APT攻擊防御框架研究

鄔 娜，譚振江

(吉林師范大學數學與計算機學院，吉林 四平 136000)

美國國家標準與技術研究所(NIST)從攻擊者、攻擊目的、攻擊手段和攻擊過程4個維度，以要素方式定義了APT攻擊[1]。付鈺等[2]從APT攻擊具有特定攻擊對象的性質角度補充了NIST的定義，認為APT攻擊本質是隱蔽的網絡攻擊。張瑜等[3]強調高級、持續、威脅的本質，認為APT攻擊是有組織、有目的、有預謀、隱蔽性強、持續時間長、破壞力大的群體式定向攻擊。

APT攻擊是一個漫長而隱蔽的過程，如圖1，整個生命周期可以分為6個階段，即偵察階段、武器制作與投遞階段、漏洞利用階段、安裝與持久化階段、命令與控制階段及收益階段。

圖1 APT攻擊生命周期Fig.1 APT attack life cycle

1 APT攻擊的防御方法

1.1 惡意代碼檢測技術

惡意代碼是指在目標主機中具有破壞或非授權獲取隱蔽信息行為的代碼段，主要包括木馬、計算機病毒、蠕蟲等。惡意代碼檢測技術是檢測非法寫入系統的惡意代碼的技術，是一種傳統且有效的檢測方法。Longkang Shang[4]等提出基于神經網絡挖掘共享特征發現未知高級持續威脅C&C信道的框架，提出手動特征提取和基于神經網絡特征提取兩種方式，但手動提取特征只有10個維度，而基于神經網絡特征提取采用卷積神經網絡進行兩輪卷積和池操作，可得到30維特征，提取出流級統計數據特征，PCA降維后，通過梯度提升下降樹對惡意軟件流量和正常流量進行分類，找出惡意軟件與C&C服務器之間通信的惡意流量，進而發現APT攻擊。劉科科[5]等提出基于活動行為特征關聯分析的APT攻擊行為檢測模型，由前端采集探針實現零拷貝數據采集，協議深度解析還原，在后端分析監測模塊，從惡意行為代碼感知、軟件安全漏洞感知、典型攻擊行為感知、綜合關聯分析4個方面進行實時監測，實現對APT攻擊行為的預警。

惡意代碼檢測技術一般用于網絡入口或內網環境，對傳統攻擊的檢測有很高的成功率，是APT攻擊檢測中必不可少的一道防線，但APT攻擊隱蔽性強且時間跨度大，僅憑借惡意代碼檢測很難做到高攔截、低誤報。

1.2 基于網絡流量的檢測技術

基于網絡流量的檢測技術是通過機器學習相關算法對網絡中流量進行檢測，分析可能存在的惡意行為。從網絡層分析，檢測技術重點在于網絡連接特征檢測和可疑地址追蹤；從應用層分析，重點是協議數據監測和C&C流量分析。董剛[6]等提出基于網絡連接特征屬性的入侵檢測模型識別APT攻擊，對采集的數據流量樣本進行多維度特征提取，與正常的多維度屬性特征值相比較，對得到的異常可疑流量進行實時報警。王曉琪[7]等提出一種基于隱蔽可疑DNS行為檢測的協助檢測APT攻擊框架APDD，利用CAA算法進行變化向量分析和滑動時間窗口分析，得出待檢測域名訪問記錄與標準APT攻擊中DNS訪問記錄的相似度，通過基于特征維度的信譽評分系統打分，判斷APT攻擊行為。張家偉[8]等提出一種抗APT攻擊的可信軟件基體系，從硬件角度出發，實現了APT攻擊內核級防范，但體系整體核心在于完善完整性度量組件，對于白名單組件安全性略有欠缺。

基于網絡流量的檢測技術優勢在于可形成事件時空關聯，進行事件聯合分析，而過寬的時間域會在一定程度上影響檢測效率，且這種檢測方式一般發生在攻擊之后，對數據回傳行為做判定，也能作為防范APT攻擊的一道防線。

1.3 大數據分析檢測技術

大數據分析檢測技術可以從兩個維度分析：一是在來源多樣、體積巨大的數據基礎上，運用特定算法做檢測；二是通過數據挖掘算法形成多設備上下文關聯進行檢測。王小英[9]等提出面向APT攻擊網絡安全威脅隱蔽目標識別方法，利用數據挖掘領域的關聯規則構建APT攻擊隱蔽目標識別的總體框架，整合數據鏈路層、網絡層及應用層所產生的日志形成上文，利用檢測算法，匹配數據庫，計算可信度，進而識別APT攻擊。黃永洪[10]等引入攻擊圖理論，提出了針對APT攻擊的風險屬性攻擊圖(RAAG)模型，利用系統脆弱性節點判斷算法評估系統中存在的APT攻擊風險。

