基于大數(shù)據(jù)的APT攻擊方法和檢測方法

摘 要：目前網(wǎng)絡(luò)世界最為厲害的攻擊是有針對性的攻擊，我們也稱之為APT攻擊——高級持續(xù)性威脅，本文就是通過對這一攻擊的方法進(jìn)行全面的分析與深刻思考，讓我們在檢測這一攻擊時找到突破口，并且在參考資料后，進(jìn)行了幾項(xiàng)APT攻擊方法的檢測方案，比如說：沙箱方案，異常檢測方案等。對APT攻擊有了詳細(xì)的解釋與說明，當(dāng)我們再次面對APT攻擊時不再迷茫。

關(guān)鍵詞：APT攻擊；沙箱；全流量；異常檢測

中圖分類號：TP393.08

最近一段時間，總是有一些公司會遭到APT的攻擊，這吸引了越來越多人的眼球。APT（Advanced Persistent Threat）——高級持續(xù)性威脅。通過名稱我們就可以從以下幾個方面著手了解APT：（1）高級性：APT的攻擊目標(biāo)非常明確，因?yàn)樗褂昧溯^為豐富的嗅探手段和全面的情報(bào)搜集工具；（2）持續(xù)性：APT攻擊的偵察和攻擊過程持續(xù)時間很長，它會持續(xù)潛伏在網(wǎng)絡(luò)內(nèi)部，以達(dá)到它的最終目的；（3）高度隱蔽性：APT攻擊侵入既定目標(biāo)后，通常會采用在系統(tǒng)底層建立隱蔽后門通道并加入數(shù)字簽名的方法偽裝成合法程序運(yùn)行在主機(jī)上。

1 APT攻擊方法

APT攻擊手段雖然很復(fù)雜，但是APT的攻擊過程[1]大致相同，相當(dāng)清晰，可以分為五個方面。第一部分是情報(bào)搜集階段，在進(jìn)行攻擊目標(biāo)之前，會進(jìn)行有關(guān)目標(biāo)所有情報(bào)的搜集。第二部分是進(jìn)入點(diǎn)，APT攻擊通過0day漏洞，使用搜集到的大量信息，攻擊既定的目標(biāo)主機(jī)，將惡意程序發(fā)送到目標(biāo)主機(jī)上然后誘使用戶運(yùn)行該惡意程序。另一種方法是向既定目標(biāo)發(fā)送含有惡意URL的Email，當(dāng)打開這一郵件時，就會自行下載惡意程序，并且執(zhí)行程序，已達(dá)到目的。第三部分是命令與控制階段，APT攻擊通過搜尋是否存有敏感信息來確定是否為重要計(jì)算機(jī)，找到目標(biāo)計(jì)算機(jī)之后就會通過網(wǎng)絡(luò)通信協(xié)議與之建立通信，在被控計(jì)算機(jī)和CC服務(wù)器之間建立一個穿過內(nèi)網(wǎng)防火墻的秘密通道，并且確認(rèn)入侵成功的計(jì)算機(jī)和CC服務(wù)器保持通信。第四階段是橫向擴(kuò)展階段，利用通道尋找重要信息，確立目標(biāo)系統(tǒng)，APT在目標(biāo)網(wǎng)絡(luò)中通過搜尋是否存有敏感信息來確定是否為重要計(jì)算機(jī)，找到目標(biāo)計(jì)算機(jī)之后利用包含特定算法的技巧和工具，使攻擊者的使用權(quán)限達(dá)到更高級別，讓攻擊者可以輕松地訪問和控制目標(biāo)計(jì)算機(jī)。第五部分是資料挖掘與傳輸階段，攻擊者利用高級規(guī)避技術(shù)將數(shù)據(jù)向指定機(jī)器或外網(wǎng)傳輸，傳輸?shù)姆椒ㄓ泻芏?，例如可以偽裝成可信數(shù)據(jù)，DNS流量等。

2 APT攻擊對傳統(tǒng)檢測技術(shù)形成的挑戰(zhàn)

就目前來看，APT攻擊為我們的傳統(tǒng)的檢測技術(shù)帶來了兩大難以解決的問題[2]：A問題：也就是高級入侵手段引發(fā)的問題。相較于傳統(tǒng)的攻擊手段，APT攻擊具有以下幾點(diǎn)特殊的優(yōu)勢：（1）單點(diǎn)隱蔽能力強(qiáng)；（2）攻擊空間路徑不確定；（3）攻擊渠道不確定；（4）基于特征匹配的邊界防護(hù)技術(shù)難以應(yīng)對。P問題：即持續(xù)性攻擊所帶來的問題。

