孫銘鴻 蔡蓓蓓

1.遼寧省互聯(lián)網(wǎng)技術(shù)支撐中心；2.江蘇省互聯(lián)網(wǎng)行業(yè)管理服務(wù)中心

0 引言

隨著網(wǎng)絡(luò)安全的深入發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為關(guān)系國(guó)家安全的重大安全戰(zhàn)略問題。傳統(tǒng)的被動(dòng)防御技術(shù)已經(jīng)無法應(yīng)對(duì)新興的復(fù)雜網(wǎng)絡(luò)攻擊，因此，需要更具有針對(duì)性的主動(dòng)防御技術(shù)。攻擊溯源技術(shù)可以及時(shí)確定攻擊源頭或攻擊的中間介質(zhì)，及其相應(yīng)的攻擊路徑，在通過隔離、關(guān)閉等手段最大程度上降低攻擊損害的同時(shí)，還可制定更有針對(duì)性的防御與反制策略，實(shí)現(xiàn)主動(dòng)防御。攻擊溯源技術(shù)是網(wǎng)絡(luò)空間防御體系從被動(dòng)防御到主動(dòng)防御轉(zhuǎn)換的重要步驟，提高了主動(dòng)防御的及時(shí)性和有效性。目前，攻擊溯源技術(shù)處于發(fā)展階段，還缺乏有效的工具和系統(tǒng)，因此，攻擊溯源技術(shù)的研究和運(yùn)用具有十分重要的意義，是維護(hù)國(guó)家網(wǎng)絡(luò)安全、防范網(wǎng)絡(luò)攻擊有力的技術(shù)保障。

近年來，在大國(guó)博弈過程中，某國(guó)能夠依托其分析溯源能力對(duì)我國(guó)進(jìn)行網(wǎng)絡(luò)攻擊行為的指控，而我國(guó)由于不能依靠自身溯源能力進(jìn)行輿論回?fù)舳幱诒粍?dòng)的狀態(tài)。同時(shí)，國(guó)際輿論也在大國(guó)影響力的作用下，有意識(shí)地提出對(duì)我國(guó)不利的論調(diào)，我國(guó)應(yīng)該通過大力加強(qiáng)攻擊溯源能力的建設(shè)來改變這樣的現(xiàn)狀。而攻擊溯源技術(shù)可以對(duì)網(wǎng)絡(luò)攻擊過程進(jìn)行記錄，可為解決國(guó)家間網(wǎng)絡(luò)空間安全爭(zhēng)端提供取證支撐，以捍衛(wèi)國(guó)家網(wǎng)絡(luò)空間主權(quán)并威懾潛在的網(wǎng)絡(luò)攻擊。

1 基于威脅情報(bào)的智能化溯源

1.1 溯源技術(shù)分類及其概念界定

當(dāng)前的攻擊溯源技術(shù)主要分為兩種：被動(dòng)和主動(dòng)技術(shù)。被動(dòng)溯源技術(shù)包括針對(duì)潛在惡意行為警報(bào)進(jìn)行取證調(diào)查和攻擊假設(shè)測(cè)試。主動(dòng)溯源技術(shù)依靠威脅情報(bào)，產(chǎn)生攻擊假設(shè)，主動(dòng)搜索潛在的威脅行為。情報(bào)是指被傳遞的知識(shí)或事實(shí)，最早源于軍事情報(bào)領(lǐng)域，概念與技術(shù)成熟后被引入網(wǎng)絡(luò)與信息安全領(lǐng)域，與網(wǎng)絡(luò)安全態(tài)勢(shì)密切相關(guān)。威脅情報(bào)是一種基于證據(jù)來描述威脅的知識(shí)信息，包括威脅相關(guān)的上下文環(huán)境信息，采用機(jī)制、指標(biāo)、影響與行動(dòng)建議等。這些用以描述已經(jīng)存在或正在發(fā)生的攻擊威脅的信息，可以被受害目標(biāo)用來進(jìn)行決策并對(duì)威脅進(jìn)行響應(yīng)。威脅情報(bào)多被用于例如蜜罐、SIEM（Security Information and Event Management，安全信息和事件管理）等網(wǎng)絡(luò)安全防護(hù)設(shè)備的功能增強(qiáng)和攻擊溯源手動(dòng)分析的輔助，面對(duì)攻擊溯源過程中產(chǎn)生的海量數(shù)據(jù)信息，人工處理復(fù)雜且耗時(shí)，利用威脅情報(bào)進(jìn)行攻擊溯源已成為業(yè)界共識(shí)。

