張?jiān)霾?韓一劍 牛澤彬

1.公安部第一研究所 2.北京中盾安信科技發(fā)展有限公司

引言

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求的入侵防范要求中明確規(guī)定，應(yīng)采取技術(shù)手段，提高對(duì)高級(jí)可持續(xù)威脅（APT）等網(wǎng)絡(luò)攻擊行為的入侵防范能力；應(yīng)采取技術(shù)手段，實(shí)現(xiàn)系統(tǒng)主動(dòng)防護(hù)，及時(shí)識(shí)別并阻斷入侵和病毒行為。

關(guān)鍵信息基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)對(duì)抗是一個(gè)動(dòng)態(tài)相長(zhǎng)的過(guò)程。這個(gè)過(guò)程中攻方占優(yōu)勢(shì)的情況通常以惡意軟件、漏洞利用、病毒或其他攻擊方式成功入侵了組織的網(wǎng)絡(luò)或系統(tǒng)，當(dāng)攻擊者成功獲取足夠權(quán)限后，會(huì)構(gòu)建遠(yuǎn)程控制隧道（Remote Control Tunnel），也稱(chēng)為“遠(yuǎn)控隧道”“反向隧道”或“外聯(lián)隧道”。

防守方若要發(fā)現(xiàn)攻擊控制的痕跡和通道，必須借助入侵檢測(cè)的手段來(lái)發(fā)現(xiàn)、分析、溯源攻擊者。本文提出的入侵檢測(cè)方案主要是檢測(cè)“敵已控我”的網(wǎng)絡(luò)安全事件的線索。此時(shí)攻擊者在實(shí)陷的目標(biāo)設(shè)備與攻擊者的控制服務(wù)器之間建立遠(yuǎn)程控制隧道后，它將被用來(lái)接收控制指令或?qū)⒈槐I的數(shù)據(jù)傳至控制服務(wù)器中。

一、入侵檢測(cè)

入侵檢測(cè)技術(shù)是一種通過(guò)監(jiān)控和分析系統(tǒng)活動(dòng)情況來(lái)分析并提取入侵行為特征、對(duì)入侵行為進(jìn)行實(shí)時(shí)響應(yīng)的一種動(dòng)態(tài)安全技術(shù)。通過(guò)監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的活動(dòng)，識(shí)別可能的惡意行為或未經(jīng)授權(quán)的訪問(wèn)嘗試。其主要目的是及時(shí)發(fā)現(xiàn)并響應(yīng)安全威脅，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)堡壘。入侵檢測(cè)參照攻擊鏈模型，按照攻擊發(fā)生的階段可以劃分為“敵在攻我”和“敵已控我”兩個(gè)階段的入侵檢測(cè)。

“敵在攻我”顧名思義就是攻擊者正在利用外部的網(wǎng)絡(luò)基礎(chǔ)設(shè)施對(duì)我相關(guān)系統(tǒng)發(fā)起掃描探測(cè)、漏洞利用、暴力破解等攻擊。而“敵已控我”是指當(dāng)一個(gè)組織或網(wǎng)絡(luò)遭受入侵，被攻擊者從內(nèi)部網(wǎng)絡(luò)連接到外部網(wǎng)絡(luò)的情況通常被稱(chēng)為“入侵被控返聯(lián)”（Compromished and Controlled Outbound Connectivity），也可以稱(chēng)為“出站控制”（Outbound Command and Control）。

（一）當(dāng)前入侵檢測(cè)的主要方法

入侵檢測(cè)技術(shù)主要分為基于規(guī)則和基于行為分析兩大類(lèi)型。比如基于特征選擇、貝葉斯推理、貝葉斯網(wǎng)絡(luò)、模式預(yù)測(cè)、基于神經(jīng)網(wǎng)絡(luò)、貝葉斯聚類(lèi)等方法很多學(xué)者均有研究；此外還有基于操作行為監(jiān)控的入侵檢測(cè)，例如有基于條件概率、狀態(tài)遷移分析、鍵盤(pán)監(jiān)控、規(guī)則等。

