APT攻擊防御框架研究

鄔 娜，譚振江

(吉林師范大學(xué)數(shù)學(xué)與計(jì)算機(jī)學(xué)院，吉林 四平 136000)

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)從攻擊者、攻擊目的、攻擊手段和攻擊過(guò)程4個(gè)維度，以要素方式定義了APT攻擊[1]。付鈺等[2]從APT攻擊具有特定攻擊對(duì)象的性質(zhì)角度補(bǔ)充了NIST的定義，認(rèn)為APT攻擊本質(zhì)是隱蔽的網(wǎng)絡(luò)攻擊。張瑜等[3]強(qiáng)調(diào)高級(jí)、持續(xù)、威脅的本質(zhì)，認(rèn)為APT攻擊是有組織、有目的、有預(yù)謀、隱蔽性強(qiáng)、持續(xù)時(shí)間長(zhǎng)、破壞力大的群體式定向攻擊。

APT攻擊是一個(gè)漫長(zhǎng)而隱蔽的過(guò)程，如圖1，整個(gè)生命周期可以分為6個(gè)階段，即偵察階段、武器制作與投遞階段、漏洞利用階段、安裝與持久化階段、命令與控制階段及收益階段。

圖1 APT攻擊生命周期Fig.1 APT attack life cycle

1 APT攻擊的防御方法

1.1 惡意代碼檢測(cè)技術(shù)

惡意代碼是指在目標(biāo)主機(jī)中具有破壞或非授權(quán)獲取隱蔽信息行為的代碼段，主要包括木馬、計(jì)算機(jī)病毒、蠕蟲(chóng)等。惡意代碼檢測(cè)技術(shù)是檢測(cè)非法寫(xiě)入系統(tǒng)的惡意代碼的技術(shù)，是一種傳統(tǒng)且有效的檢測(cè)方法。Longkang Shang[4]等提出基于神經(jīng)網(wǎng)絡(luò)挖掘共享特征發(fā)現(xiàn)未知高級(jí)持續(xù)威脅C&C信道的框架，提出手動(dòng)特征提取和基于神經(jīng)網(wǎng)絡(luò)特征提取兩種方式，但手動(dòng)提取特征只有10個(gè)維度，而基于神經(jīng)網(wǎng)絡(luò)特征提取采用卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行兩輪卷積和池操作，可得到30維特征，提取出流級(jí)統(tǒng)計(jì)數(shù)據(jù)特征，PCA降維后，通過(guò)梯度提升下降樹(shù)對(duì)惡意軟件流量和正常流量進(jìn)行分類，找出惡意軟件與C&C服務(wù)器之間通信的惡意流量，進(jìn)而發(fā)現(xiàn)APT攻擊。劉科科[5]等提出基于活動(dòng)行為特征關(guān)聯(lián)分析的APT攻擊行為檢測(cè)模型，由前端采集探針實(shí)現(xiàn)零拷貝數(shù)據(jù)采集，協(xié)議深度解析還原，在后端分析監(jiān)測(cè)模塊，從惡意行為代碼感知、軟件安全漏洞感知、典型攻擊行為感知、綜合關(guān)聯(lián)分析4個(gè)方面進(jìn)行實(shí)時(shí)監(jiān)測(cè)，實(shí)現(xiàn)對(duì)APT攻擊行為的預(yù)警。

惡意代碼檢測(cè)技術(shù)一般用于網(wǎng)絡(luò)入口或內(nèi)網(wǎng)環(huán)境，對(duì)傳統(tǒng)攻擊的檢測(cè)有很高的成功率，是APT攻擊檢測(cè)中必不可少的一道防線，但APT攻擊隱蔽性強(qiáng)且時(shí)間跨度大，僅憑借惡意代碼檢測(cè)很難做到高攔截、低誤報(bào)。

1.2 基于網(wǎng)絡(luò)流量的檢測(cè)技術(shù)

基于網(wǎng)絡(luò)流量的檢測(cè)技術(shù)是通過(guò)機(jī)器學(xué)習(xí)相關(guān)算法對(duì)網(wǎng)絡(luò)中流量進(jìn)行檢測(cè)，分析可能存在的惡意行為。從網(wǎng)絡(luò)層分析，檢測(cè)技術(shù)重點(diǎn)在于網(wǎng)絡(luò)連接特征檢測(cè)和可疑地址追蹤；從應(yīng)用層分析，重點(diǎn)是協(xié)議數(shù)據(jù)監(jiān)測(cè)和C&C流量分析。董剛[6]等提出基于網(wǎng)絡(luò)連接特征屬性的入侵檢測(cè)模型識(shí)別APT攻擊，對(duì)采集的數(shù)據(jù)流量樣本進(jìn)行多維度特征提取，與正常的多維度屬性特征值相比較，對(duì)得到的異常可疑流量進(jìn)行實(shí)時(shí)報(bào)警。王曉琪[7]等提出一種基于隱蔽可疑DNS行為檢測(cè)的協(xié)助檢測(cè)APT攻擊框架APDD，利用CAA算法進(jìn)行變化向量分析和滑動(dòng)時(shí)間窗口分析，得出待檢測(cè)域名訪問(wèn)記錄與標(biāo)準(zhǔn)APT攻擊中DNS訪問(wèn)記錄的相似度，通過(guò)基于特征維度的信譽(yù)評(píng)分系統(tǒng)打分，判斷APT攻擊行為。張家偉[8]等提出一種抗APT攻擊的可信軟件基體系，從硬件角度出發(fā)，實(shí)現(xiàn)了APT攻擊內(nèi)核級(jí)防范，但體系整體核心在于完善完整性度量組件，對(duì)于白名單組件安全性略有欠缺。

