基于基線的APT檢測(cè)分析平臺(tái)研究與設(shè)計(jì)

◆武宗濤 趙 進(jìn) 葉 忠

（海軍計(jì)算技術(shù)研究所 北京 100841）

基于基線的APT檢測(cè)分析平臺(tái)研究與設(shè)計(jì)

◆武宗濤 趙 進(jìn) 葉 忠

（海軍計(jì)算技術(shù)研究所 北京 100841）

為了彌補(bǔ)傳統(tǒng)安全防護(hù)措施在防范APT（高級(jí)持續(xù)性威脅）方面的不足，本文結(jié)合APT的特點(diǎn)，運(yùn)用社會(huì)工程學(xué)，從用戶行為和網(wǎng)絡(luò)流量?jī)煞矫鎯?nèi)容提出了一種基于基線的APT檢測(cè)分析平臺(tái)的設(shè)計(jì)，實(shí)現(xiàn)對(duì)APT的深度檢測(cè)、追溯、印證，加強(qiáng)安全防護(hù)“內(nèi)控”。

高級(jí)持續(xù)性威脅APT；用戶行為基線；網(wǎng)絡(luò)流量基線

0 前言

APT（Advanced Persistent Threat），即高級(jí)持續(xù)性威脅，主要是指在各類攻擊技術(shù)基礎(chǔ)上結(jié)合社會(huì)工程學(xué)實(shí)現(xiàn)的復(fù)雜性攻擊，具有長(zhǎng)期性、潛伏性等特征[1]。

傳統(tǒng)攻擊一般為非持續(xù)性攻擊，比如當(dāng)目標(biāo)無可利用漏洞和方法，攻擊無法進(jìn)行，攻擊者會(huì)結(jié)束攻擊。與傳統(tǒng)攻擊淺嘗輒止、遇挫則止不同，APT攻擊采取隱藏和靜待的方式等待可再次攻擊的時(shí)機(jī)，其隱藏時(shí)間可達(dá)數(shù)年之久。APT攻擊的這些特性足以說明APT攻擊具備較強(qiáng)的針對(duì)性，一旦實(shí)施成功，產(chǎn)生的影響和后果要比一般傳統(tǒng)攻擊更為嚴(yán)重。同時(shí)，APT攻擊者實(shí)施的大部分攻擊并非針對(duì)計(jì)算機(jī)系統(tǒng)，而是人。人性的弱點(diǎn)從人類文明以來總是固有的，如釣魚、欺騙等，最終導(dǎo)致的結(jié)果就是，系統(tǒng)的淪陷，數(shù)據(jù)的失竊。

目前已發(fā)生了大批量的APT攻擊成功案例：2010年，Google極光攻擊導(dǎo)致Google網(wǎng)絡(luò)被滲透數(shù)月，并且造成大量數(shù)據(jù)被竊取。同年，在攻擊伊朗的Olympic Games網(wǎng)絡(luò)攻擊行動(dòng)中，美國已開始對(duì)APT攻擊方法進(jìn)行實(shí)戰(zhàn)驗(yàn)證。2011年，國際安全廠商RSA、洛克希德馬丁等美國國防承包商、伊朗核工業(yè)、三菱重工軍工企業(yè)、美國政府、聯(lián)合國、韓國SK集團(tuán)等陸續(xù)發(fā)現(xiàn)遭受APT攻擊，發(fā)現(xiàn)時(shí)已遭受了長(zhǎng)期的資料竊取等破壞活動(dòng)[2]。

目前，我國面臨的新型攻擊威脅的形勢(shì)還是比較嚴(yán)峻的[3]。利用“火焰”病毒、“高斯”病毒、“紅色十月”病毒等實(shí)施的APT活動(dòng)頻現(xiàn)，對(duì)國家和企業(yè)的數(shù)據(jù)安全造成嚴(yán)重威脅。

