基于大數(shù)據(jù)技術(shù)的攻擊溯源研究*

王 濤，張 淋，鄒初建

（杭州迪普信息技術(shù)有限公司，浙江 杭州 310051）

0 引 言

信息技術(shù)的蓬勃發(fā)展帶來了機(jī)遇，同樣也帶來了挑戰(zhàn)，大量應(yīng)用系統(tǒng)豐富了我們的生活，由于通過網(wǎng)絡(luò)攻擊可獲取更多經(jīng)濟(jì)利益，這一結(jié)果進(jìn)一步刺激了網(wǎng)絡(luò)攻擊的泛濫。在網(wǎng)絡(luò)空間這個戰(zhàn)場上，攻防雙方的博弈實(shí)質(zhì)上是信息獲取能力的對抗，只有獲取更多、更全的信息才能制定有效的攻防策略，在攻防博弈中取得優(yōu)勢。作為防守方，需要明確誰攻擊了我，用了何種手段，突破點(diǎn)，攻擊路徑，這便是攻擊溯源。通過攻擊溯源技術(shù)確定攻擊源，以制定具有針對性的防護(hù)和反制策略，實(shí)現(xiàn)主動防御，抑制網(wǎng)絡(luò)攻擊產(chǎn)生的影響。由此可見，攻擊溯源在網(wǎng)絡(luò)攻防戰(zhàn)中的重要作用。

攻擊溯源技術(shù)發(fā)展至今，此領(lǐng)域已涌現(xiàn)出大量的溯源方案，如通過挖掘進(jìn)程、文件與文件名之間的因果依賴關(guān)系的BackTracker溯源方案[1]，基于系統(tǒng)日志和應(yīng)用日志關(guān)聯(lián)溯源的OmegaLog框架[2-4]，基于威脅情報的攻擊溯源方案[5]等，但這些溯源技術(shù)只是解決了一定場景中的攻擊溯源，無法覆蓋網(wǎng)絡(luò)攻擊的整個過程或需要大量的人工干預(yù)。

本文提出了一種基于大數(shù)據(jù)技術(shù)的攻擊溯源方案，該方案用于解決網(wǎng)絡(luò)攻擊的全流程溯源場景。首先，通過對網(wǎng)絡(luò)流量的采集、業(yè)務(wù)日志及系統(tǒng)日志收集，以及對主機(jī)脆弱性的檢測構(gòu)建網(wǎng)絡(luò)攻擊溯源數(shù)據(jù)集；其次，對數(shù)據(jù)集進(jìn)行單例分析、上下文分析、主機(jī)側(cè)與網(wǎng)絡(luò)側(cè)數(shù)據(jù)關(guān)聯(lián)分析以及結(jié)合主機(jī)脆弱性對攻擊數(shù)據(jù)進(jìn)行分析和降噪；最后，通過MITRE公司提供的攻擊戰(zhàn)術(shù)、技術(shù)和常識的ATT&CK[6]模型對攻擊的各個階段映射構(gòu)建完整的網(wǎng)絡(luò)攻擊溯源全景圖。

1 攻擊溯源

本節(jié)將詳細(xì)介紹攻擊溯源的原理、方法以及現(xiàn)狀等情況。

1.1 攻擊溯源基本思路

網(wǎng)絡(luò)攻擊溯源是指利用各種手段追蹤網(wǎng)絡(luò)攻擊發(fā)起者。在攻防的視角里，進(jìn)攻方會占據(jù)比較多的主動性，而防守方則略顯被動，作為防守方需要盡可能多地收集網(wǎng)絡(luò)攻擊產(chǎn)生的痕跡，并將這些痕跡匯總分析，發(fā)現(xiàn)攻擊者意圖和攻擊路徑，進(jìn)一步反向跟蹤直至找到攻擊者。

