基于活動行為特征的APT攻擊檢測方法研究

趙剛 朱麗 肖毅

摘 要：作為網絡運營環境中的一項安全隱患，APT攻擊憑借專業性、隱匿性的攻擊模式，非法竊取網絡用戶的數據信息，嚴重擾亂整體網絡環境。基于此，本文論述了APT攻擊行為，分析了APT攻擊檢測形式，并以活動行為特征為載體，對APT攻擊檢測方法進行研究。

關鍵詞：活動行為特征;APT;攻擊檢測方法

中圖分類號：TP309文獻標識碼：A文章編號：1003-5168（2020）17-0038-03

Research on APT Attack Detection Method Based on Active Behavior Characteristics

ZHAO Gang ZHU Li XIAO Yi

（Chuanda Kehong New TechnologyInstitute of Sichuan University，Chengdu Sichuan 610064）

Abstract： As a potential security hazard in the network operating environment， APT attacks rely on professional and covert attack modes to illegally steal data information from network users and seriously disrupt the overall network environment. Based on this， this paper discussed the APT attack behavior， analyzed the APT attack detection form， and took the activity behavior characteristics as the carrier to study the APT attack detection method.

Keywords： activity behavior characteristics;APT;attack detection method

開源式、分布式的網絡運營環境中，數據信息傳遞呈現一定的規律性。對于用戶來講，此類規律特征屬于一種定向化的指令操控行為;對于具有記憶功能的網絡系統來講，它將實現自主優化，為用戶提供更為便捷的模式。但受用戶操作行為的差異性影響，它將為網絡病毒及攻擊者提供可乘之機，進而令網絡用戶的數據信息丟失。現階段，網絡安全影響性最大的網絡攻擊行為是APT攻擊模式，此類攻擊手段可全方位地滲透到網絡結構中，針對信息目標進行全過程跟蹤，查驗數據信息存在的運行規律，然后潛伏在數據庫內，對網絡結構內的信息進行竊取。APT攻擊模式具有周期性長、隱蔽性高、影響面大特點[1-2]，對于綜合性、復雜性運營的網絡結構來講，將帶來一定的挑戰。為保證網絡環境下用戶信息安全，相關技術部門必須針對APT攻擊特性進行分析，查證出APT攻擊路徑及攻擊預期行為，以制定多方位的安全保障機制，提高網絡運營質量。

1 APT攻擊行為概述

高級持續威脅攻擊（APT）形式的出現最早可追溯到2008年底，網絡間諜組織對很多國家的計算機系統進行攻擊，竊取關鍵信息，此類攻擊形式具有針對性、復雜性。攻擊者具備專業的計算機知識，通過建立網絡結構的信息節點，入侵既定的網絡攻擊目標，達到非法竊取信息的目的。此類攻擊形式具有一定的潛伏特性，現有的網絡安全防護機制難以查驗出攻擊行為所產生的異常狀態。APT攻擊過程一般可分為三個階段。

1.1 前期準備階段

在對網絡系統發起攻擊前，攻擊者先收集網絡系統目標的相關信息，如系統信息、軟件信息、整體配置等。當然，因目標用戶所在網絡環境中的運行行為不同，攻擊者收取情報的手段呈現出多變性。例如，采用人工記錄形式、網絡爬蟲形式等，獲取與分析目標在網絡環境中產生的信息行為，進一步找出網絡結構內系統存在的漏洞，并以此漏洞為核心，制定多方位的入侵計劃。

1.2 攻擊入侵階段

前期入侵方案制定完畢以后，攻擊者便選取適當的攻擊手段來入侵目標所在的網絡環境。通常，攻擊者會對不具備網絡安全意識的用戶采取攻擊行為。例如，發送帶有病毒的窗口鏈接或者是帶有病毒的電子郵件，當員工郵件或網頁被瀏覽時，內部存在的惡意代碼或病毒將自動由網絡協議入侵到用戶的信息業務層，以抓取用戶的信息傳輸路徑。此類惡意代碼及病毒屬于安全協議下的傳輸行為，以操作系統的漏洞來實現病毒滲透，一旦用戶打開郵件或網頁，即對內部信息的傳輸進行認可，而此時計算機安全防護系統將把此類信息界定為安全信息。

1.3 持續攻擊階段

此類攻擊階段可以看成是病毒在網絡系統中的縱向發展階段。當系統未發現內部信息所存在的病毒時，病毒將沿著網絡結構內信息傳輸路徑滲透到各個信息承載節點上，然后將數據設備的承接載體進行程序化控制。當控制完設備以后，逐步對權限進行開放設定，令后續病毒滲透，可直接侵入頂層權限設備，以竊取計算機設備內的各類信息資源。當完成數據資源的竊取時，病毒仍然不會停止對計算機的攻擊，甚至將進一步擴大病毒損害，對計算機設備的物理層進行毀滅性打擊，計算機設備內的數據信息完全丟失。

2 APT攻擊檢測形式

信息化時代，大型網絡攻擊事件頻發，APT高級持續威脅攻擊也逐漸成為一種定性的攻擊框架。依據各類攻擊事件的回顧，大多數APT攻擊具有潛伏性和持續性，通過潛入特定病毒，分析系統內部信息變化規律，然后通過信息傳輸路徑找尋和盜取核心數據。目前，網絡安全防護對于APT攻擊行為的檢測主要分為兩種形式[3-5]。

