一種基于同源行為分析的APT異常發現策略

俞藝涵，付鈺，吳曉平，李洪成

(海軍工程大學信息安全系，湖北 武漢 430033)

一種基于同源行為分析的APT異常發現策略

俞藝涵，付鈺，吳曉平，李洪成

(海軍工程大學信息安全系，湖北 武漢 430033)

APT(advanced persistent threat)攻擊的日益頻繁對APT攻擊行為的檢測提出了更高的要求，對同源行為進行分析是盡早發現APT攻擊行為的一種有效方法。針對數據量過大造成數據對比認證效率低下的難題，提出了借助數據標簽技術，建立歷史同源行為數據庫，并將數據庫存儲到云端;依托Hadoop平臺和MapReduce聚合計算能力，基于偽隨機置換技術完成網絡全流量并行檢測，通過與數據庫中的數據標簽進行對比驗證，來判斷是否有APT攻擊行為。測試結果表明，該方法可盡早從網絡中發現APT異常行為，提高全數據流檢測的效率。

APT防御;同源策略;實時檢測;數據標簽;偽隨機置換

1 引言

近年來，高級持續性威脅 (advanced persistent threat，APT)越來越引起人們的廣泛關注，APT具有應用技術手段高超、潛伏時間長、目的明確等特點，其引發的安全事件往往是對關鍵要害部門造成極大安全威脅的社會性事件［1］。由于APT攻擊者在進行攻擊前往往進行長時間的準備，且進行攻擊時的時間跨度可長達數月甚至數年，這使得如何準確預測 APT 的攻擊時間成為難點［2，3］。

目前，已有大量的學者對APT攻擊的原理及特點進行了相關研究，也有學者提出了應對APT攻擊的安全架構和防御策略。杜躍進等人［4］提出了一種高低位協同監測的方法，剖析了APT的外延和內涵，將其抽象為數學模型并建立了威脅模型，從APT攻擊的源頭、途徑和終端3個層面監測和發現APT異常行為;李鳳海等人［5］提出了站在全局角度，利用大數據全方位地對APT攻擊進行統籌預測與防御的方案;Cole E［6］提出了應對 APT幾個關鍵性階段針對性防御的策略。但是，目前對于如何盡可能早地發現APT攻擊行為還沒有具體可實施的方案。

APT攻擊的一個顯著特點是其在一個長時間跨度內進行持續性進攻，可能是幾個月甚至幾年。在這樣一個長時間跨度的攻擊中，如何能盡可能早地發現攻擊者的行為是APT攻擊的防御方所面臨的難題。而在攻擊實施的最初階段，攻擊者往往尋找被攻擊方的一個薄弱點進行攻擊(單點突破階段)。在此過程中，攻擊者會利用技術手段或社會工程學手段先控制被攻擊網絡中的一臺主機、一個路由器或者一個用戶權限作為跳板來為下一步攻擊行為做好準備。在這一時段內，同一來源的主機、設備或者操作者的行為必將出現反常，如訪問非常用 IP 地址、權限擴大、頻繁登錄等［7，8］。本文旨在抓住 APT攻擊的這一特點，對同源行為進行分析，從而盡早發現APT攻擊。

以APT攻擊的單點突破階段為突破點，創新性地提出一種基于同源行為分析的APT異常發現策略，該策略依托Hadoop架構以及MapReduce技術，運用基于散列函數的數據標簽技術和偽隨機置換并行驗證技術，對防御網絡中來自同一主機的網絡行為進行學習并建立云數據庫，對網絡數據流進行實時監控，通過與數據庫中的數據標簽進行對比來判斷是否有APT攻擊行為。本文的創新點在于:利用APT攻擊在單點突破階段的特征，提出同源行為的概念，并通過分析同源行為對APT攻擊進行檢測;提出基于散列函數的數據標簽技術來對網絡流量數據進行處理，從單個數據對比驗證的角度降低數據對比驗證時的開銷;提出基于偽隨機變化的數據標簽對并行驗證技術，對實時監測時的歷史行為數據庫進行抽樣，從全流量檢測的角度進一步降低數據對比驗證時的開銷。