網(wǎng)絡(luò)攻擊溯源一般分為3個部分，首先，要通過安全設(shè)備告警、日志和流量分析、服務(wù)資源異常、蜜罐系統(tǒng)等對網(wǎng)絡(luò)攻擊進(jìn)行捕獲，發(fā)現(xiàn)攻擊；其次，利用已有的IP定位、惡意樣本分析、ID追蹤等技術(shù)溯源反制收集攻擊者信息；最后，通過對攻擊路徑的繪制和攻擊者身份信息的歸類形成攻擊者畫像，完成整個網(wǎng)絡(luò)攻擊的溯源。

1.2 攻擊溯源技術(shù)的應(yīng)用現(xiàn)狀

攻擊溯源技術(shù)發(fā)展至今，已經(jīng)有多個機(jī)構(gòu)和組織提出了針對不同場景的解決方案，以下針對部分方案進(jìn)行介紹。

（1）BackTracker溯源方案[1]：通過分析進(jìn)程、文件和系統(tǒng)日志之間的關(guān)系構(gòu)建溯源模型，分析進(jìn)程創(chuàng)建的依賴關(guān)系，在系統(tǒng)日志中尋找文件和進(jìn)程之間、文件名和進(jìn)程之間的依賴關(guān)系并分析溯源惡意文件，但由于僅通過文件關(guān)聯(lián)，適用的場景有限?；诮５囊蚬茢啵∕odeling-based Causality Inference，MCI）[7]在BackTracker溯源方案基礎(chǔ)上進(jìn)行改進(jìn)，加入了基于因果關(guān)系的語義分析，增強(qiáng)了系統(tǒng)日志的依賴關(guān)系分析能力。以上模型均屬于典型的主機(jī)側(cè)溯源方案，由于僅關(guān)注進(jìn)程、文件和系統(tǒng)日志，無法溯源到惡意文件投放路徑，所以僅能完成主機(jī)側(cè)溯源。

（2）OmegaLog框架[2-4]：提出了一種通過結(jié)合系統(tǒng)日志和應(yīng)用日志的溯源框架，認(rèn)為將系統(tǒng)上所有與取證相關(guān)的事件統(tǒng)一到一個整體日志中可以顯著提高攻擊調(diào)查能力。OmegaLog框架使用內(nèi)核模塊攔截應(yīng)用程序的系統(tǒng)調(diào)用，將進(jìn)程號/線程號（Process ID/Thread ID，PID/TID）和時間戳信息梳理至業(yè)務(wù)日志，再通過控制流分析對應(yīng)用日志和系統(tǒng)日志進(jìn)行解析，生產(chǎn)事件流帶入溯源框架完成溯源。該方案結(jié)合應(yīng)用日志，極大地增強(qiáng)了主機(jī)側(cè)的溯源能力，但由于攔截系統(tǒng)調(diào)用部署的難度較大，也僅能完成主機(jī)側(cè)溯源。

（3）基于威脅情報的攻擊溯源方案[5]：通過對IP反查、Whois域名解析、連接記錄中的統(tǒng)一資源定位器（Uniform Resource Locator，URL）等信息，關(guān)聯(lián)威脅情報中記錄的IP、域名、URL、文件哈希值等信息反查攻擊者信息，實(shí)現(xiàn)網(wǎng)絡(luò)側(cè)攻擊主機(jī)的定位。該方案是利用同類攻擊不會只在互聯(lián)網(wǎng)上發(fā)生一次的思想形成共享情報，再通過對攻擊者的網(wǎng)絡(luò)地址進(jìn)行反向追蹤溯源。情報來源于共享，共享的數(shù)據(jù)本身存在滯后性，單從情報角度進(jìn)行攻擊溯源可完成對已知攻擊再次發(fā)生的攻擊溯源，但很難應(yīng)對攻擊手段變化情況的攻擊溯源。

