基于APT攻擊鏈的網絡安全態勢感知

吳鵬，皇甫濤

（中國移動通信集團重慶有限公司，重慶 401420）

1 網絡安全態勢感知定義及處理流程

網絡安全態勢感知定義：基于網絡安全態勢及安全日志記錄的檢測和分析，對未來某段時間內的網絡安全狀態進行預測、預警及展示的安全技術。網絡態勢感知概念于1999年被TimBass等人首次提出，從建立網絡空間態勢感知框架，利用入侵檢測分布式傳感器實施數據融合，對網絡安全態勢實施評估，再不斷衍生出其它模型，網絡安全態勢感知系統關鍵技術、框架模型被不斷地改進、細化和完善。

網絡安全態勢感知處理流程如圖1所示。

2 網絡安全態勢感知現狀

圖1 網絡安全態勢感知處理流程

網絡安全態勢感知作為安全研究領域新熱點之一，對網絡環境內安全要素進行采集、分析，并預測未來發展趨勢。網絡安全態勢感知已在數據融合、評估方法、體系結構等領域取得相應研究成果，但基本屬于理論學術層面偏多，實際應用案例偏少。

隨著APT攻擊越發多樣化和復雜化，新常態下的安全威脅可利用的攻擊面越來越寬，可覆蓋網絡、操作系統、數據庫、Web、APP等各種層面和應用，依靠傳統入侵檢測提供的安全檢測信息難以滿足現階段需要，伴隨互聯網業務的多樣化、個性化發展，尤其是對于互聯網上新業務新技術的不斷應用，更需要通過大數據分析方式來采集、分析并判斷或預測網絡威脅行為，更為直觀地給展現出APT攻擊的整個動態過程。

3 網絡安全態勢感知的關鍵技術研究

按照網絡安全態勢感知的實現步驟，分析每個流程，闡述當前安全態勢感知的研究方法及關鍵技術。

3.1 網絡安全態勢的常用體系結構

網絡安全態勢體系結構主要有B-S、C-S、基于Agent的模型、基于云計算的感知模式等。

目前應用較廣泛的是基于Agent的模型，具有異步計算、并行求解、動態執行、智能化路由等優點，可極大提高態勢感知的速度和效率。

基于云計算的網絡安全態勢感知模型，可有效解決網絡態勢信息生成準確性低和節點處理能力不足的問題。云計算的并行計算方法和分布式文件存儲方法能很好解決大規模數據的高效處理及存儲問題。基于云計算的網絡安全態勢感知模型研究屬于本領域的新方向之一，從技術層面來講還處于研究階段。

3.2 基于APT攻擊鏈的網絡安全態勢體系結構

從具體的內容角度上講，我們將基于APT攻擊鏈的網絡安全態勢體系結構的內容分為3個方面。

（1）全新調整傳統漏洞、安全威脅的規則劃分維度，解決單一告警、單一事件無狀態統計的局面，起到重新按照事件劃分攻擊鏈的作用。

（2）采用數據處理中心或專業云對規則新分類告警進行日志分析，從大數據分析角度實現智能化處理。

（3）APT攻擊整個過程可分階段、動態化、直觀地予以展現。

3.3 基于APT攻擊鏈的數據采集技術

數據采集技術主要分為單一要素和多源數據，基于APT攻擊鏈的網絡安全態勢感知模型也屬于多源異質融合的類型，通過部署IDS（入侵檢測系統）、防火墻、流量監控、漏洞掃描器等網絡安全設備，融合多個類型的傳感器數據，采用被動收集網絡安全日志和主動獲取網絡配置信息相結合的方式，結合數據處理中心或專業云端對各類數據進行一系列融合處理，以實現大數據關聯分析。建立了具有攻擊行為、網絡安全服務和安全態勢3個層次的網絡安全態勢感知模型。

對于態勢感知而言，多數據源信息采集方式的感知誤差率小于單源采集方式，但其信息融合技術、數據處理的難度卻更大。當前網絡安全態勢感知的數據采集來源主要有設備配置信息、設備運行日志信息、安全工具警報信息及日志信息等。以上信息基本涵蓋全部所需的安全信息。有效要素選取和信息提取方式，對態勢感知研究將起到決定性作用。

為構建新常態下的威脅感知態勢，結合海量數據的分析，形成以新規則為主導，以新分類為依據，以攻擊鏈為引領的新型網絡安全態勢感知分析模型；隨著網絡攻擊行為的變化、升級形成顛覆式的有狀態的攻擊行為檢測預警方案；以客觀的多元化的攻擊形態為基礎，徹底改變固有思維模式中的“一攻一報”的單點威脅告警模式，從大數據挖掘的角度出發，通過智能化的數據分析，真正超越傳統IDS檢測告警的形態，形成新常態下安全威脅感知態勢的解決思路。

