◆鄭學(xué)欣

（中國(guó)電子科學(xué)研究院 北京 100041）

一種高級(jí)持續(xù)性威脅檢測(cè)方案

◆鄭學(xué)欣

（中國(guó)電子科學(xué)研究院 北京 100041）

高級(jí)持續(xù)性威脅是專(zhuān)門(mén)針對(duì)特定組織所作的復(fù)雜的高級(jí)滲透攻擊。近年來(lái)產(chǎn)生重大影響的網(wǎng)絡(luò)攻擊多為高級(jí)持續(xù)性威脅攻擊，如何有效地檢測(cè)這種高級(jí)網(wǎng)絡(luò)攻擊已經(jīng)成為網(wǎng)絡(luò)空間中備受關(guān)注的安全問(wèn)題。本文首先介紹了高級(jí)持續(xù)性威脅的特點(diǎn)以及兩種較為有效的檢測(cè)方案，然后分析了它們存在的缺陷，最后給出一種更為完善的全生命周期檢測(cè)方案。

高級(jí)持續(xù)性威脅；攻擊檢測(cè)；全生命周期

0 引言

高級(jí)持續(xù)性威脅（Advance Persistent Threat，簡(jiǎn)稱(chēng)APT）是指專(zhuān)門(mén)針對(duì)特定組織所作的復(fù)雜且多方位的高級(jí)滲透攻擊。APT不同于常規(guī)網(wǎng)絡(luò)攻擊，主要表現(xiàn)在它具備極強(qiáng)的隱蔽能力、極強(qiáng)的針對(duì)性、攻擊手段豐富、廣泛的信息收集、未知性、防范難度高等特點(diǎn)，且涉及層面眾多、關(guān)聯(lián)關(guān)系錯(cuò)綜復(fù)雜，針對(duì)傳統(tǒng)安全防御體系的新技術(shù)、新武器、新技戰(zhàn)法層出不窮，使得高級(jí)持續(xù)性威脅被感知和發(fā)現(xiàn)的難度極大。

1 檢測(cè)方案及缺陷分析

目前對(duì)APT攻擊的檢測(cè)方法主要有沙箱方案、網(wǎng)絡(luò)入侵檢測(cè)方案等。沙箱方案的實(shí)現(xiàn)過(guò)程是將實(shí)時(shí)流量先引進(jìn)虛擬機(jī)或者沙箱，通過(guò)對(duì)沙箱的文件系統(tǒng)、進(jìn)程、網(wǎng)絡(luò)行為、注冊(cè)表等進(jìn)行監(jiān)控，監(jiān)測(cè)流量中是否包含了惡意代碼。網(wǎng)絡(luò)入侵檢測(cè)方案主要覆蓋APT攻擊過(guò)程中的命令與控制階段，通過(guò)在網(wǎng)絡(luò)邊界處部署入侵檢測(cè)系統(tǒng)來(lái)檢測(cè)APT攻擊的命令和控制通道。雖然APT攻擊所使用的惡意代碼變種多且升級(jí)頻繁，但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測(cè)方法來(lái)檢測(cè)APT的命令控制通道。

目前各安全廠(chǎng)家所推出的APT檢測(cè)方案大多具有一定的局限性，主要表現(xiàn)為：很多APT攻擊檢測(cè)方案都只能覆蓋到APT攻擊的某個(gè)階段。APT攻擊過(guò)程包括信息收集階段、單點(diǎn)攻擊突破階段、命令與控制階段、橫向擴(kuò)展階段、數(shù)據(jù)收集上傳階段。國(guó)際著名安全公司FireEye的APT檢測(cè)產(chǎn)品主要覆蓋APT攻擊過(guò)程中的單點(diǎn)攻擊突破階段，它是檢測(cè)APT攻擊過(guò)程中的惡意代碼傳播過(guò)程。趨勢(shì)科技的APT檢測(cè)產(chǎn)品主要覆蓋APT攻擊過(guò)程中的單點(diǎn)攻擊突破階段和命令與控制階段。這些檢測(cè)產(chǎn)品由于只能覆蓋到APT攻擊的某個(gè)階段，因而可能會(huì)導(dǎo)致攻擊漏報(bào)。理想的APT攻擊檢測(cè)方案應(yīng)該覆蓋APT攻擊的所有攻擊階段，也就是說(shuō)，理想的APT攻擊檢測(cè)方案應(yīng)該包括事前、事中和事后三個(gè)處置階段，從而可能全面地檢測(cè)和防御APT攻擊。