攻擊溯源仍是一個較新的領(lǐng)域，發(fā)展仍處于探索階段，場景覆蓋程度和自動化程序均是目前研究的熱點(diǎn)。

2 基于大數(shù)據(jù)技術(shù)的攻擊溯源

大數(shù)據(jù)技術(shù)是指從各種各樣類型的數(shù)據(jù)中，快速獲得有價值信息的能力。

大數(shù)據(jù)技術(shù)特點(diǎn)可以概括為5個V，即數(shù)據(jù)量大（Volume）、速度快（Velocity）、類型多（Variety）、價值（Value）、真實(shí)性（Veracity）[8]。信息時代的發(fā)展會產(chǎn)生大量的數(shù)據(jù)，以網(wǎng)絡(luò)帶寬為例，互聯(lián)網(wǎng)早期每秒僅處理千字節(jié)級的數(shù)據(jù)，現(xiàn)在一個中型城市的出口每秒就要太字節(jié)級的數(shù)據(jù)，每天就要處理近百拍字節(jié)的數(shù)據(jù)，在此量級多樣的網(wǎng)絡(luò)數(shù)據(jù)基礎(chǔ)上完成數(shù)據(jù)高速存儲，分析提取，發(fā)現(xiàn)有價值的數(shù)據(jù)，就是大數(shù)據(jù)技術(shù)。

近年來，大數(shù)據(jù)技術(shù)在安全領(lǐng)域已經(jīng)取得了許多新成果，如薄明霞等人[5]提出了基于大數(shù)據(jù)技術(shù)構(gòu)建威脅情報共享平臺，為企業(yè)構(gòu)建基于威脅情報的主動防御體系。運(yùn)用大數(shù)據(jù)技術(shù)構(gòu)建具有安全分析、持續(xù)安全監(jiān)測以及安全運(yùn)營能力的安全管理平臺等成功案例。

大數(shù)據(jù)技術(shù)的核心能力是在海量的數(shù)據(jù)中提煉出高價值的數(shù)據(jù)，網(wǎng)絡(luò)攻擊中典型的高級可持續(xù)威脅（Advanced Persistent Threat，APT）攻擊往往會長時間潛伏，而少量攻擊數(shù)據(jù)則是伴隨巨量的業(yè)務(wù)數(shù)據(jù)共同產(chǎn)生的，一個每秒幾千兆字節(jié)數(shù)據(jù)的業(yè)務(wù)流量場景，真實(shí)的攻擊行為數(shù)據(jù)可能只有不到幾千字節(jié)的數(shù)據(jù)。而在這種情況下，利用大數(shù)據(jù)技術(shù)快速完成攻擊溯源恰恰是值得深入研究的。

2.1 基于大數(shù)據(jù)攻擊溯源總體框架

攻擊溯源本質(zhì)上是在大量的正常數(shù)據(jù)中尋找出攻擊者在攻擊過程中留下的痕跡，并通過這部分痕跡回溯攻擊者。攻擊溯源往往是在攻擊者對攻擊目標(biāo)產(chǎn)生危害并被察覺后產(chǎn)生的動作，但由于時間跨度較大，或者攻擊者對攻擊痕跡的清理等因素，給溯源工作帶來極大的阻礙。大數(shù)據(jù)技術(shù)的成熟為攻擊溯源帶來了新的可能，大數(shù)據(jù)技術(shù)可以收集大量的異構(gòu)數(shù)據(jù)，并對這些數(shù)據(jù)進(jìn)行清洗，提煉出有價值的攻擊痕跡，再通過數(shù)據(jù)分析和模型關(guān)聯(lián)將這些信息串聯(lián)起來形成攻擊路徑，通過攻擊路徑的反溯找到攻擊入口、還原攻擊過程。

