李海威 王文倩 李坤 公安部第一研究所

引言

網(wǎng)絡攻擊日益體現(xiàn)出規(guī)?；?、精準化、高維化的趨勢[1]，以多層次保護思路為代表的關(guān)鍵信息基礎設施保護理念也在不斷地實踐與優(yōu)化[2]。隨著云、大、物、移、智的發(fā)展，原有的邊界被打破，攻擊突破口體現(xiàn)出更大的不確定性，已經(jīng)不再主要集中于網(wǎng)絡系統(tǒng)、重要服務器或數(shù)據(jù)庫等，而是越來越多地出現(xiàn)在終端。伴隨流量檢測能力逐漸受限，市場、政策、技術(shù)推動國內(nèi)終端安全市場重啟，終端已成網(wǎng)絡安全的必爭之地，是關(guān)基保護中不可忽視的重要環(huán)節(jié)，也是《關(guān)鍵信息基礎設施安全保護要求》（GB/T 39204-2022）中實現(xiàn)安全防護、主動防御能力要求不可或缺的重要部分。同時，除傳統(tǒng)的臺式計算機、筆記本電腦外，移動設備、IOT等類型設備也不斷加入網(wǎng)絡[3]，終端的形態(tài)與使用模式與以往相比更加復雜，而相應的攻擊技術(shù)還在不斷變化，攻擊路徑的選擇更靈活，攻擊工具持續(xù)在迭代，導致安全威脅更加隱蔽，更加難以識別與發(fā)現(xiàn)，最終形成了當前形勢下終端安全保護工作的重大挑戰(zhàn)。

一、終端安全形勢分析

終端作為用戶與關(guān)基系統(tǒng)交互的主要接口，同樣是很多敏感數(shù)據(jù)處理、傳輸、存儲的重要設備，在關(guān)基保護工作中十分重要，有問題的終端，如感染病毒的終端接入關(guān)基系統(tǒng)后對整體安全的影響十分巨大[4]。目前的終端保護工作中，以弱口令、老舊漏洞為代表的傳統(tǒng)問題仍然大量存在，APT攻擊、勒索病毒及其變種、新型后門攻擊等新手段層出不窮，人工智能也已經(jīng)被攻擊方利用來加速攻擊技術(shù)的迭代升級[5]，創(chuàng)建更復雜而高級的攻擊模式。

當前關(guān)基系統(tǒng)終端安全面臨的形勢十分嚴峻，而針對終端的典型防御工作大多停留在原有的階段，包括以補丁修復、特征庫升級、安全策略優(yōu)化和安全管理完善等預防措施，還有特征分析、日志分析、資產(chǎn)管控、準入控制等防御措施[6,7]。這些技術(shù)措施在以往的終端保護中起到了良好的作用，而在新形勢下的終端安全保護方面已經(jīng)越來越體現(xiàn)出不足。主要問題體現(xiàn)在兩方面：（1）預防手段主要基于已知的威脅，必然會存在滯后性，只能起到緩解系統(tǒng)風險作用，無法從根本上解決問題；（2）防御手段對網(wǎng)絡攻擊的分析僅限于表面層的靜態(tài)特征，對高級威脅的防護能力不足，特別是不具備檢測出在系統(tǒng)底層出現(xiàn)的惡意攻擊行為。

二、多重檢測終端安全防護總體思路

（一）安全防護總體思路

建立新一代終端安全防護方案，通過輕量化客戶端、海量情報分析、智能分析，建立“端網(wǎng)”協(xié)同機制，實現(xiàn)終端威脅檢測、分析、取證、處置一體化能力。從攻擊面分析，需對終端文件、進程、系統(tǒng)、內(nèi)存、網(wǎng)絡、CPU指令等層面信息進行全方位探針，為了有效應對無文件攻擊、APT攻擊等高級持續(xù)性攻擊，同時保障終端輕量化，需要將全量信息集中上報至“云端”，并引入動態(tài)分析、智能分析、行為分析等新技術(shù)，實現(xiàn)對內(nèi)外網(wǎng)威脅全面發(fā)現(xiàn)的能力。結(jié)合海量情報分析實現(xiàn)聯(lián)防預警，整體框架如圖1所示。

