一種基于可信業務流的未知威脅檢測方法

?

一種基于可信業務流的未知威脅檢測方法

楊大路1,范 維2,南淑君1,宿雅婷1

（1.北京國電通網絡技術有限公司,北京,100070;2國網遼寧省電力有限公司電力科學研究院,遼寧,110006)

0　引言

APT（Advanced Persistent Threat，高級持續性威脅）攻擊是當前最具威脅的攻擊形式。從APT攻擊的效果分析，不僅是像SONY這樣的大型公司受到損失，甚至是RSA這樣的專業安全公司的數據也被竊取。這些事實表明，現行的安全機制已經無法滿足以APT攻擊為代表的新一代威脅的防御需求。在這種情況下，必須建立新的防御機制，建立新形勢下的信息安全防御體系。

本文首先分析了典型的APT攻擊過程，并在此基礎上結合具體的業務環境建立了可信業務流的概念，提出了一種未知威脅檢測方法，最后給出了原型系統的設計和實現。

1　典型APT攻擊過程分析

目前，信息系統運維人員已經初步建立了信息安全的概念，或多或少地部署了安全防護設備對系統實施安全防護。越來越多的攻擊者在發起攻擊時，首先會測試是否可以繞過目標網絡的安全檢測，利用一些新型的攻擊手段，如0day威脅、高級逃避技術、多階段攻擊、APT 攻擊等。這些新的攻擊方式，通常稱為新一代威脅。由于它們繞過了傳統安全機制，因此往往會造成更大的破壞。下面以APT攻擊為例分析新一代安全威脅的攻擊過程。

APT攻擊具有以下三個特性：

（1）高級：攻擊者往往是黑客中的精英，同時使用包括新型攻擊手段在內的多種方法和工具，以達到預期的攻擊目標。

（2）持續性滲透：攻擊者針對特定的攻擊目標，長時間地進行滲透。在不被發現的情況下，長時間地潛伏在目標網絡和系統中搜集有用信息，以獲得利益的最大化。

（3）威脅：APT攻擊的攻擊成功率很高，造成的后果很嚴重，因此威脅非常大。

典型的APT攻擊過程如圖1所示：

如圖1所示，典型的APT攻擊過程可分為6個階段。第一階段是定向攻擊。攻擊者利用魚叉式釣魚攻擊、水坑式攻擊等針對有限目標的攻擊方法，誘使用戶點擊受感染郵件或被植入惡意代碼的web網頁。一旦用戶打開郵件或點擊網頁，則可能發生后續的漏洞利用過程。第二階段是漏洞利用。攻擊者利用常見軟件的弱點（如office文檔、pdf文檔），執行預設的惡意代碼，獲得系統的控制權限。整個過程在受害系統的內存中發展，不涉及任何的文件磁盤操作，因此也就難以被傳統安全機制檢測出來。第三階段是控制系統。獲得受害系統的權限后，惡意代碼會繼續下載更完整的控制程序。控制程序會偽裝成doc、jpg等非執行程序，以逃避檢測。第四階段是連接C&C服務器?？刂瞥绦虺晒\行后，將連接外部的命令和控制服務器（攻擊者操控受害主機的服務器）。一旦連接成功建立，攻擊者就建立了對受害主機的完整控制。第五階段是數據竊取。當攻擊者完全控制受害主機后，就會試圖竊取主機中的敏感數據，如知識產權、用戶憑據和內部文件等。第六階段是持續滲透。一般情況下，外部網絡可以直接訪問的主機存儲的機密數據是有限的，更多的數據存儲在內部網絡的其它主機中。因此攻擊者會通過網絡來查找其它的內部系統，包括IT管理員的操作主機（為獲取進一步的內部網絡權限）以及包含機密資料的重要服務器和數據庫等。

在以上6個階段中，大體上可以分為兩個關鍵部分。一個是從被定向攻擊到初始系統被完全控制，另一個是攻擊者在網絡內部持續滲透，進一步獲取更多的敏感數據。目前，關于APT攻擊防御的研究大多集中在第一部分，試圖在攻擊的最初階段就發現并遏制攻擊行為。從縱深防御的角度，不僅需要防御APT攻擊的“高級”部分，還要建立對“持續性滲透”的防御。本文主要研究應對“持續性滲透”的防御機制。

2　基于可信業務流的未知威脅檢測方法

從企業的角度，其核心的數據是關鍵的業務數據。從攻擊者的角度，業務數據往往也是攻擊的主要目標。業務數據通常存儲在生產網中，并與業務系統緊密關聯在一起。這些業務系統擁有清晰的業務邏輯，其業務訪問的發起方、應答方、使用的協議、端口是已清晰定義的。在某些情況下，業務訪問的時間都是有規律的。這是本文檢測方法的現實基礎。