結(jié)合攻擊溯源技術(shù)和大數(shù)據(jù)技術(shù)，本文提出了一個基于大數(shù)據(jù)技術(shù)的多層溯源框架（Hierarchical Traceability Architecture，HTA），如圖1所示，HTA分為3層：基礎(chǔ)層為數(shù)據(jù)集層，中間層為數(shù)據(jù)清洗分析層，頂層為全景關(guān)聯(lián)溯源層?；A(chǔ)層采集攻擊溯源所需的、不同來源的數(shù)據(jù)集，通過數(shù)據(jù)清洗分析層實(shí)現(xiàn)數(shù)據(jù)分類、歸并、標(biāo)簽化處理，根據(jù)用途逐層分類、提煉分析，為全景關(guān)聯(lián)溯源層的多維度關(guān)聯(lián)分析提供依據(jù)。

圖1 HTA

2.1.1 數(shù)據(jù)集層

數(shù)據(jù)是攻擊溯源的基礎(chǔ)，溯源往往是在攻擊發(fā)生之后的動作，很多的網(wǎng)絡(luò)攻擊是在發(fā)生之后很久才被發(fā)現(xiàn)。傳統(tǒng)的攻擊溯源思路需要先在受害主機(jī)上發(fā)現(xiàn)惡意文件，再對少量數(shù)據(jù)進(jìn)行分析發(fā)現(xiàn)明顯的異常，但應(yīng)對APT攻擊溯源時明顯不足。整個APT攻擊過程可能覆蓋系統(tǒng)漏洞發(fā)現(xiàn)。漏洞利用攻擊、惡意代碼植入、遠(yuǎn)程控制、數(shù)據(jù)泄露等過程，攻擊手段繁雜，所以數(shù)據(jù)收集的思路就需要改變，只有收集足夠多、足夠豐富的數(shù)據(jù)才能完整地繪制一條攻擊鏈。如利用系統(tǒng)漏洞攻擊時，系統(tǒng)日志、應(yīng)用日志、網(wǎng)絡(luò)入侵檢測設(shè)備均可監(jiān)控到部分攻擊線索。如果主機(jī)執(zhí)行惡意程序，系統(tǒng)進(jìn)程信息、文件名、系統(tǒng)日志等信息則會留下惡意程序執(zhí)行后的痕跡。

數(shù)據(jù)的豐富程度決定了溯源能力的高低，HTA的數(shù)據(jù)集層收集威脅監(jiān)測設(shè)備的攻擊日志、入侵防御系統(tǒng)、Web應(yīng)用防火墻等網(wǎng)絡(luò)安全設(shè)備日志、原始網(wǎng)絡(luò)報文和網(wǎng)絡(luò)側(cè)連接信息構(gòu)建網(wǎng)絡(luò)側(cè)數(shù)據(jù)集，收集業(yè)務(wù)訪問記錄、服務(wù)器日志、系統(tǒng)日志、系統(tǒng)進(jìn)程監(jiān)控數(shù)據(jù)等作為主機(jī)側(cè)數(shù)據(jù)集，同時收集威脅情報作為輔助佐證數(shù)據(jù)集，利用這些不同類別的數(shù)據(jù)集構(gòu)建一個大的異構(gòu)數(shù)據(jù)集，這樣盡可能地涵蓋攻擊溯源所需的數(shù)據(jù)。

2.1.2 數(shù)據(jù)清洗分析層

擁有大量的原始數(shù)據(jù)就相當(dāng)于擁有了檢測能力，但數(shù)據(jù)并不是越多越好，需要對數(shù)據(jù)進(jìn)行分類、歸并和標(biāo)簽化處理，提煉有價值的數(shù)據(jù)。獲取的數(shù)據(jù)主要涉及結(jié)構(gòu)化、半結(jié)構(gòu)化和非結(jié)構(gòu)化，由于半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)不利于分析處理，所以需要對其進(jìn)行信息抽取。這一層的核心目標(biāo)是完成有價值的數(shù)據(jù)的初步提煉，為后續(xù)的數(shù)據(jù)分析提供結(jié)構(gòu)化的數(shù)據(jù)。

HTA采用數(shù)據(jù)分類歸納法完成數(shù)據(jù)的初層次提煉，同類型數(shù)據(jù)清洗流程如圖2所示，然后按照數(shù)據(jù)用途進(jìn)行數(shù)據(jù)逐層分類。