3 APT攻擊的檢測方案

沙箱方案：這一方案是為了解決高級入侵手段引起的問題的，即解決特征匹配對新型攻擊的滯后性而產(chǎn)生的解決方案。攻擊者利用0day漏洞，使特征碼的匹配不成功，這樣我們就可以對癥下藥使用非特征匹配，利用沙箱技術(shù)識別0day漏洞攻擊和異常行為。沙箱方案的原理是將實(shí)時流量先引進(jìn)虛擬機(jī)或者沙箱，通過對沙箱的文件系統(tǒng)、進(jìn)程、網(wǎng)絡(luò)行為、注冊表等進(jìn)行監(jiān)控，監(jiān)測流量中是否包含了惡意代碼。相較于一般傳統(tǒng)的特征匹配技術(shù)，沙箱方案對未知的惡意程序攻擊具有較好的檢測能力。

異常檢測方案：這一方案是同時解決兩大問題的，即為解決特征匹配和實(shí)時檢驗(yàn)不足而產(chǎn)生的解決方案。這一方案是利用將網(wǎng)絡(luò)中正常行為產(chǎn)生的數(shù)據(jù)量建立一個模型，通過將所有數(shù)據(jù)量與這一標(biāo)準(zhǔn)模型進(jìn)行對比，從而找出異常的數(shù)據(jù)量。正如警察在抓捕壞人時的方法是一致的，由于警察并不知道壞人的姓名，性別，長相已經(jīng)其他行為特征，但是警察是知道好人的行為特征的，他可以利用這些行為特征建立一個可行的標(biāo)準(zhǔn)模型，當(dāng)一個人的行為特征與現(xiàn)有的好人的行為特征模型大部分不相符時，警察就可以判斷這個人不是個好人，是一個危險(xiǎn)人物。異常檢測的核心技術(shù)是基于連接特征的惡意代碼檢測規(guī)則、基于行為模式的異常檢測算法、元數(shù)據(jù)提取技術(shù)。

基于連接特征的惡意代碼檢測方案，是用來檢測已知的木馬通信行為?；谛袨槟Ｊ降漠惓z測算法包含可疑加密文件傳輸?shù)?。全流量審?jì)方案：這一方案是解決A，P問題的，即是為了解決傳統(tǒng)特征匹配不足而產(chǎn)生的解決方案。這一方案的核心思想是通過對檢測到的流量進(jìn)行應(yīng)用識別，還原所發(fā)生的異常行為。它的原理是對流量進(jìn)行更為深刻的協(xié)議解析和應(yīng)用還原，識別這些網(wǎng)絡(luò)行為中是否包含有攻擊行為。當(dāng)檢測到可疑性攻擊行為時，回溯分析與之相關(guān)的流量。包含了大數(shù)據(jù)存儲處理，應(yīng)用識別和文件還原等技術(shù)。這一方案具備強(qiáng)大的實(shí)時檢測能力和事后回溯能力，是將計(jì)算機(jī)強(qiáng)大的存儲能力與安全人員的分析能力相結(jié)合的完整解決方案。

基于記憶的檢測系統(tǒng)[3]：這是一個由全流量審計(jì)與日志審計(jì)相結(jié)合形成的系統(tǒng)，APT攻擊發(fā)生的時間很長，我們應(yīng)該對長時間內(nèi)的數(shù)據(jù)流量進(jìn)行更加深入，細(xì)致的分析。這一檢測系統(tǒng)具體分為四個步驟：（1）擴(kuò)大檢測領(lǐng)域：對數(shù)據(jù)流量的檢測領(lǐng)域進(jìn)行適當(dāng)?shù)耐卣?，將全流量?shù)據(jù)進(jìn)行有效的存儲，進(jìn)一步進(jìn)行深入的分析。（2）將數(shù)據(jù)量進(jìn)行精煉化：將龐大的數(shù)據(jù)進(jìn)行精煉化，將全流量中的數(shù)據(jù)進(jìn)行篩選，將與攻擊行為沒有任何相關(guān)性的數(shù)據(jù)進(jìn)行及時的刪除，同時保留有相關(guān)性的數(shù)據(jù)流量，能夠釋放出更大的空間。挑選，刪除無相關(guān)性達(dá)到數(shù)據(jù)流量，可以依靠的第三方的檢測報(bào)警設(shè)備，也可以利用全數(shù)據(jù)流量的異常檢測技術(shù)。（3）對檢測出的攻擊行為進(jìn)行精確的報(bào)警：將保存下來的與攻擊行為有關(guān)的數(shù)據(jù)進(jìn)行后續(xù)分析，做出進(jìn)一步的精確的報(bào)警。（4）構(gòu)建攻擊的場景：我們將上一步做出的精確的報(bào)警進(jìn)行關(guān)聯(lián)性的分析，明確它們之間存在了哪些語義關(guān)系，將孤立的攻擊報(bào)警提取出來，構(gòu)建全面的，整體性的攻擊場景。