在深入調(diào)研了大量的國內(nèi)外APT攻擊原理、特征、APT相關(guān)檢測(cè)防范技術(shù)和產(chǎn)品后，本文提出了一種基于基線的APT檢測(cè)分析平臺(tái)的研究和設(shè)計(jì)。平臺(tái)結(jié)合APT攻擊的階段性特點(diǎn)，運(yùn)用社會(huì)工程學(xué)，監(jiān)測(cè)內(nèi)部異常行為、惡意行為的發(fā)生，實(shí)現(xiàn)對(duì)APT的深度追溯、印證，從而加強(qiáng)安全防護(hù)的“內(nèi)控”[4]，對(duì)現(xiàn)有安全防護(hù)體系形成有力的補(bǔ)充和完善。

1 基于基線的APT檢測(cè)分析平臺(tái)設(shè)計(jì)理念

基于基線的APT檢測(cè)分析平臺(tái)設(shè)計(jì)理念包括以下三點(diǎn)：

（1）APT行為模式會(huì)明顯偏離用戶的正常行為或習(xí)慣行為；

（2）APT攻擊發(fā)生后，在數(shù)據(jù)獲取過程中網(wǎng)絡(luò)流量比正常流量高一個(gè)數(shù)量級(jí)，且持續(xù)較長(zhǎng)時(shí)間；

（3）任何攻擊行為（包括APT）都是通過網(wǎng)絡(luò)通信來進(jìn)行攻擊，必然存在通信特定的數(shù)據(jù)包，即使模擬正常端口進(jìn)行正常通信，也有跡可循[5]。

2 基于基線的APT檢測(cè)分析平臺(tái)設(shè)計(jì)

基于基線的APT檢測(cè)分析平臺(tái)主要由數(shù)據(jù)采集、數(shù)據(jù)分析、前臺(tái)交互三部分組成，如圖1所示。

圖1 基于基線的APT檢測(cè)分析平臺(tái)架構(gòu)

2.1 數(shù)據(jù)采集

前端數(shù)據(jù)采集主要分為主機(jī)日志采集、網(wǎng)絡(luò)流量采集、安全設(shè)備日志采集、網(wǎng)絡(luò)設(shè)備日志采集、應(yīng)用系統(tǒng)日志采集五個(gè)部分。

2.1.1 主機(jī)日志采集

主機(jī)日志采集主要通過主機(jī)日志代理，實(shí)現(xiàn)從終端、服務(wù)器等對(duì)象上收集主機(jī)日志，經(jīng)過解析、歸一化等處理后，提煉出用戶操作行為，供后臺(tái)用戶行為基線挖掘、匹配。

2.1.2 網(wǎng)絡(luò)流量采集

網(wǎng)絡(luò)流量采集通過鏡像核心交換機(jī)的流量，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的高效采集，提取出通信會(huì)話、傳送的郵件/文件，供后臺(tái)實(shí)施異常流量分析、可疑會(huì)話檢測(cè)、惡意文件分析。

2.1.3 安全設(shè)備日志采集

安全設(shè)備日志采集主要實(shí)現(xiàn)從防火墻、入侵檢測(cè)設(shè)備、漏洞掃描設(shè)備等安全設(shè)備上實(shí)時(shí)收集安全日志，經(jīng)過解析、歸一化等處理后，供后臺(tái)進(jìn)行APT追溯、印證。

2.1.4 網(wǎng)絡(luò)設(shè)備日志采集

網(wǎng)絡(luò)設(shè)備日志采集主要實(shí)現(xiàn)從交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備上實(shí)時(shí)收集日志，經(jīng)過解析、歸一化等處理后，供后臺(tái)進(jìn)行APT追溯、印證。

2.1.5 應(yīng)用系統(tǒng)日志采集

應(yīng)用系統(tǒng)日志采集主要實(shí)現(xiàn)從各類應(yīng)用系統(tǒng)采集應(yīng)用日志，經(jīng)過解析、歸一化等處理后，提煉出用戶操作行為，供后臺(tái)用戶行為基線挖掘、匹配。