圖2 同類型數(shù)據(jù)清洗流程

按照數(shù)據(jù)類型分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，再分別對結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行分類。如攻擊日志、訪問記錄等屬于結(jié)構(gòu)化數(shù)據(jù)；進(jìn)程運(yùn)行記錄、服務(wù)后臺錯誤記錄等屬于半結(jié)構(gòu)化數(shù)據(jù)；原始報文、系統(tǒng)運(yùn)行狀態(tài)等屬于非結(jié)構(gòu)化數(shù)據(jù)。

使用同類數(shù)據(jù)歸納法對冗余數(shù)據(jù)進(jìn)行去重處理。使不同來源的同類數(shù)據(jù)在同一框架規(guī)范下進(jìn)行異構(gòu)數(shù)據(jù)清理、去重、歸一、索引建設(shè)等步驟，形成高質(zhì)量、有價值的歸納數(shù)據(jù)。以防火墻記錄的連接關(guān)系日志和服務(wù)端記錄的業(yè)務(wù)訪問記錄為例，兩種數(shù)據(jù)都是訪問記錄，針對此類記錄需要提取公共信息和必要的附加信息，并針對冗余數(shù)據(jù)進(jìn)行去重，避免冗余信息干擾。

同類數(shù)據(jù)完成歸納清理后，根據(jù)用途逐層分類、提煉分析。例如，為確定攻擊溯源的入口，攻擊溯源首先需要做的就是將大量的訪問記錄和受害者主機(jī)上記錄的各類日志統(tǒng)一發(fā)送至大數(shù)據(jù)平臺的數(shù)據(jù)清洗分析層，對清洗后的數(shù)據(jù)進(jìn)行提煉分析發(fā)現(xiàn)單點(diǎn)事件；發(fā)現(xiàn)單點(diǎn)事件后，一般可以先從網(wǎng)絡(luò)安全檢測設(shè)備入手，例如，通過全流量威脅檢測探針、入侵防御系統(tǒng)、Web應(yīng)用防火墻、主機(jī)檢測軟件等發(fā)送的攻擊檢測日志。針對這一類數(shù)據(jù)，一般按照攻擊時間、攻擊手段、攻擊頻次、地理位置、攻擊狀態(tài)、攻擊方向等方面進(jìn)行再次分類，并按照數(shù)據(jù)類型建立數(shù)據(jù)查詢索引，為后續(xù)的溯源模型及關(guān)聯(lián)分析建立溯源主線索。攻擊事件溯源主索引確定后，可以沿著攻擊路徑進(jìn)行深入的攻擊溯源分析。

2.1.3 全景關(guān)聯(lián)溯源層

溯源模型的構(gòu)建是自動化溯源的基礎(chǔ)，所有技術(shù)均圍繞著溯源模型進(jìn)行分析處理，自動化溯源調(diào)度工作流如圖3所示，在數(shù)據(jù)清洗分析層基礎(chǔ)上進(jìn)行單場景溯源、全場景關(guān)聯(lián)。

圖3 自動化溯源調(diào)度工作流

HTA采用場景建模法建立單場景溯源模型，如典型的勒索病毒“永恒之藍(lán)”在傳播過程中會利用SMB服務(wù)器的漏洞，利用過程的行為至少分為兩個步驟，在建立場景化模型時，一是針對這一類勒索病毒的攻擊方式、攻擊特點(diǎn)等方面建立場景模型；二是按照在模型內(nèi)部對行為發(fā)生的時序進(jìn)行限制，從而提升此類攻擊溯源的準(zhǔn)確性。

