淺談利用威脅情報面向攻擊溯源

摘 要：網(wǎng)絡安全環(huán)境日趨復雜，攻擊溯源技術(shù)已成為現(xiàn)有安全體系的重要挑戰(zhàn)，威脅情報的出現(xiàn)，提供對攻擊源的數(shù)據(jù)支持，對可能出現(xiàn)的各種攻擊溯源?，F(xiàn)實中的網(wǎng)絡攻擊發(fā)起者，范圍非常廣泛，不僅有個人攻擊者，還有資源豐富的犯罪團伙，甚至還包括代表國家利益的黑客團隊。這些攻擊者往往是長期“潛伏”和“伺機而動”，具有極高的目的性，他們使用各種技術(shù)和程序或破壞或中斷系統(tǒng)來進行金融詐騙，竊取知識產(chǎn)權(quán)或敏感信息。

關(guān)鍵詞：威脅情報；攻擊溯源；APT；情報共享

引言

隨著網(wǎng)絡空間的規(guī)模幾何狀擴張和復雜度的增加，針對網(wǎng)絡空間的攻擊與威脅也越來越多，網(wǎng)絡安全威脅已經(jīng)不再是簡單的病毒侵襲和黑客入侵兩個方面。攻擊溯源技術(shù)已成為現(xiàn)有安全體系的重要挑戰(zhàn)，威脅情報的出現(xiàn)，提供對攻擊源的數(shù)據(jù)支持，對可能出現(xiàn)的各種攻擊溯源?，F(xiàn)實中的網(wǎng)絡攻擊發(fā)起者，范圍非常廣泛，不僅有個人攻擊者，還有資源豐富的犯罪團伙，甚至還包括代表國家利益的黑客團隊。這些攻擊者往往是長期“潛伏”和“伺機而動”，具有極高的目的性，他們使用各種技術(shù)和程序或破壞或中斷系統(tǒng)來進行金融詐騙，竊取知識產(chǎn)權(quán)或敏感信息。

近期在網(wǎng)絡安全領(lǐng)域興起以威脅情報為攻擊溯源的新觀念。Gartner公司對威脅情報做出的定義：“威脅情報是對資產(chǎn)存在威脅的行為或危險的行為，并以證據(jù)為基礎(chǔ)的知識，包括環(huán)境，機制，影響和對策建議，以幫助解決威脅或危險的決策?！焙唵蔚恼f，通?？梢詮腃ERT、防病毒公司，安全服務公司，非政府安全組織那里看安全預警公告，漏洞公告，威脅通知等，這些都是典型的安全威脅情報，共享使用威脅情報技術(shù)將成為攻擊溯源的重要手段。從來自各種渠道的威脅情報信息，我們不僅可以為多源數(shù)據(jù)的可追溯性攻擊提供了重要的支持，同時將攻擊溯源從威脅情報信息反饋至其他機構(gòu)和用戶共享，以檢測攻擊防護聯(lián)動處置工作，提供準確的決策支持，正逐漸成為業(yè)界的共識。網(wǎng)絡攻擊溯源雖然已取得了一些研究成果，但網(wǎng)絡的多樣性，復雜性，現(xiàn)有的技術(shù)仍然需要進一步完善和整合。追蹤網(wǎng)絡攻擊溯源指利用各種手段來追蹤網(wǎng)絡攻擊的發(fā)動者，隨著入侵者攻擊手段不斷升級，逃避追蹤可追溯性手段變得越來越靈活，例如匿名網(wǎng)絡，網(wǎng)絡跳板，僵尸網(wǎng)絡等方法在網(wǎng)絡攻擊中大量使用，這給了跟蹤追查工作帶來嚴峻的挑戰(zhàn)。傳統(tǒng)方法的攻擊溯源往往只是一個簡單的技術(shù)，只能獲取部分攻擊信息，無法獲得攻擊的完整鏈條，往往達不到實戰(zhàn)化效果。在攻擊溯源實際工作中，攻擊鏈一旦中斷，往往會導致前功盡棄，讓很多前期工作變得毫無價值和追溯性。

攻擊溯源方面早期研究主要集中在IP地址追蹤，包括基于主機IP的攻擊追溯和網(wǎng)絡追溯。主機IP追蹤的重點是主機認證方面，通過其他渠道來源的身份驗證機制來彌補依據(jù)不足的TCP/IP協(xié)議。美國總統(tǒng)奧巴馬于7月26日發(fā)布總統(tǒng)令：PPD-41，旨在建立一個全國性的網(wǎng)絡攻擊響應鏈，并以附件的形式出臺了《美國網(wǎng)絡事故協(xié)作計劃》。我們可以從這個總統(tǒng)令看到在網(wǎng)絡安全中政府發(fā)揮著重要作用，政府不僅發(fā)揮協(xié)調(diào)的作用，還通過政府的領(lǐng)導和指揮，協(xié)調(diào)企業(yè)和民間力量，共同應對網(wǎng)絡威脅。