大數據分析技術包含了惡意代碼檢測技術和基于網絡流量檢測技術，由于產生數據的位置不同，對應的防護重點也不同，因此應貫穿于攻擊的整個生命周期。

1.4 博弈論觀點

博弈論通過量化攻擊要素、分析節點、求取均衡來防范APT攻擊。張為[11]等提出基于節點博弈而改進的OAPG(Attack path prediction model Oriented to APT)模型，通過漏洞風險分析算法計算可疑行為的風險系數，進而對APT攻擊路徑進行建模，計算攻防雙方的最大收益，分析均衡策略找到最優防御方案。李靜軒[12]等從決策角度出發，研究APT攻防對抗過程中博弈雙方過程性目標與多階段策略對峙過程中可行策略集的動態、隨機變化等問題，整合和擴展矩陣型攻防博弈和Markov決策過程，提出APT攻防隨機博弈模型AO-ADSG。以上研究將博弈論觀點引入APT攻防對抗中，通過刻畫多階段攻防場景，從攻防雙方收益的角度分析APT攻擊，以此防范攻擊。

2 綜合防御框架

APT攻擊生命周期很長，僅依靠單一的防御方法很難有效防范攻擊。因此，綜合性防御框架能夠更好地針對攻擊。孫文君[13]等以2010年Kordy[14]等提出的基于攻防樹的網絡安全分析模型為理論依據，提出一種基于攻防樹的APT風險評估方法。杜鎮宇[15]等提出基于Petri網的APT攻擊模型，以改進的入侵殺傷鏈IKC(intrusion kill chain)模型為基礎，分析九元組 APTPN生成算法結果，通過觸發變遷完成庫所狀態的轉換，由矩陣向量分析得到APT攻擊的Petri網模型圖，更加直觀清晰地表達APT攻擊威脅級別，但模型生成算法普適性較弱。楊豪璞[16]等通過分析APT攻擊A特性(先進性)和P特性(持續性)，提出基于階段特性的APT攻擊行為分類框架，對APT攻擊行為的劃分細粒度較高，但分類算法對預設攻擊情景針對性過強，普遍適用性較弱。戴震[17]等提出基于通信特征的APT攻擊檢測架構，采用Heiritrix框架爬網得到相關文件，匹配文件關鍵詞，提取特征，再由人工篩選特征，使用的雙層特征匹配算法，在準確率和誤報率上要優于單次特征匹配，但一定程度上增加了時間復雜度。陳瑞東[18]等在動態變形攻擊模型與檢測機制中提出基于金字塔的展開模型，用來預測可能的攻擊路徑。潘亞峰[19]等設計并構建了一種基于ATT&CK的APT攻擊語義規則模型框架。

多數文獻對APT攻擊的防御方式集中在惡意代碼檢測技術、大數據分析檢測技術、網絡流量和網絡連接特征檢測技術，將機器學習等算法應用于APT攻擊防范是未來研究的熱點。

3 非傳統網絡環境的APT攻擊防御方法

APT攻擊對傳統網絡拓撲環境造成了很大的威脅，近年來，云計算、工業網絡、移動終端等也面臨著APT攻擊。胡晴[20]等從非合作博弈的角度研究了云計算系統的APT攻擊，提出了基于專家系統的APT攻擊云端檢測博弈模型，設置了APT攻擊者和APT防御者兩個參與人，考慮虛警率和漏報率兩個重要指標，建立了混合策略ES-APT檢測博弈靜態模型和基于WoLF-PHC的動態ES-APT檢測模型。張浩[21]等提出了參考性的云平臺下的APT攻擊防護框架，闡述了在云環境中對APT攻擊的檢測、監控與溯源方法。XiaoyingWang[22]等提出基于時空關聯分析的工業互聯網APT攻擊發現算法，對原始數據進行整合清理與標準化，通過符號化方法將每個特征簡化為一個唯一的符號，用于規則挖掘；采用FP-Growth關聯規則挖掘算法經常同時出現的時間特征、空間特征和類別特征，以最小支持度作為度量，過濾掉低于最小支持度的項集，最終形成關聯規則，在數據檢索方面，使用改進的Bloom-fliter算法檢索歷史數據，發現可疑IP地址，降低了空間復雜度，但增加了時間復雜度。胡彬[23]等提出了集終端狀態監控與轉發、日志數據預處理、特征提取、模型訓練及預測、告警監控及配置于一體的移動端APT檢測模型，對移動端的APT攻擊有很強的針對性，采用靜態分析和動態分析相結合的方式，有效地將移動端惡意攻擊行為量化。

面對非傳統網絡環境下的APT攻擊，防御方法和普通APT攻擊有很大的相似性，其難點在于如何將云計算、工控系統、移動終端等環境的技術特點與高效的防護手段相結合。

4 結語

APT攻擊防護的難點在于攻防雙方信息的不對稱性，攻擊方式和渠道多元化，而防守偏被動，因此應貫徹縱深防御思想，提高安全意識，將多種防御技術手段相結合，以對抗APT攻擊。