完成單場景溯源模型的準(zhǔn)備后，再通過ATT&CK模型進(jìn)行全場景關(guān)聯(lián)溯源，ATT&CK模型由MITRE公司提出，它是一個站在攻擊者視角來描述攻擊中各階段用到的技術(shù)模型，將攻擊劃分為戰(zhàn)術(shù)和技術(shù)兩部分，該模型涵蓋了網(wǎng)絡(luò)側(cè)數(shù)據(jù)的映射和主機(jī)側(cè)數(shù)據(jù)的映射，按照攻擊者的思路梳理出一個完整的攻擊過程全景圖。此模型可作為攻擊溯源基礎(chǔ)指導(dǎo)模型，對各階段的數(shù)據(jù)進(jìn)行映射，形成攻擊事件的戰(zhàn)術(shù)和技術(shù)分布圖，再進(jìn)一步對時間軸、受害資產(chǎn)屬性、威脅情報、相關(guān)聯(lián)的攻擊路徑上的數(shù)據(jù)進(jìn)行多維度關(guān)聯(lián)，將映射過的數(shù)據(jù)與攻擊場景相結(jié)合進(jìn)行系統(tǒng)的分析、攻擊降噪和攻擊取證，最終形成完整的攻擊溯源報告。

3 應(yīng)用實(shí)例展示

本文基于HTA構(gòu)建的大數(shù)據(jù)溯源平臺，以一次挖礦木馬的攻擊溯源過程為例進(jìn)行實(shí)際效果展示說明。

大數(shù)據(jù)溯源平臺通過接收在網(wǎng)絡(luò)環(huán)境中部署的全流量威脅檢測探針采集數(shù)據(jù)，并借助大數(shù)據(jù)技術(shù)的優(yōu)勢將采集到的數(shù)據(jù)持續(xù)永久化，為攻擊溯源提供數(shù)據(jù)支撐。此案例主要收集了攻擊日志、訪問記錄、原始報文、資產(chǎn)屬性等數(shù)據(jù)，并將數(shù)據(jù)入庫建立數(shù)據(jù)集。按照HTA的數(shù)據(jù)分類歸納法將收集到的數(shù)據(jù)進(jìn)行分類，再對數(shù)據(jù)進(jìn)行標(biāo)簽和屬性富化處理，提升單條數(shù)據(jù)的價值權(quán)重。該平臺采用告警觸發(fā)和輪詢觸發(fā)兩種方式自動溯源，設(shè)置攻擊日志作為權(quán)重最高的索引線索。

以此案例中監(jiān)測到的攻擊日志為例，IP地址34.1.1.10對IP地址192.168.100.1的掃描探測攻擊日志在被監(jiān)測到后根據(jù)分類規(guī)則被劃分至攻擊日志，攻擊日志作為溯源的主索引權(quán)重較高，借助大數(shù)據(jù)的實(shí)時流式處理技術(shù)進(jìn)行屬性富化處理，將源IP地址的地理位置、國家編碼以及目的IP地址的資產(chǎn)名稱、資產(chǎn)類型等信息富化至攻擊日志，并將此日志歸類為針對資產(chǎn)類攻擊線索的結(jié)構(gòu)化數(shù)據(jù)——網(wǎng)絡(luò)攻擊日志。大數(shù)據(jù)實(shí)時流式處理技術(shù)可快速高效地將數(shù)據(jù)富化，盡可能將信息歸并至一條數(shù)據(jù)內(nèi)，有效降低單日志分析模型的關(guān)聯(lián)分析工作，提高溯源效率。處理后的數(shù)據(jù)如圖4所示。

圖4 分類后的攻擊日志數(shù)據(jù)

