鄔 娜,譚振江
(吉林師范大學(xué)數(shù)學(xué)與計(jì)算機(jī)學(xué)院,吉林 四平 136000)
美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)從攻擊者、攻擊目的、攻擊手段和攻擊過(guò)程4個(gè)維度,以要素方式定義了APT攻擊[1]。付鈺等[2]從APT攻擊具有特定攻擊對(duì)象的性質(zhì)角度補(bǔ)充了NIST的定義,認(rèn)為APT攻擊本質(zhì)是隱蔽的網(wǎng)絡(luò)攻擊。張瑜等[3]強(qiáng)調(diào)高級(jí)、持續(xù)、威脅的本質(zhì),認(rèn)為APT攻擊是有組織、有目的、有預(yù)謀、隱蔽性強(qiáng)、持續(xù)時(shí)間長(zhǎng)、破壞力大的群體式定向攻擊。
APT攻擊是一個(gè)漫長(zhǎng)而隱蔽的過(guò)程,如圖1,整個(gè)生命周期可以分為6個(gè)階段,即偵察階段、武器制作與投遞階段、漏洞利用階段、安裝與持久化階段、命令與控制階段及收益階段。
圖1 APT攻擊生命周期Fig.1 APT attack life cycle
惡意代碼是指在目標(biāo)主機(jī)中具有破壞或非授權(quán)獲取隱蔽信息行為的代碼段,主要包括木馬、計(jì)算機(jī)病毒、蠕蟲(chóng)等。惡意代碼檢測(cè)技術(shù)是檢測(cè)非法寫(xiě)入系統(tǒng)的惡意代碼的技術(shù),是一種傳統(tǒng)且有效的檢測(cè)方法。Longkang Shang[4]等提出基于神經(jīng)網(wǎng)絡(luò)挖掘共享特征發(fā)現(xiàn)未知高級(jí)持續(xù)威脅C&C信道的框架,提出手動(dòng)特征提取和基于神經(jīng)網(wǎng)絡(luò)特征提取兩種方式,但手動(dòng)提取特征只有10個(gè)維度,而基于神經(jīng)網(wǎng)絡(luò)特征提取采用卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行兩輪卷積和池操作,可得到30維特征,提取出流級(jí)統(tǒng)計(jì)數(shù)據(jù)特征,PCA降維后,通過(guò)梯度提升下降樹(shù)對(duì)惡意軟件流量和正常流量進(jìn)行分類,找出惡意軟件與C&C服務(wù)器之間通信的惡意流量,進(jìn)而發(fā)現(xiàn)APT攻擊。劉科科[5]等提出基于活動(dòng)行為特征關(guān)聯(lián)分析的APT攻擊行為檢測(cè)模型,由前端采集探針實(shí)現(xiàn)零拷貝數(shù)據(jù)采集,協(xié)議深度解析還原,在后端分析監(jiān)測(cè)模塊,從惡意行為代碼感知、軟件安全漏洞感知、典型攻擊行為感知、綜合關(guān)聯(lián)分析4個(gè)方面進(jìn)行實(shí)時(shí)監(jiān)測(cè),實(shí)現(xiàn)對(duì)APT攻擊行為的預(yù)警。
惡意代碼檢測(cè)技術(shù)一般用于網(wǎng)絡(luò)入口或內(nèi)網(wǎng)環(huán)境,對(duì)傳統(tǒng)攻擊的檢測(cè)有很高的成功率,是APT攻擊檢測(cè)中必不可少的一道防線,但APT攻擊隱蔽性強(qiáng)且時(shí)間跨度大,僅憑借惡意代碼檢測(cè)很難做到高攔截、低誤報(bào)。
基于網(wǎng)絡(luò)流量的檢測(cè)技術(shù)是通過(guò)機(jī)器學(xué)習(xí)相關(guān)算法對(duì)網(wǎng)絡(luò)中流量進(jìn)行檢測(cè),分析可能存在的惡意行為。從網(wǎng)絡(luò)層分析,檢測(cè)技術(shù)重點(diǎn)在于網(wǎng)絡(luò)連接特征檢測(cè)和可疑地址追蹤;從應(yīng)用層分析,重點(diǎn)是協(xié)議數(shù)據(jù)監(jiān)測(cè)和C&C流量分析。董剛[6]等提出基于網(wǎng)絡(luò)連接特征屬性的入侵檢測(cè)模型識(shí)別APT攻擊,對(duì)采集的數(shù)據(jù)流量樣本進(jìn)行多維度特征提取,與正常的多維度屬性特征值相比較,對(duì)得到的異常可疑流量進(jìn)行實(shí)時(shí)報(bào)警。王曉琪[7]等提出一種基于隱蔽可疑DNS行為檢測(cè)的協(xié)助檢測(cè)APT攻擊框架APDD,利用CAA算法進(jìn)行變化向量分析和滑動(dòng)時(shí)間窗口分析,得出待檢測(cè)域名訪問(wèn)記錄與標(biāo)準(zhǔn)APT攻擊中DNS訪問(wèn)記錄的相似度,通過(guò)基于特征維度的信譽(yù)評(píng)分系統(tǒng)打分,判斷APT攻擊行為。張家偉[8]等提出一種抗APT攻擊的可信軟件基體系,從硬件角度出發(fā),實(shí)現(xiàn)了APT攻擊內(nèi)核級(jí)防范,但體系整體核心在于完善完整性度量組件,對(duì)于白名單組件安全性略有欠缺。