基于深層次協(xié)議解析的異常識別方案：可以仔細(xì)檢查發(fā)現(xiàn)是哪一種協(xié)議，一個數(shù)據(jù)在哪個地方出現(xiàn)了異常，直到找出它的異常點(diǎn)時停止檢測。攻擊溯源方案：通過已經(jīng)提取出來的網(wǎng)絡(luò)對象，可以重建一個時間內(nèi)可疑的所有內(nèi)容。通過將這些事件重新排列順序，可以幫助我們迅速的發(fā)現(xiàn)攻擊源。

4 APT攻擊的防護(hù)措施

防嗅探網(wǎng)絡(luò)：這一步是設(shè)立一個障礙，降低了主機(jī)信息與網(wǎng)絡(luò)信息的泄露率，保護(hù)了我們內(nèi)部網(wǎng)絡(luò)的隱私與安全。操作如下：（1）盡量在網(wǎng)絡(luò)中使用交換機(jī)和路由器，將網(wǎng)絡(luò)精細(xì)化，使攻擊者嗅探到的數(shù)據(jù)量減少。（2）將會話加密，這樣即使攻擊者捕捉到了你的數(shù)據(jù)，對他來說也是毫無用處的。（3）安裝防火墻，在網(wǎng)絡(luò)邊界處加上防火墻既可以高效、迅速的攔截嗅探的數(shù)據(jù)包，又可以防止來自內(nèi)部的嗅探信息。

網(wǎng)絡(luò)異常行為檢測：從APT的攻擊的大致流程我們可以看出，異常的網(wǎng)絡(luò)行為包括對用戶內(nèi)部網(wǎng)絡(luò)的非授權(quán)訪問、對用戶內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描等。這些都是異常的網(wǎng)絡(luò)行為和異常的用戶行為。所以需要對網(wǎng)絡(luò)內(nèi)部的異常行為進(jìn)行監(jiān)控和搜集，更進(jìn)一步的對搜集的信息進(jìn)行分類和分析。

5 結(jié)束語

在大多數(shù)情況下，APT攻擊方法是復(fù)雜的，難以檢測的，它的表現(xiàn)會更多樣化，這將對網(wǎng)絡(luò)信息安全造成新的威脅，但是同時大數(shù)據(jù)也為我們追逐APT攻擊并做好安全防御提供了更加切實(shí)有效的方法。網(wǎng)絡(luò)環(huán)境復(fù)雜多變，依靠單方面的力量來檢測APT攻擊還不大可靠，我們要實(shí)現(xiàn)一個以時間抵抗時間的策略，對長時間、全流量的大數(shù)據(jù)進(jìn)行監(jiān)測和分析，方可彌補(bǔ)傳統(tǒng)的實(shí)時監(jiān)測和特征匹配的不足。

參考文獻(xiàn)：

[1]張帥.對APT攻擊的檢測與防御[J].信息安全與技術(shù)，2011（09）：125-127.

[2]啟明星辰，周濤.依靠大數(shù)據(jù)處理技術(shù)應(yīng)對APT攻擊[J].人民郵電，2012（07）：第008版.

[3]劉昕，大數(shù)據(jù)背景下的APT攻擊檢測與防御[J].網(wǎng)絡(luò)與信息工程，2014（02）：80-81.

作者簡介：馬琳（1993-），女，甘肅人，學(xué)生，信息安全專業(yè)。

作者單位：武漢大學(xué) 計(jì)算機(jī)學(xué)院，武漢 430072