李智宏 王瑤

(中國移動通信集團海南有限公司 海南?？?570125)

全球網(wǎng)絡(luò)安全形勢日趨嚴峻，大規(guī)模網(wǎng)絡(luò)攻擊事故層出不窮。2018年5月，Wannacry勒索病毒席卷全球，150多個國家和地區(qū)受到影響，教育、企業(yè)、醫(yī)療、交通等多個行業(yè)受到影響。2018年8月，華住旗下連鎖酒店用戶開放信息在暗網(wǎng)被公開售賣，140GB包含姓名、手機號、郵箱、身份證號碼的用戶信息慘遭泄露。2018年10月，瑞典三家交通機構(gòu)IT系統(tǒng)遭受DDoS攻擊，官網(wǎng)服務(wù)癱瘓、公共交通嚴重受阻。全國網(wǎng)絡(luò)攻擊形勢更加嚴峻，關(guān)鍵信息基礎(chǔ)設(shè)施攻擊次數(shù)飆升。

持續(xù)進化的網(wǎng)絡(luò)威脅環(huán)境帶來了更為復(fù)雜的攻擊場景，網(wǎng)絡(luò)空間的攻擊者不再像以往僅使用單一的攻擊行為，而是在一個長期的過程中利用多種復(fù)雜的攻擊相互配合來達到非法牟利的目的[2]。而傳統(tǒng)網(wǎng)絡(luò)防御體系主要是通過安裝安全檢測工具防火墻、入侵檢測系統(tǒng)、防病毒軟件、安全評估系統(tǒng)等來抵御攻擊。這種基于設(shè)備的檢測存在的通用問題是只能檢測已知的威脅，且攻擊告警只能反映單點、單一時刻的攻擊，無法感知復(fù)雜的、持續(xù)時間長的高級持續(xù)性威脅攻擊（APT攻擊）。針對以上問題，本文介紹了一種基于時間序列的入侵攻擊路徑溯源算法，并將算法成功應(yīng)用于某企業(yè)態(tài)勢感知平臺，取得了較好的檢測效果。

1 入侵攻擊鏈介紹

國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心在2019年5月發(fā)布的《2018年中國互聯(lián)網(wǎng)安全報告》[1]顯示，網(wǎng)絡(luò)安全形勢日趨嚴峻，全國所遭受網(wǎng)絡(luò)攻擊統(tǒng)計數(shù)據(jù)可以看出，絕大多數(shù)網(wǎng)絡(luò)攻擊涵蓋了多個攻擊步驟，黑客的攻擊行為不可能一蹴而就，都需要精密設(shè)計，并有計劃地實施多個相互關(guān)聯(lián)的步驟才能達到攻擊目的。入侵檢測設(shè)備的任務(wù)是在發(fā)生多步攻擊時，及時全面地識別攻擊行為并告警，這類設(shè)備通常是保護網(wǎng)絡(luò)安全的第二道防線。為了應(yīng)對日趨頻繁的黑客攻擊，許多組織和企業(yè)都在其網(wǎng)內(nèi)部署了入侵檢測設(shè)備、防火墻等。入侵檢測設(shè)備的目的是全面的檢測告警，且全天候運行，其產(chǎn)生的告警日志通常存在以下問題：首先產(chǎn)生的安全告警離散、冗余、難以運營。其次，誤報率及漏報率很高，大量重復(fù)告警混淆運維人員視線，告警并不能真實地反映出攻擊的多個步驟[2-3]。第三，這些設(shè)備告警通常只能檢測單點、單一時刻的威脅，不能檢測識別多步攻擊[4]，更不能應(yīng)對復(fù)雜的APT攻擊。如何從這些入侵檢測設(shè)備產(chǎn)生的海量告警數(shù)據(jù)中抽絲剝繭，提取出關(guān)鍵信息，為用戶繪制一幅易于理解，能夠還原入侵攻擊全貌的安全視圖顯得尤為重要。

入侵攻擊鏈(Intrusion Kill Chain)[5]，是由洛克希德·馬丁(Lockheed Martin)公司的計算機事件響應(yīng)專家團隊，在2011年提出來的用來保護計算機及網(wǎng)絡(luò)安全的框架，這個屬于后來被廣泛應(yīng)用于安全領(lǐng)域。入侵攻擊鏈模型被認為是一個模型、一個過程，而不是一種技術(shù)，他認為攻擊者的入侵行為是隨著時間的推移穿透信息系統(tǒng)，對目標(biāo)進行攻擊所采取的手段和路徑的有序集合[6]，是對黑客入侵行為和預(yù)期效果的分析和建模。入侵攻擊鏈包含7個階段，一般黑客的入侵攻擊行為都會毫無例外遵循這7些階段來計劃和執(zhí)行[7]，這7個過程如圖1所示。目前攻擊鏈模型已經(jīng)被安全領(lǐng)域廣泛采用，可以說是一個非常合理的模型。