基于網(wǎng)絡(luò)流量的檢測(cè)技術(shù)優(yōu)勢(shì)在于可形成事件時(shí)空關(guān)聯(lián),進(jìn)行事件聯(lián)合分析,而過(guò)寬的時(shí)間域會(huì)在一定程度上影響檢測(cè)效率,且這種檢測(cè)方式一般發(fā)生在攻擊之后,對(duì)數(shù)據(jù)回傳行為做判定,也能作為防范APT攻擊的一道防線。
大數(shù)據(jù)分析檢測(cè)技術(shù)可以從兩個(gè)維度分析:一是在來(lái)源多樣、體積巨大的數(shù)據(jù)基礎(chǔ)上,運(yùn)用特定算法做檢測(cè);二是通過(guò)數(shù)據(jù)挖掘算法形成多設(shè)備上下文關(guān)聯(lián)進(jìn)行檢測(cè)。王小英[9]等提出面向APT攻擊網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別方法,利用數(shù)據(jù)挖掘領(lǐng)域的關(guān)聯(lián)規(guī)則構(gòu)建APT攻擊隱蔽目標(biāo)識(shí)別的總體框架,整合數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層及應(yīng)用層所產(chǎn)生的日志形成上文,利用檢測(cè)算法,匹配數(shù)據(jù)庫(kù),計(jì)算可信度,進(jìn)而識(shí)別APT攻擊。黃永洪[10]等引入攻擊圖理論,提出了針對(duì)APT攻擊的風(fēng)險(xiǎn)屬性攻擊圖(RAAG)模型,利用系統(tǒng)脆弱性節(jié)點(diǎn)判斷算法評(píng)估系統(tǒng)中存在的APT攻擊風(fēng)險(xiǎn)。
大數(shù)據(jù)分析技術(shù)包含了惡意代碼檢測(cè)技術(shù)和基于網(wǎng)絡(luò)流量檢測(cè)技術(shù),由于產(chǎn)生數(shù)據(jù)的位置不同,對(duì)應(yīng)的防護(hù)重點(diǎn)也不同,因此應(yīng)貫穿于攻擊的整個(gè)生命周期。
博弈論通過(guò)量化攻擊要素、分析節(jié)點(diǎn)、求取均衡來(lái)防范APT攻擊。張為[11]等提出基于節(jié)點(diǎn)博弈而改進(jìn)的OAPG(Attack path prediction model Oriented to APT)模型,通過(guò)漏洞風(fēng)險(xiǎn)分析算法計(jì)算可疑行為的風(fēng)險(xiǎn)系數(shù),進(jìn)而對(duì)APT攻擊路徑進(jìn)行建模,計(jì)算攻防雙方的最大收益,分析均衡策略找到最優(yōu)防御方案。李靜軒[12]等從決策角度出發(fā),研究APT攻防對(duì)抗過(guò)程中博弈雙方過(guò)程性目標(biāo)與多階段策略對(duì)峙過(guò)程中可行策略集的動(dòng)態(tài)、隨機(jī)變化等問(wèn)題,整合和擴(kuò)展矩陣型攻防博弈和Markov決策過(guò)程,提出APT攻防隨機(jī)博弈模型AO-ADSG。以上研究將博弈論觀點(diǎn)引入APT攻防對(duì)抗中,通過(guò)刻畫(huà)多階段攻防場(chǎng)景,從攻防雙方收益的角度分析APT攻擊,以此防范攻擊。
APT攻擊生命周期很長(zhǎng),僅依靠單一的防御方法很難有效防范攻擊。因此,綜合性防御框架能夠更好地針對(duì)攻擊。孫文君[13]等以2010年Kordy[14]等提出的基于攻防樹(shù)的網(wǎng)絡(luò)安全分析模型為理論依據(jù),提出一種基于攻防樹(shù)的APT風(fēng)險(xiǎn)評(píng)估方法。杜鎮(zhèn)宇[15]等提出基于Petri網(wǎng)的APT攻擊模型,以改進(jìn)的入侵殺傷鏈IKC(intrusion kill chain)模型為基礎(chǔ),分析九元組 APTPN生成算法結(jié)果,通過(guò)觸發(fā)變遷完成庫(kù)所狀態(tài)的轉(zhuǎn)換,由矩陣向量分析得到APT攻擊的Petri網(wǎng)模型圖,更加直觀清晰地表達(dá)APT攻擊威脅級(jí)別,但模型生成算法普適性較弱。