1.2 威脅情報(bào)的分類及概念界定

目前主要被使用的威脅情報(bào)為技術(shù)威脅情報(bào)和戰(zhàn)術(shù)威脅情報(bào)，其中技術(shù)威脅情報(bào)主要是失陷指標(biāo)（IoC，Indicator of compromise），如文件哈希、IP、URL、域名、程序運(yùn)行路徑、注冊(cè)表項(xiàng)、互斥量、發(fā)件人郵箱地址以及其它相關(guān)標(biāo)簽。IoC也是可機(jī)讀的威脅情報(bào)的一種，還包括文件信譽(yù)和IP 情報(bào)。戰(zhàn)術(shù)威脅情報(bào)關(guān)注于攻擊者的TTP（Tactics、Techniques、Procedures，戰(zhàn)術(shù)、技術(shù)、過程），其中戰(zhàn)術(shù)是指對(duì)攻擊行動(dòng)的概括性要求，表達(dá)的是目的或行動(dòng)原因，常用于攻擊作業(yè)規(guī)劃與過程追蹤；技術(shù)是指通過什么動(dòng)作執(zhí)行來達(dá)成戰(zhàn)術(shù)的目標(biāo)，包含預(yù)期完成的行動(dòng)，但不包括完成行動(dòng)的規(guī)定性指導(dǎo)；過程是特定的案例化或參照化技術(shù)執(zhí)行說明，是完成任務(wù)的具體詳細(xì)的操作說明或指導(dǎo)，重點(diǎn)在于提供完整、詳細(xì)、正確的任務(wù)步驟說明。所獲取的特征信息通過關(guān)聯(lián)分析和拓展線索，可輸出大量與已知線索存在關(guān)聯(lián)的新線索，將未知攻擊與已存在的攻擊者建立聯(lián)系，并結(jié)合攻擊者TTP，逐步追蹤溯源攻擊者。威脅情報(bào)相關(guān)指標(biāo)的金字塔模型如圖1 所示。

圖1 痛苦金字塔

1.3 威脅平臺(tái)建設(shè)現(xiàn)狀

目前，國(guó)內(nèi)外的大部分網(wǎng)絡(luò)安全廠商均已建立了各自帶有溯源分析功能的在線威脅情報(bào)平臺(tái)。威脅情報(bào)平臺(tái)是用來收集、關(guān)聯(lián)實(shí)時(shí)數(shù)據(jù)，并對(duì)其分類、整合的一個(gè)平臺(tái)，可優(yōu)先支持防御行動(dòng)。同時(shí)，還會(huì)對(duì)現(xiàn)有安全技術(shù)和流程進(jìn)行整合并加以補(bǔ)充，滿足了在多個(gè)利益相關(guān)個(gè)體和不同群體之間快速分享可機(jī)讀威脅情報(bào)的需求?，F(xiàn)有威脅情報(bào)平臺(tái)可提供查詢和分析服務(wù)，通過威脅情報(bào)中黑客及組織的特征信息進(jìn)行關(guān)聯(lián)實(shí)現(xiàn)攻擊者識(shí)別。

國(guó)內(nèi)網(wǎng)絡(luò)安全廠商安天的威脅情報(bào)綜合分析平臺(tái)（Threat Intelligence Data，簡(jiǎn)稱TID）具備一定的溯源能力。TID 基于安天海量流量側(cè)和端點(diǎn)側(cè)威脅感知能力和自動(dòng)化樣本采集分析體系，累積形成高質(zhì)量的自有威脅情報(bào)庫(kù)、知識(shí)庫(kù)，結(jié)合外部情報(bào)，具備快速查詢與獲取威脅情報(bào)的能力。利用簡(jiǎn)便的交互式威脅關(guān)聯(lián)與同源分析方法，全面揭示攻擊者的攻擊工具、攻擊資源、攻擊手段，形成威脅分析和追蹤溯源能力，如圖2所示。

