面向攻擊溯源的威脅情報(bào)共享利用研究

楊澤明 李 強(qiáng) 劉俊榮 劉寶旭

(中國(guó)科學(xué)院信息工程研究所 北京 100093)

?

面向攻擊溯源的威脅情報(bào)共享利用研究

楊澤明 李 強(qiáng) 劉俊榮 劉寶旭

(中國(guó)科學(xué)院信息工程研究所 北京 100093)

(yangzeming@iie.ac.cn)

網(wǎng)絡(luò)空間安全形勢(shì)日益復(fù)雜，攻擊溯源成為安全防護(hù)體系面臨的重要技術(shù)挑戰(zhàn)，威脅情報(bào)的出現(xiàn)為攻擊溯源提供了多來源數(shù)據(jù)支撐，從而使得大范圍的攻擊溯源成為可能.為實(shí)現(xiàn)有效的攻擊溯源，基于結(jié)構(gòu)化威脅信息表達(dá)方法，提出了一種精簡(jiǎn)模式的威脅情報(bào)共享利用框架，包含威脅情報(bào)表示、交換和利用3個(gè)方面，以實(shí)現(xiàn)對(duì)攻擊行為的追蹤溯源.以有關(guān)C2信息為例描述了威脅情報(bào)的共享利用表達(dá)方式，對(duì)該共享利用框架進(jìn)行了驗(yàn)證，表明相關(guān)結(jié)果具有實(shí)用性，可以為攻擊溯源工作提供新的技術(shù)手段.另外，還基于對(duì)威脅情報(bào)的理解，提出了共享利用機(jī)制建設(shè)的若干思考.

攻擊溯源；威脅情報(bào)；結(jié)構(gòu)化威脅信息表達(dá)；惡意代碼；網(wǎng)絡(luò)空間安全

為了從根源上阻斷網(wǎng)絡(luò)攻擊，并從法律上懲治實(shí)施攻擊行為的黑客，往往需要追查攻擊的源頭，比如是攻擊的IP地址、實(shí)施攻擊的黑客及其組織等.現(xiàn)有安全防護(hù)系統(tǒng)大都側(cè)重于對(duì)網(wǎng)絡(luò)攻擊的發(fā)現(xiàn)與阻斷，均難以提供對(duì)攻擊源頭的溯源能力.如果無法確定攻擊源的位置，也就難以從根本上防止入侵者的再次攻擊，也無法將造成嚴(yán)重破壞的黑客繩之以法，更無法對(duì)網(wǎng)絡(luò)破壞分子形成威懾力.

當(dāng)前，網(wǎng)絡(luò)空間安全形勢(shì)日益復(fù)雜，入侵者的攻擊手段不斷提升，其躲避追蹤溯源的手段也日益先進(jìn)，如匿名網(wǎng)絡(luò)、網(wǎng)絡(luò)跳板、僵尸網(wǎng)絡(luò)、暗網(wǎng)、網(wǎng)絡(luò)隱蔽信道等方法在網(wǎng)絡(luò)攻擊事件中大量使用，這些都給網(wǎng)絡(luò)攻擊行為的追蹤溯源工作帶來嚴(yán)峻的技術(shù)挑戰(zhàn).傳統(tǒng)的攻擊溯源方法往往只是借助單個(gè)組織的技術(shù)力量，只能獲得局部的攻擊相關(guān)信息，無法構(gòu)建完整的攻擊鏈條，往往達(dá)不到實(shí)用化效果.在攻擊溯源實(shí)際工作中，一旦攻擊鏈條中斷，往往導(dǎo)致無功而返，從而使得前期大量溯源工作變得毫無價(jià)值.

最近在網(wǎng)絡(luò)安全領(lǐng)域興起并日漸火熱的威脅情報(bào)TI(threat intelligence)為攻擊溯源注入了新的活力.威脅情報(bào)的共享利用將是實(shí)現(xiàn)攻擊溯源的重要技術(shù)手段.一方面外部的威脅情報(bào)能為攻擊溯源提供重要的多來源數(shù)據(jù)支撐；另一方面，一個(gè)組織的攻擊溯源結(jié)果還能以威脅情報(bào)的方式共享給其他機(jī)構(gòu)使用，從而為攻擊的檢測(cè)防護(hù)、聯(lián)動(dòng)處置等工作提供精準(zhǔn)的決策支持信息.