3.4 基于APT攻擊鏈的數據預處理技術

數據預處理工作主要分為以下兩個方面。

（1）數據格式統一，將采集的所有不同類型的文件轉換為統一格式的文件或數據結構。

（2）對轉換格式的數據進行分析，在海量數據中排除與安全態勢感知無關的噪聲數據，將重復的屬性數據進行合并，實現數據的合并和約減。針對APT攻擊鏈所引發出的海量攻擊信息，為達到及時、全面、高效的數據預處理，應部署數據處理中心或專業云端，并通過配置數據預處理策略來實施操作。

3.5 基于APT攻擊鏈的態勢評估

網絡安全態勢評估有兩層含義。

（1）對采集信息實施實時地數據融合和關聯分析，及時有效展現網絡的實際運行狀況。

（2）采取合理的技術及方式對歷史數據進行分析，以預測潛在的網絡攻擊，即態勢預測。

針對APT攻擊鏈的構建和威脅感知的效果，應從不同層次、不同角度建立層次性指標體系，細化各類指標信息，層次化評估網絡安全態勢。為適應新攻擊行為和攻擊手法將規則分為5個攻擊階段：探測掃描階段、滲透攻擊階段、攻陷入侵階段、安裝工具階段和惡意行為階段。

（1）探測掃描階段：包括了攻擊者在攻擊前對目標的掃描，包括網絡掃描、系統掃描、端口、漏洞掃描等，掃描行為是攻擊入侵的前期準備階段，通過信息收集，掌握目標機器的系統，漏洞信息，對進一步進行入侵攻擊有事半功倍的效果。

（2）滲透攻擊階段：該階段是已經對目標機器做了掃描，或是直接對目標機器進行攻擊，包括利用棧、堆方面的漏洞，利用Web系統平臺方面的漏洞，邏輯配置錯誤方面的漏洞，內存破壞方面的漏洞等，對目標主機發起攻擊。

（3）攻陷入侵階段：該階段表示了目標主機已經不被黑客成功攻陷，接下來攻擊者可以做他想做的事情，攻陷階段的表現形式如FTP登錄成功、Telnet猜測成功等。

（4）安裝工具階段：指在攻擊者成功進入目標主機后在目標主機中安裝惡意軟件，木馬程序或是直接掛馬等，通過這些惡意的工具實現與黑客的控制鏈接，下載其它惡意軟件等。

（5）惡意行為階段：即攻擊者在目標主機安裝完惡意軟件后，惡意軟件在目標主機產生的惡意行為包括控制鏈接，對主機進行惡意操作等。

新型規則攻擊分類如圖2所示。

圖2 新型規則攻擊分類

對應以上各個階段建立的候選指標，按層次、信息來源、需求提煉出宏觀性質的二級綜合性指標，有機組織原先設定的候選指標并進一步抽象，建立態勢感知的指標體系。從攻擊目的、攻擊手段、漏洞信息等角度分別來進一步指標體系。

針對所建立的指標體系，采用縱向數據融合和橫向信息關聯的方式，運用一定的數學模型和先驗知識進行關聯分析和理解，給出一個可信的態勢值。可以采用的工具包括貝葉斯網絡理論、隱馬爾可夫模型、D-S證據理論、模糊邏輯等，采用多種評估相結合的方法，如利用模糊識別和D-S證據理論，較好地解決多樣本識別的不一致問題，有效地對識別結果進行融合。

3.6 基于APT攻擊鏈的態勢預測

態勢預測是態勢評估的最后步驟，目前預測方法較多，如灰色理論、時間序列分析、神經網絡和支持向量機等，很多技術和方法都是相輔相成的。

綜合APT攻擊鏈多樣性特點，以及網絡安全態勢預測算法的優缺點，采用多種預測方式相結合的方式對態勢進行預測。對此提出一種支持向量機和神經算法相結合的網絡安全態勢預測模型。

利用支持向量機作為融合技術，能對基于APT安全感知模型的多源、多屬性信息進行融合，從而產生對態勢的感知，結合神經網絡方法，能進一步完善對網絡安全態勢預測的精準度。

3.7 基于APT攻擊鏈的態勢可視化

網絡安全態勢可視化，即利用可視化方式展現網絡當前狀態和未來趨勢的一種技術，可更直觀地展示相關信息。可視化技術的3個重要要素是數據、設計和溝通。可視化技術目前發展迅速，已實現動態視圖實時顯示、多視圖切換等，用戶對可視化技術的需求和依賴程度也越來越高。