基于網(wǎng)絡(luò)流量的檢測(cè)技術(shù)優(yōu)勢(shì)在于可形成事件時(shí)空關(guān)聯(lián)，進(jìn)行事件聯(lián)合分析，而過(guò)寬的時(shí)間域會(huì)在一定程度上影響檢測(cè)效率，且這種檢測(cè)方式一般發(fā)生在攻擊之后，對(duì)數(shù)據(jù)回傳行為做判定，也能作為防范APT攻擊的一道防線。

1.3 大數(shù)據(jù)分析檢測(cè)技術(shù)

大數(shù)據(jù)分析檢測(cè)技術(shù)可以從兩個(gè)維度分析：一是在來(lái)源多樣、體積巨大的數(shù)據(jù)基礎(chǔ)上，運(yùn)用特定算法做檢測(cè)；二是通過(guò)數(shù)據(jù)挖掘算法形成多設(shè)備上下文關(guān)聯(lián)進(jìn)行檢測(cè)。王小英[9]等提出面向APT攻擊網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別方法，利用數(shù)據(jù)挖掘領(lǐng)域的關(guān)聯(lián)規(guī)則構(gòu)建APT攻擊隱蔽目標(biāo)識(shí)別的總體框架，整合數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層及應(yīng)用層所產(chǎn)生的日志形成上文，利用檢測(cè)算法，匹配數(shù)據(jù)庫(kù)，計(jì)算可信度，進(jìn)而識(shí)別APT攻擊。黃永洪[10]等引入攻擊圖理論，提出了針對(duì)APT攻擊的風(fēng)險(xiǎn)屬性攻擊圖(RAAG)模型，利用系統(tǒng)脆弱性節(jié)點(diǎn)判斷算法評(píng)估系統(tǒng)中存在的APT攻擊風(fēng)險(xiǎn)。

大數(shù)據(jù)分析技術(shù)包含了惡意代碼檢測(cè)技術(shù)和基于網(wǎng)絡(luò)流量檢測(cè)技術(shù)，由于產(chǎn)生數(shù)據(jù)的位置不同，對(duì)應(yīng)的防護(hù)重點(diǎn)也不同，因此應(yīng)貫穿于攻擊的整個(gè)生命周期。

1.4 博弈論觀點(diǎn)

博弈論通過(guò)量化攻擊要素、分析節(jié)點(diǎn)、求取均衡來(lái)防范APT攻擊。張為[11]等提出基于節(jié)點(diǎn)博弈而改進(jìn)的OAPG(Attack path prediction model Oriented to APT)模型，通過(guò)漏洞風(fēng)險(xiǎn)分析算法計(jì)算可疑行為的風(fēng)險(xiǎn)系數(shù)，進(jìn)而對(duì)APT攻擊路徑進(jìn)行建模，計(jì)算攻防雙方的最大收益，分析均衡策略找到最優(yōu)防御方案。李靜軒[12]等從決策角度出發(fā)，研究APT攻防對(duì)抗過(guò)程中博弈雙方過(guò)程性目標(biāo)與多階段策略對(duì)峙過(guò)程中可行策略集的動(dòng)態(tài)、隨機(jī)變化等問(wèn)題，整合和擴(kuò)展矩陣型攻防博弈和Markov決策過(guò)程，提出APT攻防隨機(jī)博弈模型AO-ADSG。以上研究將博弈論觀點(diǎn)引入APT攻防對(duì)抗中，通過(guò)刻畫(huà)多階段攻防場(chǎng)景，從攻防雙方收益的角度分析APT攻擊，以此防范攻擊。