2.1可信業務流

首先給出可信業務流的定義：可信業務流是指在企業的網絡環境中，與業務系統運行邏輯一致的，符合業務系統運行規律的網絡流量模型。從定義可知，可信業務流包括兩層含義：

（1）與業務系統運行邏輯一致

網絡流量符合業務系統預先定義的執行邏輯，其源IP、目的IP、源端口、目的端口、協議等符合預先的定義。

（2）符合業務系統運行規律

網絡流量符合業務系統運行的規律，如流量出現的時間、高低峰值范圍等。

可信業務流是對企業信息系統正常運轉情況下，對生產網絡中網絡流量的抽象。從網絡安全的角度，稱可信業務流是生產網絡中的流量基線。

2.2基于可信業務流的未知威脅檢測方法

以可信業務流為基礎，我們提出了一種未知威脅檢測方法。

如圖2所示，未知威脅檢測分為4個過程：

（1）建立基線模型。以生產網絡中的實際流量為基礎，通過流量自學習方法建立初步的可信業務流模型，并通過系統管理員對模型進行修正，成為可用于檢測的基線模型。

（2）監測流量偏差。對網絡中的流量進行實時監測，并將監測到的數據與基線模型進行對比。當實際檢測數據與基線模型的偏差大于預先設定的閾值時，記錄一個異常事件。

（3）分析異常原因。系統管理員應及時對告警的異常事件進行分析。異常事件一般可以分為如下幾種情況：

非常態業務流。在業務系統運行過程中，存在臨時的系統維護、數據錄入等操作，屬于非常態事件，可以通過工單、操作記錄等印證。確認后可將此類事件忽略。

業務流狀態遷移。隨著業務的發展，可能存在新建、升級業務系統，業務運行時間、流量大小改變等情況。在這種情況下，需要系統管理員根據監測到的信息及時修正基線模型，防止誤檢漏檢發生。

灰色業務流。某些異常事件反映出的業務流，即沒有其它信息可以印證，也不屬于已知的業務系統自身變化，其性質難以判斷。

（4）啟動應急響應。當發現灰色業務流后，需要在專業安全人員的協助下進一步分析異常事件產生的原因。一旦判定為攻擊事件，及時更新安全防御策略，終止入侵事件的發生。

3　原型系統設計及實現

以基于可信業務流的檢測方法為基礎，我們建立了一個原型系統。

3.1原型系統架構

原型系統架構如圖3所示：

如圖3所示，系統由網絡流量探針、流量探針管理引擎、業務流分析引擎、可信業務流基線數據、異常事件告警數據、異常事件管理和系統管理等模塊組成。其中，網絡流量探針視網絡結構可部署多個，保證所有納入管理范圍的業務流量都被探測到。流量探針管理引擎多網絡流量探針實施統一管理，并將探測到的網絡流量數據整理后送入業務流分析引擎。業務流分析引擎的功能主要有兩部分：第一部分是在系統部署前期，根據網絡業務流量數據并結合業務系統信息在系統管理員的參與下建立可信業務流模型并生成基線數據。第二部分是在建立基線后，將探測到的網絡業務流量數據與基線數據進行對比分析，當偏差超過閾值后將其標記為異常事件，記錄并及時告警。異常事件管理模塊主要支持對告警的異常事件處理，實現對異常事件告警數據的管理。系統管理模塊是系統管理員對原型系統實施管理的接口，實現對其它模塊的統一管理。

4　結束語

基于可信業務流的未知威脅檢測方法，實現了網絡業務流量的可視化，更加貼近實際運行的業務系統，也使得系統管理員更容易基于業務邏輯判斷網絡是否存在可能的未知威脅攻擊行為。通過目前原型系統在部分單位的試點結果分析，這種方法是可行的。

參考文獻

[1] Lee C, Park T L & H.The characteristics of APT attacks and strategies of countermeasure[J]. Future Information Engineering,2014.

[2] Yang Yang.On the Density and Subsequent Utility of Attack Graphs in Realistic Environments[D].Iowa State University, 2013.

圖3　

摘要：在APT攻擊過程中，突破目標系統的防御機制后，下一步是在目標系統網絡內部持續滲透，控制更多的主機并搜集有價值的數據。通常情況下，持續滲透階段在網絡內傳播的未知惡意攻擊檢測是困難的。本文以生產網為研究對象，利用生產網流量相對可控的特點，提出了一種未知威脅檢測方法。該方法基于業務歸并網絡流量，通過將流量分為可信流量和非可信流量，不斷縮小攻擊流量的范圍并最終實現未知惡意攻擊識別。通過原型系統在生產環境的測試表明該方法是可行的。

關鍵詞：APT; 可信業務流;檢測方法

國家電網公司科技項目資助（合同號：524681140011）

An unknown threat detection method based on trusted business flow

Yang Dalu1,Fan Wei2,Nan Shujun1,Su Yating1

（1.Beijing Guodian Network Technology Co.,Ltd.Beijing,100070 2.State Grid Electric Power Research Institute of Liaoning Province Electric Power Company Limited Liaoning,110006)

Abstract：In the process of APT attack,the first step is bypassing the defense mechanisms of the target system.And the second step is spreading in the network,controlling more hosts and getting more valuable data.Usually,the second step is hard to be detected.But in the production network,networktrafficsare relatively controllable. Based on the production network,a new method is proposed to detecting unknown threats. The main idea of the method is sorting network traffics by business.By sorting the network traffic into trusted and untrusted,the scope of attack traffic is narrowed.Finally,the unknown attacks can be detected.The field test indicates the method is feasible.

Keywords：APT; trusted business flow; detection method