將網(wǎng)絡(luò)安全威脅情報(bào)用于攻擊溯源和網(wǎng)絡(luò)安全態(tài)勢(shì)感知等深度復(fù)雜且具有挑戰(zhàn)性的工作，正逐漸成為業(yè)界的共識(shí).

1 國(guó)內(nèi)外相關(guān)研究現(xiàn)狀

1.1 攻擊溯源的相關(guān)研究

國(guó)內(nèi)外關(guān)于攻擊溯源方面的研究可以追溯到2000年以前，早期的攻擊溯源研究主要聚焦于IP地址追蹤，包括基于主機(jī)的IP溯源和基于網(wǎng)絡(luò)的攻擊溯源.基于主機(jī)的IP溯源研究主要集中在主機(jī)來源認(rèn)證方面，通過增加適當(dāng)?shù)膩碓凑J(rèn)證機(jī)制彌補(bǔ)TCPIP協(xié)議的不足.CIS (caller identification system)[1]通過強(qiáng)制的來源認(rèn)證來達(dá)到追蹤的目的，相當(dāng)于給沒有源IP認(rèn)證的IP協(xié)議增加了強(qiáng)制的認(rèn)證和保存登錄信息的功能，但它要求每個(gè)機(jī)器上都要裝一套相應(yīng)的軟件.基于網(wǎng)絡(luò)的攻擊溯源研究主要起源于對(duì)抗DoS攻擊的需要，如基于概率的數(shù)據(jù)包標(biāo)記方法[2]可以在無需ISP幫助的情況下追蹤入侵者的來源.DECIDOUS項(xiàng)目[3]提出了一套安全管理框架，可用于識(shí)別網(wǎng)絡(luò)入侵的真實(shí)來源，它主要是基于分布式來源認(rèn)證的思想.高級(jí)標(biāo)記和認(rèn)證標(biāo)記方案[4]可用于追蹤偽造IP數(shù)據(jù)包的真實(shí)來源.其他的攻擊溯源方法還包括基于哈希的攻擊溯源方法[5]、IP隧道方法[6]、基于代數(shù)的攻擊溯源方法[7]、流水印方法[8]、匿名通信追蹤方法[9]等.

以上研究大多僅針對(duì)攻擊溯源中某項(xiàng)對(duì)抗性技術(shù)(如跳板、匿名網(wǎng)絡(luò)等)，成果雖然具有一定的溯源效果，但其采用的技術(shù)往往方法過于單一、依賴條件過多，從而導(dǎo)致攻擊溯源的實(shí)際效果并不理想.

1.2 威脅情報(bào)的相關(guān)研究

網(wǎng)絡(luò)威脅情報(bào)是近年來眾多國(guó)際網(wǎng)絡(luò)安全機(jī)構(gòu)為共同應(yīng)對(duì)APT攻擊而逐漸興起的一項(xiàng)熱門技術(shù).美國(guó)早在2009年就在《網(wǎng)絡(luò)空間政策評(píng)估報(bào)告——確保信息通信基礎(chǔ)設(shè)施的安全性和恢復(fù)力》中提出了建立網(wǎng)絡(luò)威脅情報(bào)共享機(jī)制的建議.2013年2月，奧巴馬發(fā)布第13636號(hào)行政命令《增強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》，明確指出政府和企業(yè)之間必須實(shí)現(xiàn)網(wǎng)絡(luò)威脅情報(bào)共享.