2.2 數(shù)據(jù)分析

數(shù)據(jù)分析主要分為實(shí)時(shí)分析和離線分析兩部分。

離線分析主要實(shí)現(xiàn)基線挖掘，包括用戶行為基線挖掘和網(wǎng)絡(luò)流量基線挖掘。

實(shí)時(shí)分析主要對(duì)用戶行為日志以及流量信息進(jìn)行實(shí)時(shí)匹配處理，實(shí)現(xiàn)用戶行為分析、異常流量分析、可疑會(huì)話檢測(cè)、惡意文件分析。

2.2.1 用戶行為分析

用戶行為分析包括基于基線的用戶行為分析和基于規(guī)則的用戶違規(guī)行為分析。用戶行為基線主要從用戶行為歷史數(shù)據(jù)中進(jìn)行提取和分析，采用統(tǒng)計(jì)分析和頻繁項(xiàng)分析的方法，挖掘出用戶在不同時(shí)間段、不同應(yīng)用系統(tǒng)的行為模式、行為基線，為用戶行為分析提供檢測(cè)、分析的標(biāo)準(zhǔn)和依據(jù)。

（1）基于基線的用戶行為分析

針對(duì)APT更多地利用人性的弱點(diǎn)，同樣結(jié)合社會(huì)工程學(xué)，基于用戶行為基線（反映用戶正常行為習(xí)慣模式），對(duì)實(shí)時(shí)上報(bào)的用戶行為日志進(jìn)行實(shí)時(shí)匹配，發(fā)現(xiàn)用戶明顯偏離正常行為或習(xí)慣行為的活動(dòng)，并形成異常告警。其中，用戶行為日志主要從主機(jī)日志、應(yīng)用系統(tǒng)日志等日志信息中進(jìn)行提取和分析。

（2）基于規(guī)則的違規(guī)行為分析

采用傳統(tǒng)分析思路，根據(jù)實(shí)際業(yè)務(wù)需求，構(gòu)造黑名單、白名單等規(guī)則庫，對(duì)用戶行為日志進(jìn)行實(shí)時(shí)匹配，實(shí)現(xiàn)對(duì)用戶違規(guī)行為的檢測(cè)，并形成異常告警。

2.2.2 異常流量分析

異常流量分析包括基于基線的異常流量分析和基于規(guī)則的違規(guī)行為分析。

（1）基于基線的異常流量分析

基于基線的匹配分析的依據(jù)：在沒有攻擊或者攻擊很短的時(shí)間內(nèi)網(wǎng)絡(luò)流量沒有特別大的改變；在APT攻擊發(fā)生后，數(shù)據(jù)獲取過程中數(shù)據(jù)流量比正常流量高一個(gè)數(shù)量級(jí)，且持續(xù)較長(zhǎng)一段時(shí)間。

因此，針對(duì)APT攻擊中隱蔽傳輸、加密傳輸、未知協(xié)議傳輸?shù)葐栴}，基于基線的匹配分析重點(diǎn)監(jiān)測(cè)數(shù)據(jù)回傳階段的流量變化，從而檢測(cè)出未知攻擊。APT攻擊隱蔽的越好、越猖狂，要獲取的數(shù)據(jù)量越多，流量變化越大。

基于網(wǎng)絡(luò)流量基線（即網(wǎng)絡(luò)正常行為模式，包括固定時(shí)間段的正常流量大小、正常目的IP離散度、正常協(xié)議分布等），通過分析流量對(duì)于正常行為模式的偏離而識(shí)別存在攻擊行為，并形成異常告警，如某一時(shí)刻網(wǎng)絡(luò)流量大幅偏離正常流量或目的IP聚合，則可能存在攻擊行為，又如某一端口持續(xù)數(shù)月和某一固定的IP存在不間斷流量的回傳等。