攻擊鏈模型指出，入侵攻擊是分階段發(fā)生，并可以通過在每個階段建立有效的防御機制中斷攻擊行為[8]。這些攻擊階段有7個，按照攻擊發(fā)展的深入程度順序，分別是目標(biāo)偵查 、武器化、交付和投送、漏洞利用、安裝工具、命令和控制以及惡意活動[8]。

本文以攻擊鏈為基礎(chǔ)，介紹了一種基于時間序列的攻擊路徑溯源算法。

2 基于時間序列的攻擊溯源算法

針對入侵檢測設(shè)備（IPS）冗余度高、誤報率高、離散無法運運管，發(fā)現(xiàn)的大多是單一時刻告警，無法感知復(fù)雜高級持續(xù)性攻擊的問題，本文介紹了一種基于時間序列還原攻擊路徑，對入侵攻擊進行溯源的算法。

該算法分為輸入模塊、溯源模塊及輸出模塊三個大功能模塊，以傳統(tǒng)安全廠商入侵檢測設(shè)備或算法告警以及自有資產(chǎn)IP列表為基礎(chǔ)輸入，經(jīng)過預(yù)處理單元和攻擊溯源單元，最終輸出自有資產(chǎn)被攻擊的攻擊路徑。攻擊溯源算法流程如圖2所示。

圖1 經(jīng)典攻擊鏈7階段模型

圖2 入侵攻擊路徑溯源流程

整體算法是一個多維度入侵攻擊路徑推理算法，包含了攻擊事件威脅程度標(biāo)記、資產(chǎn)重要等級劃分、告警發(fā)生時間及告警所處攻擊階段。下面以告警發(fā)生時間和所處攻擊階段兩個維度為例，說明各個單元模塊檢測邏輯。

2.1 預(yù)處理單元

圖3 攻擊標(biāo)記

圖4 歸并過程

事件處理第一步是根據(jù)檢測輸入的告警生成攻擊事件，過程中只關(guān)注資產(chǎn)相關(guān)的事件，這一步驟形成一個告警與事件之間對應(yīng)的字典，每個事件根據(jù)入侵攻擊鏈的七個階段分別對應(yīng)相應(yīng)的攻擊階段，同時事件中包含入侵發(fā)生的時間戳。

得到資產(chǎn)的入侵事件之后，標(biāo)記資產(chǎn)在事件中的角色以及入侵是否攻陷。資產(chǎn)根據(jù)在入侵事件中是源IP還是目的IP，被標(biāo)記為攻擊者和受害者。標(biāo)記失陷時，從入侵攻擊鏈的概念，本發(fā)明中以攻擊鏈階段為5、6和7階段的事件為攻陷事件。同時，如果資產(chǎn)作為源IP發(fā)起攻擊事件，則修正攻擊階段為6或7，即資產(chǎn)相關(guān)的事件為失陷事件。

預(yù)處理的最后操作是事件歸并，當(dāng)告警是以秒或者毫秒為單位生成，同時同一時刻中有不同階段的告警產(chǎn)生，為了減少大量低價值的告警，同一時間片只保留高階段事件，對于相同階段只保留最先發(fā)生事件的一種歸并方法。

當(dāng)事件處理模塊完成時，每個告警被劃入了不同的攻擊事件中，每個事件有對應(yīng)的攻擊者或受害者，并且攻擊階段、是否攻陷明確，結(jié)果如圖5所示。圖中一個方格表示一個事件，s代表攻擊階段，取值1至7，t代表時間，每一張圖即為一個資產(chǎn)的所有發(fā)生安全事件告警。

2.2 攻擊溯源單元

按照洛克希德·馬丁提出的入侵攻擊鏈模型，攻擊者隨著時間的推移逐步進行高階層的攻擊行為，分別是目標(biāo)偵查 、武器化、交付和投送、漏洞利用、安裝工具、命令和控制以及惡意活動[8]。在較早的時間一般進行級別比較低的攻擊活動，因此在基于資產(chǎn)的攻擊事件序列圖上，可以以左下向右上指向的方式溯源攻擊過程，溯源詳細過程如下。

