基于基線的APT檢測分析平臺研究與設計

◆武宗濤 趙 進 葉 忠

（海軍計算技術研究所 北京 100841）

基于基線的APT檢測分析平臺研究與設計

◆武宗濤 趙 進 葉 忠

（海軍計算技術研究所 北京 100841）

為了彌補傳統安全防護措施在防范APT（高級持續性威脅）方面的不足，本文結合APT的特點，運用社會工程學，從用戶行為和網絡流量兩方面內容提出了一種基于基線的APT檢測分析平臺的設計，實現對APT的深度檢測、追溯、印證，加強安全防護“內控”。

高級持續性威脅APT；用戶行為基線；網絡流量基線

0 前言

APT（Advanced Persistent Threat），即高級持續性威脅，主要是指在各類攻擊技術基礎上結合社會工程學實現的復雜性攻擊，具有長期性、潛伏性等特征[1]。

傳統攻擊一般為非持續性攻擊，比如當目標無可利用漏洞和方法，攻擊無法進行，攻擊者會結束攻擊。與傳統攻擊淺嘗輒止、遇挫則止不同，APT攻擊采取隱藏和靜待的方式等待可再次攻擊的時機，其隱藏時間可達數年之久。APT攻擊的這些特性足以說明APT攻擊具備較強的針對性，一旦實施成功，產生的影響和后果要比一般傳統攻擊更為嚴重。同時，APT攻擊者實施的大部分攻擊并非針對計算機系統，而是人。人性的弱點從人類文明以來總是固有的，如釣魚、欺騙等，最終導致的結果就是，系統的淪陷，數據的失竊。

目前已發生了大批量的APT攻擊成功案例：2010年，Google極光攻擊導致Google網絡被滲透數月，并且造成大量數據被竊取。同年，在攻擊伊朗的Olympic Games網絡攻擊行動中，美國已開始對APT攻擊方法進行實戰驗證。2011年，國際安全廠商RSA、洛克希德馬丁等美國國防承包商、伊朗核工業、三菱重工軍工企業、美國政府、聯合國、韓國SK集團等陸續發現遭受APT攻擊，發現時已遭受了長期的資料竊取等破壞活動[2]。

目前，我國面臨的新型攻擊威脅的形勢還是比較嚴峻的[3]。利用“火焰”病毒、“高斯”病毒、“紅色十月”病毒等實施的APT活動頻現，對國家和企業的數據安全造成嚴重威脅。

在深入調研了大量的國內外APT攻擊原理、特征、APT相關檢測防范技術和產品后，本文提出了一種基于基線的APT檢測分析平臺的研究和設計。平臺結合APT攻擊的階段性特點，運用社會工程學，監測內部異常行為、惡意行為的發生，實現對APT的深度追溯、印證，從而加強安全防護的“內控”[4]，對現有安全防護體系形成有力的補充和完善。

