經常會篡改DNS記錄以確保到他們的幕後操縱（簡稱C&C）聯機不會被封鎖，IT管理者可以檢查記錄中可能被攻擊者注入的跡象，

    二、稽查和稽核登入失敗或不規則的賬號

一旦攻擊者能夠進入網路和建立與其C&C的通訊，下一步通常是在網路內橫向移動。攻擊者會去找出ActiveDirectory、郵件或檔案伺服器，並攻擊伺服器漏洞來加以存取。然而，因為管理者會修補並防護重要伺服器的漏洞，攻擊者可能會嘗試暴力破解管理者賬號。對於IT管理者來說，登入記錄是這一行為最好的參考資料。檢查失敗的登入嘗試，以及在不尋常時間內的成功登入，可以顯示攻擊者試圖在網路內移動。

三、研究安全解決方案的警報

有時候，安全解決方案會標示看來無害的工具為可疑，而使用者會忽略這警報，因為該檔案可能對使用者來說很熟悉或無害。然而，我們在許多案例中發現出現警報意味著網路中有攻擊者。攻擊者可能使用惡意設計的黑客工具，甚至是來自Sysinternals套件的合法工具來執行系統或網路檢查作業。如果這些非惡意工具並非預安裝在使用者計算機裡的話，有些安全解決方案會標示出來。IT管理者必須問，為什麼使用者會使用這些工具，如果沒有充分的理由，IT管理者可能撞見了攻擊者的橫向移動。

四、檢查是否有奇怪的大檔案

在系統內發現未知的大檔案需要加以檢查，因為裡面可能包含了從網路中竊取的資料。攻擊者通常在將檔案取出前會先儲存在目標系統內，往往通過“看起來正常"的檔名和檔案型別來加以隱藏。IT管理者可以通過檔案管理程式來檢查。 

五、稽查和稽核網路日誌中的異常聯機

持續地稽查和稽核網路監控日誌非常重要，因為它可以幫助識別網路中的異常聯機。想做到這一點，就需要IT管理者對於其網路和任何時間內會發生的活動都瞭如指掌。只有通過對網路內"正常“狀況的瞭解，才能夠識別出異常。例如，發生在應該是空閒時間內的網路活動就可能是攻擊的跡象。

六、異常協定

和異常聯機有關，IT管理者還需要檢查這些聯機所用的協議，特別是那些來自網路內部的聯機。攻擊者通常會選擇使用在網路內被允許的協議，所以檢查聯機很重要，即便它們使用的是一般的協議。

七、電子郵件活動增加

IT管理者可以檢查郵件日誌，看看是否有個別使用者出現奇怪的高峰期。電子郵件活動突然爆大量時就要檢查該使用者是否被捲入針對性釣魚攻擊。有時候，如果攻擊者研究發現一名員工將去參加某個重要會議，就會在會議前三個月就開始寄送釣魚郵件。這也是另一種線索。

仔細閱讀這份列表，想必IT管理者會覺得有一大堆艱苦的事情等著去做，不能否認，防範APT針對性網路攻擊的確是項艱鉅的任務。但為攻擊做好準備的成本和解決一次攻擊的成本相比劃算得多，所以作為公司防禦的第一線，IT管理者做好萬全準備是很重要的。

解決對策

傳統的防毒黑名單做法不再足以保護企業網路對付針對性攻擊。為了減少此安全威脅所帶來的風險，企業需要實現客製化防禦，這是種採用進階威脅偵測技術和共享入侵指標（IoC）情報的安全解決方案，用來偵測、分析和響應標準安全產品所看不見的攻擊。

給我老師的人工智慧教程打call！http://blog.csdn.net/jiangjunshow