內(nèi)外雙修實(shí)現(xiàn)對(duì)未知威脅監(jiān)測(cè)

張 輝,劉 昀,任建偉,蘇 丹,閆 磊,崔領(lǐng)先,楊大路,印 權(quán)

（1.國(guó)網(wǎng)冀北信通公司，北京,100055；2.北京國(guó)電通網(wǎng)絡(luò)技術(shù)有限公司，北京,100053）

1 未知威脅概念

所謂未知威脅，是指目前沒有記錄在案的威脅特征的可以行為。但對(duì)信息系統(tǒng)存在潛在危險(xiǎn)，甚至不清楚其破壞程度和最終效果。未知威脅的呈現(xiàn)形式可能是病毒、木馬、網(wǎng)絡(luò)攻擊行為、甚至對(duì)資源的濫用。在信息安全領(lǐng)域，人們總是先經(jīng)歷威脅的產(chǎn)生，才有機(jī)會(huì)認(rèn)識(shí)到威脅的本質(zhì)。盡管每一種技術(shù)破壞行為最終都找到了有效的解決辦法，但是每經(jīng)歷一次對(duì)未知威脅的認(rèn)知都要做出巨大的犧牲。

2 未知威脅分析

2.1 內(nèi)部窺測(cè)

傳統(tǒng)技術(shù)通常會(huì)從三個(gè)維度去監(jiān)測(cè)：文件處理、靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)。直接通過特征碼來鑒定是完全行不通的，但是從行為分析入手，在攻擊目標(biāo)和路徑上尋找他們的共性還是可行的。任何一種威脅都不是簡(jiǎn)單的動(dòng)作，而是一系列的動(dòng)作，比如停止系統(tǒng)服務(wù)、文件篡改、注冊(cè)表修改、漏洞掃描、強(qiáng)制關(guān)機(jī)等等。這里面的任何一個(gè)環(huán)節(jié)都有可能被記錄，但是如果全部截獲并關(guān)聯(lián)，就為發(fā)現(xiàn)未知威脅的終極目標(biāo)提供可能。所以，基于行為合法性的分析是可以有效截獲未知威脅的。基于這種關(guān)注行為和動(dòng)機(jī)的識(shí)別，我們都認(rèn)為屬于內(nèi)部檢測(cè)。

通過復(fù)雜的啟發(fā)式掃描技術(shù)實(shí)現(xiàn)對(duì)未知威脅的檢測(cè)，首先要對(duì)文件頭和包的實(shí)際內(nèi)容進(jìn)行分析。啟發(fā)式掃描技術(shù)主要包括文件掃描分析、病毒檢測(cè)、文件屬性分析、特征核查及啟發(fā)式檢查，通過這些環(huán)節(jié)的檢測(cè)來杜絕和過濾病毒、垃圾郵件及其他掃描行為。

異常檢測(cè)技術(shù)是圍繞完整數(shù)據(jù)包的分析實(shí)現(xiàn)的，其細(xì)節(jié)包頭、包內(nèi)容、應(yīng)用信息、協(xié)議以及會(huì)話行為等，其檢測(cè)效果要優(yōu)于基于特征的入侵檢測(cè)設(shè)備。

啟發(fā)式掃描和異常檢測(cè)技術(shù)的推廣應(yīng)用，對(duì)已知和未知威脅的防御能力提高了很多。很多技術(shù)團(tuán)隊(duì)和組織在不斷改進(jìn)和完善更多更有效的技術(shù)嘗試，用以應(yīng)對(duì)越來越多的未知威脅。而在數(shù)據(jù)傳輸?shù)牟煌A段，對(duì)未知威脅的檢測(cè)方式也各有不同。