全球有關(guān)網(wǎng)絡(luò)威脅情報(bào)技術(shù)研究最知名機(jī)構(gòu)MITRE公司[10]是一個(gè)向美國(guó)政府提供系統(tǒng)工程、研究開發(fā)和信息技術(shù)支持的非營(yíng)利性組織，網(wǎng)絡(luò)安全領(lǐng)域著名的CVECWEOVAL均為MITRE公司的注冊(cè)商標(biāo).MITRE公司于2012年提出了STIX[11](structured threat information expression)V1.0框架作為網(wǎng)絡(luò)威脅情報(bào)的表達(dá)格式，并于2013年提出TAXII[12](trusted automated exchange of indicator information)作為網(wǎng)絡(luò)威脅情報(bào)的交換機(jī)制，STIXTAXII威脅情報(bào)共享機(jī)制問世后即迅速得到美國(guó)政府和企業(yè)界眾多單位的普遍應(yīng)用，目前已成為全球威脅情報(bào)領(lǐng)域共同遵循的事實(shí)標(biāo)準(zhǔn)之一.

2 面向攻擊溯源的威脅情報(bào)共享技術(shù)

2) 威脅情報(bào)表達(dá)格式和交換機(jī)制過于復(fù)雜，不利于快速普及應(yīng)用，同時(shí)也會(huì)增加威脅情報(bào)的分析處理負(fù)載，面對(duì)海量威脅情報(bào)，更會(huì)顯著增加處理成本.

2.1 技術(shù)框架

面向攻擊溯源的威脅情報(bào)共享利用框架如圖1所示，其中包含對(duì)內(nèi)部威脅情報(bào)和外部威脅情報(bào)2個(gè)方面的共享和利用.

內(nèi)部威脅情報(bào)源主要是指機(jī)構(gòu)自身的安全檢測(cè)防護(hù)分析系統(tǒng)所形成的威脅數(shù)據(jù)，包括來自基礎(chǔ)安全檢測(cè)系統(tǒng)和綜合安全分析系統(tǒng)方面的數(shù)據(jù).其中基礎(chǔ)安全檢測(cè)系統(tǒng)包括防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、終端安全管理系統(tǒng)等基礎(chǔ)安全檢測(cè)單元；綜合安全分析系統(tǒng)包括安全管理平臺(tái)、安全運(yùn)營(yíng)中心(SOC)、安全信息與事件管理(SIEM)等綜合安全檢測(cè)分析單元.

圖1 總體技術(shù)框架

外部威脅情報(bào)源主要指來自外部機(jī)構(gòu)的威脅情報(bào)源，主要包括互聯(lián)網(wǎng)公開情報(bào)源、合作交換情報(bào)源和商業(yè)購(gòu)買情報(bào)源3個(gè)方面.其中互聯(lián)網(wǎng)公開情報(bào)源主要包括來自互聯(lián)網(wǎng)的安全分析報(bào)告、安全事件情報(bào)、安全態(tài)勢(shì)預(yù)警等數(shù)據(jù)，通過網(wǎng)絡(luò)爬蟲進(jìn)行采集；合作交換情報(bào)源來自建立合作關(guān)系的機(jī)構(gòu)，這往往通過在互利互惠基礎(chǔ)上實(shí)現(xiàn)的共享合作機(jī)制進(jìn)行保障；商業(yè)購(gòu)買情報(bào)源指完全通過商業(yè)付費(fèi)行為得到的情報(bào)源，這往往來自專門的威脅情報(bào)供應(yīng)商，如FireEye，Verisign等企業(yè).

2.2 威脅情報(bào)表示

輕量型威脅情報(bào)共享利用框架將威脅情報(bào)信息統(tǒng)一采用XML格式進(jìn)行描述，既方便機(jī)器處理、又方便人工閱讀分析.輕量型威脅情報(bào)共享利用框架將威脅情報(bào)分為6個(gè)方面，包括黑白名單數(shù)據(jù)類(包括IP類、DNS類、URL類)，安全攻擊事件信息類(包括攻擊時(shí)間、發(fā)起IP地址、目標(biāo)IP地址、攻擊類型、關(guān)鍵特征等)，惡意代碼活動(dòng)及其特征信息類(包括惡意代碼MD5值、類型、活動(dòng)時(shí)間、回連地址、技術(shù)特征等)，僵尸網(wǎng)絡(luò)活動(dòng)信息類(包括僵尸網(wǎng)絡(luò)名稱、類型、控制節(jié)點(diǎn)、技術(shù)特點(diǎn)等)，漏洞信息類(包括漏洞名稱、漏洞類別、利用特點(diǎn)等)，黑客及其組信息類(包括黑客組織、成員、聯(lián)系方式、個(gè)人特點(diǎn)等).

