一種高級持續性威脅檢測方案

◆鄭學欣

（中國電子科學研究院 北京 100041）

一種高級持續性威脅檢測方案

◆鄭學欣

（中國電子科學研究院 北京 100041）

高級持續性威脅是專門針對特定組織所作的復雜的高級滲透攻擊。近年來產生重大影響的網絡攻擊多為高級持續性威脅攻擊，如何有效地檢測這種高級網絡攻擊已經成為網絡空間中備受關注的安全問題。本文首先介紹了高級持續性威脅的特點以及兩種較為有效的檢測方案，然后分析了它們存在的缺陷，最后給出一種更為完善的全生命周期檢測方案。

高級持續性威脅；攻擊檢測；全生命周期

0 引言

高級持續性威脅（Advance Persistent Threat，簡稱APT）是指專門針對特定組織所作的復雜且多方位的高級滲透攻擊。APT不同于常規網絡攻擊，主要表現在它具備極強的隱蔽能力、極強的針對性、攻擊手段豐富、廣泛的信息收集、未知性、防范難度高等特點，且涉及層面眾多、關聯關系錯綜復雜，針對傳統安全防御體系的新技術、新武器、新技戰法層出不窮，使得高級持續性威脅被感知和發現的難度極大。

1 檢測方案及缺陷分析

目前對APT攻擊的檢測方法主要有沙箱方案、網絡入侵檢測方案等。沙箱方案的實現過程是將實時流量先引進虛擬機或者沙箱，通過對沙箱的文件系統、進程、網絡行為、注冊表等進行監控，監測流量中是否包含了惡意代碼。網絡入侵檢測方案主要覆蓋APT攻擊過程中的命令與控制階段，通過在網絡邊界處部署入侵檢測系統來檢測APT攻擊的命令和控制通道。雖然APT攻擊所使用的惡意代碼變種多且升級頻繁，但惡意代碼所構建的命令控制通道通信模式并不經常變化，因此，可以采用傳統入侵檢測方法來檢測APT的命令控制通道。

目前各安全廠家所推出的APT檢測方案大多具有一定的局限性，主要表現為：很多APT攻擊檢測方案都只能覆蓋到APT攻擊的某個階段。APT攻擊過程包括信息收集階段、單點攻擊突破階段、命令與控制階段、橫向擴展階段、數據收集上傳階段。國際著名安全公司FireEye的APT檢測產品主要覆蓋APT攻擊過程中的單點攻擊突破階段，它是檢測APT攻擊過程中的惡意代碼傳播過程。趨勢科技的APT檢測產品主要覆蓋APT攻擊過程中的單點攻擊突破階段和命令與控制階段。這些檢測產品由于只能覆蓋到APT攻擊的某個階段，因而可能會導致攻擊漏報。理想的APT攻擊檢測方案應該覆蓋APT攻擊的所有攻擊階段，也就是說，理想的APT攻擊檢測方案應該包括事前、事中和事后三個處置階段，從而可能全面地檢測和防御APT攻擊。

2 全生命周期的檢測方案

本文提出一種覆蓋APT攻擊全生命周期的檢測方案，采用豐富的攻擊檢測手段以彌補沙箱檢測或網絡入侵檢測等單一檢測手段的不完備性，通過多種攻擊檢測、威脅情報支持、大數據分析三個維度進行APT攻擊行為的感知，以提高攻擊識別率、減少攻擊漏報率。

本方案包含四個組件：威脅情報、攻擊檢測、大數據分析、統一管理組件，如圖 1所示。威脅情報組件承擔了全球威脅情報的實時收集和分發工作。攻擊檢測組件是個網絡入侵檢測引擎，在利用威脅情報組件收集到的全球威脅情報信息的基礎上，識別APT攻擊過程中的攻擊突破、命令與控制等行為。大數據分析組件對大量的日志數據、安全威脅情報、攻擊行為數據等進行綜合分析和處理。統一管理組件實現對各攻擊檢測組件、大數據分析組件、威脅情報組件的集中管理。

圖1 APT攻擊檢測方案

2.1 攻擊檢測組件

攻擊檢測組件包括一個多平臺智能沙箱，用來分析捕獲的待檢測代碼并確定安全威脅的等級；一個傳統入侵檢測模塊，用來識別APT攻擊的命令控制通道和一些傳統的典型攻擊行為；以及一個異常檢測模塊，用于發現異常的數據量并為后續攻擊識別提供支持。