2.2 外部篩查

在網(wǎng)絡(luò)攻防戰(zhàn)中，相比進(jìn)攻，防守永遠(yuǎn)處于被動(dòng)狀態(tài)。但這些行為發(fā)生的場(chǎng)景都不外乎從一個(gè)IP 到另一個(gè)IP，或者從多個(gè)IP到另外多個(gè)IP。而且，主流網(wǎng)絡(luò)技術(shù)短期仍然沒有脫離IP 技術(shù)的可能。那么如果我們從大數(shù)據(jù)中能獲取到足夠多的攻防記錄和黑客指紋庫(kù)，那么只要是源于有風(fēng)險(xiǎn)的IP 地址的行為，我們加強(qiáng)關(guān)注和標(biāo)記，集中優(yōu)勢(shì)資源針對(duì)性分析，必然有更高的檢測(cè)未知威脅成功幾率。

圖一 信息檢測(cè)流程圖

3 內(nèi)部檢測(cè)詳解

3.1 文件處理

當(dāng)前網(wǎng)絡(luò)的攻擊行為目的性越來越強(qiáng)，無論是最終竊取信息還是通過軟件進(jìn)行控制破壞，都離不開各文件的使用和傳輸。而對(duì)文件的監(jiān)控將直接可以體現(xiàn)出網(wǎng)絡(luò)行為操作的對(duì)象。

網(wǎng)絡(luò)故障都可追溯到數(shù)據(jù)包層次問題，貌似中規(guī)中矩的應(yīng)用，后臺(tái)的設(shè)計(jì)很可能混亂不堪，看上去可信的程序，撕下偽裝，其后臺(tái)也很可能在悄悄的泄漏數(shù)據(jù)。因此，關(guān)注網(wǎng)絡(luò)中傳輸?shù)膬?nèi)容，還原文件，是發(fā)現(xiàn)問題的重要檢測(cè)點(diǎn)之一。

在數(shù)據(jù)包層次分析網(wǎng)絡(luò)問題，所有細(xì)節(jié)都會(huì)變得透明可視（除加密通信外），在數(shù)據(jù)包層上分析處理得越多，對(duì)網(wǎng)絡(luò)的控制能力就越強(qiáng)，解決網(wǎng)絡(luò)問題的根源的可能性就越大。

一般被稱為數(shù)據(jù)包嗅探或協(xié)議分析，通常是為了清晰的了解當(dāng)前網(wǎng)絡(luò)上的動(dòng)作細(xì)節(jié)，對(duì)正在進(jìn)行的數(shù)據(jù)傳輸進(jìn)行捕獲和剖析的過程。這個(gè)分析過程通常依賴能夠分析原始數(shù)據(jù)的嗅探器作為工具來實(shí)現(xiàn)。數(shù)據(jù)包分析技術(shù)的關(guān)鍵要點(diǎn)如下：

●了解網(wǎng)絡(luò)特征。

●查看網(wǎng)絡(luò)上的通信主體。

●確認(rèn)誰(shuí)或是哪些應(yīng)用在占用網(wǎng)絡(luò)帶寬。

●識(shí)別網(wǎng)絡(luò)使用的高峰時(shí)間。

●識(shí)別可能的攻擊或惡意活動(dòng)。

●查找可疑或網(wǎng)絡(luò)資源的不合規(guī)應(yīng)用。數(shù)據(jù)包嗅探器是一種成熟的數(shù)據(jù)分析工具，當(dāng)前市場(chǎng)有免費(fèi)的和商業(yè)的諸多選擇。

數(shù)據(jù)包嗅探過程可以分為成3 個(gè)步驟:

第一步：數(shù)據(jù)收集，數(shù)據(jù)在線纜中傳輸，嗅探器從中收集原始二進(jìn)制信息。這個(gè)過程一般會(huì)通過設(shè)定網(wǎng)卡配置為混雜模式來實(shí)現(xiàn)抓包功能。網(wǎng)卡在此模式不僅截獲目的是自身的數(shù)據(jù)包，而會(huì)截獲一個(gè)網(wǎng)段的全部流量。

第二步：格式轉(zhuǎn)換，通過高級(jí)的數(shù)據(jù)包嗅探器可將收集的二進(jìn)制信息轉(zhuǎn)換成可識(shí)別格式。通過簡(jiǎn)單直觀的解析將數(shù)據(jù)包呈現(xiàn)給用戶，由用戶進(jìn)行下一步分析和判斷。