傳統(tǒng)的檢測(cè)方式已經(jīng)不再適應(yīng)當(dāng)前的網(wǎng)絡(luò)形勢(shì)，基于機(jī)器學(xué)習(xí)的入侵檢測(cè)方法不僅能夠應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)狀況檢測(cè)出未知攻擊，而且在檢測(cè)精度方面具有突出優(yōu)勢(shì)，能夠有效提高檢測(cè)率、降低誤報(bào)率，是目前研究的主要方向。但隨著目前網(wǎng)絡(luò)規(guī)模的不斷增大，檢測(cè)過(guò)程也越來(lái)越復(fù)雜，如何提高通信效率，保障系統(tǒng)數(shù)據(jù)處理和響應(yīng)速度需要進(jìn)一步研究。

傳統(tǒng)的基于規(guī)則的外聯(lián)檢測(cè)方法，過(guò)于依賴(lài)于漏洞規(guī)則的更新，以及對(duì)攻擊者攻擊方法的掌握，其時(shí)效性和未知威脅發(fā)現(xiàn)能力明顯不足。

本文提出的異常外聯(lián)入侵檢測(cè)方法是一種基于規(guī)則的檢測(cè)方法，但是采用了主動(dòng)探測(cè)和被動(dòng)檢測(cè)的方式來(lái)主動(dòng)發(fā)現(xiàn)外聯(lián)行為，并有效結(jié)合了云端威脅情報(bào)能力，相對(duì)于傳統(tǒng)基于規(guī)則的外聯(lián)檢測(cè)方法，本文的方法主動(dòng)發(fā)現(xiàn)能力和時(shí)效性要高；相對(duì)機(jī)器學(xué)習(xí)的入侵檢測(cè)方法，本文的檢測(cè)方法其部署成本較低。

（二）主動(dòng)探測(cè)和被動(dòng)檢測(cè)相結(jié)合的異常外聯(lián)檢測(cè)方法

本文提出的網(wǎng)絡(luò)非法外聯(lián)檢測(cè)方案，是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)邊界防護(hù)完整性檢查的一種方法，在用戶(hù)無(wú)感知、業(yè)務(wù)無(wú)影響前提下，通過(guò)主動(dòng)探測(cè)與被動(dòng)檢測(cè)相結(jié)合的技術(shù)，實(shí)現(xiàn)事前預(yù)警、定位外聯(lián)通道、定位外聯(lián)終端、鎖定證據(jù)、取證分析，提升網(wǎng)絡(luò)邊界完整性管控。

網(wǎng)絡(luò)非法外聯(lián)檢測(cè)是一種主動(dòng)防御方案，相對(duì)于網(wǎng)絡(luò)防火墻、應(yīng)用防火墻、終端防御系統(tǒng)等安全設(shè)備的被動(dòng)防御措施，非法外聯(lián)可以第一時(shí)間發(fā)現(xiàn)違反網(wǎng)絡(luò)邊界測(cè)量的外聯(lián)行為，在入侵行為對(duì)信息系統(tǒng)發(fā)生影響之前，能夠及時(shí)精準(zhǔn)預(yù)警，及時(shí)切斷外聯(lián)通道，避免、轉(zhuǎn)移、降低信息系統(tǒng)面臨的風(fēng)險(xiǎn)。

二、主要功能

主動(dòng)探測(cè)和被動(dòng)檢測(cè)相結(jié)合的網(wǎng)絡(luò)非法外聯(lián)檢測(cè)方法，主要包括兩大部分：一部分是利用跨域訪問(wèn)探測(cè)方法，主動(dòng)發(fā)送流量連通性測(cè)試數(shù)據(jù)測(cè)試跨網(wǎng)絡(luò)邊界訪問(wèn)可行性；另一部分是手機(jī)網(wǎng)絡(luò)邊界的跨邊界流量，將數(shù)據(jù)訪問(wèn)流量在云中心與情報(bào)進(jìn)行聯(lián)動(dòng)，碰撞對(duì)比惡意外聯(lián)行為，如圖1所示。