（2）基于規(guī)則的違規(guī)行為分析

采用傳統(tǒng)分析思路，構(gòu)造黑名單、白名單等規(guī)則庫，對(duì)網(wǎng)絡(luò)流量屬性進(jìn)行實(shí)時(shí)匹配，實(shí)現(xiàn)對(duì)違規(guī)行為的檢測(cè)，并形成異常告警。

2.2.3 可疑會(huì)話檢測(cè)

可疑會(huì)話檢測(cè)的依據(jù)：任何攻擊行為都是通過網(wǎng)絡(luò)通信來進(jìn)行攻擊，必然存在通信特定的數(shù)據(jù)包；即使模擬正常端口進(jìn)行正常通信，也有跡可循。

可疑會(huì)話檢測(cè)，通過分析從流量中提取的會(huì)話，不僅能檢測(cè)已知木馬，還能檢測(cè)出隱蔽性較強(qiáng)的未知攻擊木馬。

可疑會(huì)話檢測(cè)內(nèi)容主要如表1。

表1 可疑會(huì)話檢測(cè)的內(nèi)容

2.2.4 惡意文件分析

惡意文件分析支持靜態(tài)檢測(cè)和動(dòng)態(tài)監(jiān)控。

（1）靜態(tài)檢測(cè)

利用殺毒軟件進(jìn)行文件查殺，對(duì)Office、PDF、CHM、HLP、視頻、Flash、圖片等多種格式的文件進(jìn)行分析。

（2）動(dòng)態(tài)監(jiān)控

通過虛擬平臺(tái)執(zhí)行，對(duì)多操作系統(tǒng)、多瀏覽器環(huán)境進(jìn)行模擬，實(shí)現(xiàn)對(duì)抗虛擬機(jī)檢測(cè)、多種壓縮格式檢測(cè)，對(duì)多種格式的文檔進(jìn)行溢出檢測(cè)、shellcode分析。

2.2.5 基線挖掘

基線挖掘分為用戶行為基線挖掘和網(wǎng)絡(luò)流量基線挖掘。

（1）用戶行為基線挖掘

基于統(tǒng)計(jì)學(xué)和機(jī)器學(xué)習(xí)的技術(shù)，對(duì)海量用戶歷史行為記錄進(jìn)行挖掘分析，形成用戶行為基線，比如用戶長(zhǎng)期使用的服務(wù)、服務(wù)每天的訪問頻度、訪問習(xí)慣、正常流入流出流量大小、基于長(zhǎng)期統(tǒng)計(jì)的CPU負(fù)載和內(nèi)存占用等。

（2）網(wǎng)絡(luò)流量基線挖掘

基于統(tǒng)計(jì)學(xué)和機(jī)器學(xué)習(xí)的技術(shù)，對(duì)海量歷史網(wǎng)絡(luò)流量記錄進(jìn)行挖掘分析，形成網(wǎng)絡(luò)流量基線，比如固定時(shí)間段正常流量大小、正常目的IP離散度、正常協(xié)議分布、正常數(shù)據(jù)包大小等。

2.3 前臺(tái)交互

前臺(tái)交互主要向用戶提供操作管理、態(tài)勢(shì)呈現(xiàn)等功能接口，包括安全態(tài)勢(shì)、異常告警、APT溯源、審計(jì)印證、策略管理和系統(tǒng)管理等。

2.3.1 安全態(tài)勢(shì)

構(gòu)建安全態(tài)勢(shì)量化指標(biāo)體系，基于后臺(tái)數(shù)據(jù)分析結(jié)果，融合、評(píng)估形成全局安全態(tài)勢(shì)，支持根據(jù)APT溯源結(jié)果展示APT攻擊軌跡以及網(wǎng)絡(luò)弱點(diǎn)分布，并以豐富的形式呈現(xiàn)給用戶。

2.3.2 異常告警

對(duì)后臺(tái)數(shù)據(jù)分析產(chǎn)生的APT行為、用戶異常行為、網(wǎng)絡(luò)異常行為、違規(guī)行為等告警進(jìn)行統(tǒng)一展示。