第三步：還原分析，對(duì)轉(zhuǎn)換后具有清晰結(jié)構(gòu)的數(shù)據(jù)進(jìn)行還原后進(jìn)一步分析。對(duì)捕獲的網(wǎng)絡(luò)數(shù)據(jù)拆解，對(duì)其協(xié)議進(jìn)行逐一驗(yàn)證和判斷，繼而對(duì)每個(gè)協(xié)議的特有屬性進(jìn)行解析。

市面主流的數(shù)據(jù)包嗅探器除了可以捕獲數(shù)據(jù)包，還可以對(duì)多種協(xié)議進(jìn)行解析，形成管理員方便識(shí)別的格式界面，甚至具有一些統(tǒng)計(jì)圖表的展示。利用這些工具查看網(wǎng)絡(luò)資源的使用情況以及收發(fā)的每一個(gè)動(dòng)作，可以很方便的查找出網(wǎng)絡(luò)故障的原因或者出現(xiàn)問題的節(jié)點(diǎn)。

3.2 靜態(tài)檢測(cè)

通常文件處理方式要人為的分析研判，當(dāng)數(shù)據(jù)量較大時(shí)，人的效率往往難以達(dá)到快速篩選問題和處理的效果。因此必須借助其他檢測(cè)方式對(duì)噪音事件或者常規(guī)訪問做過濾。只保留可疑的事件交由人來直接處理。

靜態(tài)檢測(cè)是指關(guān)注網(wǎng)絡(luò)應(yīng)用本身，只是對(duì)程序靜態(tài)特性進(jìn)行解析，通過尋找有問題的地方，類似參數(shù)設(shè)置不合理或可疑的計(jì)算或運(yùn)行方式，加上大量特征碼與程序進(jìn)行比對(duì)，來實(shí)現(xiàn)對(duì)未知威脅的檢測(cè)。事實(shí)上靜態(tài)檢測(cè)的專長(zhǎng)在于已知威脅的檢測(cè)，對(duì)未知威脅靜態(tài)檢測(cè)并不能直接提供有力證據(jù)，但是可以間接篩掉確定的威脅，使得其它檢測(cè)方式的壓力得到緩解，作為輔助檢測(cè)手段，可以提高其它檢測(cè)方式的執(zhí)行效率。

對(duì)于靜態(tài)檢測(cè)而言，無外乎三種主流檢測(cè)技術(shù)：特征碼檢測(cè)技術(shù)，反匯編檢測(cè)技術(shù)以及沙箱檢測(cè)技術(shù)。

基于特征碼的檢測(cè)最簡(jiǎn)單且高效。但是對(duì)未知威脅的誤報(bào)漏報(bào)率會(huì)比較高，而且鑒于其檢測(cè)的不完整性，容易被繞過。

基于反匯編的檢測(cè)技術(shù)檢測(cè)效果要優(yōu)于特征碼檢測(cè)方式，對(duì)一般非精心設(shè)計(jì)的shellcode 效果比較理想，但是一些技巧性很強(qiáng)的代碼只有在執(zhí)行生效后才呈現(xiàn)出其真實(shí)目的，所以靜態(tài)下它也能夠巧妙的躲開反匯編檢測(cè)。

基于沙箱技術(shù)的檢測(cè)具有強(qiáng)大的功能，可以偵測(cè)多種威脅，一般的反檢測(cè)技術(shù)無法繞過，使用效果理想，缺點(diǎn)是硬件支持要足夠到位，否則因其計(jì)算量大，檢測(cè)效率不高，無法大規(guī)模使用在高速帶寬上。

鑒于以上檢測(cè)技術(shù)都有一定局限性，靜態(tài)檢測(cè)如果想達(dá)到理想的效果就不能依賴于某一種檢測(cè)技術(shù)，而是要綜合幾種技術(shù)來互補(bǔ)實(shí)現(xiàn)。

3.3 動(dòng)態(tài)檢測(cè)