以C2命令和控制主機(jī)為例，按照LWTISUF框架的表達(dá)方法，C2主機(jī)威脅指標(biāo)表達(dá)的數(shù)據(jù)模型分為2個(gè)主要部分：C2主機(jī)觀察到的惡意行為和對(duì)應(yīng)惡意行為的解釋.數(shù)據(jù)模型如圖2所示：

圖2 C2主機(jī)數(shù)據(jù)模型

根據(jù)C2主機(jī)的數(shù)據(jù)模型，按照LWTISUF框架以XML的形式對(duì)該威脅指標(biāo)進(jìn)行表達(dá)的格式如下所示：

〈lwtisuf:Indicators〉

〈lwtisuf:Indicator xsi:type=

"indicator:IndicatorType" id="example:Indicator-

33fe3b22-0201-47cf-85d0-97c02164528d"

timestamp="2014-05-08T09:00:00.000000Z"〉

〈indicator:Title〉IP Address for known C2 channel

〈indicator:Type xsi:type=

"stixVocabs:IndicatorTypeVocab-1.1"〉

〈indicator:Observable id=

"example:Observable-1c798262-a4cd-434d-a958-884d6980c459"〉

〈indicator:Indicated_TTP〉

〈Common:TTP idref="example:TTP-

bc66360d-a7d1-4d8c-ad1a-ea3a13d62da9"〉

〈lwtisuf:TTPs〉〈lwtisuf:TTP xsi:type="ttp:TTPType" id="example:TTP-bc66360d-a7d1-4d8c-ad1a-ea3a13d62da9"

timestamp="2014-05-08T09:00:00.000000Z"〉

C2主機(jī)威脅指標(biāo)通過輕量型威脅情報(bào)共享利用框架來表達(dá)，不僅可以保證良好的人、機(jī)可讀性，更能夠充分滿足數(shù)據(jù)交換和共享的需求，還能夠直觀地查看到各個(gè)威脅屬性之間的關(guān)聯(lián)情況.圖3所示的是一種可視化表示的C2主機(jī)威脅屬性關(guān)聯(lián)圖.

圖3 C2主機(jī)威脅屬性關(guān)聯(lián)圖

2.3 威脅情報(bào)交換

系統(tǒng)收到威脅情報(bào)數(shù)據(jù)后，將XML文檔消息轉(zhuǎn)換為系統(tǒng)可識(shí)別的對(duì)象，然后存于數(shù)據(jù)庫中，供其分析和使用，并在此基礎(chǔ)上協(xié)調(diào)各個(gè)組件之間的運(yùn)作，威脅情報(bào)交換過程中的轉(zhuǎn)換處理工作流程如下：

1) 將XML格式的威脅情報(bào)數(shù)據(jù)發(fā)送給轉(zhuǎn)換模塊；

2) 轉(zhuǎn)換模塊解析XML文檔，根據(jù)威脅情報(bào)的數(shù)據(jù)模型生成相應(yīng)的對(duì)象；

3) 根據(jù)威脅情報(bào)數(shù)據(jù)庫格式的定義，轉(zhuǎn)換模塊從數(shù)據(jù)對(duì)象中提取特定屬性，組織成各個(gè)威脅情報(bào)數(shù)據(jù)域.

2.4 威脅情報(bào)利用

利用威脅情報(bào)實(shí)現(xiàn)的攻擊溯源主要包括控制主機(jī)溯源和攻擊者溯源2個(gè)方面，所形成的攻擊溯源信息可以作為新產(chǎn)生的威脅情報(bào)為內(nèi)部安全防護(hù)體系提供支撐，也可以用于跟外部機(jī)構(gòu)之間的威脅情報(bào)交換.

控制主機(jī)溯源分析主要是尋找和定位發(fā)起攻擊事件的主控機(jī)器，主要是利用威脅情報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，以實(shí)現(xiàn)對(duì)采用隱匿技術(shù)機(jī)制的攻擊行為進(jìn)行溯源分析，如僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)跳板、匿名網(wǎng)絡(luò)、網(wǎng)絡(luò)隱蔽信道等.

