網(wǎng)絡(luò)空間威脅狩獵的研究綜述*

徐嘉涔，王軼駿，薛 質(zhì)

（上海交通大學(xué) 電子信息與電氣工程學(xué)院，上海 200240）

0 引 言

近年來，隨著網(wǎng)絡(luò)的普及和信息化水平地不斷提高，越來越多的公司企業(yè)把重要信息和機(jī)密文件存儲在連接網(wǎng)絡(luò)的計(jì)算機(jī)上。由于計(jì)算機(jī)性能的不斷提升、操作方式的持續(xù)優(yōu)化以及網(wǎng)絡(luò)傳輸速度的大幅提高，公司企業(yè)的運(yùn)作效率得到了進(jìn)一步地加強(qiáng)，勞動成本大幅度減少。不可否認(rèn)，穩(wěn)定、安全的網(wǎng)絡(luò)環(huán)境是保證公司企業(yè)長久發(fā)展的基石。然而，正是由于各大商業(yè)公司和政府部門內(nèi)部網(wǎng)絡(luò)中存儲著重要信息和核心數(shù)據(jù)，獲取這類信息帶來的巨大收益使得攻擊和竊取數(shù)據(jù)的事件層出不窮。更重要的是，由于相關(guān)的網(wǎng)絡(luò)空間威脅長期潛伏在主機(jī)中秘密搜集信息，用戶和管理員難以及時發(fā)現(xiàn)，導(dǎo)致攻擊發(fā)生時會造生更大的破壞和損失[1]。具體來說，攻擊者通過連接內(nèi)網(wǎng)與外網(wǎng)的邊緣服務(wù)器，找到網(wǎng)絡(luò)中存在的安全配置問題或者利用零日漏洞，獲得進(jìn)入內(nèi)網(wǎng)的權(quán)限。之后通過提權(quán)、掃描等手段取得內(nèi)網(wǎng)的完整信息，進(jìn)而竊取用戶的敏感數(shù)據(jù)。在這些網(wǎng)絡(luò)空間威脅中，危害最大、波及范圍最廣的一類被定義為高級可持續(xù)性威脅(Advanced Persistent Threat，簡稱APT攻擊)[2]。大量研究已經(jīng)證實(shí)，APT攻擊是對國家、政府、企業(yè)和個人的網(wǎng)絡(luò)權(quán)益和信息產(chǎn)生破壞的主要攻擊手段之一[3]。

早在2018年初，印度政府為每個公民提供的12位生物特征身份認(rèn)證憑證在跨平臺社交媒體WhatsApp上被匿名出售[4]。在2019年10月，俄羅斯發(fā)生了一起歷史上最嚴(yán)重、泄露信息最多的事件，超過6 000萬條銀行用戶的個人信息在暗網(wǎng)上被公開出售[5]。由此可見，信息泄露與竊取的源頭，也就是這些網(wǎng)絡(luò)空間威脅產(chǎn)生的原因，一方面可能是內(nèi)部不合理的網(wǎng)絡(luò)配置和安全設(shè)置，另一方面還需要考慮外部的攻擊和威脅手段，這樣才能全方位地發(fā)現(xiàn)、處理并解決網(wǎng)絡(luò)空間的威脅。

因此，建立網(wǎng)絡(luò)空間的威脅狩獵平臺來發(fā)現(xiàn)和防御攻擊者的入侵和破壞直接關(guān)系到公司企業(yè)的發(fā)展和未來，具有十分重要的意義，已經(jīng)成為國內(nèi)外信息安全研究領(lǐng)域中備受關(guān)注的方向。

1 網(wǎng)絡(luò)空間的安全威脅

網(wǎng)絡(luò)空間威脅指的是潛在的可以通過利用計(jì)算機(jī)漏洞產(chǎn)生危害的種種問題[6]。而產(chǎn)生危害的方式包括未授權(quán)訪問、數(shù)據(jù)破壞、機(jī)密數(shù)據(jù)公開、數(shù)據(jù)修改以及拒絕服務(wù)等[7]。由此，可以將網(wǎng)絡(luò)空間威脅分為主動型和被動型兩類。被動型威脅是被動地收集系統(tǒng)有意或無意公布或可獲取的信息而不去嘗試修改系統(tǒng)資源，而主動型威脅則是在被動型的基礎(chǔ)上，主動篡改系統(tǒng)控制資源或者影響操作系統(tǒng)的正常運(yùn)行。

