面向APT攻擊的網絡安全防護體系能力分析

倪振華，劉靖旭，王澤軍，劉 鵬

(解放軍信息工程大學，鄭州 450001)

?

【信息科學與控制工程】

面向APT攻擊的網絡安全防護體系能力分析

倪振華，劉靖旭，王澤軍，劉 鵬

(解放軍信息工程大學，鄭州 450001)

分析了預防高級可持續(xù)攻擊(Advanced Persistent Threat，APT)技術和攻擊流程，并在PPDR網絡安全防護模型的基礎上，構建了面向APT攻擊的網絡安全防護體系；利用系統(tǒng)動力學方法，建立體系能力模型，并進行仿真分析，為進一步提高網絡安全防護能力提供決策建議。

APT攻擊；系統(tǒng)動力學；仿真分析

隨著計算機技術和互聯網的不斷發(fā)展，網絡信息系統(tǒng)所面臨的安全問題日趨嚴重。APT(Advanced Persistent Threat)即高級可持續(xù)攻擊，是近幾年出現的新型綜合性網絡攻擊手段，具有針對性、持續(xù)性、多態(tài)性、隱蔽性等特點[1]。 目前，許多學者提出了不同的防御APT攻擊的信息安全框架，為網絡信息系統(tǒng)的構建提供了重要的參考依據，而檢驗防護體系是否合理有效，分析和優(yōu)化網絡安全防護體系能力顯得尤其重要[2-6]。

系統(tǒng)動力學(System Dynamics，SD)是美國麻省理工學院的Jay W.Forrestet教授提出的研究系統(tǒng)動態(tài)行為的一種計算機仿真技術，根據系統(tǒng)論、控制論、信息論以及系統(tǒng)理論等，運用定性與定量相結合的方法對網絡安全防護體系能力展開分析，能夠查找網絡體系構架的薄弱環(huán)節(jié)，做好針對性的補救措施。

1 面向APT攻擊的網絡安全防御流程

APT攻擊是傳統(tǒng)網絡入侵、滲透手段的集成和綜合運用，其攻擊過程可概括為6個階段：偵查準備階段、代碼傳入階段、初次入侵階段、保持訪問階段、擴展行動階段和攻擊收益階段[8]。與傳統(tǒng)攻擊相比，APT攻擊具有更強的組織性，其攻擊目標更加明確、攻擊手段更加復雜，造成的危害也更大。

1.1 APT攻擊防御核心技術

1) 沙箱技術。如果攻擊者利用零日漏洞實施攻擊，傳統(tǒng)的特征匹配檢測技術將無法應對，使用沙箱技術識別未知攻擊與異常行為是一個很有效的方法。

2) 信譽技術。安全信譽是對網絡資源和服務相關實體安全可信性的評估和看法，建立包括WEB URL信譽庫、文件MD5碼庫、僵尸網絡地址庫、威脅情報庫等，可以為新型病毒、木馬等APT攻擊的檢測提供強有力的技術輔助支撐，實現網絡安全設備對不良信譽資源的阻斷或過濾。

3) 異常流量分析技術。通過對流量建模，識別異常行為。由于無法提取未知攻擊的特征，只能先對正常的網絡行為建模。當發(fā)現網絡連接的行為模式明顯偏離正常模型時，就可能存在網絡攻擊。

4) 密碼技術。針對APT攻擊的過程中控制權限的非法獲取和重要信息資產的竊取，相應地使用密碼技術，能夠更好地保護系統(tǒng)的安全。

5) 大數據技術。通過對網絡數據分析，將可疑的網絡掃描信息、Web會話、Email記錄、防火墻日志等信息進行智能化關聯分析，將傳統(tǒng)的基于時間點的檢測轉變?yōu)榛跉v史時間窗的檢測。

1.2 網絡安全防御流程

針對APT攻擊的6個階段，需要在每個攻擊階段運用相應的技術策略進行防御。面對APT攻擊的偵查準備階段，需要更多地應用管理技術來預防。通過加強管理手段、法規(guī)制度等，加強對人員以及組織的安全管理。面對APT攻擊的后5個階段，則更多地應用技術手段來應對，結合APT攻擊防御核心技術的同時，應用傳統(tǒng)的安全防護技術，如IDS/IPS入侵檢測、安全網關、監(jiān)控審計等。