攻擊者溯源旨在尋找實(shí)施攻擊的幕后黑客及其組織，主要通過結(jié)合威脅情報(bào)和攻擊事件信息進(jìn)行基于大數(shù)據(jù)的挖掘分析，包括攻擊代碼分析、攻擊模式分析、社會(huì)網(wǎng)絡(luò)分析、代碼模式分析、鍵盤模式分析、工作習(xí)慣分析等方面.通過基于大數(shù)據(jù)的共享利用分析，可以實(shí)現(xiàn)對(duì)攻擊者的刻畫、對(duì)攻擊行為的關(guān)聯(lián)分析，從而為揭示攻擊過程提供有效值的信息.

3 關(guān)于威脅情報(bào)共享機(jī)制建設(shè)的思考

面向攻擊溯源的威脅情報(bào)共享利用技術(shù)可為攻擊溯源提供一定的技術(shù)基礎(chǔ)，但其在實(shí)際應(yīng)用中的效果嚴(yán)重依賴于所獲得威脅情報(bào)的數(shù)量和質(zhì)量.只有配套建立面向攻擊溯源的威脅情報(bào)共享機(jī)制才能確保獲得用于攻擊溯源的威脅情報(bào)信息，否則威脅情報(bào)共享技術(shù)也將成為空中樓閣.

面向攻擊溯源的威脅情報(bào)共享機(jī)制涉及我國(guó)各單位的共同利益，在此呼吁各相關(guān)組織和個(gè)人依據(jù)以下3個(gè)原則建立專門的面向攻擊溯源的威脅情報(bào)共享機(jī)制.

1) 國(guó)家權(quán)威機(jī)構(gòu)牽頭：攻擊溯源工作需要全方位綜合的威脅情報(bào)支撐，需要跨部門的溝通和協(xié)調(diào)機(jī)制.當(dāng)前我國(guó)在威脅情報(bào)機(jī)制方面尚缺乏頂層戰(zhàn)略設(shè)計(jì)和統(tǒng)一指揮機(jī)制，部門之間又缺乏有效的溝通協(xié)作，造成攻擊溯源威脅情報(bào)信息缺失、斷層，無法進(jìn)行完整溯源.為此，建議由國(guó)家權(quán)威機(jī)構(gòu)牽頭，以面向攻擊溯源的威脅情報(bào)共享利用建設(shè)為開端，逐步推動(dòng)、完善國(guó)家網(wǎng)絡(luò)安全威脅情報(bào)體制機(jī)制建設(shè)，形成國(guó)家級(jí)網(wǎng)絡(luò)威脅情報(bào)資源庫.

2) 政產(chǎn)學(xué)研用廣泛參與：威脅情報(bào)具有聚集效應(yīng)，參與的機(jī)構(gòu)越多、威脅情報(bào)的范圍越廣，在攻擊溯源中形成的利用價(jià)值就越大.為此，需要推動(dòng)政產(chǎn)學(xué)研用協(xié)同機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)安全領(lǐng)域各機(jī)構(gòu)的優(yōu)勢(shì)互補(bǔ)、資源共享，合作共贏、抱團(tuán)發(fā)展，共同應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)安全威脅，實(shí)現(xiàn)基于威脅情報(bào)的 “一點(diǎn)發(fā)現(xiàn)、全網(wǎng)免疫”的網(wǎng)絡(luò)安全主動(dòng)防御效能，為贏得安全防護(hù)主動(dòng)權(quán)提供威脅情報(bào)共享和攻擊溯源信息支撐.

3) 績(jī)效評(píng)價(jià)和激勵(lì)：為了激勵(lì)各參與機(jī)構(gòu)貢獻(xiàn)威脅情報(bào)資源的積極性，可以參考電商行業(yè)的信譽(yù)機(jī)制，對(duì)各機(jī)構(gòu)的威脅情報(bào)共享和利用數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和合理的績(jī)效評(píng)價(jià)，確保貢獻(xiàn)越多、受益越多，甚至可以考慮將該信譽(yù)作為評(píng)價(jià)網(wǎng)絡(luò)安全機(jī)構(gòu)信譽(yù)度的一個(gè)重要參考.