實(shí)際上，早在2000年安全研究人員已經(jīng)確立了網(wǎng)絡(luò)空間威脅的標(biāo)準(zhǔn)，如圖1所示[6]。

圖1 網(wǎng)絡(luò)空間威脅攻擊流程示意圖

如圖1所示，攻擊主要可以分為三個部分，系統(tǒng)資源（攻擊目標(biāo)）、安全防御措施以及網(wǎng)絡(luò)威脅（攻擊行為）。首先，攻擊者可以通過主動或被動方式獲取攻擊目標(biāo)的信息。在掌握了足夠信息的基礎(chǔ)上，發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的漏洞或者配置問題，選取相應(yīng)的適用策略實(shí)現(xiàn)對目標(biāo)機(jī)器的控制從而達(dá)到攻擊者的目的。目前，幾種主流的攻擊鏈模型都有著相似的流程，最先提出攻擊鏈概念的是Lockheed Martin公司，并命名為Lockheed Martin空間攻擊鏈[8]。研究人員通過對攻擊者的戰(zhàn)術(shù)進(jìn)行分析，將網(wǎng)絡(luò)空間威脅攻擊鏈分為三大階段，分別是前攻擊階段、攻擊階段和后攻擊階段，如圖2所示。

圖2 Lockheed Martin空間攻擊鏈

其中前攻擊階段是攻擊者收集信息設(shè)計(jì)攻擊方式的過程，包括偵測、武器化和傳遞三個步驟。攻擊階段是執(zhí)行攻擊的過程，包括利用和安裝階段。而后攻擊階段包括回連和控制目標(biāo)的階段。總的來說，通過空間攻擊鏈模型可以較快確定攻擊情況，找到適用的的網(wǎng)絡(luò)防御技術(shù)，實(shí)現(xiàn)一個智能反饋系統(tǒng)從而有效地減少攻擊者實(shí)施攻擊成功的概率[8-9]。另外，安全公司FireEye也提出攻擊生命周期[10-11]。、MITRE開發(fā)了ATT&CK生命周期[12]。

2 威脅狩獵的概念和基礎(chǔ)

曾經(jīng)主流的安全防御軟件是通過等待安全監(jiān)控程序的警報(bào)時再執(zhí)行緊急防御措施，而這種安全防御系統(tǒng)已經(jīng)無法適應(yīng)當(dāng)前復(fù)雜的環(huán)境。因此，威脅狩獵防御機(jī)制則是在這個背景下被提出的。

2.1 威脅狩獵的定義

網(wǎng)絡(luò)空間威脅狩獵指的是主動持續(xù)地在網(wǎng)絡(luò)中搜索可以繞開安全檢測或產(chǎn)生危害的威脅的過程。目前，一套網(wǎng)絡(luò)空間威脅狩獵機(jī)制的核心競爭力包含三個方面：威脅攻擊證據(jù)的數(shù)據(jù)質(zhì)量、獲取和分析數(shù)據(jù)的工具以及分析數(shù)據(jù)和使用工具的工作人員的技術(shù)[13]。通過使用狩獵成熟度模型（Hunting Maturity Model）來檢驗(yàn)一個防御機(jī)制的優(yōu)質(zhì)程度，狩獵成熟度模型定義了五個等級。

起步級：這個階段主要由入侵檢測系統(tǒng)、安全信息和事件管理系統(tǒng)（SIEM）或反病毒軟件等工具偵查惡意行為。該過程主要基于自動報(bào)警系統(tǒng)，未實(shí)現(xiàn)從系統(tǒng)中收集數(shù)據(jù)的功能。

簡易級：在初始級的基礎(chǔ)上，會常規(guī)性地搜集最近的威脅情報(bào)信息來判斷系統(tǒng)是否遭受相關(guān)攻擊。

規(guī)程級：根據(jù)他人或其他更高級的狩獵模型制定的信息分析方法，根據(jù)輸入的數(shù)據(jù)判斷一些簡單的惡意程序的行為或活動。

創(chuàng)新級：該階段威脅狩獵具有制定特有的數(shù)據(jù)分析過程的能力，并涵蓋了高級有效的技術(shù)例如相關(guān)數(shù)據(jù)分析、數(shù)據(jù)可視化以及機(jī)器學(xué)習(xí)等。