1 基于基線的APT檢測分析平臺設計理念

基于基線的APT檢測分析平臺設計理念包括以下三點：

（1）APT行為模式會明顯偏離用戶的正常行為或習慣行為；

（2）APT攻擊發生后，在數據獲取過程中網絡流量比正常流量高一個數量級，且持續較長時間；

（3）任何攻擊行為（包括APT）都是通過網絡通信來進行攻擊，必然存在通信特定的數據包，即使模擬正常端口進行正常通信，也有跡可循[5]。

2 基于基線的APT檢測分析平臺設計

基于基線的APT檢測分析平臺主要由數據采集、數據分析、前臺交互三部分組成，如圖1所示。

圖1 基于基線的APT檢測分析平臺架構

2.1 數據采集

前端數據采集主要分為主機日志采集、網絡流量采集、安全設備日志采集、網絡設備日志采集、應用系統日志采集五個部分。

2.1.1 主機日志采集

主機日志采集主要通過主機日志代理，實現從終端、服務器等對象上收集主機日志，經過解析、歸一化等處理后，提煉出用戶操作行為，供后臺用戶行為基線挖掘、匹配。

2.1.2 網絡流量采集

網絡流量采集通過鏡像核心交換機的流量，實現對網絡流量的高效采集，提取出通信會話、傳送的郵件/文件，供后臺實施異常流量分析、可疑會話檢測、惡意文件分析。

2.1.3 安全設備日志采集

安全設備日志采集主要實現從防火墻、入侵檢測設備、漏洞掃描設備等安全設備上實時收集安全日志，經過解析、歸一化等處理后，供后臺進行APT追溯、印證。

2.1.4 網絡設備日志采集

網絡設備日志采集主要實現從交換機、路由器等網絡設備上實時收集日志，經過解析、歸一化等處理后，供后臺進行APT追溯、印證。

2.1.5 應用系統日志采集

應用系統日志采集主要實現從各類應用系統采集應用日志，經過解析、歸一化等處理后，提煉出用戶操作行為，供后臺用戶行為基線挖掘、匹配。

2.2 數據分析

數據分析主要分為實時分析和離線分析兩部分。

離線分析主要實現基線挖掘，包括用戶行為基線挖掘和網絡流量基線挖掘。

實時分析主要對用戶行為日志以及流量信息進行實時匹配處理，實現用戶行為分析、異常流量分析、可疑會話檢測、惡意文件分析。

2.2.1 用戶行為分析

用戶行為分析包括基于基線的用戶行為分析和基于規則的用戶違規行為分析。用戶行為基線主要從用戶行為歷史數據中進行提取和分析，采用統計分析和頻繁項分析的方法，挖掘出用戶在不同時間段、不同應用系統的行為模式、行為基線，為用戶行為分析提供檢測、分析的標準和依據。

（1）基于基線的用戶行為分析

針對APT更多地利用人性的弱點，同樣結合社會工程學，基于用戶行為基線（反映用戶正常行為習慣模式），對實時上報的用戶行為日志進行實時匹配，發現用戶明顯偏離正常行為或習慣行為的活動，并形成異常告警。其中，用戶行為日志主要從主機日志、應用系統日志等日志信息中進行提取和分析。

（2）基于規則的違規行為分析

采用傳統分析思路，根據實際業務需求，構造黑名單、白名單等規則庫，對用戶行為日志進行實時匹配，實現對用戶違規行為的檢測，并形成異常告警。

2.2.2 異常流量分析

異常流量分析包括基于基線的異常流量分析和基于規則的違規行為分析。

（1）基于基線的異常流量分析

基于基線的匹配分析的依據：在沒有攻擊或者攻擊很短的時間內網絡流量沒有特別大的改變；在APT攻擊發生后，數據獲取過程中數據流量比正常流量高一個數量級，且持續較長一段時間。

因此，針對APT攻擊中隱蔽傳輸、加密傳輸、未知協議傳輸等問題，基于基線的匹配分析重點監測數據回傳階段的流量變化，從而檢測出未知攻擊。APT攻擊隱蔽的越好、越猖狂，要獲取的數據量越多，流量變化越大。

基于網絡流量基線（即網絡正常行為模式，包括固定時間段的正常流量大小、正常目的IP離散度、正常協議分布等），通過分析流量對于正常行為模式的偏離而識別存在攻擊行為，并形成異常告警，如某一時刻網絡流量大幅偏離正常流量或目的IP聚合，則可能存在攻擊行為，又如某一端口持續數月和某一固定的IP存在不間斷流量的回傳等。