本文的網(wǎng)絡(luò)非法外聯(lián)檢測(cè)系統(tǒng)具備以下能力：

1.違規(guī)外聯(lián)被動(dòng)檢測(cè)能力

基于網(wǎng)絡(luò)流量及協(xié)議的深度解析，無(wú)需部署Agent客戶(hù)端，即可完成非法外聯(lián)行為監(jiān)控，包括一機(jī)兩網(wǎng)、一機(jī)多用、VPN代理外聯(lián)、VPN代理接入等非法外聯(lián)行為。

2.加密流量檢測(cè)能力

在原被動(dòng)檢測(cè)能力基礎(chǔ)上，通過(guò)在TLS/SSL服務(wù)中對(duì)應(yīng)用的前置寫(xiě)入，發(fā)現(xiàn)非法外聯(lián)主機(jī)，覆蓋面更廣。

3.失陷資產(chǎn)發(fā)現(xiàn)能力

通過(guò)DPI技術(shù)，結(jié)合精準(zhǔn)的威脅情報(bào)，對(duì)網(wǎng)絡(luò)中因木馬、勒索病毒、攻擊控制（CC）、挖礦等失陷資產(chǎn)存在的被控反聯(lián)行為進(jìn)行檢測(cè)。

4.規(guī)則匹配檢測(cè)能力

系統(tǒng)中內(nèi)置突破邊界軟件知識(shí)庫(kù)，包括隱蔽隧道特征庫(kù)、攻擊工具特征庫(kù)、高危漏洞特征庫(kù)、代理工具規(guī)則庫(kù)、主機(jī)狀態(tài)庫(kù)等，內(nèi)置檢測(cè)規(guī)則自動(dòng)適配網(wǎng)內(nèi)業(yè)務(wù)應(yīng)用，完成違規(guī)行為特征檢測(cè)，對(duì)網(wǎng)內(nèi)業(yè)務(wù)應(yīng)用無(wú)影響。

5.非法外聯(lián)取證能力

針對(duì)具有非法外聯(lián)的終端進(jìn)行行為取證，可檢測(cè)非法外聯(lián)上網(wǎng)記錄，并將取證信息統(tǒng)一上報(bào)。

6.域名自學(xué)習(xí)能力

系統(tǒng)可以自動(dòng)從網(wǎng)絡(luò)流量中學(xué)習(xí)用戶(hù)單位的業(yè)務(wù)系統(tǒng)域名，用于過(guò)濾非法外聯(lián)檢測(cè)點(diǎn)，可自主進(jìn)行檢測(cè)點(diǎn)控制，提升檢測(cè)范圍和細(xì)粒度。

7.詳細(xì)的事件記錄

通過(guò)不同監(jiān)測(cè)平臺(tái)入口，可查看對(duì)應(yīng)管理域內(nèi)非法外聯(lián)記錄，包括外聯(lián)時(shí)間、設(shè)備內(nèi)網(wǎng)IP地址、源端口、MAC地址、外網(wǎng)IP地址、目的端口、外聯(lián)協(xié)議、所在地區(qū)、使用的瀏覽器版本。

8.多維度事件統(tǒng)計(jì)

可統(tǒng)計(jì)單位當(dāng)日非法外聯(lián)事件次數(shù)、外聯(lián)IP數(shù)量，當(dāng)日外聯(lián)事件較多的主機(jī)排行，以及此單位非法外聯(lián)事件總數(shù)、外聯(lián)IP總數(shù)。

9.細(xì)粒度事件查詢(xún)

支持內(nèi)網(wǎng)IP、外網(wǎng)IP精確匹配查詢(xún)；MAC地址、設(shè)備編號(hào)、設(shè)備名稱(chēng)精確匹配查詢(xún)；檢測(cè)協(xié)議精確匹配查詢(xún)，包括HTTP、TCP、UDP、DNS；時(shí)間范圍查詢(xún)；UserAgent、Refer、外網(wǎng)IP歸屬地模糊匹配查詢(xún)；按組織機(jī)構(gòu)查詢(xún)，結(jié)果包括當(dāng)前節(jié)點(diǎn)及其子節(jié)點(diǎn)信息。