領(lǐng)路級：在創(chuàng)新級的基礎(chǔ)上實(shí)現(xiàn)自動化改進(jìn)現(xiàn)有數(shù)據(jù)分析方法。這樣可以有效地減少運(yùn)行相同進(jìn)程的內(nèi)存消耗，專注于改進(jìn)現(xiàn)有的規(guī)程和創(chuàng)造新的規(guī)程。

狩獵成熟度模型不同階段的最本質(zhì)區(qū)別在于狩獵方式的差異。起步級的狩獵過程中，安全人員只能增加新的安全證書或者惡意文件的特征信息，因此從本質(zhì)上來說起步級的威脅狩獵不是真正意義上的狩獵。而領(lǐng)路階段的狩獵則是主動嘗試新的方式來找到攻擊者，根據(jù)已有信息從不同角度入手分析獲得新的結(jié)論[14]。

2.2 威脅狩獵的核心技術(shù)

一次完整的狩獵過程可以進(jìn)行如下區(qū)分。在開始狩獵之前，需要明確網(wǎng)絡(luò)結(jié)構(gòu)、運(yùn)行系統(tǒng)、防御機(jī)制可以抵御和偵測的攻擊方式和準(zhǔn)確性、潛在的攻擊目標(biāo)和工具使用的執(zhí)行戰(zhàn)略。之后則是需要明確相關(guān)數(shù)據(jù)信息的手段和技術(shù)。目前來說，攻擊者利用的漏洞、使用的工具和攻擊方式相關(guān)的研究是最被重視的部分，大量相關(guān)問題被深入研究和詳細(xì)記錄，可以在各種最新的APT報(bào)告中獲取。而最終的結(jié)果是使得每一次狩獵都可以拓展威脅狩獵防御機(jī)制的普適性，使得狩獵模式適用于更廣泛更多樣的攻擊[15-16]。目前來看，威脅狩獵主要涉及到的技術(shù)可以大致分為取證技術(shù)和分析技術(shù)[16-17]。

（1）取證技術(shù)

由上述內(nèi)容可知，取證技術(shù)是實(shí)現(xiàn)威脅狩獵的基礎(chǔ)。優(yōu)質(zhì)的指示器（IOC）可以快速定位攻擊者的信息并及時地改進(jìn)，具體分類如圖3所示。

圖3 取證指示器金字塔模型

其中文件的哈希值是最簡單最基礎(chǔ)的指示器，即通過比對待檢驗(yàn)的文件哈希值和惡意程序的哈希值來進(jìn)行判斷。目前仍然有大量殺毒軟件使用哈希值來判斷文件是否是惡意程序。隨著金字塔高度的提高，金字塔模型越上層的信息收集工作越困難，需要對于數(shù)據(jù)的意義和攻擊的手段有更深入的認(rèn)識并進(jìn)行總結(jié)概括，使用時的適用范圍也更加廣泛，而對于威脅狩獵來說也越重要。

（2）分析技術(shù)

豐富的分析技術(shù)可以使得威脅狩獵效果更加明顯，具體可以分為如下幾類。

日志分析技術(shù)：由服務(wù)或設(shè)備中獲取的日志非常重要而且目前已有的安全防御系統(tǒng)并未合理充分地利用。與此同時，威脅狩獵平臺的日志分析能力也直接影響了其抵御和防范攻擊的能力。由于日志是威脅狩獵分析攻擊的重要信息來源之一，因此明確可以獲取日志的程序和出處十分重要。在Unix系統(tǒng)中，日志通常以文本文件的形式保存在/var/log中。Windows日志可以劃分為4類：應(yīng)用程序日志、安全日志、系統(tǒng)日志和轉(zhuǎn)發(fā)的事件日志。這些日志大部分記錄在%SystemRoot%System32Config下。

網(wǎng)絡(luò)分析技術(shù)：包括讀取理解捕獲的數(shù)據(jù)包并判斷網(wǎng)絡(luò)流量是否異常的能力和熟悉網(wǎng)絡(luò)中的不同設(shè)備的特性以及相互如何影響。

攻擊分析技術(shù)：清楚攻擊者在各個攻擊階段所使用的技術(shù)快速發(fā)現(xiàn)問題以及相關(guān)行為，了解攻擊工具、惡意軟件、魚叉攻擊以及軟件配置問題可以幫助判斷攻擊者的思路來獲取攻擊行為的證據(jù)[18]。