2 基于散列函數的數據標簽技術

如果簡單地將一定時間段內一臺主機的不同歷史同源行為數據進行存儲，實時同源行為數據通過遍歷數據庫進行對比驗證，這樣不僅不能滿足數據庫的安全要求，當歷史同源行為數據的大小超過某個值以后，進行驗證的開銷和耗時將隨實時同源行為數據大小的增加而呈指數倍增長。最直接的數據對比驗證方法是將原始數據與現有數據進行直接對比驗證，雖然這種方法能夠完全準確地比較出數據是否相同，但是在APT防御中將實時同源行為文件與海量歷史同源行為文件進行對比驗證，顯然開銷太大且太過低效，為此本文提出一種基于散列函數的數據標簽技術。

數據標簽［9］是由歷史同源行為文件進行相應運算后生成的、唯一代表歷史同源行為的一種信息。在驗證時，無需訪問原始歷史同源行為文件，也不需要網絡傳輸文件，只需少量的數據傳輸即可進行實時同源行為與歷史同源行為的對比驗證。

數據標簽生成模塊將歷史同源行為文件Mi以時間窗序列分割成N個子文件，對每個子文件進行運算生成數據標簽，計算式為:

其中，Wi=v｜i，i為歷史同源行為子文件 mi中的索引 i，v為一個安全素數，在文件處理的過程中隨機生成，將v和i連接之后相當于對索引文件進行了加密處理，可以保證Wi不同且不可預測，滿足了安全性要求。h(x)為散列函數，在這里使用MD5消息摘要算法，經散列轉換后可得到一個128位的二進制數并將其轉換成大數，參與隨后的運算。g為一個安全素數，并滿足g mod n=1，m為文件塊轉化的十進制大數，d是RSA算法中生成的密鑰，n是RSA算法中生成的大素數模底。

生成的數據標簽傳輸給云數據庫進行保存，原始歷史同源行為文件則可以不作保留。在這里需要解釋的是，考慮到云數據庫也作為需防御保護的一部分，也可能遭受APT攻擊，為滿足其安全性，采用散列函數的數據標簽技術而不是應用簡單的數據標簽技術。

3 基于偽隨機置換的數據標簽對并行驗證

在實時檢測過程中，可根據實際防護需求將系統部署在網絡的主干鏈路中，針對全網進行檢測，也可將系統部署在分支網絡中，特定地針對某一臺主機進行檢測。在對網絡中的全數據流進行檢測的過程中，可簡單地通過抓取分組技術獲取分組頭五元組信息作為數據源，從而能使檢測數據的獲取相對簡單，但可靠性有所降低;也可以把通過深層協議解析技術獲取的協議類型、使用權限等同源信息作為數據源，從而使檢測數據的可靠性更高，但網絡開銷更大。為實現對網絡全數據流的檢測，解決檢測中的開銷問題，本文從硬件架構和檢測策略兩個方面進行解決。

在硬件架構方面，將數據庫存儲在云端，采用Hadoop架構，并利用MapReduce技術對數據標簽的對比驗證請求進行處理，合理分配分布式計算資源，使大規模網絡數據環境下的實時檢測成為可能。實時檢測時獲得的數據將通過系統直接上傳至云端，數據的處理與對比驗證在云端完成，占用的是檢測系統的計算資源而不是網絡傳輸資源。同時，利用Hadoop架構可隨時增加DataNode的數量，系統具有很強的易擴展性。

在節能降耗檢測工作中，能源計量技術發揮著重要的作用，該技術的有效應用可以極大地提升節能降耗數據采集與監測水平。本文主要對能源計量工作在節能降耗中的作用與地位進行簡要分析，并且從節能降耗途徑，能源計量的作用以及政策與公共節能3個角度進行了具體的分析。

在策略方面，傳統的全流量檢測通常是對數據源進行抽樣來降低開銷，這樣做將使漏報率大大增加。提出了一種全流量數據源采集而抽樣數據庫對比的思想，在驗證實時行為數據標簽時，采用基于偽隨機置換的數據標簽對驗證方法，在降低漏報率的同時大大降低了對比認證時的網絡開銷。偽隨機置換(pseudo-random permutation，PRP)是序列密碼中產生偽隨機數的一種方法。由于一臺主機的歷史同源行為數據量很大，且有相同行為的數據同時存在云數據庫中，只是因為序列索引使得數據標簽有所不同。同時，對于一臺主機而言，由網絡行為學分析可知［10］，在絕大多數時間段內，其網絡行為是穩定且“一致”的。由此，在進行實時同源行為數據標簽與歷史同源行為數據標簽的對比時，并不需要遍歷100%的歷史同源行為樣本。