圖2 利用關(guān)聯(lián)同源分析進(jìn)行威脅追蹤溯源

美國(guó)網(wǎng)絡(luò)安全廠商賽門鐵克的Deep Sight Intelligence 是一個(gè)云托管的網(wǎng)絡(luò)威脅情報(bào)平臺(tái)，該平臺(tái)可以提供由賽門鐵克通過終端和其它安全產(chǎn)品收集并通過其大數(shù)據(jù)倉(cāng)庫(kù)匯總的技術(shù)和攻擊者情報(bào)，這些數(shù)據(jù)經(jīng)過豐富、驗(yàn)證和分析，以提供溯源功能，將未知指標(biāo)與已知攻擊者聯(lián)系起來。

1.4 AI 大數(shù)據(jù)溯源平臺(tái)的建設(shè)現(xiàn)狀

目前相關(guān)威脅事件數(shù)量日益增長(zhǎng)，威脅數(shù)據(jù)正不斷累積且數(shù)量巨大，僅靠人工分析溯源難以滿足快速增長(zhǎng)的防御需求，所以更好地利用大數(shù)據(jù)進(jìn)行溯源是必要手段。威脅情報(bào)作為提供了海量多來源的安全大數(shù)據(jù)，除了需要例如Deep Sight Intelligence 威脅情報(bào)平臺(tái)中利用云對(duì)安全大數(shù)據(jù)進(jìn)行集成，還需利用人工智能（AI，Artificial Intelligence）技術(shù)進(jìn)行快速處理分析大量數(shù)據(jù)，以實(shí)現(xiàn)自動(dòng)化溯源，更好地發(fā)揮威脅情報(bào)在攻擊溯源中的價(jià)值。盡管AI 的使用在攻擊溯源的實(shí)現(xiàn)中尚不是主流，但其使用不斷增加和實(shí)現(xiàn)功能也越來越復(fù)雜，部分網(wǎng)絡(luò)安全廠商已成立了專門的網(wǎng)絡(luò)安全AI 技術(shù)研究團(tuán)隊(duì)，例如美國(guó)網(wǎng)絡(luò)安全公司Sophos 的Sophos AI，其致力于推動(dòng)機(jī)器學(xué)習(xí)（ML，Machine Learning）以實(shí)現(xiàn)信息安全。

美國(guó)網(wǎng)絡(luò)安全公司FireEye 為了解決現(xiàn)有溯源問題正在利用AI 開發(fā)相關(guān)工具。其根據(jù)自然語(yǔ)言處理和機(jī)器學(xué)習(xí)（ML）研究社區(qū)使用的既定方法，開發(fā)了一個(gè)建?？蚣埽栽u(píng)估不同組織之間的相似程度。該工具被稱為ATOMICITY，用于自動(dòng)化識(shí)別新發(fā)現(xiàn)攻擊組織與已知組織的相似性，以確認(rèn)其可歸屬于現(xiàn)有組織或是一個(gè)新組織，從而實(shí)現(xiàn)自動(dòng)化溯源。相關(guān)示例如圖3、圖4 所示。

圖3 使用“文檔”的隱喻組織的摘要信息以進(jìn)行相似性的機(jī)器學(xué)習(xí)分析的示例

圖4 ATOMICITY 工具的整體模型流程，用于分析組織和集群的相似程度

2 基于威脅框架的體系化溯源

2.1 威脅框架概念界定

在攻防雙方對(duì)抗態(tài)勢(shì)下，如果依然以離散的方式去孤立地看待和處置每個(gè)威脅事件，就會(huì)陷入沒有頭緒、無從下手的窘境，難以有效分析威脅的前因后果，看不清真正的攻擊者，無法理解真正的危害。當(dāng)前對(duì)抗的嚴(yán)峻形勢(shì)，就促成了威脅框架的提出與發(fā)展。威脅框架是一套科學(xué)的方法和工具體系，能夠更深入地認(rèn)知威脅，系統(tǒng)全面地分析其攻擊意圖、手法、過程與技術(shù)，從而幫助分析人員進(jìn)行攻擊溯源，進(jìn)而達(dá)成增強(qiáng)防御有效性的目標(biāo)。