3 威脅狩獵的工具和框架

目前，一套完整的威脅狩獵工具并不夠全面，研究人員需要通過利用不同工具的特性來完成整個威脅狩獵的過程，本文將威脅狩獵的工具分為三個類別，分別是準(zhǔn)備工具、分析工具和威脅模擬工具。

對于中國共產(chǎn)黨生態(tài)文明建設(shè)的實(shí)踐路徑，學(xué)術(shù)界從不同角度提出了許多啟發(fā)性的思路，但觀點(diǎn)多數(shù)大同小異，部分建議空泛化。學(xué)者們的觀點(diǎn)歸納起來主要有如下幾點(diǎn)：加強(qiáng)生態(tài)文明理念宣傳教育和引導(dǎo)，營造生態(tài)文明建設(shè)的文化氛圍；推進(jìn)生態(tài)文明體制機(jī)制建設(shè)，完善制度保障；轉(zhuǎn)變經(jīng)濟(jì)發(fā)展方式，堅(jiān)持經(jīng)濟(jì)發(fā)展和人口、資源、環(huán)境相協(xié)調(diào)，建設(shè)資源節(jié)約型、環(huán)境友好型社會；推動全社會共同參與（企業(yè)、非政府組織、社會公眾），加強(qiáng)全球合作。

3.1 威脅狩獵準(zhǔn)備工具

在準(zhǔn)備階段，安全研究人員需要通過還原攻擊現(xiàn)場、保留攻擊證據(jù)等方式篩選有價(jià)值的數(shù)據(jù)和信息。目前適用于各種平臺的數(shù)據(jù)收集及整理工具是Facebook公司研發(fā)的Osquery。該工具將操作系統(tǒng)各種相關(guān)信息通過類似于SQL的方式匯總成表格方便研究人員快速獲取和比對信息的系統(tǒng)分析工具。其主要優(yōu)勢是可以像查詢數(shù)據(jù)庫信息一樣查詢操作系統(tǒng)，以此來查詢錯誤配置、用戶權(quán)限甚至文件可讀性審核[19]。此外，其配套用戶管理平臺Doorman支持遠(yuǎn)程管理Osquery的節(jié)點(diǎn)，使得其支持分布式讀取終端數(shù)據(jù)，獲取全局信息的功能[20]。

由于絕大多是攻擊者會刪除或毀壞攻擊證據(jù)，所以磁盤恢復(fù)工具能有效的達(dá)到復(fù)現(xiàn)攻擊現(xiàn)場和獲取證據(jù)的目的。AccessData FTK Imager是一個從硬盤中恢復(fù)各種數(shù)據(jù)的取證工具。該工具通過掃描硬盤驅(qū)動器，獲取32位或64位系統(tǒng)的當(dāng)前硬盤內(nèi)容和分頁文件信息[21-22]。Bitscout是一款開源的基于Linux的包含一系列分析磁盤映像的工具，其允許用戶創(chuàng)建自定義的磁盤鏡像以及安全研究人員遠(yuǎn)程獲取磁盤映像備份，方便研究人員分析。而GetData Forensic Imager是一個基于Windows的可以獲取、轉(zhuǎn)換、修改取證鏡像文件格式的工具。Magnet ACQUIRE是一個適用于各種主機(jī)和移動端操作系統(tǒng)的多類型鏡像恢復(fù)工具。該工具擁有一系列可靠快速的數(shù)據(jù)提取技術(shù)，方便用戶快速大量的獲取恢復(fù)獲取數(shù)據(jù)并有詳盡的日志記錄獲取過程。X-Ways Forensics是一個基于Winhex十六進(jìn)制磁盤編輯器的克隆和鏡像取證工具，主要用于Windows主機(jī)和服務(wù)器上，相比較其他工具，該工具效率高、速度快硬件要求低且不依賴復(fù)雜數(shù)據(jù)庫，使用較為廣泛[23-24]。