2.3.3 溯源印證

對(duì)APT行為進(jìn)行深度追溯，挖掘所有相關(guān)用戶行為記錄和網(wǎng)絡(luò)流量記錄，提供給專業(yè)人員進(jìn)行人工分析印證，從而輔助定位APT行為來源、過程、影響。

2.3.4 策略管理

為用戶提供各類規(guī)則的配置接口，包括主機(jī)日志采集策略、流量采集策略、黑名單規(guī)則、白名單規(guī)則、基線挖掘參數(shù)等。

2.3.5系統(tǒng)管理

提供APT檢測(cè)分析平臺(tái)的參數(shù)配置、用戶管理、權(quán)限管理等功能，并實(shí)現(xiàn)平臺(tái)運(yùn)行狀態(tài)監(jiān)控、系統(tǒng)日志記錄等功能。

3 基于基線的APT檢測(cè)分析平臺(tái)實(shí)現(xiàn)與驗(yàn)證

基于基線的APT檢測(cè)分析平臺(tái)分為硬件和軟件兩部分，具體部署模式如圖2所示。

圖2 基于基線的APT檢測(cè)分析平臺(tái)部署模式

硬件部分主要為流量探針，負(fù)責(zé)采集網(wǎng)絡(luò)流量，旁路部署于核心交換機(jī)上。軟件部分分為主機(jī)日志代理和APT檢測(cè)分析后臺(tái)軟件。主機(jī)日志代理部署于終端、服務(wù)器等監(jiān)控對(duì)象上，采集主機(jī)日志，發(fā)送至APT檢測(cè)分析平臺(tái)后臺(tái)進(jìn)行處理；APT檢測(cè)分析后臺(tái)軟件部署于高性能服務(wù)器上，對(duì)主機(jī)日志、流量信息、安全設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志、應(yīng)用系統(tǒng)日志進(jìn)行實(shí)時(shí)分析和挖掘分析，以及對(duì)流量探針和主機(jī)日志代理的統(tǒng)一管理。

4 結(jié)論

本文對(duì)基于基線的APT檢測(cè)分析平臺(tái)進(jìn)行了設(shè)計(jì)與實(shí)現(xiàn)，通過離線挖掘形成用戶行為基線和網(wǎng)絡(luò)流量基線，有效監(jiān)測(cè)APT行為在不同方面表現(xiàn)出的異常，探索安全保障方式從規(guī)則判斷到異常發(fā)現(xiàn)、由靜到動(dòng)、由單點(diǎn)到整體、由被動(dòng)變主動(dòng)方式的轉(zhuǎn)變。我們下一步的研究工作是，結(jié)合大數(shù)據(jù)分析技術(shù)和平臺(tái)，實(shí)現(xiàn)對(duì)海量數(shù)據(jù)的高效實(shí)時(shí)分析、離線挖掘，提升基于基線的APT檢測(cè)分析平臺(tái)在大規(guī)模網(wǎng)絡(luò)中應(yīng)用的實(shí)用性。

[1]杜躍進(jìn)，翟立東，李躍，賈召鵬.一種應(yīng)對(duì)APT攻擊的安全架構(gòu)：異常發(fā)現(xiàn)[J].計(jì)算機(jī)研究與發(fā)展，2014.

[2]楊軍，石永.APT攻擊技術(shù)及其安全防護(hù)研究[C]. Proceedings of 2012 International Conference on Earth Science and Remote Sensing(ESRS 2012)，2012.

[3]國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2014年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述[EB/OL]. http://www.cert.org.cn/pu blish/main/46/2015/20150601155121202938498.html，2015/2015.

[4]石波，王紅艷，郭旭東.基于業(yè)務(wù)白名單的異常違規(guī)行為監(jiān)測(cè)研究[C].信息網(wǎng)絡(luò)安全，2015.

[5]唐勇.基于網(wǎng)絡(luò)的攻擊特征自動(dòng)提取技術(shù)研究[D].國防科學(xué)技術(shù)大學(xué)，2008.