面向攻擊溯源的威脅情報共享利用研究

楊澤明 李 強 劉俊榮 劉寶旭

(中國科學院信息工程研究所 北京 100093)

?

面向攻擊溯源的威脅情報共享利用研究

楊澤明 李 強 劉俊榮 劉寶旭

(中國科學院信息工程研究所 北京 100093)

(yangzeming@iie.ac.cn)

網絡空間安全形勢日益復雜，攻擊溯源成為安全防護體系面臨的重要技術挑戰，威脅情報的出現為攻擊溯源提供了多來源數據支撐，從而使得大范圍的攻擊溯源成為可能.為實現有效的攻擊溯源，基于結構化威脅信息表達方法，提出了一種精簡模式的威脅情報共享利用框架，包含威脅情報表示、交換和利用3個方面，以實現對攻擊行為的追蹤溯源.以有關C2信息為例描述了威脅情報的共享利用表達方式，對該共享利用框架進行了驗證，表明相關結果具有實用性，可以為攻擊溯源工作提供新的技術手段.另外，還基于對威脅情報的理解，提出了共享利用機制建設的若干思考.

攻擊溯源；威脅情報；結構化威脅信息表達；惡意代碼；網絡空間安全

為了從根源上阻斷網絡攻擊，并從法律上懲治實施攻擊行為的黑客，往往需要追查攻擊的源頭，比如是攻擊的IP地址、實施攻擊的黑客及其組織等.現有安全防護系統大都側重于對網絡攻擊的發現與阻斷，均難以提供對攻擊源頭的溯源能力.如果無法確定攻擊源的位置，也就難以從根本上防止入侵者的再次攻擊，也無法將造成嚴重破壞的黑客繩之以法，更無法對網絡破壞分子形成威懾力.

當前，網絡空間安全形勢日益復雜，入侵者的攻擊手段不斷提升，其躲避追蹤溯源的手段也日益先進，如匿名網絡、網絡跳板、僵尸網絡、暗網、網絡隱蔽信道等方法在網絡攻擊事件中大量使用，這些都給網絡攻擊行為的追蹤溯源工作帶來嚴峻的技術挑戰.傳統的攻擊溯源方法往往只是借助單個組織的技術力量，只能獲得局部的攻擊相關信息，無法構建完整的攻擊鏈條，往往達不到實用化效果.在攻擊溯源實際工作中，一旦攻擊鏈條中斷，往往導致無功而返，從而使得前期大量溯源工作變得毫無價值.

最近在網絡安全領域興起并日漸火熱的威脅情報TI(threat intelligence)為攻擊溯源注入了新的活力.威脅情報的共享利用將是實現攻擊溯源的重要技術手段.一方面外部的威脅情報能為攻擊溯源提供重要的多來源數據支撐；另一方面，一個組織的攻擊溯源結果還能以威脅情報的方式共享給其他機構使用，從而為攻擊的檢測防護、聯動處置等工作提供精準的決策支持信息.

將網絡安全威脅情報用于攻擊溯源和網絡安全態勢感知等深度復雜且具有挑戰性的工作，正逐漸成為業界的共識.

1 國內外相關研究現狀

1.1 攻擊溯源的相關研究

國內外關于攻擊溯源方面的研究可以追溯到2000年以前，早期的攻擊溯源研究主要聚焦于IP地址追蹤，包括基于主機的IP溯源和基于網絡的攻擊溯源.基于主機的IP溯源研究主要集中在主機來源認證方面，通過增加適當的來源認證機制彌補TCPIP協議的不足.CIS (caller identification system)[1]通過強制的來源認證來達到追蹤的目的，相當于給沒有源IP認證的IP協議增加了強制的認證和保存登錄信息的功能，但它要求每個機器上都要裝一套相應的軟件.基于網絡的攻擊溯源研究主要起源于對抗DoS攻擊的需要，如基于概率的數據包標記方法[2]可以在無需ISP幫助的情況下追蹤入侵者的來源.DECIDOUS項目[3]提出了一套安全管理框架，可用于識別網絡入侵的真實來源，它主要是基于分布式來源認證的思想.高級標記和認證標記方案[4]可用于追蹤偽造IP數據包的真實來源.其他的攻擊溯源方法還包括基于哈希的攻擊溯源方法[5]、IP隧道方法[6]、基于代數的攻擊溯源方法[7]、流水印方法[8]、匿名通信追蹤方法[9]等.

