一種APT檢測平臺設計與實現

唐宏斌 覃曉寧 劉敬華

（1.嶺南師范學院 廣東省湛江市 524048 2.藍盾信息安全技術有限公司 廣東省廣州市 510631）

數據是企業的生命線，一旦數據被竊，企業將將失去競爭力，難以生存與發展。現如今，沒有一個企業能孤立于互聯網之外。而在網絡中存在各種風險，特別是2013年斯諾登事件曝光以來，網絡攻擊、網絡竊聽和數據被盜取等眾多事件曝光于大眾之下，人們意識到了安全的重要性。

高級持續性威脅（Advanced Persistent Threat，APT）攻擊是指某組織對特定對象展開的持續有效的攻擊活動。此類攻擊活動具有極強的隱蔽性和針對性[1]。描述一個APT 攻擊完整的攻擊鏈，可以分為七步：偵查，工具制作，投送，攻擊滲透，安裝工具，控制，竊取破壞。當黑客滲透成功，在網絡內部模仿用戶行為進行數據竊密時，檢測難度已經大大增加，且往往發現之后已經造成一定損失。所以APT 檢測往往從黑客滲透的事前和事中入手。高級持續性威脅攻擊鏈圖如圖1。

面對著APT 攻擊，往往被攻擊對象被監控和竊取數據多時而不自知。如何在APT 攻擊發生之時，有效檢測出此類攻擊并預警和阻斷是目前業界在探索的一個重要問題。鑒于此，本文設計一種高級持續性威脅檢測平臺，平臺解決APT 攻擊監測和預警的問題，并在發現攻擊時智能聯動縱深防御安全設備進行阻斷，阻止數據竊取事件的發生，防患于初始階段。

1 高級持續性威脅（APT）檢測平臺設計與實現平臺體系架構

高級持續性威脅檢測平臺總體架構包括五橫三縱。其中，五橫包括感知基礎設施層、數據采集層、數據層、應用層、展現層；三縱包括標準規范體系、安全保障體系和運維保障體系，架構如圖2所示。

1.1 展現層

展現層是實現各類網絡安全態勢、APT 網絡安全事件、重要網絡安全通知公告等信息及時發布的重要渠道系統，包括：

（1）安全態勢WEB 展現系統；

（2）指揮室大屏展示系統；

（3）移動終端展示系統等。

1.2 應用層

應用層是平臺建設的核心內容，包括：

（1）應急指揮系統；

（2）APT 網絡安全態勢感知系統；

（3）信息通報處置系統；

（4）安全大數據分析系統。

1.3 數據層

數據層是態勢感知安全平臺數據存儲、管理及共享控制中樞，在數據采集層之上，包括：

（1）數據庫管理系統；

（2）數據湖泊：海量數據存儲能力，包括結構化和非結構化數據，涵蓋各個數據庫（數據采集庫、等保合規庫、應用服務管理庫、APT 態勢感知數據庫、數據共享管理庫等）；

（3）安全態勢感知數據總線。

1.4 數據采集層

數據采集層是態勢感知安全平臺統一的數據采集系統，支持多種數據采集方式，包括：

（1）安全設備、網絡設備、探針、終端設備、應用或者接受其他相關日志；

（2）實時網絡全流量采集；

（3）導入外部威脅情報；

（4）軟件基因分析結果信息。

1.5 基礎設施層

基礎設施層是指為系統運行提供實體支撐的服務器、網絡設備、安全設備、存儲系統、終端設備、應用支撐中間件等軟硬件設施。同時包括機房、應急指揮室等內容。

1.6 標準規范體系

平臺的基礎設施包括通用或專用型服務器、可選的集中存儲組件、標準的網絡設備及網絡拓撲，共同構成了平臺的基礎物理環境。對于超大型的應用場景，可采用數據中心的模式進行建設。