2.1 網絡入侵檢測模式

網絡入侵檢測模式主要界定APT攻擊信息的邊緣范疇，將防護與檢測相結合。其檢測機理是以APT內的惡意代碼建構指令為框架，對APT攻擊行為進行檢測。盡管此類檢測機制可對APT在網絡邊界處的入侵行為進行檢測，但是其無法正確診斷APT攻擊方式，在多元化攻擊方式下，將難以對APP攻擊行為進行針對性檢測。

2.2 惡意代碼檢測模式

惡意代碼檢測模式是一種基礎檢測手段，主要作用于APT，分析網絡內單體節點的攻擊，其針對APT網絡環境下的惡意代碼傳輸進行檢測，有效防護計算機用戶的硬件設備。惡意代碼檢測模式具有很強的針對性，可精準查驗出APT攻擊行為，但大數據時代，網絡數據信息趨于整合，其將為惡意代碼的輸入提供耦合場所。惡意代碼檢測機制將消耗大量資源來核驗內部數據信息，增加網絡運營模式的冗余性，降低數據信息在網絡內的傳輸質量。

3 基于活動行為特征的APT攻擊檢測方法

在對網絡用戶進行攻擊時，APT攻擊行為信息網絡環境中的傳輸模式呈現出對等話。在查驗網絡系統內的病毒環境時，人們需要分析計算機用戶不存在病毒的數據行為，以便更加精準地分析出病毒。在某一時間段內，計算機用戶的數據行為如表1所示。

由表1數據可知，用戶使用計算機設備時，各項數據呈現出一定的規律性，即便數據偏差出現變動，變動范圍也將呈現出一定的區域性。在對計算機用戶進行入侵時，APT攻擊發起的是針對性攻擊行為，依據用戶信息獲取形式，將病毒滲透到信息傳輸路徑中，但在攻擊存在的生命周期內，病毒及惡意編碼程序的侵入將在網絡運營路徑中留下相關痕跡。以木馬病毒的侵入為例，從活動行為特征來看，木馬病毒在侵入內部系統時將會在網絡結構內植入數據信息，其內部活動行為產生的向量特征與計算機程序呈現分離特性，這就為計算機內木馬病毒的合法實現路徑提供有效載體。在具體識別中，計算機安全防護體系未能針對木馬病毒的特征向量，分析出木馬病毒的行動軌跡。從木馬病毒的生存特點來看，其在計算機網絡體系中可分為三個層面，即病毒植入、病毒潛伏、病毒觸發，每個病毒執行層面都有與之相對應的向量特征。例如，病毒植入方面，承接計算機設備運行的遍歷目錄與注冊創建，兩者的出現頻數、出現頻率與基準參數有一定偏差，當然，此類偏差與計算機用戶正常操作所產生的動態差異相比，相差較為明顯，一旦此類數據表現異常，應針對此類信息節點所產生的特征向量進行測定。

為最大限度地提高木馬與計算機內程序之間的分離效率，依托特征向量算法與模糊識別算法，對數據庫內信息參數的特征向量進行維數分析。人們可以通過信息量之間的恒定差別來界定出特征向量組與信息節點基準向量之間的相關性，然后將特征向量數據信息模型中映射出的值量從大到小進行有序排列，分析出木馬病毒在網絡數據結構中的向量表性特征。在進行數據界定時，針對網絡結構內的可疑程序，可建構一種虛擬映射環境，將信息行為所表現出的特征量同步轉移到虛擬環境的網絡架構中，然后將此類信息節點所呈現的特征向量當成病毒與程序器之間的輸入載體，最后通過相關算法，正確界定出信息節點特征量所呈現出的線性關系。

APT攻擊檢測體系一般可分為兩個系統。一是采集系統，對網絡架構內的信息流量業務、協議傳輸模式、特征匹配等信息進行整合。二是分析系統，對采集系統傳遞的信息進行寫入，然后對信息內特征向量與基準向量進行比對，判定信息安全事件，如果信息存在安全問題，將自動觸發告警事件并將其寫入系統。APT攻擊檢測系統是針對攻擊行為而設定的，考慮到APT攻擊行為的不可避免性，要想最大限度地檢測攻擊行為，必須結合網絡運營環境來制定完整的防護計劃，避免因用戶操作不當而造成病毒進入系統，最終提高網絡運營質量。

4 結語

網絡運營環境下，APT攻擊行為對網絡用戶造成的影響較為嚴重。網絡安全技術部門必須針對APT攻擊行為制定全方位的管控機制，深入分析APT攻擊行為，結合網絡運營模式，制定有效的解決措施。未來，要從技術、人員操控以及法律法規角度來建構多維度的安全防控機制，為網絡安全環境的常態化運行提供基礎保障。

參考文獻：

[1]余建，肖香梅，余瓊.校園網中一種基于路徑關聯的APT檢測系統關鍵技術研究[J].龍巖學院學報，2018（2）：53-60.

[2]菅華.淺談APT攻擊的檢測和防御[C]//內蒙古通信學會2017年學術年會.2017.

[3]鄭生軍，范維，李大威，等.一種基于特征檢測的APT攻擊防御方案[J].信息技術，2017（7）：87-90.

[4]宋慶峰.基于全流量大數據分析技術構建電視臺總控APT攻擊檢測系統方法初探[C]//中國新聞技術工作者聯合會2015年學術年會.2015.

[5]胡楠，冉冉，呂旭明，等.基于網絡APT攻擊防護的網絡安全預警技術[J].電氣應用，2015（1）：340-342.