2.2 ATT&CK 框架的產(chǎn)生背景及其概念界定

對(duì)APT組織來說，攻擊行為通常有相對(duì)固定的生命周期。該生命周期分為6 個(gè)階段：偵察跟蹤階段、武器構(gòu)建階段、載荷投遞階段、漏洞利用階段、安裝植入階段、命令與控制階段。網(wǎng)絡(luò)殺傷鏈從攻擊者視角更為清晰地理解攻擊行動(dòng)，通過上下文建立起事件之間的關(guān)聯(lián)分析，從而更有效地理解攻擊目標(biāo)與攻擊過程，也更有助于找到潛在對(duì)策與應(yīng)對(duì)手段。為針對(duì)性解決威脅框架在戰(zhàn)術(shù)技術(shù)層面上實(shí)踐實(shí)用的問題，MITRE 在網(wǎng)絡(luò)殺傷鏈框架基礎(chǔ)上提出了ATT&CK 框架，如圖5 所示。

圖5 ATT&CK 框架的內(nèi)容構(gòu)成

ATT&CK 框架，是一套技術(shù)細(xì)節(jié)豐富、易于共享應(yīng)用的攻擊行為分析模型和知識(shí)庫(kù)。ATT&CK 包含14 種戰(zhàn)術(shù)，每一種又包含數(shù)十種技術(shù)，將攻擊行為轉(zhuǎn)化為結(jié)構(gòu)化列表進(jìn)行表示。

2.3 基于ATT&CK 框架的威脅溯源

攻擊者是ATT&CK 框架的核心概念，對(duì)攻擊行動(dòng)的分析以及知識(shí)庫(kù)的提煉積累，都是圍繞TTP 而展開的。識(shí)別溯源的過程是新的模式和TTP 發(fā)現(xiàn)的過程，工具和技術(shù)揭示了新的惡意行為模式和攻擊者的TTP，這是溯源周期的關(guān)鍵部分。TTP 使得防御系統(tǒng)擺脫或降低了對(duì)IoC 的依賴，將防御從檢測(cè)機(jī)器層執(zhí)行動(dòng)作信息，提升到檢測(cè)作業(yè)層行為信息。相比于惡意代碼哈希值、IP 地址等IoC 指標(biāo)，基于TTP 的行為特征是很難改變的，攻擊者需要付出大量努力才能發(fā)現(xiàn)新的作業(yè)手法并實(shí)現(xiàn)防御規(guī)避的目的，其技術(shù)難度、時(shí)間周期和成本代價(jià)都是巨大的。因此，TTP 刻畫了攻擊者相對(duì)穩(wěn)定的行為特征，使用基于TTP 的ATT&CK 框架能夠?qū)⑼{情報(bào)結(jié)構(gòu)化，進(jìn)一步增強(qiáng)了利用威脅情報(bào)進(jìn)行攻擊溯源的有效能力。分析人員可通過攻擊戰(zhàn)術(shù)技術(shù)在矩陣中的映射狀態(tài)，來分析攻擊組織。由于不同攻擊組織的作業(yè)方式各不相同，其所采用的戰(zhàn)術(shù)技術(shù)集合也各不相同，并且具有相對(duì)穩(wěn)定的特點(diǎn)，因此，基于矩陣映射狀態(tài)的分析，可區(qū)別不同組織，跟蹤特定組織的戰(zhàn)術(shù)技術(shù)變化，為攻擊溯源提供強(qiáng)有力的線索。