10.靈活的檢測(cè)方式

針對(duì)具有統(tǒng)一出口的關(guān)鍵信息基礎(chǔ)設(shè)施單位，支持對(duì)外網(wǎng)出口IP的白名單進(jìn)行添加、編輯、刪除管理，白名單內(nèi)的出口IP不進(jìn)行檢測(cè)。

三、實(shí)現(xiàn)原理

該檢測(cè)方法在部署實(shí)施時(shí)采用旁路部署，無(wú)需安裝軟件客戶(hù)端，不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，用戶(hù)無(wú)感知。同時(shí)結(jié)合應(yīng)用層檢測(cè)和主動(dòng)探測(cè)技術(shù)，更準(zhǔn)確、全面地發(fā)現(xiàn)非法外聯(lián)行為。

（一）應(yīng)用層檢測(cè)

主機(jī)通過(guò)交換機(jī)訪問(wèn)內(nèi)網(wǎng)網(wǎng)絡(luò)地址（原始地址），向其發(fā)送http請(qǐng)求。網(wǎng)絡(luò)非法外聯(lián)檢測(cè)系統(tǒng)監(jiān)控請(qǐng)求流量，若流量命中了知識(shí)庫(kù)中的規(guī)則（包含協(xié)議解析、請(qǐng)求特征判斷等），則向內(nèi)網(wǎng)主機(jī)發(fā)送探測(cè)違規(guī)行為的報(bào)文；若內(nèi)網(wǎng)主機(jī)收到探測(cè)違規(guī)行為的報(bào)文，會(huì)嘗試對(duì)另一側(cè)網(wǎng)絡(luò)服務(wù)器發(fā)送探測(cè)請(qǐng)求，如果連接成功，則上報(bào)主機(jī)內(nèi)網(wǎng)IP、外網(wǎng)IP、User-Agent等信息。

網(wǎng)絡(luò)非法外聯(lián)檢測(cè)系統(tǒng)收到非法外聯(lián)信息后，會(huì)增加出口IP信息記錄到系統(tǒng)中。應(yīng)用層檢測(cè)與正常的業(yè)務(wù)訪問(wèn)相結(jié)合，不受網(wǎng)絡(luò)結(jié)構(gòu)、防火墻設(shè)置的限制，檢測(cè)準(zhǔn)確率100%，但是存在一定的漏檢情況。網(wǎng)絡(luò)非法外聯(lián)檢測(cè)系統(tǒng)還結(jié)合TCP/UDP探測(cè)技術(shù)保證檢測(cè)準(zhǔn)確、全面。

（二）威脅情報(bào)檢測(cè)

利用威脅情報(bào)是檢測(cè)惡意程序非法外聯(lián)的有效方法。通過(guò)安全運(yùn)營(yíng)中網(wǎng)絡(luò)安全報(bào)警的分析，以及來(lái)自各個(gè)渠道的威脅情報(bào)信息，可有效發(fā)現(xiàn)已被標(biāo)記為惡意程序的外聯(lián)行為。本文的檢測(cè)方法中，通過(guò)檢測(cè)交換機(jī)的流量與威脅情報(bào)碰撞，可快速準(zhǔn)確識(shí)別基于木馬、勒索病毒、遠(yuǎn)控工具所引起的黑客或APT組織攻擊而造成的失陷資產(chǎn)反聯(lián)。

（三）邊界代理檢測(cè)

在重大網(wǎng)絡(luò)安全事件、攻防演練中提取攻擊工具與回聯(lián)特征，針對(duì)隱蔽隧道、遠(yuǎn)控工具、內(nèi)網(wǎng)穿透等通過(guò)加密流量回聯(lián)建立指紋知識(shí)庫(kù)，通過(guò)對(duì)流量中相關(guān)協(xié)議的特征進(jìn)行提取與分析，識(shí)別其通過(guò)偽裝構(gòu)造的外聯(lián)流量，從而對(duì)有互聯(lián)網(wǎng)合規(guī)出口場(chǎng)景的突破邊界的反聯(lián)行為進(jìn)行檢測(cè)與識(shí)別。

四、技術(shù)要點(diǎn)