同源行為并行對比驗證過程如圖1所示。

圖1 同源行為并行對比驗證過程

具體步驟如下。

步驟1由相應主機對應的歷史同源行為文件分割成的子文件數N，確定需對比的子文件數據標簽數C。C是一個小于N的數，其值越接近N則可認為數據標簽對比的完整性越高，相應的計算開銷也會越大。C的具體取值是由N、檢測對比需求和計算開銷綜合決定的。

步驟 2在對比驗證時，由隨機生成一個驗證密鑰K，最后生成ij，其中ij與mj中的i有確定的對應關系，且1≤j≤C。由此，隨機選擇出歷史同源行為子文件數據標簽中的一部分與實時同源行為進行對比驗證，如圖2所示。

步驟3對一定時間段內的不同時間窗中的實時數據并行進行驗證，即無需依循時序限制，生成隨機驗證樣本后將i值賦予各時間窗的實時數據生成驗證標簽，采用并行計算，同時進行多個標簽對的對比。

步驟4一旦發現有與歷史數據標簽吻合的實時數據則馬上濾除并認為其可信。

步驟5將通過一輪隨機驗證樣本而沒有發現吻合驗證的實時數據導入下一輪。如果在一個合理的時間段內都不能找到吻合樣本標簽，則可判斷其為異常行為，將其標記并上報。

圖2 實時同源行為對比驗證

另一方面，在檢測過程中，由于是對全流量進行檢測，對比驗證結果會有一定的時延，并不能做到絕對實時性，但這樣的時延對整個單點突破階段及時間跨度長達數十個月的整個APT攻擊來說可忽略不計。因此，可認為這樣的同源行為異常發現是有效的。

4 實驗測試

利用5臺IBM X系列機架式服務器搭建Hadoop平臺，10臺PC終端和一個交換機組成測試環境，其網絡拓撲如圖3所示。準備不同大小的歷史同源行為數據分組和實時同源行為數據分組，分別對本文提出策略的效率和可靠性進行測試。

4.1 效率測試

在不同大小歷史同源行為數據庫下，對不同大小的實時同源行為數據按照本文提出的策略和一般對比驗證策略進行對比測試，測試結果見表1。

由測試結果可以看出，當檢測的歷史同源行為樣本與實時同源行為數據都較小時，一般的對比驗證方法在效率上高于基于本文策略的對比驗證方法。然而，當歷史同源行為樣本與實時同源行為數據的大小增加時，一般的對比驗證方法的耗時呈線性增長，而基于本文策略的對比驗證方法的耗時的增長并不明顯且遠小于一般的對比驗證方法，符合在大規模網絡環境下應用的要求。

圖3 測試平臺網絡拓撲

表1 效率測試結果

在實際應用環境下，隨著網絡中主機用戶的增多，Hadoop平臺中的分布式計算節點的數量可以相應地增多，由于是并行分布式計算，單位節點下處理數據的開銷趨于一致，所以可以認為效率測試的結果具有普遍性。

4.2 可靠性測試

在歷史同源行為文件大小為512 GB的情況下，對不同大小且存在威脅的實時同源行為文件分別進行100次測試，統計其誤報率和漏報率，測試結果見表2。

由測試結果可以看出，基于本文策略的對比驗證方法的準確性極高，可以說幾乎不會出現漏報情況，而誤報率則會隨實時同源行為文件大小增加相應出現，合理控制實時檢測時實時同源文件的分塊大小將有效解決這一問題。總體而言，可認為系統安全可靠。

表2 可靠性測試結果

5 結束語

本文提出的基于同源行為分析的APT異常行為檢測策略，針對的是APT攻擊的單點突破階段，盡可能早地發現APT攻擊行為。依托Hadoop平臺與MapReduce的分布式計算能力，運用數據標簽技術和偽隨機置換并行標簽對比技術，做到了全流量檢測，達到了預期效果。然而，APT攻擊由于其攻擊手段的復雜性、攻擊技術的高超性、攻擊時間的持續性等特點，對其的防御不可能僅僅依賴單一的技術手段與方案，往往需要在多個層面運用多種技術手段來綜合應對APT攻擊，而本文提出的策略可作為應對APT攻擊的第一步，為后續研究起到拋磚引玉的作用。

［1］CHEN P，DESMET L，HUYGENS C.A study on advanced persistent threats ［C］//Proceedings of the 15th International ConferenceConferenceon Communicationsand Multimedia Security，September 25-26，2014，Aveiro，Portugal.Berlin:Springer Press，2014:56-73.

