一種聚合式持續(xù)分析自動(dòng)發(fā)現(xiàn)惡意攻擊源的方法

戴海燕

摘 要

針對(duì)高威脅網(wǎng)絡(luò)安全事件隱蔽性強(qiáng)、攻擊手法多樣難以早期發(fā)現(xiàn)的問題，研究多維度分析評(píng)價(jià)及自動(dòng)篩選高威脅目標(biāo)的方法，采用具備對(duì)高威脅目標(biāo)進(jìn)行歷史事件關(guān)聯(lián)的持續(xù)監(jiān)督技術(shù)，實(shí)現(xiàn)高威脅網(wǎng)絡(luò)安全事件的早期發(fā)現(xiàn)，提升安全預(yù)警能力。本文提出了一種聚合式持續(xù)分析自動(dòng)發(fā)現(xiàn)惡意攻擊源的方法，該方法提出了一種新的威脅度計(jì)算模型，該計(jì)算模型綜合了攻擊源多維度的信息，利用機(jī)器學(xué)習(xí)中的回歸分析方法，針對(duì)具體的網(wǎng)絡(luò)安全環(huán)境，可訓(xùn)練出具體的威脅度計(jì)算模型，利用計(jì)算得到的模型，可對(duì)未知的攻擊源，實(shí)時(shí)進(jìn)行威脅度的計(jì)算，通過威脅度的大小來(lái)自動(dòng)識(shí)別惡意的攻擊源。

【關(guān)鍵詞】聚合式持續(xù)分析 惡意攻擊源 攻擊手段

1 背景分析

隨著大數(shù)據(jù)技術(shù)的快速發(fā)展，使得數(shù)據(jù)采集技術(shù)以及大數(shù)據(jù)存儲(chǔ)得到快速的發(fā)展，將之前各個(gè)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、防病毒設(shè)備、服務(wù)器等孤立的安全告警事件，進(jìn)行了匯集，希望通過關(guān)聯(lián)分析的技術(shù)，機(jī)器學(xué)習(xí)技術(shù)，發(fā)現(xiàn)高威脅的網(wǎng)絡(luò)安全事件，定位高威脅的攻擊源。

目前現(xiàn)有的方法，主要是基于攻擊特征的檢測(cè)，發(fā)現(xiàn)攻擊行為來(lái)定位攻擊源，通過攻擊行為的威脅程度來(lái)定位攻擊源的威脅程度，但是攻擊者采用的攻擊手段不斷變化，而且攻擊過程會(huì)體現(xiàn)反復(fù)持續(xù)的過程，只是通過實(shí)時(shí)的告警事件，來(lái)定位一個(gè)攻擊源的威脅程度，會(huì)面臨這樣幾個(gè)問題，一是由于安全設(shè)備的誤報(bào)，會(huì)導(dǎo)致上報(bào)了大量的攻擊源，對(duì)所有的攻擊源進(jìn)行確認(rèn)，是個(gè)非常浩大的工程；二是攻擊源采用的攻擊手段不斷在變化，發(fā)生的告警事件也會(huì)不斷發(fā)生變化，定位一個(gè)攻擊源的威脅程度，需要結(jié)合歷史情況進(jìn)行綜合分析；三是如何實(shí)時(shí)的結(jié)合歷史，實(shí)時(shí)的發(fā)現(xiàn)那些高威脅的惡意攻擊源，如果基于歷史事件的離線分析，可以事后發(fā)現(xiàn)那些高威脅的惡意攻擊源，但是不是安全監(jiān)測(cè)和分析的目標(biāo)。

高威脅的網(wǎng)絡(luò)安全事件隱藏在海量的安全告警事件中，攻擊手段多樣，持續(xù)時(shí)間較長(zhǎng)，攻擊目標(biāo)精準(zhǔn)，要發(fā)現(xiàn)這些高威脅的攻擊源，需要通過分析機(jī)制從大量的攻擊源中，識(shí)別出可疑的攻擊源范圍，再利用持續(xù)跟蹤分析的方法對(duì)可疑的攻擊源進(jìn)行持續(xù)的跟蹤分析，從而定位出高威脅的攻擊源。

2 定位可疑攻擊源

定位可疑攻擊源，是發(fā)現(xiàn)惡意攻擊源的前提條件，安全設(shè)備每天上報(bào)的攻擊源成千上萬(wàn)甚至上百萬(wàn)，但是真正惡意的攻擊源往往不到1%，如果不經(jīng)過篩選，而是直接對(duì)所有的攻擊源進(jìn)行持續(xù)的跟蹤，會(huì)使得分析沒有目標(biāo)，大大浪費(fèi)計(jì)算的資源和分析的工作，也會(huì)降低分析的效率，不能真正的定位出惡意的攻擊源來(lái)。