網(wǎng)絡(luò)非法外聯(lián)檢測(cè)系統(tǒng)主要具備以下技術(shù)特點(diǎn)：

（1）檢測(cè)一機(jī)多用違規(guī)行為。實(shí)時(shí)檢測(cè)計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備，既連接內(nèi)部網(wǎng)同時(shí)又連接國(guó)際互聯(lián)網(wǎng)的一機(jī)多用行為，同時(shí)能夠快速檢測(cè)計(jì)算機(jī)在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)切換的一機(jī)多用行為。

（2）檢測(cè)違規(guī)架設(shè)VPN。用戶(hù)通過(guò)VPN用戶(hù)接入內(nèi)網(wǎng)并訪問(wèn)內(nèi)網(wǎng)WEB服務(wù)器，系統(tǒng)監(jiān)控到WEB訪問(wèn)流量，觸發(fā)非法外聯(lián)檢測(cè)，訪問(wèn)互聯(lián)網(wǎng)的過(guò)程會(huì)被自動(dòng)檢測(cè)為非法外聯(lián)行為。

（3）被控反聯(lián)?；谥R(shí)庫(kù)對(duì)失陷資產(chǎn)發(fā)送的流量報(bào)文的檢測(cè)。

（4）定位非法外聯(lián)終端。非法外聯(lián)記錄包含了非法外聯(lián)設(shè)備的內(nèi)網(wǎng)IP、mac和互聯(lián)網(wǎng)IP，方便管理者進(jìn)行溯源定位。

（5）旁路部署不影響業(yè)務(wù)連續(xù)性。在進(jìn)行非法外聯(lián)監(jiān)測(cè)的同時(shí)，原始請(qǐng)求會(huì)正常到達(dá)內(nèi)網(wǎng)服務(wù)器，無(wú)論非法外聯(lián)檢測(cè)報(bào)文能否收到應(yīng)答，內(nèi)網(wǎng)服務(wù)器都能正?；貞?yīng)，不影響業(yè)務(wù)功能。

（6）非法外聯(lián)取證。在發(fā)現(xiàn)非法外聯(lián)行為后，系統(tǒng)可對(duì)非法外聯(lián)行為進(jìn)行取證，通過(guò)相應(yīng)技術(shù)手段還原用戶(hù)外聯(lián)頁(yè)面，提取用戶(hù)信息。同時(shí)，便攜式取證工具可在外聯(lián)終端提取用戶(hù)違規(guī)上網(wǎng)信息。

五、典型應(yīng)用場(chǎng)景部署

（一）單點(diǎn)非法外聯(lián)檢測(cè)系統(tǒng)部署

針對(duì)于網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單、網(wǎng)絡(luò)監(jiān)控范圍小的場(chǎng)景，以單點(diǎn)設(shè)備形式部署網(wǎng)絡(luò)非法外聯(lián)檢測(cè)系統(tǒng)，對(duì)接公有非法外聯(lián)捕獲服務(wù)器，完成網(wǎng)絡(luò)非法外聯(lián)監(jiān)測(cè)及管理。同時(shí)，可根據(jù)不同的網(wǎng)絡(luò)非法外聯(lián)監(jiān)測(cè)需求，如內(nèi)網(wǎng)與內(nèi)網(wǎng)隔離監(jiān)控、內(nèi)網(wǎng)與生產(chǎn)網(wǎng)間隔離監(jiān)控，完成不同位置的非法外聯(lián)捕獲平臺(tái)部署。

將檢測(cè)系統(tǒng)設(shè)備部署于監(jiān)控域內(nèi)核心交換機(jī)旁路，通過(guò)“交換機(jī)鏡像”及“NetworkTAPs設(shè)備復(fù)制流量”兩種方式獲取用戶(hù)網(wǎng)絡(luò)流量，部署詳細(xì)描述如下：