2 全生命周期的檢測(cè)方案

本文提出一種覆蓋APT攻擊全生命周期的檢測(cè)方案，采用豐富的攻擊檢測(cè)手段以彌補(bǔ)沙箱檢測(cè)或網(wǎng)絡(luò)入侵檢測(cè)等單一檢測(cè)手段的不完備性，通過(guò)多種攻擊檢測(cè)、威脅情報(bào)支持、大數(shù)據(jù)分析三個(gè)維度進(jìn)行APT攻擊行為的感知，以提高攻擊識(shí)別率、減少攻擊漏報(bào)率。

本方案包含四個(gè)組件：威脅情報(bào)、攻擊檢測(cè)、大數(shù)據(jù)分析、統(tǒng)一管理組件，如圖 1所示。威脅情報(bào)組件承擔(dān)了全球威脅情報(bào)的實(shí)時(shí)收集和分發(fā)工作。攻擊檢測(cè)組件是個(gè)網(wǎng)絡(luò)入侵檢測(cè)引擎，在利用威脅情報(bào)組件收集到的全球威脅情報(bào)信息的基礎(chǔ)上，識(shí)別APT攻擊過(guò)程中的攻擊突破、命令與控制等行為。大數(shù)據(jù)分析組件對(duì)大量的日志數(shù)據(jù)、安全威脅情報(bào)、攻擊行為數(shù)據(jù)等進(jìn)行綜合分析和處理。統(tǒng)一管理組件實(shí)現(xiàn)對(duì)各攻擊檢測(cè)組件、大數(shù)據(jù)分析組件、威脅情報(bào)組件的集中管理。

圖1 APT攻擊檢測(cè)方案

2.1 攻擊檢測(cè)組件

攻擊檢測(cè)組件包括一個(gè)多平臺(tái)智能沙箱，用來(lái)分析捕獲的待檢測(cè)代碼并確定安全威脅的等級(jí)；一個(gè)傳統(tǒng)入侵檢測(cè)模塊，用來(lái)識(shí)別APT攻擊的命令控制通道和一些傳統(tǒng)的典型攻擊行為；以及一個(gè)異常檢測(cè)模塊，用于發(fā)現(xiàn)異常的數(shù)據(jù)量并為后續(xù)攻擊識(shí)別提供支持。

智能沙箱考慮了惡意代碼可能采用反虛擬執(zhí)行技術(shù)的情況，反虛擬執(zhí)行技術(shù)是黑客用于阻止程序被虛擬執(zhí)行分析的一種手段。反虛擬執(zhí)行技術(shù)主要是檢測(cè)程序是否運(yùn)行于虛擬環(huán)境中。如果檢測(cè)到自己是在虛擬環(huán)境中運(yùn)行，惡意程序就會(huì)立即終止或運(yùn)行不含惡意行為的路徑。針對(duì)主動(dòng)識(shí)別虛擬機(jī)技術(shù)，攻擊檢測(cè)組件通過(guò)提取反虛擬執(zhí)行特征，構(gòu)建反虛擬執(zhí)行特征庫(kù)；然后使用基于關(guān)鍵點(diǎn)復(fù)用的抗反虛擬執(zhí)行方法對(duì)抗惡意程序使用的反虛擬執(zhí)行技術(shù)。

傳統(tǒng)入侵檢測(cè)模塊是用來(lái)識(shí)別APT攻擊的命令控制通道和典型攻擊行為。由于惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化，所以采用傳統(tǒng)入侵檢測(cè)方法來(lái)檢測(cè)APT的命令控制通道。APT攻擊為了實(shí)現(xiàn)攻擊目的，在一步步的獲取進(jìn)入組織內(nèi)部的權(quán)限，從一個(gè)跳板擴(kuò)展到另一個(gè)跳板的過(guò)程中，往往會(huì)利用一些典型的攻擊手段。因此，此模塊在開(kāi)展對(duì)APT攻擊行為的分析識(shí)別過(guò)程中，也需要對(duì)典型的攻擊行為進(jìn)行識(shí)別。

異常檢測(cè)模塊的核心思想是通過(guò)流量建模識(shí)別異常行為。由于我們無(wú)法提取未知攻擊的特征，就只能先對(duì)正常的網(wǎng)絡(luò)行為建模，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)連接的行為模式明顯偏離正常模型時(shí)，就可能存在網(wǎng)絡(luò)攻擊。異常檢測(cè)模塊的實(shí)現(xiàn)過(guò)程是利用正常行為產(chǎn)生的數(shù)據(jù)量建立一個(gè)模型，通過(guò)將所有數(shù)據(jù)量與這一標(biāo)準(zhǔn)模型進(jìn)行對(duì)比，從而找出異常的數(shù)據(jù)量達(dá)到檢測(cè)攻擊的目的。

