淺談利用威脅情報面向攻擊溯源

摘 要：網絡安全環境日趨復雜，攻擊溯源技術已成為現有安全體系的重要挑戰，威脅情報的出現，提供對攻擊源的數據支持，對可能出現的各種攻擊溯源。現實中的網絡攻擊發起者，范圍非常廣泛，不僅有個人攻擊者，還有資源豐富的犯罪團伙，甚至還包括代表國家利益的黑客團隊。這些攻擊者往往是長期“潛伏”和“伺機而動”，具有極高的目的性，他們使用各種技術和程序或破壞或中斷系統來進行金融詐騙，竊取知識產權或敏感信息。

關鍵詞：威脅情報；攻擊溯源；APT；情報共享

引言

隨著網絡空間的規模幾何狀擴張和復雜度的增加，針對網絡空間的攻擊與威脅也越來越多，網絡安全威脅已經不再是簡單的病毒侵襲和黑客入侵兩個方面。攻擊溯源技術已成為現有安全體系的重要挑戰，威脅情報的出現，提供對攻擊源的數據支持，對可能出現的各種攻擊溯源。現實中的網絡攻擊發起者，范圍非常廣泛，不僅有個人攻擊者，還有資源豐富的犯罪團伙，甚至還包括代表國家利益的黑客團隊。這些攻擊者往往是長期“潛伏”和“伺機而動”，具有極高的目的性，他們使用各種技術和程序或破壞或中斷系統來進行金融詐騙，竊取知識產權或敏感信息。

近期在網絡安全領域興起以威脅情報為攻擊溯源的新觀念。Gartner公司對威脅情報做出的定義：“威脅情報是對資產存在威脅的行為或危險的行為，并以證據為基礎的知識，包括環境，機制，影響和對策建議，以幫助解決威脅或危險的決策。”簡單的說，通常可以從CERT、防病毒公司，安全服務公司，非政府安全組織那里看安全預警公告，漏洞公告，威脅通知等，這些都是典型的安全威脅情報，共享使用威脅情報技術將成為攻擊溯源的重要手段。從來自各種渠道的威脅情報信息，我們不僅可以為多源數據的可追溯性攻擊提供了重要的支持，同時將攻擊溯源從威脅情報信息反饋至其他機構和用戶共享，以檢測攻擊防護聯動處置工作，提供準確的決策支持，正逐漸成為業界的共識。網絡攻擊溯源雖然已取得了一些研究成果，但網絡的多樣性，復雜性，現有的技術仍然需要進一步完善和整合。追蹤網絡攻擊溯源指利用各種手段來追蹤網絡攻擊的發動者，隨著入侵者攻擊手段不斷升級，逃避追蹤可追溯性手段變得越來越靈活，例如匿名網絡，網絡跳板，僵尸網絡等方法在網絡攻擊中大量使用，這給了跟蹤追查工作帶來嚴峻的挑戰。傳統方法的攻擊溯源往往只是一個簡單的技術，只能獲取部分攻擊信息，無法獲得攻擊的完整鏈條，往往達不到實戰化效果。在攻擊溯源實際工作中，攻擊鏈一旦中斷，往往會導致前功盡棄，讓很多前期工作變得毫無價值和追溯性。

攻擊溯源方面早期研究主要集中在IP地址追蹤，包括基于主機IP的攻擊追溯和網絡追溯。主機IP追蹤的重點是主機認證方面，通過其他渠道來源的身份驗證機制來彌補依據不足的TCP/IP協議。美國總統奧巴馬于7月26日發布總統令：PPD-41，旨在建立一個全國性的網絡攻擊響應鏈，并以附件的形式出臺了《美國網絡事故協作計劃》。我們可以從這個總統令看到在網絡安全中政府發揮著重要作用，政府不僅發揮協調的作用，還通過政府的領導和指揮，協調企業和民間力量，共同應對網絡威脅。