完成數(shù)據(jù)集的構(gòu)建和數(shù)據(jù)清洗工作之后進(jìn)入HTA的全景關(guān)聯(lián)溯源層，首先針對持久化之后的數(shù)據(jù)，需要進(jìn)一步分析完成單點(diǎn)事件的場景化分析。通過場景化事件模型分析過濾掉干擾數(shù)據(jù)，將判定成功的數(shù)據(jù)生成告警信息輸出，并作為全景溯源的數(shù)據(jù)輸入。以此案例的nmap掃描探測攻擊告警信息為例，由于監(jiān)測到了多次IP地址34.1.1.10對IP地址192.168.100.1的nmap掃描探測攻擊日志，在非結(jié)構(gòu)化的原始報文中關(guān)聯(lián)取證發(fā)現(xiàn)，掃描探測報文中攜帶了nmap的簽名信息，符合網(wǎng)絡(luò)側(cè)攻擊溯源模型中nmap掃描探測攻擊模型，由此可以判定此攻擊較大概率真實(shí)發(fā)生。

大數(shù)據(jù)技術(shù)提供了實(shí)時分析和離線分析兩種模式，結(jié)合攻擊溯源技術(shù)可采用實(shí)時處理模型分析短時間內(nèi)的熱數(shù)據(jù)，再通過離線分析模型處理多種數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，足以應(yīng)對主機(jī)側(cè)溯源、網(wǎng)絡(luò)側(cè)溯源、網(wǎng)絡(luò)側(cè)主機(jī)側(cè)關(guān)聯(lián)溯源的各類復(fù)雜場景。告警信息如圖5所示。

圖5 nmap掃描探測攻擊告警信息

完成單點(diǎn)事件模型分析后進(jìn)入HTA的ATT&CK 模型映射過程，針對告警數(shù)據(jù)采用告警信息的攻擊類型和告警名稱詞法分析映射，將攻擊日志映射至ATT&CK的戰(zhàn)術(shù)和技術(shù)中，再將攻擊日志關(guān)聯(lián)的連接信息、原始報文等信息映射至對應(yīng)的戰(zhàn)術(shù)和技術(shù)中。ATT&CK的技術(shù)涵蓋了主機(jī)側(cè)技術(shù)和網(wǎng)絡(luò)側(cè)技術(shù)，可覆蓋攻擊者從網(wǎng)絡(luò)側(cè)入侵到主機(jī)側(cè)執(zhí)行控制的全路徑，作為全場景溯源的數(shù)據(jù)組織框架，使用戰(zhàn)術(shù)和技術(shù)抽象出攻擊關(guān)系，可有效解決單分析主機(jī)側(cè)數(shù)據(jù)和單分析網(wǎng)絡(luò)側(cè)數(shù)據(jù)的溯源不完整問題。以nmap掃描探測攻擊告警為例，攻擊類型為掃描探測，告警名稱為“nmap安全工具掃描（nmap）”，攻擊類型包含關(guān)鍵詞掃描探測映射至戰(zhàn)術(shù)掃描探測，告警名稱包含工具掃描映射至技術(shù)進(jìn)行主動掃描。ATT&CK模型映射階段不考慮告警之間的關(guān)聯(lián)關(guān)系，將全量告警信息映射至ATT&CK模型，對后續(xù)的攻擊者與受害者之間的攻擊關(guān)系和攻擊發(fā)生的時間進(jìn)行關(guān)聯(lián)分析，進(jìn)一步分析溯源形成完整攻擊路徑，再針對完整的溯源結(jié)果重新繪制事件的ATT&CK映射關(guān)系圖，圖6為此案例最終的模型映射圖。