（二）多重檢測技術(shù)路線

依據(jù)國家對關(guān)鍵信息基礎設施保護提出的整體防護原則，需要對終端內(nèi)存層、系統(tǒng)層、應用層、網(wǎng)絡層實現(xiàn)立體防護，研究內(nèi)存監(jiān)控技術(shù)可實現(xiàn)二進制攻擊檢測，研究行為分析技術(shù)可實現(xiàn)未知惡意代碼攻擊、腳本攻擊檢測能力，研究智能分析可對終端采集信息進行學習，增強高級威脅發(fā)現(xiàn)能力，研究情報關(guān)聯(lián)分析技術(shù)，可實現(xiàn)非法外聯(lián)、APT攻擊發(fā)現(xiàn)能力，并實現(xiàn)情報共享。

三、多重檢測終端安全技術(shù)研究

（一）關(guān)鍵技術(shù)

1.內(nèi)存檢測技術(shù)

通過內(nèi)存行為分析技術(shù)可以實現(xiàn)以下二方面保護能力：（1）漏洞防御能力：通過細粒度的監(jiān)控內(nèi)存讀、寫、執(zhí)行行為，可實時檢測內(nèi)存中存在ROP、堆噴、堆棧屬性攻擊、內(nèi)存Shellcode執(zhí)行等異常行為，結(jié)合攔截模塊進行漏洞防御。（2）暫態(tài)數(shù)據(jù)保護：存儲在硬盤中數(shù)據(jù)可以稱為“靜態(tài)”數(shù)據(jù)，而在運行中數(shù)據(jù)為“暫態(tài)”數(shù)據(jù)，且為明文狀態(tài)，基于內(nèi)存檢測技術(shù)可防止攻擊者Dump內(nèi)存中數(shù)據(jù)，從而實現(xiàn)保護作用。

2.行為分析技術(shù)

行為分析技術(shù)在國外又稱NGAV下一代殺毒技術(shù)，通過行為分析技術(shù)可有效應對已知、未知威脅。病毒樣本可能有無數(shù)，并不斷衍生新的病毒程序，基于特征或簽名方式難以有效應對，研究行為分析技術(shù)，核心識別病毒樣本惡意行為，攻擊者為了達成攻擊目的必然會執(zhí)行一系列惡意行為，而攻擊行為數(shù)量是收斂的（每種類型大概200～300種），通過行為分析技術(shù)可實現(xiàn)主動防御，最終實現(xiàn)未知威脅檢測及防護能力。

3.情報關(guān)聯(lián)分析技術(shù)

威脅情報可彌補攻防兩端信息不對稱問題，已經(jīng)成為終端安全必選項，成為新的“驅(qū)動力”。終端可發(fā)現(xiàn)組織內(nèi)部更詳細信息，而情報可更多挖掘APT攻擊，從情報類型上可不斷加強外聯(lián)情報、文件情報能力建設，終端對文件信息、行為信息、網(wǎng)絡信息進行實時采集與云端情報聯(lián)動分析，實現(xiàn)對告警事件準確分析定位，通過終端威脅能力與云端情報結(jié)合，可形成內(nèi)生性，實現(xiàn)情報的“消費”和“生產(chǎn)”不斷循環(huán)，最終通過聯(lián)動分析實現(xiàn)一點被攻破，全網(wǎng)共免疫的效果。

4.灰文件鑒定技術(shù)

首先需對全網(wǎng)終端黑文件、白文件進行識別，對系統(tǒng)中白文件聚合分析是重點，通過聚合分析技術(shù)實現(xiàn)對全網(wǎng)終端中系統(tǒng)白文件進行精準識別并歸類，例如：系統(tǒng)中某個文件，在系統(tǒng)升級后其文件特征信息會改變，需要將其進行準確識別并歸類至白名單中，再進行全網(wǎng)分析統(tǒng)計，一旦發(fā)現(xiàn)白文件僅存在于某個終端，需要對其進行重點分析，以確認其是否遭受潛在攻擊。通過對黑白文件過濾、對全網(wǎng)“灰文件”可結(jié)合沙箱進行聯(lián)動分析，從而實現(xiàn)灰文件鑒定，最終建立黑、白、灰、準白全息檔案。