同時，利用大數據技術，對相關安全事件進行縱向與橫向關聯分析，建立如圖1所示的網絡安全防御流程。

圖1 面向APT攻擊的網絡安全防御流程

2 面向APT攻擊的網絡安全防護體系框架構建

2.1 PPDR網絡安全防護模型

PPDR模型，如圖2所示，是美國國際互聯網安全系統(tǒng)公司(ISS)在90年代末提出來的，由動態(tài)的管理角度給出目標系統(tǒng)防御基本原則，現今此模型已成為國際認可的、實際可操作、信息指導系統(tǒng)安全建設與安全運營模型構架[9]。PPDR模型遵循整體安全策略控制跟指導，全面結合了防御工具(像防火墻、系統(tǒng)操作的身份認證、加密等手段)，同時利用檢測工具(像漏洞評估、入侵檢測等系統(tǒng))了解、評估系統(tǒng)安全狀態(tài)，把系統(tǒng)恢復到“安全性最高”、“風險最低”狀態(tài)。防御、檢測跟響應組成一個完整、動態(tài)安全循環(huán)，PPDR模型是一個動態(tài)模型，其中引進了時間的概念，而且對如何實現系統(tǒng)安全，如何評估安全的狀態(tài)，給出了可操作性的描述。

圖2 PPDR模型

PPDR模型給網絡安全管理提供了方法，所有的安全問題都可以在統(tǒng)一的策略指導下，采取防護、檢測、響應等不斷循環(huán)的動態(tài)過程。然而，PPDR安全模型唯一的動態(tài)因素是建立在檢測上，而解決手段僅僅是防護。如果要使這種安全模型取得成功必然要依賴系統(tǒng)正確的設置和完善的防御手段，并且在很大程度上針對固定的威脅和環(huán)境弱點，但它忽略了網絡安全的動態(tài)性特征。

2.2 網絡安全防護體系框架

面向APT攻擊的網絡安全防護體系是一項系統(tǒng)工程，不是對各個系統(tǒng)的簡單羅列，而是對構成網絡安全防護體系各個分系統(tǒng)功能的具體明確，通過對各個分系統(tǒng)的分解，明確各個保障源組成部分的功能及其相互關系。根據PPDR網絡安全防護模型及APT攻擊的防御流程，設計網絡安全防護體系框架如圖3所示。

圖3 面向APT攻擊的網絡安全防護體系框架

1) 安全策略系統(tǒng)。安全策略系統(tǒng)是為了保證網絡安全防護體系能夠高效運行，對體系內的資源進行統(tǒng)一管理分配，使整個體系達到效能最大化的主要組織系統(tǒng)。安全策略系統(tǒng)由人員管理子系統(tǒng)、控制決策子系統(tǒng)、技術保障子系統(tǒng)和法規(guī)制度子系統(tǒng)組成，是整個體系的中樞神經和指揮中心，如圖4所示。

圖4 安全策略系統(tǒng)能力

2) 情報預警系統(tǒng)。情報預警系統(tǒng)是網絡安全防護體系的“眼睛”，是綜合運用各種監(jiān)測設備和信息獲取手段，對可能發(fā)生的情況進行分析處理，從而達到提前預防、減少損失的目的。情報預警系統(tǒng)由情報獲取子系統(tǒng)、情報處理子系統(tǒng)和情報共享子系統(tǒng)組成，在網絡安全防護過程中，對APT攻擊的檢測除了內網本身收集到的數據以外，第三方機構提供的APT攻擊信息對于檢測APT攻擊也至關重要，可以突破單點防護的傳統(tǒng)觀念，有效提高系統(tǒng)防御APT攻擊的能力，如圖5所示。

圖5 情報預警系統(tǒng)能力

3) 安全防護系統(tǒng)。安全防護系統(tǒng)是網絡安全防護體系的基礎，合理運用各種資源，根據不同情況對資源投入量進行調整，使防御效果最大化。安全防護系統(tǒng)由防火墻子系統(tǒng)、數據加密子系統(tǒng)、訪問控制子系統(tǒng)和網絡欺騙子系統(tǒng)等組成，安全防護系統(tǒng)的運行直接影響著整個防護過程，如圖6所示。

圖6 安全防護系統(tǒng)能力

4) 信息防護系統(tǒng)。信息防護系統(tǒng)是網絡安全防護體系的重要支撐，通過各種技術手段的使用，對體系內數據進行加密、隱藏甚至欺騙，從而達到防護的目的。信息防護系統(tǒng)由身份認證子系統(tǒng)、監(jiān)控審計子系統(tǒng)、入侵檢測子系統(tǒng)和病毒防護子系統(tǒng)組成，確保信息的完整性、保密性和可用性，如圖7所示。

圖7 信息防護系統(tǒng)能力

5) 響應恢復系統(tǒng)。響應恢復系統(tǒng)是對體系內各信息系統(tǒng)的運行進行安全評估，在出現安全威脅時自動處理。響應恢復系統(tǒng)由系統(tǒng)重構子系統(tǒng)、應急響應子系統(tǒng)、數據恢復子和攻擊溯源子系統(tǒng)等組成，確保在各種情況下體系的正常運轉，如圖8所示。