（2）基于規則的違規行為分析

采用傳統分析思路，構造黑名單、白名單等規則庫，對網絡流量屬性進行實時匹配，實現對違規行為的檢測，并形成異常告警。

2.2.3 可疑會話檢測

可疑會話檢測的依據：任何攻擊行為都是通過網絡通信來進行攻擊，必然存在通信特定的數據包；即使模擬正常端口進行正常通信，也有跡可循。

可疑會話檢測，通過分析從流量中提取的會話，不僅能檢測已知木馬，還能檢測出隱蔽性較強的未知攻擊木馬。

可疑會話檢測內容主要如表1。

表1 可疑會話檢測的內容

2.2.4 惡意文件分析

惡意文件分析支持靜態檢測和動態監控。

（1）靜態檢測

利用殺毒軟件進行文件查殺，對Office、PDF、CHM、HLP、視頻、Flash、圖片等多種格式的文件進行分析。

（2）動態監控

通過虛擬平臺執行，對多操作系統、多瀏覽器環境進行模擬，實現對抗虛擬機檢測、多種壓縮格式檢測，對多種格式的文檔進行溢出檢測、shellcode分析。

2.2.5 基線挖掘

基線挖掘分為用戶行為基線挖掘和網絡流量基線挖掘。

（1）用戶行為基線挖掘

基于統計學和機器學習的技術，對海量用戶歷史行為記錄進行挖掘分析，形成用戶行為基線，比如用戶長期使用的服務、服務每天的訪問頻度、訪問習慣、正常流入流出流量大小、基于長期統計的CPU負載和內存占用等。

（2）網絡流量基線挖掘

基于統計學和機器學習的技術，對海量歷史網絡流量記錄進行挖掘分析，形成網絡流量基線，比如固定時間段正常流量大小、正常目的IP離散度、正常協議分布、正常數據包大小等。

2.3 前臺交互

前臺交互主要向用戶提供操作管理、態勢呈現等功能接口，包括安全態勢、異常告警、APT溯源、審計印證、策略管理和系統管理等。

2.3.1 安全態勢

構建安全態勢量化指標體系，基于后臺數據分析結果，融合、評估形成全局安全態勢，支持根據APT溯源結果展示APT攻擊軌跡以及網絡弱點分布，并以豐富的形式呈現給用戶。

2.3.2 異常告警

對后臺數據分析產生的APT行為、用戶異常行為、網絡異常行為、違規行為等告警進行統一展示。

2.3.3 溯源印證

對APT行為進行深度追溯，挖掘所有相關用戶行為記錄和網絡流量記錄，提供給專業人員進行人工分析印證，從而輔助定位APT行為來源、過程、影響。

2.3.4 策略管理

為用戶提供各類規則的配置接口，包括主機日志采集策略、流量采集策略、黑名單規則、白名單規則、基線挖掘參數等。

2.3.5系統管理

提供APT檢測分析平臺的參數配置、用戶管理、權限管理等功能，并實現平臺運行狀態監控、系統日志記錄等功能。

3 基于基線的APT檢測分析平臺實現與驗證

基于基線的APT檢測分析平臺分為硬件和軟件兩部分，具體部署模式如圖2所示。

圖2 基于基線的APT檢測分析平臺部署模式

硬件部分主要為流量探針，負責采集網絡流量，旁路部署于核心交換機上。軟件部分分為主機日志代理和APT檢測分析后臺軟件。主機日志代理部署于終端、服務器等監控對象上，采集主機日志，發送至APT檢測分析平臺后臺進行處理；APT檢測分析后臺軟件部署于高性能服務器上，對主機日志、流量信息、安全設備日志、網絡設備日志、應用系統日志進行實時分析和挖掘分析，以及對流量探針和主機日志代理的統一管理。

4 結論

本文對基于基線的APT檢測分析平臺進行了設計與實現，通過離線挖掘形成用戶行為基線和網絡流量基線，有效監測APT行為在不同方面表現出的異常，探索安全保障方式從規則判斷到異常發現、由靜到動、由單點到整體、由被動變主動方式的轉變。我們下一步的研究工作是，結合大數據分析技術和平臺，實現對海量數據的高效實時分析、離線挖掘，提升基于基線的APT檢測分析平臺在大規模網絡中應用的實用性。

[1]杜躍進，翟立東，李躍，賈召鵬.一種應對APT攻擊的安全架構：異常發現[J].計算機研究與發展，2014.

[2]楊軍，石永.APT攻擊技術及其安全防護研究[C]. Proceedings of 2012 International Conference on Earth Science and Remote Sensing(ESRS 2012)，2012.

[3]國家計算機網絡應急技術處理協調中心.2014年我國互聯網網絡安全態勢綜述[EB/OL]. http://www.cert.org.cn/pu blish/main/46/2015/20150601155121202938498.html，2015/2015.

[4]石波，王紅艷，郭旭東.基于業務白名單的異常違規行為監測研究[C].信息網絡安全，2015.

[5]唐勇.基于網絡的攻擊特征自動提取技術研究[D].國防科學技術大學，2008.