基于APT攻擊鏈的威脅感知效果。

3.7.1 按APT攻擊分階段性的展示方式

為了更好、更直觀的展現APT攻擊的各個階段和各事件的持續時間、時序，可采用如圖3所示的形式進行展示。

3.7.2 大數據分析下的威脅感知效果

為讓用戶更加直觀感知攻擊態勢，大數據處理中心或專業云端形成了多種呈現方式的效果圖，從時間和攻擊數量上動態感知網絡攻擊的行為，如圖4所示。

為了給用戶呈現更多的攻擊信息，將攻擊的告警信息分類成了不同的事件，也包括了一對一攻擊、一對多攻擊、多對一攻擊等形式，同時展示單位時間內的攻擊次數，攻擊事件等信息。為用戶及時了解、掌握攻擊的整體態勢提供可視化的顯示模式。如圖5所示。

不同的攻擊行為在不同時間段的攻擊特征形成的攻擊曲線如圖6所示。

針對目標主機進行的一系列攻擊行為，通過對告警日志的分析，將攻擊行為在不同時間5個不同階段做了可視化分析展示，直觀感受受影響系統的被攻擊的各種行為。圖6中不同顏色代表了不同的攻擊階段，通過圖形化的表示模式能清楚的了解目標主機受攻擊的狀態。

圖3 APT攻擊階段性展示形式

動態感知著眼于全球范圍的攻擊行為，通過專業化、智能化的大數據挖掘，分析、發現、溯源、還原整個攻擊過程，找到安全薄弱點，最終能夠部署對抗措施，提升覆蓋已知威脅和未知威脅的主動防御能力，將安全隱患消滅于萌芽狀態。

數據處理中心或專業云端以全球多點支撐，分類告警日志為核心，側重數據可視化、支持網絡架構多級數據提取，從攻擊源、攻擊類型、攻擊目標等多角度展示網絡風險態勢，提供全面縱深的威脅態勢感知預警，也為用戶及時做出應對策略提供幫助。

4 總結

圖4 大數據分析下的威脅感知效果1

圖5 大數據分析下的威脅感知效果2

圖6 大數據分析下的威脅感知效果3

本文介紹了基于APT攻擊鏈網絡安全態勢感知研究框架，從數據采集、預處理、態勢評估、態勢預測以及態勢可視化方面，闡述針對APT攻擊鏈的網絡安全態勢感知的體系結構、主要研究思路和關鍵技術方法。此類網絡安全態勢感知的研究對于做好APT攻擊監測和防護具有重大意義。

伴隨著互聯網應用愈發廣泛和深入，新業務新技術層出不窮，尤其是社會對大數據、云計算和移動互聯網的深度依賴，網絡安全風險空前加大，特別是APT攻擊鏈越來越復雜化、多樣化。傳統IDS檢測方式已不再適用萬物互聯狀態和大數據驅動形式下的網絡威脅變化。

針對APT攻擊鏈，依托全新模式規則分類模型、海量數據采集、專業智能的大數據挖掘和分析模塊相互融合的方式，充分利用數據驅動安全，以全量覆蓋，多點上報，多級互聯的形式，及時呈現可視化檢測預警信息，實現“人-機-地-云”的全方位、全天候、多維度、立體式的網絡安全威脅感知解決思路。

[1]郭方方, 唐勻龍, 修龍亭, 等.基于云計算的網絡安全態勢感知模型研究[DB/OL].http://www.paper.edu.cn/html/releasepaper/2014/01/1081/，2014-01-23.

[2]劉效武, 王慧強, 賴積保, 等.基于多 源異質融合的網絡安全態勢生成與評 價[J].系統仿真學報, 2010,22（6):1411－1415.

[3]賈焰, 王曉偉, 韓偉紅, 等.YHSSAS：面向大規模網絡的安全態勢感知系統[J].計算機科學, 2011,38（2):4－8,37.

[4]梁穎, 王慧強, 賴積保.一種基于粗糙集理論的網絡安全態勢感知方法[J].計算機科學, 2007,34（8):95－97,145.

[5]陳秀真, 鄭慶華, 管曉宏, 等.層次化網絡安全威脅態勢量化評估方法[J].軟件學報, 2006,17（4):885－897.

[6]王娟, 張鳳荔, 傅翀, 等.網絡態勢感知中的指標體系研究[J].計算機應用, 2007,27（8):1907－1909,1912.