以上研究大多僅針對攻擊溯源中某項對抗性技術(如跳板、匿名網絡等)，成果雖然具有一定的溯源效果，但其采用的技術往往方法過于單一、依賴條件過多，從而導致攻擊溯源的實際效果并不理想.

1.2 威脅情報的相關研究

網絡威脅情報是近年來眾多國際網絡安全機構為共同應對APT攻擊而逐漸興起的一項熱門技術.美國早在2009年就在《網絡空間政策評估報告——確保信息通信基礎設施的安全性和恢復力》中提出了建立網絡威脅情報共享機制的建議.2013年2月，奧巴馬發布第13636號行政命令《增強關鍵基礎設施網絡安全》，明確指出政府和企業之間必須實現網絡威脅情報共享.

全球有關網絡威脅情報技術研究最知名機構MITRE公司[10]是一個向美國政府提供系統工程、研究開發和信息技術支持的非營利性組織，網絡安全領域著名的CVECWEOVAL均為MITRE公司的注冊商標.MITRE公司于2012年提出了STIX[11](structured threat information expression)V1.0框架作為網絡威脅情報的表達格式，并于2013年提出TAXII[12](trusted automated exchange of indicator information)作為網絡威脅情報的交換機制，STIXTAXII威脅情報共享機制問世后即迅速得到美國政府和企業界眾多單位的普遍應用，目前已成為全球威脅情報領域共同遵循的事實標準之一.

2 面向攻擊溯源的威脅情報共享技術

2) 威脅情報表達格式和交換機制過于復雜，不利于快速普及應用，同時也會增加威脅情報的分析處理負載，面對海量威脅情報，更會顯著增加處理成本.

2.1 技術框架

面向攻擊溯源的威脅情報共享利用框架如圖1所示，其中包含對內部威脅情報和外部威脅情報2個方面的共享和利用.

內部威脅情報源主要是指機構自身的安全檢測防護分析系統所形成的威脅數據，包括來自基礎安全檢測系統和綜合安全分析系統方面的數據.其中基礎安全檢測系統包括防火墻、入侵檢測系統、漏洞掃描系統、防病毒系統、終端安全管理系統等基礎安全檢測單元；綜合安全分析系統包括安全管理平臺、安全運營中心(SOC)、安全信息與事件管理(SIEM)等綜合安全檢測分析單元.

圖1 總體技術框架

外部威脅情報源主要指來自外部機構的威脅情報源，主要包括互聯網公開情報源、合作交換情報源和商業購買情報源3個方面.其中互聯網公開情報源主要包括來自互聯網的安全分析報告、安全事件情報、安全態勢預警等數據，通過網絡爬蟲進行采集；合作交換情報源來自建立合作關系的機構，這往往通過在互利互惠基礎上實現的共享合作機制進行保障；商業購買情報源指完全通過商業付費行為得到的情報源，這往往來自專門的威脅情報供應商，如FireEye，Verisign等企業.

2.2 威脅情報表示

輕量型威脅情報共享利用框架將威脅情報信息統一采用XML格式進行描述，既方便機器處理、又方便人工閱讀分析.輕量型威脅情報共享利用框架將威脅情報分為6個方面，包括黑白名單數據類(包括IP類、DNS類、URL類)，安全攻擊事件信息類(包括攻擊時間、發起IP地址、目標IP地址、攻擊類型、關鍵特征等)，惡意代碼活動及其特征信息類(包括惡意代碼MD5值、類型、活動時間、回連地址、技術特征等)，僵尸網絡活動信息類(包括僵尸網絡名稱、類型、控制節點、技術特點等)，漏洞信息類(包括漏洞名稱、漏洞類別、利用特點等)，黑客及其組信息類(包括黑客組織、成員、聯系方式、個人特點等).