此外，網(wǎng)絡(luò)流量的數(shù)據(jù)也是威脅狩獵的核心，有效地獲取相關(guān)信息可以更加準(zhǔn)確的進(jìn)行威脅狩獵。因此，使用網(wǎng)絡(luò)流量捕獲工具可以實(shí)現(xiàn)對網(wǎng)絡(luò)流量的數(shù)據(jù)的獲取。Stenographer是數(shù)據(jù)包捕獲程序，旨在快速將所有數(shù)據(jù)包緩存到磁盤。該工具會在磁盤容量限制時刪除最早的數(shù)據(jù)，適合在網(wǎng)絡(luò)威脅發(fā)生之前和期間捕獲流量，而無需明確需要記錄的網(wǎng)絡(luò)流量。其缺點(diǎn)是由于處理量大，難以高效處理復(fù)雜數(shù)據(jù)包。網(wǎng)絡(luò)可視化工具AOL Moloch是一個開源的大型IPv4數(shù)據(jù)包捕獲系統(tǒng)，并且可以方便地瀏覽搜索和導(dǎo)出捕獲的數(shù)據(jù)。該工具按照PCAP的形式存儲所有網(wǎng)絡(luò)流量，其優(yōu)點(diǎn)是該工具強(qiáng)大的靈活性，缺點(diǎn)是配置復(fù)雜性較高[25]。

3.2 威脅狩獵分析工具

威脅狩獵分析工具根據(jù)分析對象的類別，分為日志分析工具、內(nèi)存分析工具和文件分析工具。

在日志分析工具中，Lorg是一個用于在大文件中提取關(guān)鍵日志信息的工具，通過基于簽名的攻擊和機(jī)器學(xué)習(xí)相關(guān)技術(shù)檢測HTTP流量日志（例如Apache的access_log文件），判斷是否存在可疑請求或異常情況。StreamAlert是由愛彼迎公司開發(fā)的基于無服務(wù)器的實(shí)時日志數(shù)據(jù)分析框架，能夠使用用戶定義的邏輯提取自定義數(shù)據(jù)源并觸發(fā)警報(bào)。其優(yōu)點(diǎn)是有追蹤溯源日志的能力，便于部署維護(hù)且能處理大量數(shù)據(jù)，自動融合類似警報(bào)并建立新的規(guī)則[26]。此外，微軟發(fā)布的Sysmon是專門為用戶Windows操作系統(tǒng)和服務(wù)器設(shè)計(jì)的，用于記錄詳細(xì)日志信息的工具，其中包括進(jìn)程創(chuàng)建、網(wǎng)絡(luò)連接以及文件修改等重要操作[27]。Sigma則是一種方便用戶定義開放簽名格式、描述日志事件的工具，類似于指示器（IOC）和Yara規(guī)則用于檢測惡意文件和網(wǎng)絡(luò)連接，該工具可以使得研究人員共享、分析日志文件[28-29]。Graylog是一個應(yīng)用于分布式體系的日志管理系統(tǒng)，可以分析從不同服務(wù)器中記錄的日志。該系統(tǒng)的優(yōu)勢是支持大量數(shù)據(jù)格式，較好地控制授權(quán)和用戶權(quán)限，并且能第一時間收到警報(bào)。缺點(diǎn)是該系統(tǒng)不能直接讀取信息，需要手動導(dǎo)入，且生成的報(bào)告不夠詳細(xì)完整。

在三類靜態(tài)分析工具中，內(nèi)存分析工具常用于獲取存儲于內(nèi)存中攻擊信息。Memoryze是一款用于內(nèi)存取證的命令行程序，在計(jì)算機(jī)運(yùn)行過程中通過分析內(nèi)存鏡像，幫助用戶檢測惡意事件[30]。Windows SCOPE是用于分析易失性內(nèi)存的取證和逆向工具，提供分析Windows內(nèi)核，驅(qū)動程序，DLL以及虛擬和物理內(nèi)存的功能。該工具還可以定期記錄內(nèi)存快照，跟蹤系統(tǒng)內(nèi)存的即時變化。Belkasoft Live RAM Capturer相比較之前介紹的工具更為輕量級，在受到主動反調(diào)試保護(hù)時仍然可以獲取存儲器的數(shù)據(jù)，提供不同版本減少空間占有。除此之外，還有例如Linux Memory Grabber、Magnet RAM Capture、OS Forensics等內(nèi)存獲取和分析工具或腳本。