安全威脅情報的意義是什么，我們該如何面對？以往的設備和技術(shù)是基于非動態(tài)機制，現(xiàn)在是動態(tài)安全的時代，傳統(tǒng)的方法已經(jīng)難以應對不斷變化和升級的攻擊手段。安全威脅情報正好是以動態(tài)的手段來對抗攻擊者，威脅情報通過不斷被收集、補充、分析、改進、再匯集形成一個閉環(huán)。同時，在不斷升級的新技術(shù)下，也產(chǎn)生新的威脅，如APT的出現(xiàn)、僵尸網(wǎng)絡、0day漏洞、惡意URL地址信息等，這些信息對網(wǎng)絡安全防御是非常有幫助的。2014年初，美國建立的網(wǎng)絡威脅情報整合中心，加強應對網(wǎng)絡威脅，新設立的機構(gòu)和現(xiàn)有的網(wǎng)絡安全機構(gòu)是非常不同的，網(wǎng)絡威脅情報整合中心負責對各部門收集的情報分析，并為其他部門提供分析報告，由此我們可以看到網(wǎng)絡威脅情報在維護網(wǎng)絡安全的重要性。美國國家標準協(xié)會（NIST）對APT的定義是：掌握先進的專業(yè)技術(shù)和有效資源，通過多種攻擊手段，以竊取機密信息，破壞系統(tǒng)程序或阻礙關(guān)鍵任務，或駐留在企業(yè)內(nèi)部網(wǎng)絡中發(fā)動后續(xù)攻擊。我們可以把APT分開理解：

（1）A：高級。攻擊者往往掌握著一般攻擊者沒有的技術(shù)和資源，通過高級而復雜的技術(shù)，采用多種攻擊手段，動態(tài)調(diào)整攻擊方式進行攻擊。

（2）P：持久。攻擊者通過長期連續(xù)的滲透、監(jiān)控、采集、入侵步驟，入侵成功后會繼續(xù)駐留在網(wǎng)絡，等待執(zhí)行后續(xù)攻擊的機會來達到目的。

（3）T：危險。攻擊者通常有雄厚的資金支持，黑客支持、技術(shù)支持等背景，以破壞和竊取大企業(yè)和國家的機密信息為目的，嚴重危害國家的安全利益和社會穩(wěn)定。

舉個例子：

某企業(yè)部署了一套網(wǎng)絡安全威脅態(tài)勢預警系統(tǒng)，有一天該系統(tǒng)中的某個終端異常請求被防火墻攔截了，防火墻將異常攔截數(shù)據(jù)上傳到了安全威脅態(tài)勢預警系統(tǒng)，生成了威脅情報信息；安全威脅態(tài)勢預警系統(tǒng)將這個威脅情報信息下發(fā)到該網(wǎng)絡中所有的安全設備中，所有安全設備馬上進行了排查，并將排查信息和相關(guān)日志匯集到了隔離分析系統(tǒng)，安全技術(shù)人員通過隔離分析系統(tǒng)系統(tǒng)對這個異常請求進行了分析，發(fā)現(xiàn)是一起利用惡意軟件、惡意代碼、計算機病毒的攻擊行為，并通過安全威脅態(tài)勢預警系統(tǒng)完成了整個事件的溯源。溯源后制定了相應安全規(guī)則，再下發(fā)到了其它終端安全設備和下一代防火墻中，所有設備協(xié)同聯(lián)動阻斷了這起攻擊。

APT的先進性和隱蔽性可以輕松穿透傳統(tǒng)安全防線，所以應對高級威脅我們必須要依靠行為檢測進行分析，提交可執(zhí)行和操作的分析結(jié)果，利用威脅情報可以對攻擊溯源提供一定的技術(shù)基礎(chǔ)，但其在實際應用中的效果嚴重依賴于所獲得情報的數(shù)量和質(zhì)量。保證網(wǎng)絡的安全有效運行需要先進的技術(shù)和嚴格的管理制度和法律的威嚴相結(jié)合，這才是最佳安全策略，只有配套建立面向攻擊溯源的威脅情報共享機制才能確保獲得用于攻擊溯源的威脅情報信息，否則威脅情報共享技術(shù)也將成為鏡花水月。其次，攻擊溯源工作需要一個全方位的綜合威脅情報的支持和協(xié)調(diào)機制，需要跨部門的溝通。我國目前的威脅情報的機制缺乏部門之間的統(tǒng)一指揮機制，缺乏有效的溝通和協(xié)作，從而導致攻擊溯源威脅情報信息缺失、遺漏，不能完整的追溯。因此，建議由國家權(quán)威機構(gòu)對攻擊溯源信息共享與建設牽頭帶動，逐步推進和完善國家網(wǎng)絡安全威脅情報和態(tài)勢感知系統(tǒng)建設機制，全國性的網(wǎng)絡威脅情報資料庫。

參考文獻

[1]楊澤明，李強，劉俊榮，等.面向攻擊溯源的威脅情報共享利用研究[J].信息安全研究，2015（1）.

[2]郝堯，陳周國，蒲石，等.多源網(wǎng)絡攻擊追蹤溯源技術(shù)研究[J].通信技術(shù)，2013，46（12）.

[3]王青峰，范艷紅.網(wǎng)絡安全威脅態(tài)勢評估與分析技術(shù)研究[J].計算機光盤軟件與應用，2012（2）：128-129.

[4]林龍成，陳波，郭向民.傳統(tǒng)網(wǎng)絡安全防御面臨的新威脅：APT攻擊[J].信息安全與技術(shù)，2013，4（3）：20-25.

[5]云曉春.威脅情報助力互聯(lián)網(wǎng)應急響應[J].信息安全與通信保密，2015（10）：21-21.

[6]張磊，李維杰.美國《網(wǎng)絡威脅信息共享指南》摘要[J].中國信息安全，2015（6）：86-87.

[7]沈立君.APT攻擊威脅網(wǎng)絡安全的全面解析與防御探討[J].信息安全與技術(shù)，2015，6（8）：66-70.