第一種：交換機(jī)流量鏡像

（1）檢測(cè)設(shè)備需部署在核心交換機(jī)位置，每臺(tái)交換機(jī)對(duì)應(yīng)一臺(tái)設(shè)備；

（2）每臺(tái)檢測(cè)設(shè)備需要接三個(gè)核心交換機(jī)網(wǎng)口。

第二種：NetworkTAPs設(shè)備復(fù)制流量

（1）外聯(lián)檢測(cè)設(shè)備需部署在核心交換機(jī)位置，每臺(tái)交換機(jī)對(duì)應(yīng)一臺(tái)E01系統(tǒng)；

（2）每臺(tái)外聯(lián)檢測(cè)設(shè)備需接兩個(gè)核心交換機(jī)網(wǎng)口及NetworkTAPs設(shè)備一個(gè)鏡像口。

（二）多級(jí)分布式非法外聯(lián)監(jiān)測(cè)系統(tǒng)部署

針對(duì)于分支單位數(shù)量較多、層級(jí)較多的場(chǎng)景，為滿(mǎn)足“統(tǒng)規(guī)、統(tǒng)建、統(tǒng)管”等要求，非法外聯(lián)監(jiān)測(cè)需進(jìn)行多級(jí)分布式系統(tǒng)建設(shè)，包括網(wǎng)絡(luò)非法外聯(lián)集中管理平臺(tái)、多級(jí)網(wǎng)絡(luò)非法外聯(lián)檢測(cè)系統(tǒng)，以及根據(jù)實(shí)際要求部署網(wǎng)絡(luò)非法外聯(lián)捕獲服務(wù)器。

1.物理/邏輯隔離網(wǎng)絡(luò)

網(wǎng)絡(luò)非法外聯(lián)集中管理平臺(tái)部署于總部服務(wù)網(wǎng)，用于對(duì)各分支單位檢測(cè)系統(tǒng)的集中管理。網(wǎng)絡(luò)非法外聯(lián)捕獲服務(wù)器可根據(jù)不同網(wǎng)絡(luò)非法外聯(lián)監(jiān)測(cè)需求，選擇不同監(jiān)測(cè)位置部署檢測(cè)設(shè)備，完成總部及各分支單位非法外聯(lián)的檢測(cè)。例如，只監(jiān)測(cè)非法外聯(lián)互聯(lián)網(wǎng)場(chǎng)景，則將外聯(lián)捕獲服務(wù)器部署于互聯(lián)網(wǎng)側(cè)（互聯(lián)網(wǎng)側(cè)可以服務(wù)形式使用公安部第一研究所的云分析平臺(tái)），如總體部署圖4所示；檢測(cè)內(nèi)網(wǎng)與內(nèi)網(wǎng)之間違規(guī)互聯(lián)場(chǎng)景，則外聯(lián)捕獲服務(wù)器部署于內(nèi)網(wǎng)側(cè)，如總體部署圖5所示。

2.統(tǒng)一出口網(wǎng)絡(luò)

網(wǎng)絡(luò)非法外聯(lián)集中管理平臺(tái)部署于總部服務(wù)網(wǎng)，用于對(duì)各分支單位檢測(cè)設(shè)備的集中管理，非法外聯(lián)捕獲平臺(tái)部署于互聯(lián)網(wǎng)側(cè)（互聯(lián)網(wǎng)側(cè)可以服務(wù)形式使用云分析平臺(tái)），完成總部及各分支單位非法外聯(lián)的檢測(cè)。檢測(cè)設(shè)備部署于地區(qū)分支單位匯聚交換機(jī)旁路，基于網(wǎng)絡(luò)流量分析完成日?；欠ㄍ饴?lián)監(jiān)測(cè)。

六、結(jié)語(yǔ)

基于異常外聯(lián)的關(guān)基網(wǎng)絡(luò)入侵檢測(cè)方法已經(jīng)在交通、能源、金融等領(lǐng)域進(jìn)行了大量實(shí)踐，實(shí)踐表明該方法在檢測(cè)發(fā)現(xiàn)“敵已控我”攻擊行為、檢測(cè)受控外聯(lián)通道方面具有良好的應(yīng)用效果，同時(shí)在發(fā)現(xiàn)單位內(nèi)部網(wǎng)絡(luò)私搭亂建、破壞網(wǎng)絡(luò)邊界完整性等方面也具有廣闊的應(yīng)用前景。