分析一個(gè)攻擊源是否為可疑的攻擊源，需要綜合考慮多個(gè)因素，如攻擊源采用的攻擊手段、攻擊針對(duì)的目標(biāo)、攻擊的頻率、情報(bào)匹配、異常行為特征匹配等。

聚合分析以攻擊源為聚合目標(biāo)，聚合各種跟攻擊源相關(guān)的信息，如攻擊源持續(xù)的攻擊時(shí)間、采用的所有攻擊手段、攻擊的目標(biāo)范圍、攻擊次數(shù)、情報(bào)匹配情況、異常行為檢測(cè)情況等信息，在聚合的過程中，基于可疑攻擊源識(shí)別策略識(shí)別可疑攻擊源，可疑攻擊源識(shí)別后，進(jìn)入后續(xù)的持續(xù)跟蹤分析，通過持續(xù)跟蹤分析，最后定位出惡意的攻擊源。

可疑攻擊源識(shí)別的策略包括發(fā)生高等級(jí)告警事件的攻擊源，進(jìn)行頻繁掃描的攻擊源，發(fā)生某些異常行為的攻擊源，針對(duì)高等級(jí)資產(chǎn)的攻擊源等，這些被識(shí)別為可疑的攻擊源，后續(xù)會(huì)進(jìn)行持續(xù)的跟蹤，在持續(xù)跟蹤的過程中，會(huì)利用威脅度計(jì)算模型，實(shí)時(shí)計(jì)算攻擊源的威脅度，通過威脅度來(lái)自動(dòng)識(shí)別惡意的攻擊源。

3 聚合式持續(xù)跟蹤分析識(shí)別惡意攻擊源

在持續(xù)跟蹤分析的過程中，要持續(xù)聚合跟攻擊源相關(guān)的多維信息，在持續(xù)跟蹤的過程中，對(duì)聚合的信息基于威脅度分析模型，實(shí)時(shí)計(jì)算攻擊源的威脅度，通過威脅度來(lái)實(shí)時(shí)自動(dòng)識(shí)別惡意的攻擊源。

3.1 威脅度計(jì)算模型

攻擊源威脅度分析模型涉及的分析維度有：攻擊源攻擊持續(xù)的時(shí)長(zhǎng)、采用了哪些攻擊手段類型、最高階攻擊階段（攻擊階段按照標(biāo)準(zhǔn)劃分為8個(gè)階段）、持續(xù)聚合的攻擊事件數(shù)量、持續(xù)聚合的攻擊目標(biāo)資產(chǎn)范圍、持續(xù)聚合的攻擊目標(biāo)資產(chǎn)脆弱性情況、持續(xù)聚合的威脅情報(bào)分析情況、持續(xù)聚合的攻擊場(chǎng)景等。

3.1.1 攻擊持續(xù)時(shí)間

該維度通過持續(xù)跟蹤攻擊源的安全告警事件，計(jì)算最新攻擊時(shí)間與攻擊開始時(shí)間的時(shí)間間隔，該維度體現(xiàn)攻擊源攻擊的持續(xù)時(shí)間，數(shù)據(jù)以天作為分析單位，數(shù)據(jù)處理規(guī)則如表1所示。

3.1.2 采用的攻擊手段類型

在持續(xù)跟蹤分析的過程中，持續(xù)的聚合攻擊源所有相關(guān)的安全事件，在分析的過程中，除了會(huì)聚合攻擊源的攻擊告警事件，同時(shí)也會(huì)聚合攻擊源的異常行為事件。

該維度體現(xiàn)了攻擊源攻擊方式的嘗試，同時(shí)也體現(xiàn)了攻擊滲透的過程，數(shù)據(jù)處理規(guī)則如表2所示。

3.1.3 當(dāng)前最高告警級(jí)別

在持續(xù)跟蹤分析的過程中，會(huì)不斷聚合各種攻擊告警事件和異常行為事件，每種事件的告警等級(jí)會(huì)不一樣，告警等級(jí)同時(shí)也體現(xiàn)了攻擊源的威脅程度，告警等級(jí)數(shù)據(jù)處理規(guī)則如表3所示。