5.智能分析技術(shù)

AI驅(qū)動安全，在國內(nèi)外已經(jīng)成為新“聚焦點”，研究基于AI技術(shù)，可實現(xiàn)未知威脅檢測、合規(guī)自動化檢查、高級威脅智能定級、威脅取證溯源分析、高級威脅影響分析、安全自動化運營、AI防護等場景，將客戶端廣泛部署在客戶生產(chǎn)環(huán)境，數(shù)據(jù)上報至“云端”，可對數(shù)據(jù)進行充分訓練，通過大量威脅數(shù)據(jù)分析，可在威脅檢測能力、誤報率控制、檢測性能上與傳統(tǒng)檢測產(chǎn)品拉開差距，提升對高級威脅行為的發(fā)現(xiàn)能力，同時提供描述性、診斷性、預測性以及指導性分析，以了解安全威脅并及時做出響應。

（二）核心功能

1.文件/外聯(lián)全息建檔功能

針對組織內(nèi)部黑、白、“灰文件”及IP/域名實現(xiàn)全息檔案建設，精確衡量與跟蹤，在發(fā)現(xiàn)惡意程序后，分析人員可快速評估其嚴重程度、影響程度，快速查詢其是否存在其他計算機上，從而判斷其是否為系統(tǒng)性事件，了解入侵指標，實現(xiàn)“威脅全網(wǎng)排查”。

2.情報聯(lián)動分析功能

解決流量設備發(fā)現(xiàn)威脅告警后證據(jù)鏈不完整問題，全面提升威脅發(fā)現(xiàn)及溯源能力，同時終端采集IP、域名、文件MD5等信息，可與情報進行聯(lián)動分析，實現(xiàn)問題“精準定位”。

3.黑灰產(chǎn)外聯(lián)檢測功能

終端基于DNS的監(jiān)測分析，與網(wǎng)絡威脅情報聯(lián)防處置平臺（K01）實現(xiàn)聯(lián)動，針對IP、域名發(fā)現(xiàn)黑灰產(chǎn)外聯(lián)，實現(xiàn)“外聯(lián)檢測”。

4.威脅線索自動分析取證

發(fā)現(xiàn)攻擊威脅后，需要能夠?qū)Ξ敃r發(fā)生攻擊事件相關(guān)信息進行實時取證，高級攻擊樣本具備自刪除能力、非法外聯(lián)請求具有時效性，事后檢測方式即使發(fā)現(xiàn)告警，由于丟失威脅發(fā)生時的關(guān)鍵證據(jù)，難以定性。通過對終端病毒樣本、進程鏈信息、內(nèi)存Dump等類型信息進行實時取證，可解決關(guān)鍵固證信息不完整，難以分析定位問題。

5.新型/未知威脅檢測

內(nèi)存攻擊具有難檢測、難分析、難取證的問題，通過內(nèi)存行為監(jiān)控技術(shù)實現(xiàn)內(nèi)存威脅發(fā)現(xiàn)能力，解決內(nèi)存威脅防護不足問題。深入腳本解釋器，監(jiān)控程序內(nèi)部執(zhí)行行為，從而可以有效發(fā)現(xiàn)腳本攻擊。通過行為分析技術(shù)，防范未知惡意代碼攻擊。

6.APT攻擊檢測

通過終端文件特征分析及行為分析，實現(xiàn)對疑似APT組織線索發(fā)現(xiàn)，結(jié)合威脅樣本行為分析系統(tǒng)、情報系統(tǒng)實現(xiàn)“APT檢測”。

7.清除頑固病毒

針對普通病毒木馬程序，通過殺毒軟件快速查殺即可，而當前筆者發(fā)現(xiàn)終端出現(xiàn)重新啟動后病毒再次運行的情況，難以徹底根除。研究Antirootkit病毒處置工具，對進程、文件、啟動項等清除，實現(xiàn)病毒“徹底根除”。