安全威脅情報的意義是什么，我們該如何面對？以往的設備和技術是基于非動態機制，現在是動態安全的時代，傳統的方法已經難以應對不斷變化和升級的攻擊手段。安全威脅情報正好是以動態的手段來對抗攻擊者，威脅情報通過不斷被收集、補充、分析、改進、再匯集形成一個閉環。同時，在不斷升級的新技術下，也產生新的威脅，如APT的出現、僵尸網絡、0day漏洞、惡意URL地址信息等，這些信息對網絡安全防御是非常有幫助的。2014年初，美國建立的網絡威脅情報整合中心，加強應對網絡威脅，新設立的機構和現有的網絡安全機構是非常不同的，網絡威脅情報整合中心負責對各部門收集的情報分析，并為其他部門提供分析報告，由此我們可以看到網絡威脅情報在維護網絡安全的重要性。美國國家標準協會（NIST）對APT的定義是：掌握先進的專業技術和有效資源，通過多種攻擊手段，以竊取機密信息，破壞系統程序或阻礙關鍵任務，或駐留在企業內部網絡中發動后續攻擊。我們可以把APT分開理解：

（1）A：高級。攻擊者往往掌握著一般攻擊者沒有的技術和資源，通過高級而復雜的技術，采用多種攻擊手段，動態調整攻擊方式進行攻擊。

（2）P：持久。攻擊者通過長期連續的滲透、監控、采集、入侵步驟，入侵成功后會繼續駐留在網絡，等待執行后續攻擊的機會來達到目的。

（3）T：危險。攻擊者通常有雄厚的資金支持，黑客支持、技術支持等背景，以破壞和竊取大企業和國家的機密信息為目的，嚴重危害國家的安全利益和社會穩定。

舉個例子：

某企業部署了一套網絡安全威脅態勢預警系統，有一天該系統中的某個終端異常請求被防火墻攔截了，防火墻將異常攔截數據上傳到了安全威脅態勢預警系統，生成了威脅情報信息；安全威脅態勢預警系統將這個威脅情報信息下發到該網絡中所有的安全設備中，所有安全設備馬上進行了排查，并將排查信息和相關日志匯集到了隔離分析系統，安全技術人員通過隔離分析系統系統對這個異常請求進行了分析，發現是一起利用惡意軟件、惡意代碼、計算機病毒的攻擊行為，并通過安全威脅態勢預警系統完成了整個事件的溯源。溯源后制定了相應安全規則，再下發到了其它終端安全設備和下一代防火墻中，所有設備協同聯動阻斷了這起攻擊。

APT的先進性和隱蔽性可以輕松穿透傳統安全防線，所以應對高級威脅我們必須要依靠行為檢測進行分析，提交可執行和操作的分析結果，利用威脅情報可以對攻擊溯源提供一定的技術基礎，但其在實際應用中的效果嚴重依賴于所獲得情報的數量和質量。保證網絡的安全有效運行需要先進的技術和嚴格的管理制度和法律的威嚴相結合，這才是最佳安全策略，只有配套建立面向攻擊溯源的威脅情報共享機制才能確保獲得用于攻擊溯源的威脅情報信息，否則威脅情報共享技術也將成為鏡花水月。其次，攻擊溯源工作需要一個全方位的綜合威脅情報的支持和協調機制，需要跨部門的溝通。我國目前的威脅情報的機制缺乏部門之間的統一指揮機制，缺乏有效的溝通和協作，從而導致攻擊溯源威脅情報信息缺失、遺漏，不能完整的追溯。因此，建議由國家權威機構對攻擊溯源信息共享與建設牽頭帶動，逐步推進和完善國家網絡安全威脅情報和態勢感知系統建設機制，全國性的網絡威脅情報資料庫。

參考文獻

[1]楊澤明，李強，劉俊榮，等.面向攻擊溯源的威脅情報共享利用研究[J].信息安全研究，2015（1）.

[2]郝堯，陳周國，蒲石，等.多源網絡攻擊追蹤溯源技術研究[J].通信技術，2013，46（12）.

[3]王青峰，范艷紅.網絡安全威脅態勢評估與分析技術研究[J].計算機光盤軟件與應用，2012（2）：128-129.

[4]林龍成，陳波，郭向民.傳統網絡安全防御面臨的新威脅：APT攻擊[J].信息安全與技術，2013，4（3）：20-25.

[5]云曉春.威脅情報助力互聯網應急響應[J].信息安全與通信保密，2015（10）：21-21.

[6]張磊，李維杰.美國《網絡威脅信息共享指南》摘要[J].中國信息安全，2015（6）：86-87.

[7]沈立君.APT攻擊威脅網絡安全的全面解析與防御探討[J].信息安全與技術，2015，6（8）：66-70.