［2］NIKOS V，DIMITRI G.The big four-what we did wrong in advanced persistentthreatdetection ［C］//Proceedings ofInternational Conference on Availability，Reliability and Security，September 2-6，2013，Washington DC，USA.New Jersey:IEEE Press，2013:248-254.

［3］YANG G M Z，TIAN Z H，DUAN W L.The prevent of advanced persistentthreat ［J］.JournalofChemicaland Pharmaceutical Research，2015，6(1):572-576.

［4］杜躍進，翟立東，李躍，等.一種應對APT攻擊的安全架構:異常發現［J］.計算機研究與發展，2014，7(7):1633-1645.DU Y J，ZHAI L D，LI Y，et al.Security architecture to deal with APT attacks:abnormal discovery ［J］.Journal of Computer Research and Development，2014，7(7):1633-1645.

［5］李鳳海，李爽，張佰龍，等.高等級安全網絡抗APT攻擊方案研究［J］.信息網絡安全，2014(9):109-114 LI F H，LI S，ZHANG B L，et al.An anti-APT scheme research for high-security network［J］.Netinfo Security，2014(9):109-114.

［6］COLE E.Advanced PersistentThreat:Understanding the Danger and How to Protect Your Organization［M］.Boca Raton:CRC Press，2012:1-280.

［7］鄭黎明，鄒鵬，賈焰，等.網絡流量異常檢測中分類器的提取與訓練方法研究［J］.計算機學報，2012(4):719-729.ZHENG L M，ZOU P，JIA Y，et al.How to extract and train the classifier in traffic anomaly detection system ［J］.Chinese Journal of Computers，2012(4):719-729.

［8］許婷.一種有效防范APT攻擊的網絡安全架構［J］.信息安全與通信保密，2013(6):65-67.XU T.A hierarchical-centralized network security architecture effectively preventingAPT attacks ［J］.China Information Security，2012(4):65-67.

［9］SEJONG O，SEOG P.Task-role-based access control model［J］.Information System，2003(28):533-562.

［10］張鴿.基于網絡行為分析的跨站攻防技術的研究 ［D］.鄭州:解放軍信息工程大學，2012:46.ZHANG G.Analysis of offensive and defensive techniques cross station based on network behavior ［D］.Zhengzhou:PLA Information Engineering University，2012:46.

A discovery strategy for APT anomaly based on homologous behavior analysis

YU Yihan，FU Yu，WU Xiaoping，LI Hongcheng
Department of Information Security，Naval University of Engineering，Wuhan 430033，China

As APT (advanced persistent threat)attacks are increasingly frequently，higher requirements for the detection of APT attacks were proposed.It was an effective method to early discover the attack behavior of APT based on homologous behavior analysis.Aiming at the problem of low efficiency of data authentication caused by excessive data，the historical behavior database with data label technology was established and the database was stored in the cloud.Relying on the Hadoop platform and the aggregate computing ability of MapReduce and the pseudorandom permutation technique，the whole traffic parallel detection of the network was realized.In order to determine whether there was a APT attack behavior，the detection of APT attacks was implemented by comparing the data labels in the database.Test results show that the proposed method can detect the abnormal behavior of APT from the network as soon as possibleand improve the efficiency of the whole data flow detection.

APT defense，homologous strategy，real-time detection，data label，pseudorandom permutation

s:TheNationalNaturalScienceFoundation ofChina(No.61100042)，TheNatrualScienceFoudation ofHubei(No.2015CFC867)，Project of National Defense Key Laboratory of Information Security Technology(No.KJ-13-111)

TP309.7

A

10.11959/j.issn.1000-0801.2016012

2015-07-06;

2015-11-02

國家自然科學基金資助項目(No.61100042);湖北省自然科學基金資助項目(No.2015CFC867);信息保障技術國防重點實驗室基金資助項目(No.KJ-13-111)

俞藝涵(1992-)，男，海軍工程大學信息安全系碩士生，主要研究方向為信息系統安全。

付鈺(1982-)，女，博士，海軍工程大學信息安全系副教授，主要研究方向為信息安全風險評估。

吳曉平(1961-)，男，博士，海軍工程大學信息安全系教授，主要研究方向為系統分析與決策。

李洪成(1991-)，男，海軍工程大學信息安全系博士生，主要研究方向為大數據安全與風險評估。