以C2命令和控制主機為例，按照LWTISUF框架的表達方法，C2主機威脅指標表達的數據模型分為2個主要部分：C2主機觀察到的惡意行為和對應惡意行為的解釋.數據模型如圖2所示：

圖2 C2主機數據模型

根據C2主機的數據模型，按照LWTISUF框架以XML的形式對該威脅指標進行表達的格式如下所示：

〈lwtisuf:Indicators〉

〈lwtisuf:Indicator xsi:type=

"indicator:IndicatorType" id="example:Indicator-

33fe3b22-0201-47cf-85d0-97c02164528d"

timestamp="2014-05-08T09:00:00.000000Z"〉

〈indicator:Title〉IP Address for known C2 channel

〈indicator:Type xsi:type=

"stixVocabs:IndicatorTypeVocab-1.1"〉

〈indicator:Observable id=

"example:Observable-1c798262-a4cd-434d-a958-884d6980c459"〉

〈indicator:Indicated_TTP〉

〈Common:TTP idref="example:TTP-

bc66360d-a7d1-4d8c-ad1a-ea3a13d62da9"〉

〈lwtisuf:TTPs〉〈lwtisuf:TTP xsi:type="ttp:TTPType" id="example:TTP-bc66360d-a7d1-4d8c-ad1a-ea3a13d62da9"

timestamp="2014-05-08T09:00:00.000000Z"〉

C2主機威脅指標通過輕量型威脅情報共享利用框架來表達，不僅可以保證良好的人、機可讀性，更能夠充分滿足數據交換和共享的需求，還能夠直觀地查看到各個威脅屬性之間的關聯情況.圖3所示的是一種可視化表示的C2主機威脅屬性關聯圖.

圖3 C2主機威脅屬性關聯圖

2.3 威脅情報交換

系統收到威脅情報數據后，將XML文檔消息轉換為系統可識別的對象，然后存于數據庫中，供其分析和使用，并在此基礎上協調各個組件之間的運作，威脅情報交換過程中的轉換處理工作流程如下：

1) 將XML格式的威脅情報數據發送給轉換模塊；

2) 轉換模塊解析XML文檔，根據威脅情報的數據模型生成相應的對象；

3) 根據威脅情報數據庫格式的定義，轉換模塊從數據對象中提取特定屬性，組織成各個威脅情報數據域.

2.4 威脅情報利用

利用威脅情報實現的攻擊溯源主要包括控制主機溯源和攻擊者溯源2個方面，所形成的攻擊溯源信息可以作為新產生的威脅情報為內部安全防護體系提供支撐，也可以用于跟外部機構之間的威脅情報交換.

控制主機溯源分析主要是尋找和定位發起攻擊事件的主控機器，主要是利用威脅情報數據進行關聯分析，以實現對采用隱匿技術機制的攻擊行為進行溯源分析，如僵尸網絡、網絡跳板、匿名網絡、網絡隱蔽信道等.

攻擊者溯源旨在尋找實施攻擊的幕后黑客及其組織，主要通過結合威脅情報和攻擊事件信息進行基于大數據的挖掘分析，包括攻擊代碼分析、攻擊模式分析、社會網絡分析、代碼模式分析、鍵盤模式分析、工作習慣分析等方面.通過基于大數據的共享利用分析，可以實現對攻擊者的刻畫、對攻擊行為的關聯分析，從而為揭示攻擊過程提供有效值的信息.

3 關于威脅情報共享機制建設的思考

面向攻擊溯源的威脅情報共享利用技術可為攻擊溯源提供一定的技術基礎，但其在實際應用中的效果嚴重依賴于所獲得威脅情報的數量和質量.只有配套建立面向攻擊溯源的威脅情報共享機制才能確保獲得用于攻擊溯源的威脅情報信息，否則威脅情報共享技術也將成為空中樓閣.

面向攻擊溯源的威脅情報共享機制涉及我國各單位的共同利益，在此呼吁各相關組織和個人依據以下3個原則建立專門的面向攻擊溯源的威脅情報共享機制.

1) 國家權威機構牽頭：攻擊溯源工作需要全方位綜合的威脅情報支撐，需要跨部門的溝通和協調機制.當前我國在威脅情報機制方面尚缺乏頂層戰略設計和統一指揮機制，部門之間又缺乏有效的溝通協作，造成攻擊溯源威脅情報信息缺失、斷層，無法進行完整溯源.為此，建議由國家權威機構牽頭，以面向攻擊溯源的威脅情報共享利用建設為開端，逐步推動、完善國家網絡安全威脅情報體制機制建設，形成國家級網絡威脅情報資源庫.