2 綜合防御框架

APT攻擊生命周期很長(zhǎng)，僅依靠單一的防御方法很難有效防范攻擊。因此，綜合性防御框架能夠更好地針對(duì)攻擊。孫文君[13]等以2010年Kordy[14]等提出的基于攻防樹(shù)的網(wǎng)絡(luò)安全分析模型為理論依據(jù)，提出一種基于攻防樹(shù)的APT風(fēng)險(xiǎn)評(píng)估方法。杜鎮(zhèn)宇[15]等提出基于Petri網(wǎng)的APT攻擊模型，以改進(jìn)的入侵殺傷鏈IKC(intrusion kill chain)模型為基礎(chǔ)，分析九元組 APTPN生成算法結(jié)果，通過(guò)觸發(fā)變遷完成庫(kù)所狀態(tài)的轉(zhuǎn)換，由矩陣向量分析得到APT攻擊的Petri網(wǎng)模型圖，更加直觀清晰地表達(dá)APT攻擊威脅級(jí)別，但模型生成算法普適性較弱。楊豪璞[16]等通過(guò)分析APT攻擊A特性(先進(jìn)性)和P特性(持續(xù)性)，提出基于階段特性的APT攻擊行為分類框架，對(duì)APT攻擊行為的劃分細(xì)粒度較高，但分類算法對(duì)預(yù)設(shè)攻擊情景針對(duì)性過(guò)強(qiáng)，普遍適用性較弱。戴震[17]等提出基于通信特征的APT攻擊檢測(cè)架構(gòu)，采用Heiritrix框架爬網(wǎng)得到相關(guān)文件，匹配文件關(guān)鍵詞，提取特征，再由人工篩選特征，使用的雙層特征匹配算法，在準(zhǔn)確率和誤報(bào)率上要優(yōu)于單次特征匹配，但一定程度上增加了時(shí)間復(fù)雜度。陳瑞東[18]等在動(dòng)態(tài)變形攻擊模型與檢測(cè)機(jī)制中提出基于金字塔的展開(kāi)模型，用來(lái)預(yù)測(cè)可能的攻擊路徑。潘亞峰[19]等設(shè)計(jì)并構(gòu)建了一種基于ATT&CK的APT攻擊語(yǔ)義規(guī)則模型框架。

多數(shù)文獻(xiàn)對(duì)APT攻擊的防御方式集中在惡意代碼檢測(cè)技術(shù)、大數(shù)據(jù)分析檢測(cè)技術(shù)、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接特征檢測(cè)技術(shù)，將機(jī)器學(xué)習(xí)等算法應(yīng)用于APT攻擊防范是未來(lái)研究的熱點(diǎn)。

3 非傳統(tǒng)網(wǎng)絡(luò)環(huán)境的APT攻擊防御方法

APT攻擊對(duì)傳統(tǒng)網(wǎng)絡(luò)拓?fù)洵h(huán)境造成了很大的威脅，近年來(lái)，云計(jì)算、工業(yè)網(wǎng)絡(luò)、移動(dòng)終端等也面臨著APT攻擊。胡晴[20]等從非合作博弈的角度研究了云計(jì)算系統(tǒng)的APT攻擊，提出了基于專家系統(tǒng)的APT攻擊云端檢測(cè)博弈模型，設(shè)置了APT攻擊者和APT防御者兩個(gè)參與人，考慮虛警率和漏報(bào)率兩個(gè)重要指標(biāo)，建立了混合策略ES-APT檢測(cè)博弈靜態(tài)模型和基于WoLF-PHC的動(dòng)態(tài)ES-APT檢測(cè)模型。張浩[21]等提出了參考性的云平臺(tái)下的APT攻擊防護(hù)框架，闡述了在云環(huán)境中對(duì)APT攻擊的檢測(cè)、監(jiān)控與溯源方法。XiaoyingWang[22]等提出基于時(shí)空關(guān)聯(lián)分析的工業(yè)互聯(lián)網(wǎng)APT攻擊發(fā)現(xiàn)算法，對(duì)原始數(shù)據(jù)進(jìn)行整合清理與標(biāo)準(zhǔn)化，通過(guò)符號(hào)化方法將每個(gè)特征簡(jiǎn)化為一個(gè)唯一的符號(hào)，用于規(guī)則挖掘；采用FP-Growth關(guān)聯(lián)規(guī)則挖掘算法經(jīng)常同時(shí)出現(xiàn)的時(shí)間特征、空間特征和類別特征，以最小支持度作為度量，過(guò)濾掉低于最小支持度的項(xiàng)集，最終形成關(guān)聯(lián)規(guī)則，在數(shù)據(jù)檢索方面，使用改進(jìn)的Bloom-fliter算法檢索歷史數(shù)據(jù)，發(fā)現(xiàn)可疑IP地址，降低了空間復(fù)雜度，但增加了時(shí)間復(fù)雜度。胡彬[23]等提出了集終端狀態(tài)監(jiān)控與轉(zhuǎn)發(fā)、日志數(shù)據(jù)預(yù)處理、特征提取、模型訓(xùn)練及預(yù)測(cè)、告警監(jiān)控及配置于一體的移動(dòng)端APT檢測(cè)模型，對(duì)移動(dòng)端的APT攻擊有很強(qiáng)的針對(duì)性，采用靜態(tài)分析和動(dòng)態(tài)分析相結(jié)合的方式，有效地將移動(dòng)端惡意攻擊行為量化。

面對(duì)非傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的APT攻擊，防御方法和普通APT攻擊有很大的相似性，其難點(diǎn)在于如何將云計(jì)算、工控系統(tǒng)、移動(dòng)終端等環(huán)境的技術(shù)特點(diǎn)與高效的防護(hù)手段相結(jié)合。

4 結(jié)語(yǔ)

APT攻擊防護(hù)的難點(diǎn)在于攻防雙方信息的不對(duì)稱性，攻擊方式和渠道多元化，而防守偏被動(dòng)，因此應(yīng)貫徹縱深防御思想，提高安全意識(shí)，將多種防御技術(shù)手段相結(jié)合，以對(duì)抗APT攻擊。