標準規范體系是確保態勢感知安全平臺規范化的基礎，包括但不限于業務標準、數據標準、技術標準等。

2 技術原理

本平臺基于大數據智能分析技術建立智能安全分析中心，采集設備日志、業務應用日志、全流量L2-L7 層協議還原數據、利用沙箱技術對文件動態行為的分析結果、性能指標、資產脆弱性、外部威脅情報等安全數據，利用AI 模型和可視化技術分析識別僵尸蠕毒和APT 攻擊等已知和未知威脅，對用戶網絡環境內發生的所有行為進行全面分析，實現對脆弱性、威脅、事件的深入分析和關聯，從業務系統、應用情境、用戶等維度進行關聯分析，實現攻擊路徑還原、攻擊危害評估、調查取證、安全態勢可視化分析等安全能力。高級持續性威脅檢測平臺技術架構圖如圖3。

2.1 數據處理技術

引入大數據技術建立數據分析平臺，收集網絡、終端、系統、應用層等各層面數據，進一步挖掘與分析，為網絡安全縱深防御、安全運營管理和應急提供支撐，并在此基礎之上形成可視化的安全態勢感知系統。

2.2 URL過濾技術

URL 過濾技術用于對互聯網上的網站進行分類，將Web 流量與邊界防御設備如下一代防火墻的URL 過濾數據庫進行比較來限制訪問，以防止訪問者訪問不安全，有害的網站（如網絡釣魚頁面）。

檢測平臺在智能分析中心內置機器學習引擎，在檢測惡意DNS域名和鏈接上通過對樣本的模型訓練，預測惡意域名和鏈接，經過確認后，加入到URL 過濾數據庫以更新數據庫；同時，可以通過學習威脅情報信息，亦可擴大URL 過濾范圍，提高準確度。

2.3 沙箱技術

沙箱可模擬真實環境，運行未知文件后得出文件運行過程中的各種行為，綜合分析后可準確判斷未知威脅。

2.4 智能AI引擎技術

搭載最新的AI 威脅檢測引擎，能夠識別惡意代碼變種、未知威脅等特征匹配模式無法識別的高級威脅。

3 高級持續性威脅檢測平臺功能

3.1 靜態分析

基于傳統的入侵檢測和殺毒技術，可以對已知的病毒、木馬、蠕蟲、僵尸網絡、緩沖區溢出攻擊、DDoS、掃描探測、欺騙劫持、SQL 注入、XSS、網站掛馬、異常流量等惡性攻擊行為有非常準確高效的檢測效果。

3.2 流量模型分析

通過了黑的檢測，并不代表安全，因為它是通過對已知的攻擊樣本進行分析，提煉出各種簽名文件來進行檢測只能對已知或者公開的攻擊進行預警和防御。因此基于流量探針技術，采集主流使用的通訊協議的流量數據，形成流量基線，由此可以判斷網絡內異與常態的流量行為，從白中挑出灰。

3.3 沙箱檢測

對于繞過入侵檢測和殺毒軟件的灰色數據，引入動態沙箱檢測技術，使用多種虛擬機環境運行被檢測文件，監測文件打開后的系統環境、內存狀態以及文件的各種行為等以確定文件是否為惡意文件。

3.4 人工智能大數據分析

平臺基于人工智能，針對高級持續性威脅進行全面檢測、可視化、告警和智能聯動防御，包含原始文件、流量還原、傳統惡意文件檢測、無監督機器學習惡意軟件或流量分析、可疑文件動態分析、異常流量檢測、橫向移動監測、數據泄露監測、全流量離線深度協議分析、資產管理、事件關聯分析告警、網絡攻擊態勢可視化等功能。

3.5 綜合態勢展示

綜合態勢展示世界和中國范圍內的攻擊軌跡與次數，包括病毒事件、入侵事件、異常流量；可查看網絡安全基本態勢，包括網絡攻擊、惡意文件、異常流量事件、網絡流量和安全日志；受攻擊重點資產和攻擊來源TOP10 的周和月報表。

4 結語

本文提出了一種基于大數據平臺的高級持續性威脅檢測平臺，針對高級持續性攻擊行為提供全方位多維度監測、精確感知及預警與防御的專業安全產品，保護用戶資產數據。