而在文件分析工具方面，目前絕大部分分析工具采用特征比對的方法進(jìn)行威脅狩獵。采用IOC或Yara規(guī)則進(jìn)行網(wǎng)絡(luò)威脅識別的工具包括Fenrir、IOC Finder、rastrea2r、Fidelis Threat Scanner、LOKI等。另外一部分工具則采用自主收集計(jì)算機(jī)數(shù)據(jù)信息來進(jìn)行分析。bulk_extractor是一個通過掃描數(shù)字證據(jù)文件提取例如電子郵件地址、信用卡號等信息的工具。其優(yōu)勢是可以處理壓縮文件及部分損壞的數(shù)據(jù)，支持多線程分析文件內(nèi)容構(gòu)成單詞表來進(jìn)行數(shù)據(jù)展示[31]。此外，還有開放式計(jì)算機(jī)取證體系結(jié)構(gòu)框架（Open Computer Forensics Architecture）基于Linux開發(fā)的后端平臺并使用PostgreSQL進(jìn)行數(shù)據(jù)存儲。該框架集成了多個開源文件取證工具，包括The Sleuth Kit、Photorec等。其中The Sleuth Kit是一款用于Unix和Windows的文件分析工具，具有磁盤鏡像分析、文件系統(tǒng)深度分析等功能，而Photorec則是幫助用戶回復(fù)數(shù)據(jù)的工具。RegRipper是用Perl編寫的開源工具，用于從注冊表中提取或解析信息（鍵，值，數(shù)據(jù)）并將其分析呈現(xiàn)[32]。另外，專用于Windows的信息記錄及文件分析工具還有AChoir、Crowd Response、IREC等。商業(yè)公司方面，Belkasoft公司開發(fā)的工具集Belkasoft Evidence Center可以通過分析硬件、硬件鏡像、導(dǎo)出內(nèi)存、分析IOS、黑莓和安卓機(jī)器的備份來提取各種電子證據(jù)[33-34]。

3.3 威脅模擬工具

由于網(wǎng)絡(luò)威脅并不是時常發(fā)生，而威脅狩獵的改善和提高需要大量的訓(xùn)練和總結(jié)，因此為了更有效地測試威脅狩獵平臺的性能，安全研究人員開發(fā)公布了一系列的網(wǎng)絡(luò)空間威脅模擬工具。APTSimulator是執(zhí)行Windows批處理腳本工具，它通過使用一組工具和輸出文件模擬系統(tǒng)信息被泄露的情況，是一個小型且高度便攜的檢測測試系統(tǒng)。AutoTTP是一個網(wǎng)絡(luò)空間威脅攻擊戰(zhàn)術(shù)生成程序，通過手動重新運(yùn)行復(fù)雜序列以進(jìn)行回歸測試，產(chǎn)品評估，為研究人員生成攻擊數(shù)據(jù)。此外，專門針對Windows企業(yè)環(huán)境的網(wǎng)絡(luò)威脅仿真工具還包括Caldera、Cimsweep、BT3 等。

4 研究機(jī)構(gòu)模型

但是當(dāng)前現(xiàn)狀的弊端也顯而易見，大部分方法和工具只對網(wǎng)絡(luò)空間威脅的一種技術(shù)或一個部分有較好的效果，而各種方法和工具不能相互兼容，這就導(dǎo)致了在整合到一起時無法起到真正的效果。在這樣的環(huán)境下，各個研究機(jī)構(gòu)創(chuàng)立自己對辦法建立威脅狩獵平臺，本節(jié)將選取代表性的組織進(jìn)行分析總結(jié)。

4.1 MITRE

明確行為：分析過程由明確攻擊者的行為開始，找到共通行為、即時可用的數(shù)據(jù)以及可以指示惡意行為的證據(jù)。

獲取數(shù)據(jù)：在分析之前，找到足夠合適的數(shù)據(jù)非常重要。這就需要在系統(tǒng)上預(yù)安裝適當(dāng)?shù)臄?shù)據(jù)收集工具，例如Windows事件日志、Sysmon日志[27]等。

建立分析：通過硬軟件平臺的支持，建立分析方法，例如建立安全信息和事件管理中心。分析分為四個部分：行為，這方面指攻擊者常用的行為但并不違反安全規(guī)則不會報(bào)警；情況意識，在不同情況下不同的信息組合可以帶來新的信息，例如單純的用戶登錄記錄并不能指出攻擊者的存在，但是配合其他指示器就能產(chǎn)生不同的效果；異常，分析并非攻擊行為但是異于一般行為的時間；取證，獲取直接指示攻擊者行為的證據(jù)。

開發(fā)攻擊仿真事件：與傳統(tǒng)滲透測試注重系統(tǒng)漏洞不同，攻擊仿真者通過模擬確定的攻擊行為，配合補(bǔ)充的攻擊技術(shù)完成整個攻擊的流程，核心目標(biāo)是獲取整個網(wǎng)絡(luò)環(huán)境的控制權(quán)。