2) 政產學研用廣泛參與：威脅情報具有聚集效應，參與的機構越多、威脅情報的范圍越廣，在攻擊溯源中形成的利用價值就越大.為此，需要推動政產學研用協同機制，實現網絡安全領域各機構的優勢互補、資源共享，合作共贏、抱團發展，共同應對高級網絡安全威脅，實現基于威脅情報的 “一點發現、全網免疫”的網絡安全主動防御效能，為贏得安全防護主動權提供威脅情報共享和攻擊溯源信息支撐.

3) 績效評價和激勵：為了激勵各參與機構貢獻威脅情報資源的積極性，可以參考電商行業的信譽機制，對各機構的威脅情報共享和利用數據進行統計和合理的績效評價，確保貢獻越多、受益越多，甚至可以考慮將該信譽作為評價網絡安全機構信譽度的一個重要參考.

[1]Jung H T, Kim H L, Seo Y M, et al. Caller identification system in the Internet environment[C]Proc of the 4th USENIX Security Symp. Berkeley: USENIX Association, 1993: 69-78

[2]Savage S, Wetherall D, Karlin A, et al. Practical network support for IP traceback[C]Proc of ACM SIGCOMM. New York:ACM, 2000: 295-306

[3]Chang H Y, Narayan R, Wu S F, et al. Deciduous: Decentralized source identification for network-based intrusions[C]Proc of the 6th IFIPIEEE Int Symp on Integrated Network Management. New York: IEEE Communications Society, 1999: 701-714

[4]Song D, Perrig A. Advanced and authenticated marking schemes for IP traceback[C]Proc of the 20th Annual Joint Conf on IEEE Computer and Communications Societies. Piscataway, NJ: IEEE, 2001: 878-886

[5]Snoeren A C, Partridge C, Sanchez L A, et al. Hash-based IP traceback[C]Proc of ACM SIGCOMM 2001. New York: ACM, 2001: 3-14

[6]Stone R. Centertrack: An IP overlay network for tracking DoS floods[C]Proc of the 9th USENIX Security Symp. Berkeley: USENIX Association, 2000: 199-212

[7]Dean D, Franklin M, Stubblefield A. An algebraic approach to IP traceback[J]. ACM Trans on Information and System Security (TISSEC), 2002, 5(2): 119-137

[8]Wang X Y, Reeves D S. Robust correlation of encrypted attack traffic through stepping stones by flow watermarking

[J]. IEEE Trans on Dependable and Secure Computing, 2011, 8(3): 434-449

[9]張璐, 羅軍舟, 楊明, 等. 基于時隙質心流水印的匿名通信追蹤技術[J]. 軟件學報, 2011, 22(10): 2358-2371

[10]MITRE公司官方網站[OL].[2015-08-01]. http:www.mitre.org

[11]STIX官方網站[OL].[2015-08-01]. http:stix.mitre.org

[12]TAXII官方網站[OL].[2015-08-01]. http:taxii.mitre.org

楊澤明

博士，副研究員，主要研究方向為高級威脅檢測、攻擊溯源取證等.

yangzeming@iie.ac.cn

李 強

博士研究生，主要研究方向為高級威脅檢測、攻擊溯源取證.

liqiang7@iie.ac.cn

劉俊榮

碩士，助理研究員，主要研究方向為態勢感知、攻擊溯源取證等.

liujunrong@iie.ac.cn

劉寶旭

博士，研究員，主要研究方向為網絡與信息安全、攻防對抗、網絡安全評測技術等.

liubaoxu@iie.ac.cn

Research of Threat Intelligence Sharing and Using for Cyber Attack Attribution

Yang Zeming, Li Qiang, Liu Junrong, and Liu Baoxu

(InstituteofInformationEngineering,ChineseAcademyofSciences,Beijing100093)

With the increasingly complexity of cyberspace security, the attack attribution has become an important challenge for the security protection system. The emergence of threat intelligence provided plentiful data source support for the attack attribution, which makes large-scale attack attribution became possible. To realize effective attack attribution, based on the structure expression of the threat information, a light weight framework of threat intelligence sharing and utilization was proposed. It included threat intelligence expression, exchange and utilization, which can achieve the attack attribution result. Take the case of C2 relevant information, we described the expression of threat intelligence sharing and utilization, and verified the framework. Results show that the framework is practical, and can provide new technical means for attack attribution. In addition, based on the understanding of threat intelligence, several thinking about the construction of sharing and utilization mechanisms were promoted in the end.

attack attribution; threat intelligence; STIX; malicious code; cyber security

2015-08-24

TP309