所謂動(dòng)態(tài)檢測(cè)，是將本來孤立的多款產(chǎn)品中有關(guān)攻擊的模塊信息和日志進(jìn)行關(guān)聯(lián)，這些產(chǎn)品包括主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、防護(hù)應(yīng)用等。通過在后臺(tái)搭建多種攻擊模型，將所有收集到的日志信息進(jìn)行匹配，最終達(dá)到檢測(cè)復(fù)雜攻擊組合的效果。

實(shí)現(xiàn)動(dòng)態(tài)檢測(cè)第一步首先要有足夠的各種主機(jī)及設(shè)備日志。通常日志收集和范式化在國(guó)內(nèi)有多款SOC 產(chǎn)品都具有此基本功能。設(shè)備日志的采集通常采用Syslog、snmptrap 或者API 接口等方式統(tǒng)一輸送到SOC 平臺(tái)，這些日志被服務(wù)器收到后通過標(biāo)準(zhǔn)化的格式規(guī)范，再存儲(chǔ)到自己的分析存儲(chǔ)中。

第二步，建立合理有效的攻擊模型是動(dòng)態(tài)檢測(cè)的核心環(huán)節(jié)。攻擊模型需要涉及到多個(gè)網(wǎng)絡(luò)數(shù)據(jù)的關(guān)鍵元素，包括源IP、目的IP、事件類型、時(shí)間、頻率、流程和文件屬性等。攻擊模型的建立將直接影響到動(dòng)態(tài)檢測(cè)效果。如果模型建的太寬泛，指標(biāo)不嚴(yán)謹(jǐn)，可能造成大量誤報(bào)；如果模型太嚴(yán)格，又可能不能識(shí)別狡猾的攻擊聯(lián)動(dòng)行為。通常一個(gè)優(yōu)秀的攻擊模型都依賴于長(zhǎng)期的實(shí)踐經(jīng)驗(yàn)和豐富的數(shù)據(jù)支撐。

圖二 動(dòng)態(tài)檢測(cè)流程

數(shù)據(jù)量小時(shí)，可以將攻擊模型放在內(nèi)存中實(shí)時(shí)檢測(cè)未知攻擊行為；數(shù)據(jù)量大時(shí)，可以將數(shù)據(jù)庫(kù)的數(shù)據(jù)與攻擊模型在后臺(tái)進(jìn)行比對(duì)，最終以統(tǒng)計(jì)報(bào)告的方式輸出到前臺(tái)。

這樣通過對(duì)每一組安全攻擊模型的追蹤，不斷的分析比對(duì)結(jié)果，調(diào)整攻擊模型的參數(shù)，可以達(dá)到最佳匹配策略。對(duì)于誤報(bào)較多的模型，可以建立白名單模型機(jī)制。可以緩解系統(tǒng)資源的壓力。

以猜密碼攻擊破解為例,首先在系統(tǒng)中建立一個(gè)猜密碼的關(guān)聯(lián)行為模型。檢測(cè)的主要流程為：在主機(jī)日志上發(fā)現(xiàn),某境外源IP 在凌晨3 點(diǎn),通過遠(yuǎn)程方式訪問目標(biāo)主機(jī)A,以管理員身份試圖登錄系統(tǒng)。該主機(jī)日志顯示,該源IP 地址一分鐘內(nèi)輸入密碼50 次以上,均為錯(cuò)誤密碼。該用戶在10 分鐘錯(cuò)誤密碼嘗試后,最終登錄主機(jī)A 成功。而IDS 設(shè)備顯示：該IP 地址在三個(gè)小時(shí)內(nèi),層嘗試對(duì)多臺(tái)目的主機(jī)B、C、D 進(jìn)行了類似操作。這些行為通過動(dòng)態(tài)檢測(cè)與預(yù)置模型匹配,可認(rèn)定為猜密碼的攻擊行為。

由此可見動(dòng)態(tài)檢測(cè)是一種相對(duì)較為高級(jí)的檢測(cè)方式，如果基礎(chǔ)數(shù)據(jù)的字段足夠多，動(dòng)態(tài)檢測(cè)的彈性非常大，而優(yōu)質(zhì)的攻擊模型是動(dòng)態(tài)檢測(cè)的核心環(huán)節(jié)。