圖8 響應恢復系統(tǒng)能力

3 面向APT攻擊的系統(tǒng)動力學模型

網絡安全防護體系能力發(fā)揮的最終目的是有效阻止APT攻擊以及消除體系內部的木馬后門，恢復系統(tǒng)受感染損壞的資源。通過分析體系能力，對網絡安全防護體系能力構成要素發(fā)揮功能的程度和重要性進行衡量，找出關鍵要素、核心環(huán)節(jié)和防御弱點，為更好地發(fā)揮防護能力提出改進措施。

3.1 APT攻擊過程描述

根據APT攻擊的6個階段和攻擊特性，選取網絡安全防護體系中的一部分，假設共有節(jié)點N,攻擊過程簡化如圖9所示[10-11]。

圖9 APT攻擊過程

針對某種未知APT攻擊來說，S(t)表示當前網絡中易感染節(jié)點的數目，E(t)表示APT攻擊已經取得后門權限節(jié)點的數目，I(t)表示已經被感染節(jié)點的數目，R(t)表示通過有效的防護手段變成免疫節(jié)點的數目。

(1)

(2)

(3)

(4)

(5)

其中γ定義為S(t)轉變?yōu)镋(t)的速率，ε定義為E(t)轉變?yōu)镮(t)的速率，μ定義為E(t)轉變?yōu)镽(t)的速率，λ定義為I(t)轉變?yōu)镽(t)的速率，ω為延時函數。式(1)說明了易感染節(jié)點個體數量的變化率隨著易感染個體和取得后門個體的數量上升而下降，這同樣也受限于式(2)，因為易感染節(jié)點個體的數量以與已經取得后門權限節(jié)點個體數量相反的方向增加或減少。式(2)說明了取得后門權限節(jié)點個體數量的變化率根據易感染節(jié)點個體和取得后門權限個體的數量之比增加或減少，其中還需要減去感染節(jié)點和免疫節(jié)點個體的數量。式(3)、(4)表達了一個簡單的線性關系。式(5)說明整個網絡節(jié)點個數保持恒定，與每個狀態(tài)的數量無關。

3.2 面向APT攻擊的系統(tǒng)動力學流圖

本文在分析前述構建的網絡安全防護體系框架的基礎上，選取影響網絡安全防護體系能力的重要因素，把體系中E(t)、I(t)和R(t)作為水平變量，建立面向APT攻擊的系統(tǒng)動力學流程如圖10所示。

圖10 面向APT攻擊的系統(tǒng)動力學流圖

其中主要參數方程：

γ=E*S*入侵強度/信息防護能力/情報準確性/管理控制能力/節(jié)點重要性；

E=INTEG(γ-ε-μ,10);

ε=DELAY FIXED(攻擊率,ω1,0);

I=INTEG(ε-λ,0);

λ=DELAY FIXED(病毒木馬清除能力,ω2,0);

ω1=ω2；

R=INTEG(λ+μ,0);

μ=攻擊識別率。

4 模型仿真分析

為了分析各變量在網絡安全防護體系中的作用和地位，針對面向APT攻擊的系統(tǒng)動力學流圖，對各變量賦初值，并通過調整關鍵變量的取值，看E(t)、I(t)和R(t)的變化曲線，剖析結果。

假設網絡安全防護體系運行過程中，設置INITIAL TIME=0，FINAL TIME=50，TIME STEP=0，Units for time單位為天，初始節(jié)點N=100，E(t)的初始值為10，運行Vensim軟件模擬，可得各個變量的仿真結果，分析相關變量對仿真結果造成的影響。

圖11所示為各變量取初值時，網絡安全防護體系內節(jié)點的變化曲線。在網絡防護過程中，γ隨著時間的變化，增加會慢慢變緩，同時E(t)受其影響，開始增加較快，之后也會隨著時間增加慢慢變緩。觀察所構建模型的仿真結果，可以發(fā)現網絡安全防護體系系統(tǒng)動力學模型和實際防護過程效果基本一致，隨著時間增長，節(jié)點中存在漏洞的個數會越來越少，體系內被植入后門的節(jié)點都是先增加后減少，最后在體系整體作用下，植入后門的節(jié)點趨于零；I(t)在延時函數的作用下，過了病毒的潛伏期或者由于攻擊者直接控制，受感染的節(jié)點會逐漸增加。R(t)受攻擊識別率和病毒木馬清除能力的影響，也會慢慢增加，但受限于μ和λ的影響。

圖11 γ、E(t)、I(t)和R(t)的變化趨勢

圖12所示為調整安全策略能力、情報預警能力、安全防護能力、信息防護能力和響應恢復能力后，使γ值變小后E(t)、I(t)和R(t)變化趨勢。通過增強安全策略能力，提升情報預警能力或者加強安全防護能力，使得γ變小，說明以上措施能夠有效減少S(t)被植入后門的速率，使 E(t)增加的速率變慢。