楊豪璞[16]等通過(guò)分析APT攻擊A特性(先進(jìn)性)和P特性(持續(xù)性),提出基于階段特性的APT攻擊行為分類框架,對(duì)APT攻擊行為的劃分細(xì)粒度較高,但分類算法對(duì)預(yù)設(shè)攻擊情景針對(duì)性過(guò)強(qiáng),普遍適用性較弱。戴震[17]等提出基于通信特征的APT攻擊檢測(cè)架構(gòu),采用Heiritrix框架爬網(wǎng)得到相關(guān)文件,匹配文件關(guān)鍵詞,提取特征,再由人工篩選特征,使用的雙層特征匹配算法,在準(zhǔn)確率和誤報(bào)率上要優(yōu)于單次特征匹配,但一定程度上增加了時(shí)間復(fù)雜度。陳瑞東[18]等在動(dòng)態(tài)變形攻擊模型與檢測(cè)機(jī)制中提出基于金字塔的展開(kāi)模型,用來(lái)預(yù)測(cè)可能的攻擊路徑。潘亞峰[19]等設(shè)計(jì)并構(gòu)建了一種基于ATT&CK的APT攻擊語(yǔ)義規(guī)則模型框架。
多數(shù)文獻(xiàn)對(duì)APT攻擊的防御方式集中在惡意代碼檢測(cè)技術(shù)、大數(shù)據(jù)分析檢測(cè)技術(shù)、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接特征檢測(cè)技術(shù),將機(jī)器學(xué)習(xí)等算法應(yīng)用于APT攻擊防范是未來(lái)研究的熱點(diǎn)。
APT攻擊對(duì)傳統(tǒng)網(wǎng)絡(luò)拓?fù)洵h(huán)境造成了很大的威脅,近年來(lái),云計(jì)算、工業(yè)網(wǎng)絡(luò)、移動(dòng)終端等也面臨著APT攻擊。胡晴[20]等從非合作博弈的角度研究了云計(jì)算系統(tǒng)的APT攻擊,提出了基于專家系統(tǒng)的APT攻擊云端檢測(cè)博弈模型,設(shè)置了APT攻擊者和APT防御者兩個(gè)參與人,考慮虛警率和漏報(bào)率兩個(gè)重要指標(biāo),建立了混合策略ES-APT檢測(cè)博弈靜態(tài)模型和基于WoLF-PHC的動(dòng)態(tài)ES-APT檢測(cè)模型。張浩[21]等提出了參考性的云平臺(tái)下的APT攻擊防護(hù)框架,闡述了在云環(huán)境中對(duì)APT攻擊的檢測(cè)、監(jiān)控與溯源方法。XiaoyingWang[22]等提出基于時(shí)空關(guān)聯(lián)分析的工業(yè)互聯(lián)網(wǎng)APT攻擊發(fā)現(xiàn)算法,對(duì)原始數(shù)據(jù)進(jìn)行整合清理與標(biāo)準(zhǔn)化,通過(guò)符號(hào)化方法將每個(gè)特征簡(jiǎn)化為一個(gè)唯一的符號(hào),用于規(guī)則挖掘;采用FP-Growth關(guān)聯(lián)規(guī)則挖掘算法經(jīng)常同時(shí)出現(xiàn)的時(shí)間特征、空間特征和類別特征,以最小支持度作為度量,過(guò)濾掉低于最小支持度的項(xiàng)集,最終形成關(guān)聯(lián)規(guī)則,在數(shù)據(jù)檢索方面,使用改進(jìn)的Bloom-fliter算法檢索歷史數(shù)據(jù),發(fā)現(xiàn)可疑IP地址,降低了空間復(fù)雜度,但增加了時(shí)間復(fù)雜度。胡彬[23]等提出了集終端狀態(tài)監(jiān)控與轉(zhuǎn)發(fā)、日志數(shù)據(jù)預(yù)處理、特征提取、模型訓(xùn)練及預(yù)測(cè)、告警監(jiān)控及配置于一體的移動(dòng)端APT檢測(cè)模型,對(duì)移動(dòng)端的APT攻擊有很強(qiáng)的針對(duì)性,采用靜態(tài)分析和動(dòng)態(tài)分析相結(jié)合的方式,有效地將移動(dòng)端惡意攻擊行為量化。
面對(duì)非傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的APT攻擊,防御方法和普通APT攻擊有很大的相似性,其難點(diǎn)在于如何將云計(jì)算、工控系統(tǒng)、移動(dòng)終端等環(huán)境的技術(shù)特點(diǎn)與高效的防護(hù)手段相結(jié)合。
APT攻擊防護(hù)的難點(diǎn)在于攻防雙方信息的不對(duì)稱性,攻擊方式和渠道多元化,而防守偏被動(dòng),因此應(yīng)貫徹縱深防御思想,提高安全意識(shí),將多種防御技術(shù)手段相結(jié)合,以對(duì)抗APT攻擊。