3.1.4 攻擊階段

在持續(xù)跟蹤分析的過程中，會(huì)不斷聚合各種攻擊告警事件，每種攻擊告警事件對(duì)應(yīng)著攻擊鏈上不同的攻擊階段，該維度體現(xiàn)攻擊的滲透程度，同時(shí)也體現(xiàn)了攻擊源對(duì)網(wǎng)絡(luò)的威脅程度，攻擊階段數(shù)據(jù)處理規(guī)則如表4所示。

3.1.4 攻擊事件數(shù)量

該維度記錄在持續(xù)跟蹤分析的過程中，聚合的攻擊事件的數(shù)量，該維度體現(xiàn)了攻擊源發(fā)動(dòng)攻擊的次數(shù)，數(shù)據(jù)處理規(guī)則如表5所示。

3.2 基于回歸分析的模型訓(xùn)練

在實(shí)際的持續(xù)跟蹤過程中，聚合的信息會(huì)不斷的豐富，聚集的數(shù)據(jù)也會(huì)不斷的增長(zhǎng)，威脅度也會(huì)實(shí)時(shí)跟著變化，在實(shí)際的應(yīng)用中，由于每個(gè)用戶網(wǎng)絡(luò)安全的實(shí)際情況不一致，為了使模型計(jì)算的威脅度準(zhǔn)確度較高，前期可以基于人工的分析，確定攻擊源的威脅度，然后將這些確定威脅度的攻擊源作為樣本數(shù)據(jù)，利用回歸分析的方法，訓(xùn)練得到一組適合于用戶具體網(wǎng)絡(luò)環(huán)境的權(quán)值向量，從而得到一個(gè)實(shí)例化的威脅度計(jì)算模型。

采用的回歸算法有線性回歸、決策樹回歸、隨機(jī)森林回歸等算法。

4 模型應(yīng)用

基于歷史數(shù)據(jù)的模型訓(xùn)練得到的威脅度計(jì)算模型，可用于對(duì)未知的攻擊源聚合的數(shù)據(jù)進(jìn)行實(shí)時(shí)計(jì)算，在持續(xù)聚合的過程中，威脅度計(jì)算模型的各個(gè)影響因素的取值會(huì)不斷的進(jìn)行變化，使得威脅度也會(huì)不斷的進(jìn)行改變，利用威脅度計(jì)算模型，可以實(shí)現(xiàn)對(duì)攻擊源威脅度持續(xù)動(dòng)態(tài)的計(jì)算，在每個(gè)影響因素變化的同時(shí)，觸發(fā)威脅度的重新計(jì)算，在威脅度達(dá)到規(guī)定的級(jí)別時(shí)，自動(dòng)將攻擊源識(shí)別為惡意的攻擊源。

通過實(shí)際的應(yīng)用檢驗(yàn)，自動(dòng)識(shí)別的惡意攻擊源，準(zhǔn)確率達(dá)到85%以上。

5 總結(jié)

APT攻擊持續(xù)時(shí)間長(zhǎng)，攻擊手段多樣，攻擊不段變化，對(duì)于這種持續(xù)高級(jí)的攻擊手段，傳統(tǒng)的基于短時(shí)間內(nèi)的告警事件，簡(jiǎn)單維度的分析，無(wú)法定位真正的高威脅攻擊源，APT攻擊手段隱蔽性、多樣性和變化性，傳統(tǒng)的安全設(shè)備很難檢測(cè)出攻擊進(jìn)行告警，這種隱蔽、多樣且不斷變化的攻擊手段，需要借助基于應(yīng)用場(chǎng)景的網(wǎng)絡(luò)行為來(lái)進(jìn)行分析，需要利用機(jī)器學(xué)習(xí)的方法，通過正常的網(wǎng)絡(luò)行為規(guī)范，來(lái)發(fā)現(xiàn)異常的網(wǎng)絡(luò)行為。

聚合式持續(xù)分析自動(dòng)發(fā)現(xiàn)惡意攻擊源的方法，綜合了包括攻擊源多維度因素，利用上述的威脅度計(jì)算模型，實(shí)時(shí)多維度的分析攻擊源的威脅程度，實(shí)時(shí)識(shí)別高威脅的攻擊源，從海量的事件中，定位出少量的真正高威脅的攻擊源，達(dá)到智能識(shí)別的目標(biāo)，如果與安全設(shè)備聯(lián)動(dòng)，即可實(shí)現(xiàn)主動(dòng)安全的目標(biāo)。

作者單位

中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司 北京市 102209endprint