圖12 γ值變小后的變化趨勢

分析模型的仿真結果，可以得出以下結論：

1) 面向APT攻擊的網絡安全防護體系依賴于各個系統(tǒng)能力的合成。從仿真結果可知，在面向APT攻擊初始，系統(tǒng)處于被動狀態(tài)，體系內被植入后門以及受感染的節(jié)點處于增加的狀態(tài)，隨著時間的增加，各系統(tǒng)發(fā)揮各自作用，使系統(tǒng)逐漸恢復，被植入后門的節(jié)點和被感染節(jié)點數目減少，轉變成免疫節(jié)點。

2) 體系內各系統(tǒng)能力的增加能夠提升體系整體防御能力。各系統(tǒng)能力增加，都能使得體系防御能力增加，但也不是無止盡地增加，同時還需要各系統(tǒng)的配合。如單純增加信息防護能力，會使系統(tǒng)內網絡變得更復雜，同時人員增多使得管理控制能力下降，對于體系維護造成困難，維護成本也相應提高。

3) 體系內模擬數值與真實網絡環(huán)境有一定差距。網絡安全防護體系內各系統(tǒng)能力量化受主觀影響較大，且攻擊者發(fā)動攻擊的延遲無法與真實情況相符，只能取出平均值，這在網絡安全防護中是至關重要的，數據的竊取破壞往往持續(xù)時間較短。

5 結束語

本文運用系統(tǒng)動力學的方法對面向APT攻擊的網絡安全防護體系能力進行了分析，通過研究，對建設和提高體系防護能力有一定的積極意義，但如何合理配置體系資源，以及各種力量手段的應用，還需要進一步的研究。

[1] 陳劍峰,王強,伍淼.網絡APT攻擊及防范策略[J].信息安全與通信保密,2012(7)：24-27.

[2] 李鳳海,李爽,張佰龍.高等級安全網絡抗APT攻擊方案研究[J].信息網絡安全，2014(8)：109-114.

[3] 杜躍進,翟立東,李躍.一種應對APT攻擊的安全架構：異常發(fā)現[J].計算機研究與發(fā)展,2014(7)：1633-1645.

[4] 許婷.一種有效防范APT攻擊的網絡安全架構[J].信息安全與通信保密,2013(6)：65-67.

[5] 高赟,周薇,韓翼中.一種基于文法壓縮的日志異常檢測算法[J].計算機學報,2014(1)：73-86.

[6] 周濤.大數據與APT攻擊檢測[J].信息安全與通信保密,2012(7)：29.

[7] 鐘永光,賈曉菁,李旭.系統(tǒng)動力學[M].北京：科學出版社,2009.

[8] 付鈺,李洪成,吳曉平,等.基于大數據分析的APT攻擊檢測研究綜述[J].通信學報,2015(11)23-26.

[9] 王永光.基于petri網的網絡安全防御體系評估模型的研究[D].長沙：湖南大學,2014.

[10]胡向東，劉竹林． 網絡化測控系統(tǒng)的信息安全方法研究[J].重慶理工大學學報(自然科學)，2016(5)：81-87.

[11]TED G.Lewis/NETWORK SCIENCE Theory and Applications[M].北京：機械工業(yè)出版社,2011.

(責任編輯 楊繼森)

Ability Analysis of Network Security Protection System for APT Attack

NI Zhen-hua, LIU Jing-xu, WANG Ze-jun, LIU Peng

(The PLA Information Engineering University, Zhengzhou 450001, China)

The technology of Advanced Persistent Threat (APT) attack and the process of attack were analyzed. Based on PPDR network security protection model, the network security protection system for APT attack was constructed. Based on the system dynamics method, the system capability model was established for the APT attack process, and the simulation analysis was carried out to provide the decision-making for further improving the network security protection capability.

APT attack; system dynamics; simulation analysis

2016-11-02；

2016-12-22

全軍軍事類研究生資助課題(2015JY129) 作者簡介：倪振華 (1986—)，男，碩士研究生，主要從事軍事管理評估與決策研究。

10.11809/scbgxb2017.04.028

倪振華，劉靖旭，王澤軍，等.面向APT攻擊的網絡安全防護體系能力分析[J].兵器裝備工程學報，2017(4):127-131.

format:NI Zhen-hua, LIU Jing-xu, WANG Ze-jun, et al.Ability Analysis of Network Security Protection System for APT Attack[J].Journal of Ordnance Equipment Engineering,2017(4):127-131.

TP451

A

2096-2304(2017)04-0127-05