攻擊回溯階段使用事件處理模塊的輸出作為輸入，每個受害者的攻擊事件按照時間與攻擊階段的升序排序，如圖7所示。每個新生成的節(jié)點（即事件，圖中的方塊表示，后面均稱之為節(jié)點），與沒有父節(jié)點的比較攻擊階段與時間大小，找到其子節(jié)點，并更新子節(jié)點，將其指向當(dāng)前節(jié)點。由于告警是持續(xù)生成的，事件處理和攻擊回溯也實時更新。

3 算法仿真及實驗結(jié)果

圖5 基于資產(chǎn)的攻擊時間序列圖

圖6 入侵攻擊溯源流程

圖7 資產(chǎn)入侵攻擊路徑溯源結(jié)果

為了驗證本文提出的基于時間序列的攻擊溯源算法的有效性，選取某企業(yè)ips告警日志為基礎(chǔ)數(shù)據(jù)進行驗證。

3.1 攻擊溯源過程

為了便于理解，圖8展示了原始告警經(jīng)過攻擊階段修正形成了基于資產(chǎn)的攻擊時間序列圖后，入侵攻擊溯源的全過程。自下而上是原始攻擊事件分布圖譜、攻擊事件歸并和壓縮圖譜、攻擊行為推理和還原圖譜。

3.2 實驗結(jié)果

本文提出的算法以作為HNYD智能安全運營平臺的核心功能已經(jīng)成功應(yīng)用于系統(tǒng)入侵防護模塊，目前已經(jīng)對HNYD全量IPS日志進行實時檢測及分析。在2019年某次保障的紅藍對抗應(yīng)急演練中發(fā)現(xiàn)一起真實入侵過程的案例，即XX系統(tǒng)被植入后門程序的全過程還原（見圖9）、在2018年11月發(fā)現(xiàn)網(wǎng)內(nèi)XX業(yè)務(wù)系統(tǒng)漏洞被利用進而被控制成一臺挖礦肉雞的全過程（見圖10）。

圖8 入侵攻擊溯源全過程

圖9 XX系統(tǒng)被植入后門程序過程還原

3.3 算法實用性分析

經(jīng)過對算法的現(xiàn)網(wǎng)應(yīng)用和仿真實驗，本文提出的算法有以下兩個方面的實用性。

首先，解決單一告警無法感知APT攻擊問題。本文基于入侵攻擊鏈的概念背景，通過基于時間序列的入侵攻擊溯源算法，有效還原系統(tǒng)被入侵的歷史痕跡，基于資產(chǎn)溯源攻擊樹狀拓撲，有效提高網(wǎng)絡(luò)安全威脅感知和預(yù)警能力。

圖10 XX系統(tǒng)被控制為挖礦肉雞過程還原

第二，還原入侵全過程提升管理員運維效率。原先發(fā)生安全事件，需要安全管理員對入侵檢測設(shè)備告警人工去梳理，抽絲破繭還原入侵全貌，對管理員安全專業(yè)能力要求較高，且需要花費大量時間，往往效果也不好。本文提出一種基于攻擊鏈的攻擊路徑還原算法，以資產(chǎn)為視角還原入侵攻擊的全過程，大幅降低安全管理員日志研讀量，提升管理員運維效率，降低運維難度。

4 結(jié)語

信息技術(shù)給我們的生活、生產(chǎn)帶來巨大便利的同時，也帶來了許多安全問題，網(wǎng)絡(luò)安全形勢日趨嚴峻。入侵檢測系統(tǒng)作為防護網(wǎng)絡(luò)安全的重要工具已被廣泛使用，但是入侵檢測系統(tǒng)產(chǎn)生的告警誤報率高、冗余度高不能反映攻擊者多步攻擊策略。研究告警智能分析技術(shù)，自動從海量高進忠提取有用信息顯得尤為重要。

本文介紹了一種基于時間序列的入侵攻擊溯源算法，通過將設(shè)備或算法檢測產(chǎn)生的告警數(shù)據(jù)，以資產(chǎn)為基礎(chǔ)，基于入侵攻擊鏈模型，利用時序關(guān)聯(lián)、攻擊威脅程度、攻擊階段和資產(chǎn)重要程度，溯源資產(chǎn)的被攻擊路徑，有效還原系統(tǒng)被入侵的歷史痕跡，基于資產(chǎn)溯源攻擊樹狀拓撲，有效提高網(wǎng)絡(luò)安全威脅感知和預(yù)警能力。