四、應用效果與驗證

終端安全問題是關(guān)鍵信息基礎設施的主要隱患。針對終端安全防護問題，基于本文思想與核心技術(shù)設計實現(xiàn)的終端安全防護系統(tǒng)（網(wǎng)鑒V01），具備終端威脅檢測、分析取證、威脅處置、場景化防護一體化運營能力。通過聯(lián)動能力建立終端聯(lián)防聯(lián)控體系，探針采集終端文件、進程、內(nèi)存、指令、網(wǎng)絡等不同層面數(shù)據(jù)上報云端，強化AI未知威脅檢測效果，實現(xiàn)針對終端的新威脅、未知威脅的發(fā)現(xiàn)能力。系統(tǒng)適用于政府、金融和互聯(lián)網(wǎng)等大型企事業(yè)單位VDI環(huán)境和辦公終端的安全防護，致力于終端威脅閉環(huán)管理，結(jié)合聯(lián)動能力提供集權(quán)系統(tǒng)一體化防護、社工釣魚場景防護，能夠有效應對終端僵木蠕及未知惡意代碼防范，輔助關(guān)鍵信息基礎設施運營單位抵抗APT組織攻擊，緩解0day漏洞攻擊，全面提升企業(yè)辦公終端安全管理的水平。以某省大型國有能源企業(yè)應用為實例驗證實踐效果。

（一）系統(tǒng)部署方案

網(wǎng)鑒V01管理中心采用集群部署模式，部署在IDC區(qū)，采用B/S結(jié)構(gòu)，通過瀏覽器即可實現(xiàn)對全網(wǎng)終端的安全管理與監(jiān)控，探針部署在全網(wǎng)辦公終端環(huán)境，包括主流Windows操作系統(tǒng)、VDI環(huán)境。部署終端3000點，實現(xiàn)文件全息建檔，通過情報、沙箱聯(lián)動等檢測手段，全面覆蓋已知、未知威脅。詳細部署架構(gòu)如圖3所示。

（二）實踐效果驗證

系統(tǒng)部署后，7日內(nèi)共計檢測發(fā)現(xiàn)并建立白文件檔案452130條，建立準白文件檔案162850個，黑文件發(fā)現(xiàn)1230條，灰文件發(fā)現(xiàn)663個，威脅文件線索發(fā)現(xiàn)12135條，有效攔截率達99%。詳細威脅分類見表1。

針對惡意文件線索的分析過程中發(fā)現(xiàn)，發(fā)現(xiàn)365臺終端上存在未及時清理的惡意程序；在對文件的具體特征分析過程中發(fā)現(xiàn)內(nèi)網(wǎng)存在蠕蟲、后門軟件病毒等惡意代碼。通過內(nèi)存攻擊行為檢測，發(fā)現(xiàn)在該企業(yè)內(nèi)部存在大量具有高危行為的程序，協(xié)助該企業(yè)用戶對高危行為的軟件進行了摸底排查及應急處置。

五、總結(jié)與展望

為強化落實《關(guān)鍵信息基礎設施安全保護要求》，有效防護終端安全，做好關(guān)鍵信息基礎設施安全的最后一道屏障，有針對性地提升關(guān)鍵信息基礎設施安全防護、監(jiān)測預警和主動防御能力，基于多重檢測的終端安全防護技術(shù)，結(jié)合AI驅(qū)動安全理念，將人工智能算法用于預測、鑒定、組織惡意程序，結(jié)合行為分析自動化檢測組織異常行為，緩解零日攻擊造成的破壞，有效提升我國關(guān)鍵信息基礎設施終端安全防護水平。研究基于內(nèi)存安全檢測技術(shù)、未知威脅檢測技術(shù)、關(guān)聯(lián)分析技術(shù)、威脅情報聯(lián)動分析等關(guān)鍵技術(shù)，捕獲發(fā)生在終端內(nèi)存、內(nèi)核、文件、進程等不同層面中的異常行為，加強云端分析能力、聯(lián)動分析能力，及時發(fā)現(xiàn)和攔截未知威脅，是關(guān)鍵信息基礎設施運營單位未來網(wǎng)絡安全建設的重點方向。