2.2 大數(shù)據(jù)分析組件

大數(shù)據(jù)分析組件通過(guò)對(duì)大量的日志數(shù)據(jù)、安全威脅情報(bào)、攻擊行為數(shù)據(jù)等進(jìn)行綜合分析和處理，揭示出其中隱藏的邏輯聯(lián)系，實(shí)現(xiàn)對(duì)APT攻擊鏈的有效識(shí)別，具體過(guò)程見(jiàn)圖 2。

圖2 大數(shù)據(jù)分析

傳統(tǒng)的攻擊檢測(cè)技術(shù)僅針對(duì)數(shù)據(jù)包頭進(jìn)行處理，限制了信息獲取的能力，并且無(wú)法檢測(cè)基于內(nèi)容的安全威脅。為了有效應(yīng)對(duì)APT攻擊，大數(shù)據(jù)分析組件利用大數(shù)據(jù)存儲(chǔ)和處理技術(shù)，依靠深層次協(xié)議解析與應(yīng)用還原模塊和全流量回溯分析模塊進(jìn)行基于深層協(xié)議解析的全流量審計(jì)。

深層次協(xié)議解析與應(yīng)用還原模塊通過(guò)深入讀取IP包負(fù)載內(nèi)容來(lái)對(duì)OSI七層協(xié)議逐層解析并分析異常行為，直到對(duì)應(yīng)用層信息實(shí)現(xiàn)完整重組并追蹤發(fā)現(xiàn)異常點(diǎn)為止，實(shí)現(xiàn)深層次協(xié)議解析與應(yīng)用還原。

全流量回溯分析模塊根據(jù)已經(jīng)提取出來(lái)的網(wǎng)絡(luò)對(duì)象，回溯一個(gè)時(shí)間區(qū)間內(nèi)可疑的網(wǎng)絡(luò)掃描信息、Web會(huì)話(huà)、Email記錄、防火墻的通聯(lián)日志等信息。通過(guò)將這些事件進(jìn)行智能化關(guān)聯(lián)分析，可以將傳統(tǒng)的基于實(shí)時(shí)時(shí)間點(diǎn)的檢測(cè)轉(zhuǎn)變?yōu)榛跉v史時(shí)間窗的檢測(cè)，從而協(xié)助安全分析人員快速定位攻擊源、重建攻擊鏈和識(shí)別攻擊意圖。通過(guò)對(duì)APT攻擊行為的長(zhǎng)期跟蹤，大數(shù)據(jù)分析組件將攻擊流程凝練為關(guān)聯(lián)規(guī)則，形成攻擊規(guī)則知識(shí)庫(kù)，利用大數(shù)據(jù)分析技術(shù)從歷史數(shù)據(jù)庫(kù)中挖掘出攻擊行為發(fā)生模式。對(duì)未知攻擊行為的分析檢測(cè)就可以通過(guò)模式匹配和攻擊關(guān)聯(lián)來(lái)實(shí)現(xiàn)在線(xiàn)未知攻擊行為的識(shí)別。

2.3 威脅情報(bào)組件

威脅情報(bào)組件承擔(dān)了全球威脅情報(bào)的實(shí)時(shí)收集和分發(fā)工作。該組件通過(guò)利用來(lái)自全球信息安全界的集體智慧和分析技能，及時(shí)獲得各APT攻擊的威脅情報(bào)信息，極大提高了潛在安全威脅的識(shí)別率。另一方面，該組件將威脅情報(bào)及時(shí)地分發(fā)給攻擊檢測(cè)引擎，縮短了針對(duì)潛在安全威脅的響應(yīng)時(shí)間。

2.4 統(tǒng)一管理組件

統(tǒng)一管理組件實(shí)現(xiàn)對(duì)各攻擊檢測(cè)組件、大數(shù)據(jù)分析組件、威脅情報(bào)組件的集中管理。統(tǒng)一管理組件中包括一個(gè)監(jiān)控平臺(tái)，此監(jiān)控平臺(tái)具有可擴(kuò)展性和強(qiáng)大的分析能力來(lái)實(shí)現(xiàn)過(guò)程自動(dòng)化，從而減少攻擊識(shí)別分析的響應(yīng)時(shí)間。

3 結(jié)束語(yǔ)

對(duì)APT的有效檢測(cè)是防御此類(lèi)高級(jí)攻擊的前提條件。與目前安全廠(chǎng)商的檢測(cè)方案相比，本方案考慮了攻擊的各個(gè)階段被檢測(cè)到的可能性，以及攻擊各個(gè)階段的關(guān)聯(lián)關(guān)系，因而有益于實(shí)現(xiàn)對(duì)APT攻擊更好的防御。

[1]劉昕.大數(shù)據(jù)背景下的APT攻擊檢測(cè)與防御[J].網(wǎng)絡(luò)與信息工程，2014.

[2]張帥.對(duì)APT攻擊的檢測(cè)與防御[J].信息安全與技術(shù)，2011.