[1]Jung H T, Kim H L, Seo Y M, et al. Caller identification system in the Internet environment[C]Proc of the 4th USENIX Security Symp. Berkeley: USENIX Association, 1993: 69-78

[2]Savage S, Wetherall D, Karlin A, et al. Practical network support for IP traceback[C]Proc of ACM SIGCOMM. New York:ACM, 2000: 295-306

[3]Chang H Y, Narayan R, Wu S F, et al. Deciduous: Decentralized source identification for network-based intrusions[C]Proc of the 6th IFIPIEEE Int Symp on Integrated Network Management. New York: IEEE Communications Society, 1999: 701-714

[4]Song D, Perrig A. Advanced and authenticated marking schemes for IP traceback[C]Proc of the 20th Annual Joint Conf on IEEE Computer and Communications Societies. Piscataway, NJ: IEEE, 2001: 878-886

[5]Snoeren A C, Partridge C, Sanchez L A, et al. Hash-based IP traceback[C]Proc of ACM SIGCOMM 2001. New York: ACM, 2001: 3-14

[6]Stone R. Centertrack: An IP overlay network for tracking DoS floods[C]Proc of the 9th USENIX Security Symp. Berkeley: USENIX Association, 2000: 199-212

[7]Dean D, Franklin M, Stubblefield A. An algebraic approach to IP traceback[J]. ACM Trans on Information and System Security (TISSEC), 2002, 5(2): 119-137

[8]Wang X Y, Reeves D S. Robust correlation of encrypted attack traffic through stepping stones by flow watermarking

[J]. IEEE Trans on Dependable and Secure Computing, 2011, 8(3): 434-449

[9]張璐, 羅軍舟, 楊明, 等. 基于時(shí)隙質(zhì)心流水印的匿名通信追蹤技術(shù)[J]. 軟件學(xué)報(bào), 2011, 22(10): 2358-2371

[10]MITRE公司官方網(wǎng)站[OL].[2015-08-01]. http:www.mitre.org

[11]STIX官方網(wǎng)站[OL].[2015-08-01]. http:stix.mitre.org

[12]TAXII官方網(wǎng)站[OL].[2015-08-01]. http:taxii.mitre.org

楊澤明

博士，副研究員，主要研究方向?yàn)楦呒?jí)威脅檢測(cè)、攻擊溯源取證等.

yangzeming@iie.ac.cn

李 強(qiáng)

博士研究生，主要研究方向?yàn)楦呒?jí)威脅檢測(cè)、攻擊溯源取證.

liqiang7@iie.ac.cn

劉俊榮

碩士，助理研究員，主要研究方向?yàn)閼B(tài)勢(shì)感知、攻擊溯源取證等.

liujunrong@iie.ac.cn

劉寶旭

博士，研究員，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全、攻防對(duì)抗、網(wǎng)絡(luò)安全評(píng)測(cè)技術(shù)等.

liubaoxu@iie.ac.cn

Research of Threat Intelligence Sharing and Using for Cyber Attack Attribution

Yang Zeming, Li Qiang, Liu Junrong, and Liu Baoxu

(InstituteofInformationEngineering,ChineseAcademyofSciences,Beijing100093)

With the increasingly complexity of cyberspace security, the attack attribution has become an important challenge for the security protection system. The emergence of threat intelligence provided plentiful data source support for the attack attribution, which makes large-scale attack attribution became possible. To realize effective attack attribution, based on the structure expression of the threat information, a light weight framework of threat intelligence sharing and utilization was proposed. It included threat intelligence expression, exchange and utilization, which can achieve the attack attribution result. Take the case of C2 relevant information, we described the expression of threat intelligence sharing and utilization, and verified the framework. Results show that the framework is practical, and can provide new technical means for attack attribution. In addition, based on the understanding of threat intelligence, several thinking about the construction of sharing and utilization mechanisms were promoted in the end.

attack attribution; threat intelligence; STIX; malicious code; cyber security

2015-08-24

TP309