模擬威脅：在真實(shí)情況中根據(jù)上一步建立的攻擊模型相對應(yīng)地執(zhí)行。在這個過程中研究人員可以檢驗(yàn)威脅狩獵的效果并進(jìn)行改進(jìn)。

調(diào)查攻擊：在攻擊完成以后，研究人員通過威脅狩獵獲得的數(shù)據(jù)和證據(jù)來倒推攻擊的流程，找到缺陷加以改進(jìn)。

評估效果：根據(jù)上兩步的結(jié)果，綜合整個實(shí)驗(yàn)過程評估威脅狩獵的效果，篩選數(shù)據(jù)并改進(jìn)方法。

除了ATT&CK分析方法以外，MITRE公開分享了在網(wǎng)絡(luò)空間威脅中存在的攻擊手段，并總結(jié)各個國際APT組織擅長使用的戰(zhàn)術(shù)戰(zhàn)略，收集了相關(guān)的惡意程序樣本，讓安全研究人員可能更好的分享使用并進(jìn)行威脅狩獵。

4.2 JPCERT/CC

結(jié)合目前成熟的網(wǎng)絡(luò)空間威脅模型，日本計(jì)算機(jī)應(yīng)急響應(yīng)小組合作中心JPCERT/CC的研究人員根據(jù)攻擊者使用工具和命令的階段順序進(jìn)行深入調(diào)查，命令的使用頻率進(jìn)行研究。針對性的重點(diǎn)研究范圍是攻擊者在橫向傳播時Windows操作系統(tǒng)自帶的命令行，特別是用戶不常用但是攻擊者需要使用的命令，區(qū)分這些命令的使用頻率[35]。研究人員提出可以通過應(yīng)用鎖（Applocker）對系統(tǒng)所使用的命令指令進(jìn)行限制，雖然不能阻止指令執(zhí)行，但是記錄的日志文件可以用于之后的取證[36]。研究人員圍繞日志記錄審計(jì)規(guī)則和日志記錄工具，例如Sysmon等[27]，來建立針對Windows操作系統(tǒng)的威脅狩獵平臺。

此外，該研究人員還基于Sysmon工具開發(fā)了Sysmon Search工具。Sysmon Search是一個基于Elastic Stack的日志分析系統(tǒng)，通過將每條記錄設(shè)置成一個節(jié)點(diǎn)可以直觀的找到相互之間的關(guān)聯(lián)。例如，如果明確了惡意程序的哈希值或者命令控制服務(wù)器，通過該工具能快速找到可能被感染相同惡意程序的其他主機(jī)，也可以通過指示器或者結(jié)構(gòu)化威脅信息表達(dá)式（STIX）進(jìn)行特殊查詢。該工具也支持即時的查詢，并對每臺主機(jī)的網(wǎng)絡(luò)交互、注冊表和進(jìn)程進(jìn)行統(tǒng)計(jì)分析，找到可疑事件。

4.3 Sqrrl

Sqrrl于2012年成立專注于網(wǎng)絡(luò)空間安全和威脅狩獵的公司。該公司建立了四步狩獵方法，建立假設(shè)、利用工具和技術(shù)調(diào)查、挖掘新的模式和戰(zhàn)術(shù)以及自動化分析過程。

建立假設(shè)：狩獵由一個關(guān)于攻擊行為的假設(shè)或合理的猜想開始。例如發(fā)現(xiàn)有用戶異常地從外網(wǎng)訪問內(nèi)網(wǎng)核心資源，則去分析該用戶賬號是否被攻擊。更高級的做法是根據(jù)用戶的一系列活動和指令，對應(yīng)計(jì)算這些指令相應(yīng)的危險(xiǎn)程度結(jié)合網(wǎng)絡(luò)威脅攻擊模型作為狩獵的開始。

工具和技術(shù)調(diào)查：使用例如相關(guān)數(shù)據(jù)分析以及可視化圖形等技術(shù)調(diào)查分析假設(shè)。另一方面，通過對原始數(shù)據(jù)進(jìn)行重組，實(shí)現(xiàn)構(gòu)建新的惡意攻擊模式和攻擊流程以此明確攻擊者的思路。

挖掘模式和戰(zhàn)術(shù)：攻擊者的模式和戰(zhàn)術(shù)是最準(zhǔn)確和重要的攻擊信息。把第二步總結(jié)的戰(zhàn)術(shù)技術(shù)和方法積累完善，根據(jù)信息的相關(guān)性，找到和惡意程序或三方服務(wù)有關(guān)的用戶信息。