圖6 ATT&CK模型告警映射圖

最后根據(jù)攻擊者和受害者之間的邏輯關(guān)系、ATT&CK模型各階段的邏輯關(guān)系以及時間軸關(guān)聯(lián)溯源，形成完整的攻擊路徑，還原攻擊全過程。以此案例為例，從受害者192.168.100.1回連攻擊者71.0.1.147的比特幣挖礦告警信息作為時間軸終點(diǎn)反向回溯攻擊過程，比特幣挖礦屬于ATT&CK模型的深度影響階段，可以判定71.0.1.147為數(shù)據(jù)回連服務(wù)器，此類攻擊在通常情況下不會將數(shù)據(jù)回連服務(wù)器作為攻擊者發(fā)起攻擊，所以需要關(guān)聯(lián)其他攻擊受害者192.168.100.1的告警信息，反向溯源發(fā)現(xiàn)攻擊者34.1.1.10對受害者192.168.100.1發(fā)起多種類型的攻擊且覆蓋了ATT&CK的多個階段，同時關(guān)聯(lián)受害者192.168.100.1發(fā)起的告警信息，發(fā)現(xiàn)192.168.100.1向192.168.100.123發(fā)起了Web漏洞攻擊，屬于ATT&CK模型內(nèi)網(wǎng)的橫向擴(kuò)散階段，還原整個攻擊過程為：攻擊者71.0.1.147利用掃描探測、Webshell上傳、Webshell注入、命令注入、信息泄露、惡意軟件下載等手段實(shí)現(xiàn)了對受害者192.168.100.1的遠(yuǎn)程控制，使受害者192.168.100.1淪為挖礦主機(jī)，且正在試圖向192.168.100.123橫向擴(kuò)散。完成溯源后的基于攻擊關(guān)系的溯源關(guān)系如圖7所示。

圖7 溯源關(guān)系

圖8 為完成溯源后的基于時間軸還原的攻擊過程截圖。

圖8 完整攻擊過程

相較于僅集成系統(tǒng)日志與應(yīng)用程序日志的OmegaLog框架[2-4]，一方面，HTA涉及的數(shù)據(jù)范圍更廣，包括集成攻擊日志、入侵防御系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備日志、網(wǎng)絡(luò)側(cè)日志、主機(jī)側(cè)日志等，同時收集威脅情報作為輔助佐證；另一方面，由于整合多源數(shù)據(jù)，HTA的溯源分析不再局限于主機(jī)側(cè)的溯源，而是涵蓋主機(jī)側(cè)、網(wǎng)絡(luò)側(cè)、終端側(cè)，同時結(jié)合漏洞、情報庫等實(shí)現(xiàn)溯源佐證，使溯源路徑更完整。OmegaLog框架[2-4]側(cè)重于分析主機(jī)側(cè)的系統(tǒng)日志和應(yīng)用日志，關(guān)聯(lián)分析發(fā)現(xiàn)安全事件。在本案例實(shí)施過程中，OmegaLog框架僅能看到惡意軟件在主機(jī)側(cè)的惡意行為，無法監(jiān)測到入侵動作前和入侵后的擴(kuò)散動作。HTA解決了攻擊溯源未關(guān)聯(lián)網(wǎng)絡(luò)側(cè)數(shù)據(jù)問題，能夠通過分析網(wǎng)絡(luò)側(cè)相關(guān)數(shù)據(jù)發(fā)現(xiàn)入侵前行為和橫向擴(kuò)散行為，使繪制的溯源路徑更加完整。

4 結(jié) 語

網(wǎng)絡(luò)攻擊發(fā)展至今，使我們面對的是有一定反檢測能力的攻擊者，特別是高級APT攻擊通常較為隱蔽，不易觸發(fā)單點(diǎn)的安全策略和檢測，需要進(jìn)行更多維度和大視角的數(shù)據(jù)分析，才能發(fā)現(xiàn)攻擊并進(jìn)一步溯源。本文提出的基于大數(shù)據(jù)技術(shù)的多層溯源框架（HTA）結(jié)合多元數(shù)據(jù)實(shí)現(xiàn)自動化溯源，還原攻擊過程，為構(gòu)建大數(shù)據(jù)溯源平臺提供方法。

隨著數(shù)據(jù)收集越來越完善，可在持續(xù)提煉模型和關(guān)聯(lián)手段方面持續(xù)研究，如關(guān)聯(lián)地址備案信息、DNS域名備案信息、郵件備案信息等，通過大數(shù)據(jù)技術(shù)實(shí)現(xiàn)更深層次的攻擊溯源，實(shí)現(xiàn)溯源至攻擊者ID信息的攻擊溯源。