ATT&CK 框架業(yè)務(wù)已獲得業(yè)界的廣泛支持，其積極作用得到了普遍認(rèn)可，框架內(nèi)容也在不斷擴(kuò)展與細(xì)化。ATT&CK框架包括大量的工具和資源，可以補(bǔ)充任何安全策略。目前其已被應(yīng)用到多種安全產(chǎn)品中，例如端點(diǎn)產(chǎn)品，根據(jù)現(xiàn)有攻擊者行為，為其編寫檢測(cè)規(guī)則，更好地檢測(cè)和防御攻擊，同時(shí)在檢測(cè)到的威脅行為所產(chǎn)生的警報(bào)中顯示歸屬于ATT&CK 框架中的技術(shù)點(diǎn)，可據(jù)此發(fā)現(xiàn)相關(guān)聯(lián)的組織，并進(jìn)行進(jìn)一步分析溯源。

3 溯源技術(shù)發(fā)展趨勢(shì)及相關(guān)建議

根據(jù)上述的研究背景、意義，以及溯源方式的產(chǎn)生背景、概念界定及其優(yōu)勢(shì)介紹，可得出如下的溯源技術(shù)發(fā)展趨勢(shì)結(jié)論：在應(yīng)對(duì)相關(guān)挑戰(zhàn)的同時(shí)，溯源技術(shù)的研究與分析工作將得到系統(tǒng)化推動(dòng)，在攻防雙方的博弈中得到不斷發(fā)展。因此可以說溯源技術(shù)的發(fā)展將呈波浪式上升的趨勢(shì)。網(wǎng)絡(luò)攻擊溯源技術(shù)還有著巨大的發(fā)展空間，如何追溯到更多的有用數(shù)據(jù)，如何多維度地對(duì)得到的數(shù)據(jù)進(jìn)行分析，以及如何提高攻擊溯源技術(shù)的有效性等方面依舊任重而道遠(yuǎn)。對(duì)于后續(xù)發(fā)展，本文也針對(duì)溯源技術(shù)提供廠商方面提出了一些不太成熟的建議，供大家參考。

3.1 構(gòu)建自動(dòng)化溯源技術(shù)

人工智能是一種先進(jìn)的方法，憑借強(qiáng)大的智能驅(qū)動(dòng)能力以及大規(guī)模運(yùn)算能力，有潛力通過分析大量攻擊線索實(shí)現(xiàn)自動(dòng)化挖掘攻擊者身份，并發(fā)現(xiàn)分析人員看不見的模式來提高溯源的準(zhǔn)確性。智能溯源技術(shù)需要對(duì)網(wǎng)絡(luò)攻擊進(jìn)行全面深入地了解，結(jié)合通過各種防御技術(shù)積累安全數(shù)據(jù)后，在利用人工智能增強(qiáng)安全防御能力的同時(shí)，使用機(jī)器學(xué)習(xí)等算法分析攻擊行為，發(fā)現(xiàn)攻擊并自動(dòng)化溯源攻擊，從而達(dá)到高成熟度攻擊溯源水平。目前，人工智能已被用于開展針對(duì)攻擊溯源的研究和應(yīng)用，部分國(guó)外安全廠商建立專項(xiàng)研究團(tuán)隊(duì)，已經(jīng)從使用簡(jiǎn)單的線性回歸到使用深度學(xué)習(xí)，并取得了階段性成果，而國(guó)內(nèi)使用人工智能進(jìn)行溯源的相關(guān)實(shí)現(xiàn)還與國(guó)外存在一定差距，但構(gòu)建有效的自動(dòng)化溯源技術(shù)和體系將是今后發(fā)展的一個(gè)必然選擇。因此，需要加強(qiáng)與加快人工智能與機(jī)器學(xué)習(xí)的研究，逐步實(shí)現(xiàn)從手動(dòng)溯源的方式轉(zhuǎn)變?yōu)榘胱詣?dòng)甚至完全自動(dòng)化的溯源方式。

3.2 完善主動(dòng)溯源技術(shù)