4 外部大數(shù)據(jù)篩查

4.1 IP 信譽(yù)庫(kù)

我們對(duì)IP 地址的各個(gè)屬性進(jìn)行統(tǒng)計(jì)記錄，并對(duì)海量IP 建立信用庫(kù)，并持續(xù)的對(duì)一個(gè)IP 進(jìn)行關(guān)注和評(píng)價(jià)。如果一個(gè)IP 地址多次參與網(wǎng)絡(luò)攻擊事件，并有多個(gè)歷史污點(diǎn)，那么它一定是一個(gè)易于隱蔽或者藏污納垢的節(jié)點(diǎn)，我們可以了解到它所處的地理位置，結(jié)合其它一些因素和特征，很容易追溯到問題的根源。

通過積累和匯總了海量IP 信息，并針對(duì)其歷史記錄進(jìn)行了分類，形成了一套反映網(wǎng)絡(luò)空間的“個(gè)人”信譽(yù)檔案庫(kù)。當(dāng)有黑客IP、代理IP、僵尸網(wǎng)絡(luò)IP 等再次出現(xiàn)在WebTrack 系統(tǒng)中時(shí)，系統(tǒng)將實(shí)時(shí)將這些IP 的歷史記錄展現(xiàn)給用戶并預(yù)警，管理員可以對(duì)這些有“案底”的IP 進(jìn)行全網(wǎng)拉黑，將風(fēng)險(xiǎn)控制到最小。

4.2 黑客指紋庫(kù)

除了IP 信譽(yù)庫(kù)外，黑客指紋庫(kù)也是非常重要的大數(shù)據(jù)資源。根據(jù)分析攻擊特征和訪問請(qǐng)求特征來建立黑客檔案并對(duì)其進(jìn)行評(píng)級(jí)，如使用軍工級(jí)滲透工具、零日攻擊的黑客定義為高級(jí)，多次手工滲透攻擊、N 日攻擊的黑客的定義為中級(jí)，單一商業(yè)掃描器掃描的定義為低級(jí)。對(duì)等級(jí)較高的黑客將會(huì)進(jìn)行長(zhǎng)期、重點(diǎn)的行為分析及跟蹤，及時(shí)發(fā)現(xiàn)其后續(xù)的攻擊行為和從其攻擊特征中挖掘零日漏洞（0-day）。這樣配合IP 信譽(yù)庫(kù)，可以通過外部大數(shù)據(jù)實(shí)現(xiàn)交叉攻擊風(fēng)險(xiǎn)定位。

圖三IP 信譽(yù)庫(kù)屬性

5 總結(jié)

未知威脅作為網(wǎng)絡(luò)安全的一個(gè)挑戰(zhàn)將伴隨網(wǎng)絡(luò)永久存在，技術(shù)在前進(jìn)，威脅也在更新。沒有任何一種技術(shù)可以規(guī)避所有的風(fēng)險(xiǎn)解決所有的問題。我們只有內(nèi)外兼修，關(guān)注威脅的目標(biāo)和動(dòng)機(jī)，更要關(guān)注威脅的來源和歷史蹤跡，這樣才能更有效的在多個(gè)環(huán)節(jié)上進(jìn)行針對(duì)性技術(shù)分析和防護(hù)。

當(dāng)前環(huán)境下對(duì)待未知威脅，除了對(duì)技術(shù)的更新頻率要加強(qiáng)外，大數(shù)據(jù)的儲(chǔ)備和深度分析變成了未來實(shí)現(xiàn)各種目標(biāo)的基礎(chǔ)，結(jié)合社會(huì)工程學(xué)在管理方面加以配合，可達(dá)到更理想的控制效果。

[1] 孫華領(lǐng)，顧景文.NDIS 驅(qū)動(dòng)程序研究和基于NDIS 網(wǎng)絡(luò)監(jiān)測(cè)程序?qū)崿F(xiàn)[J].微計(jì)算機(jī)信息，2004(1)：104—105

[2] 王津林，趙滿勝.網(wǎng)絡(luò)監(jiān)控系統(tǒng)在局域網(wǎng)的應(yīng)用[J] 信息安全與通信保密，2004(2)：58— 59.