智能沙箱考慮了惡意代碼可能采用反虛擬執行技術的情況，反虛擬執行技術是黑客用于阻止程序被虛擬執行分析的一種手段。反虛擬執行技術主要是檢測程序是否運行于虛擬環境中。如果檢測到自己是在虛擬環境中運行，惡意程序就會立即終止或運行不含惡意行為的路徑。針對主動識別虛擬機技術，攻擊檢測組件通過提取反虛擬執行特征，構建反虛擬執行特征庫；然后使用基于關鍵點復用的抗反虛擬執行方法對抗惡意程序使用的反虛擬執行技術。

傳統入侵檢測模塊是用來識別APT攻擊的命令控制通道和典型攻擊行為。由于惡意代碼所構建的命令控制通道通信模式并不經常變化，所以采用傳統入侵檢測方法來檢測APT的命令控制通道。APT攻擊為了實現攻擊目的，在一步步的獲取進入組織內部的權限，從一個跳板擴展到另一個跳板的過程中，往往會利用一些典型的攻擊手段。因此，此模塊在開展對APT攻擊行為的分析識別過程中，也需要對典型的攻擊行為進行識別。

異常檢測模塊的核心思想是通過流量建模識別異常行為。由于我們無法提取未知攻擊的特征，就只能先對正常的網絡行為建模，當發現網絡連接的行為模式明顯偏離正常模型時，就可能存在網絡攻擊。異常檢測模塊的實現過程是利用正常行為產生的數據量建立一個模型，通過將所有數據量與這一標準模型進行對比，從而找出異常的數據量達到檢測攻擊的目的。

2.2 大數據分析組件

大數據分析組件通過對大量的日志數據、安全威脅情報、攻擊行為數據等進行綜合分析和處理，揭示出其中隱藏的邏輯聯系，實現對APT攻擊鏈的有效識別，具體過程見圖 2。

圖2 大數據分析

傳統的攻擊檢測技術僅針對數據包頭進行處理，限制了信息獲取的能力，并且無法檢測基于內容的安全威脅。為了有效應對APT攻擊，大數據分析組件利用大數據存儲和處理技術，依靠深層次協議解析與應用還原模塊和全流量回溯分析模塊進行基于深層協議解析的全流量審計。

深層次協議解析與應用還原模塊通過深入讀取IP包負載內容來對OSI七層協議逐層解析并分析異常行為，直到對應用層信息實現完整重組并追蹤發現異常點為止，實現深層次協議解析與應用還原。

全流量回溯分析模塊根據已經提取出來的網絡對象，回溯一個時間區間內可疑的網絡掃描信息、Web會話、Email記錄、防火墻的通聯日志等信息。通過將這些事件進行智能化關聯分析，可以將傳統的基于實時時間點的檢測轉變為基于歷史時間窗的檢測，從而協助安全分析人員快速定位攻擊源、重建攻擊鏈和識別攻擊意圖。通過對APT攻擊行為的長期跟蹤，大數據分析組件將攻擊流程凝練為關聯規則，形成攻擊規則知識庫，利用大數據分析技術從歷史數據庫中挖掘出攻擊行為發生模式。對未知攻擊行為的分析檢測就可以通過模式匹配和攻擊關聯來實現在線未知攻擊行為的識別。

2.3 威脅情報組件

威脅情報組件承擔了全球威脅情報的實時收集和分發工作。該組件通過利用來自全球信息安全界的集體智慧和分析技能，及時獲得各APT攻擊的威脅情報信息，極大提高了潛在安全威脅的識別率。另一方面，該組件將威脅情報及時地分發給攻擊檢測引擎，縮短了針對潛在安全威脅的響應時間。

2.4 統一管理組件

統一管理組件實現對各攻擊檢測組件、大數據分析組件、威脅情報組件的集中管理。統一管理組件中包括一個監控平臺，此監控平臺具有可擴展性和強大的分析能力來實現過程自動化，從而減少攻擊識別分析的響應時間。

3 結束語

對APT的有效檢測是防御此類高級攻擊的前提條件。與目前安全廠商的檢測方案相比，本方案考慮了攻擊的各個階段被檢測到的可能性，以及攻擊各個階段的關聯關系，因而有益于實現對APT攻擊更好的防御。

[1]劉昕.大數據背景下的APT攻擊檢測與防御[J].網絡與信息工程，2014.

[2]張帥.對APT攻擊的檢測與防御[J].信息安全與技術，2011.