自動化分析過程：將已完成的狩獵過程由人工轉(zhuǎn)向自動，并加入機(jī)器學(xué)習(xí)的方法使得威脅狩獵能適應(yīng)更多的情況和環(huán)境[37]。

Sqrrl公司的威脅狩獵平臺通過對原始數(shù)據(jù)進(jìn)行打散和重組，引入可視化圖形來對復(fù)雜網(wǎng)絡(luò)環(huán)境進(jìn)行深入理解，通過大型數(shù)據(jù)分析實(shí)現(xiàn)即時查詢實(shí)體行為，并且有自動化檢測異常和攻擊戰(zhàn)術(shù)的功能。在商業(yè)公司中處于頂尖水平。

4.4 框架優(yōu)劣比較

本節(jié)列舉了三種不同的威脅狩獵平臺以及對應(yīng)的狩獵方式。其中MITRE的基于ATT&CK的方法較為全面，適用范圍廣，并且對已有的攻擊組織使用的技術(shù)進(jìn)行深入分析，較好地掌握了不同APT組織的戰(zhàn)術(shù)技術(shù)和方法。該威脅狩獵平臺的優(yōu)點(diǎn)是集合了包括Windows，Mac以及Linux等多個平臺的攻擊方式和技術(shù)，缺點(diǎn)是主要的狩獵過程在攻擊結(jié)束后，并不能即時狩獵降低攻擊損失。而日本的計(jì)算機(jī)應(yīng)急響應(yīng)小組合作中心的研究人員著重研究Windows內(nèi)網(wǎng)環(huán)境的命令和執(zhí)行工具，并收集攻擊者的操作習(xí)慣通過對照以此對攻擊者進(jìn)行多層次的刻畫和描述，可以較好組合和惡意行為相關(guān)的信息，但是只適用于Windows系統(tǒng)，目前只適用于部分企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境，普適性有所欠缺。第三個是Sqrrl公司開發(fā)的威脅狩獵平臺，在收集攻擊者的數(shù)據(jù)和戰(zhàn)術(shù)的基礎(chǔ)上，結(jié)合可視化圖形、數(shù)據(jù)相關(guān)性分析以及機(jī)器學(xué)習(xí)等，目前來說是效果最好的威脅狩獵平臺之一。但由于商業(yè)軟件技術(shù)封閉，若沒有足夠的交流合作和資金支持，未來發(fā)展前景并不清晰。除了上述三者外，還有如Splunk、HELK等開源的網(wǎng)絡(luò)威脅狩獵平臺，這類工具根據(jù)自身需求進(jìn)行拓展和開發(fā)，同樣形成初步的體系架構(gòu)。

對比這些研究成果和技術(shù)的優(yōu)缺點(diǎn)能夠使得威脅狩獵的開發(fā)者有較全面的認(rèn)識，促進(jìn)相互之間優(yōu)勢互補(bǔ)，提升威脅防范和取證的全面性。

5 結(jié) 語

在全球化大背景下的今天，網(wǎng)絡(luò)的利用和普及越來越全面，人們也更加重視網(wǎng)絡(luò)活動的安全性、對于威脅的防范能力。因此，對攻擊者組織和技術(shù)的全面了解，建立一個威脅狩獵主動防御平臺顯得非常重要。本文首先對網(wǎng)絡(luò)空間威脅進(jìn)行簡要介紹和分析，列舉了目前主流的攻擊流程模型；再闡述了威脅狩獵產(chǎn)生的原因和意義，明確威脅狩獵的定位；然后，概述現(xiàn)有的威脅狩獵所涉及的技術(shù)并歸納分類，并論證了分析方法的理論正確性；之后，概括總結(jié)現(xiàn)有的各種威脅狩獵的框架，比較各個框架的優(yōu)缺點(diǎn)。

目前來看，威脅狩獵的建立需要對攻擊者全方位的了解，結(jié)合各種防御取證技術(shù)積累信息和數(shù)據(jù)。在擁有足夠數(shù)據(jù)的情況下，利用機(jī)器學(xué)習(xí)等算法，實(shí)現(xiàn)自動化分析達(dá)到高成熟度狩獵過程。如何挖掘更多的可利用的數(shù)據(jù)，如何多元地利用已有的數(shù)據(jù)進(jìn)行分析，還有如何提高狩獵的準(zhǔn)確性和即時性有待進(jìn)一步研究。