雖然基于低維經(jīng)驗(yàn)特征的溯源分析還將持續(xù)，人工分析在相當(dāng)一段時(shí)間內(nèi)依然是溯源分析的主要手段，但目前主動(dòng)溯源技術(shù)已經(jīng)展現(xiàn)初步的成果，例如基于網(wǎng)絡(luò)欺騙技術(shù)和基于威脅情報(bào)的主動(dòng)溯源技術(shù)，已能夠在溯源過程中為分析人員提供一定程度的支持，所以完善主動(dòng)溯源技術(shù)將是近期溯源技術(shù)發(fā)展的主要方向。對(duì)于網(wǎng)絡(luò)欺騙技術(shù)的應(yīng)用而言，需要構(gòu)建面向追蹤溯源的網(wǎng)絡(luò)欺騙環(huán)境，包括構(gòu)建虛擬化的基礎(chǔ)網(wǎng)絡(luò)環(huán)境，部署高仿真虛擬主機(jī)和服務(wù)，施放多重蜜餌資源，以及提升欺騙環(huán)境本身的可靠性。對(duì)于威脅情報(bào)的應(yīng)用而言，加強(qiáng)威脅情報(bào)庫(kù)的建設(shè)是重要基礎(chǔ)，同時(shí)對(duì)其它產(chǎn)品提供安全大數(shù)據(jù)支撐。網(wǎng)絡(luò)安全公司、政企單位等各方需要有效地加強(qiáng)合作建設(shè)與資源共享。除了目前已有的威脅數(shù)據(jù)之外，來自暗網(wǎng)和攻擊第一現(xiàn)場(chǎng)的最新威脅情報(bào)、最新惡意軟件樣本、最新漏洞攻擊樣本以及代碼靜態(tài)和行為特征，都是威脅情報(bào)庫(kù)建設(shè)的重要內(nèi)容。開源軟件平臺(tái)、典型網(wǎng)絡(luò)攻擊平臺(tái)和框架的公開資源也是網(wǎng)絡(luò)威脅情報(bào)庫(kù)構(gòu)建時(shí)的重要來源。除了對(duì)現(xiàn)有主動(dòng)溯源技術(shù)進(jìn)行深入研究外，也要對(duì)新技術(shù)新策略進(jìn)行探索發(fā)現(xiàn)。

3.3 對(duì)抗逃避溯源技術(shù)

基于現(xiàn)有溯源技術(shù)的發(fā)展與不斷成熟，攻擊者也在相應(yīng)地使用匿名網(wǎng)絡(luò)、網(wǎng)絡(luò)跳板、隱蔽通信、隱寫術(shù)等技術(shù)和虛假線索混淆視聽等方法積極對(duì)抗溯源。虛假線索對(duì)于攻擊者來說容易植入，對(duì)于分析人員來說是溯源過程中的難點(diǎn)，所以識(shí)別身份仿冒將是溯源工作的重要需求。目前來看，需要將特征行為進(jìn)行細(xì)粒度的分解，因?yàn)榛赥TP 的行為特征很難改變，所以依靠基于TTP 的威脅框架是對(duì)抗身份仿冒的一種必要手段。此外，可以利用人工智能技術(shù)，實(shí)現(xiàn)對(duì)身份偽裝線索的智能識(shí)別。

4 結(jié)束語(yǔ)

近年來，攻擊溯源技術(shù)逐漸朝著智能化、體系化的方向發(fā)展。雖然目前尚處于發(fā)展階段，缺乏有效的工具，但是溯源體系已見雛形，未來必定會(huì)以更快的速度向前發(fā)展。攻擊溯源技術(shù)作為網(wǎng)絡(luò)空間防御體系從被動(dòng)防御到主動(dòng)防御轉(zhuǎn)換的重要步驟，是維護(hù)國(guó)家網(wǎng)絡(luò)安全、防范網(wǎng)絡(luò)攻擊的技術(shù)保障。為了捍衛(wèi)國(guó)家網(wǎng)絡(luò)空間主權(quán)，建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)，提升攻擊溯源能力刻不容緩。