基于圖算法的APT攻擊檢測

李斯祺 李艷斐

摘 要：伴隨著網絡技術的發展，網絡環境充斥著各種不安全因素，面對層出不窮的網絡攻擊，出現了針對各項攻擊進行預防的安全技術，例如病毒掃描、防火墻、入侵檢測等。然而，當前高級持續性威脅（Advance Persistent Threat，以下簡稱APT攻擊）已經成為各類網絡面臨的主要安全威脅。論文結合APT攻擊探測分析和圖的生成算法，提出一個能夠有效提高APT攻擊檢測效率的系統。

關鍵詞：APT攻擊；網絡攻擊；圖算法；全流量審計；攻擊檢測

中圖分類號：TP393.0 文獻標識碼：A

Abstract： Network environment filled with all kinds of threats with the development of network technology. And advanced persistent threats （aka “APT”） have become the major cybersecurity threats in all kinds of networks. In the face of endless cyber attacks and intrusions， the common prevention methods， such as virus scanners， firewalls， intrusion detection systems lack the ability to detect the APT attack. This paper proposes a method to improve the efficiency of APT attack detection system by using graph generation algorithm in full flow auditing in attack detection.

Key words： APT attacks； network attacks； graph algorithms； full flow audit； attack detection

1 引言

高級持續威脅（APT）攻擊不斷發生，現已成為一個社會問題。APT攻擊不同于傳統的網絡攻擊，以滲透到特定公司或組織并獲取重要的敏感數據信息為目的，并利用復雜的攻擊技術提高攻擊的成功率，這種攻擊行為首先具有極強的隱蔽能力和針對性，通常是利用企業或機構網絡中受信的應用程序漏洞來形成攻擊者受控網絡。通過長期盯稍、定點侵入、持續滲透等方式，可以讓用戶網絡環境中傳統的IPS/IDS、防火墻等安全網關失去應有的防御能力，無論是0day或者精心構造的惡意程序，傳統的基于特征庫的被動防御體系都無法抵御定向攻擊的入侵。APT攻擊已經成為世界范圍內的重大威脅，APT防范成為熱點議題。

2 APT攻擊技術分析

高級持續威脅（APT）普遍認可的定義是，利用各種先進的攻擊手段，對高價值目標進行的有組織、長期持續性網絡攻擊行為。APT不只是某個攻擊手段，更是一系列為了達成目標而使用的攻擊手段的集合，其攻擊特點導致傳統針對單一網絡攻擊的安全技術無法對APT攻擊進行有效預防。

2.1 攻擊特點

APT攻擊具有很強的針對性，攻擊者會收集目標對象網絡環境或應用系統的相關精確信息，通過詳盡、系統化的分析和總結，發現漏洞并構造相應的攻擊方法。其次，APT攻擊的成本很高，攻擊者會對收集的信息進行長時間的分析，數據挖掘。最后，APT攻擊是持續的，攻擊和防御體系時刻處于對抗之中，一次完整的APT攻擊往往包含多個步驟。最重要的兩個特點為“A”和“P”，其中“A”為Advanced代表攻擊方式的多變性與高階性，APT攻擊最常用的手段為使用0day或社會工程學繞過防護邊界，同時利用多種攻擊手段達到目標，基于特征匹配的防護措施難以應對該攻擊；“P”為Persistent代表攻擊的長持續性，APT攻擊往往都是由攻擊者長期進行滲透攻擊，對目標系統的掃描、探測、攻擊均維持在一個相當長的時間跨度內，該特點可能增加檢測完整攻擊鏈的難度。

2.2 攻擊對象

被攻擊的對象主要分為三類：政府、企業及個人。其攻擊的核心是入侵系統后進行信息竊密和行為干擾。對于APT攻擊，發起者是人，利用了大量的社會工程學手段，從不同角度利用多種業務進行滲透，通過網絡進行連接，而作用點在終端，不同的終端，在APT攻擊中表現也不一樣，例如移動終端， APT 可以通過移動終端進行信息收集，而智能終端上的各種信息往往比 PC 終端要豐富得多； BYOD模式（Bring Your Own Device，允許員工自帶智能設備使用企業內部應用）在提高員工工作效率、降低企業的成本和投入的同時，也為系統數據的安全帶來了更多的風險。目前，很多業務系統都允許用戶的移動終端接入，終端的類型也呈多樣化（如 iPhone、安卓、iWatch等），任何終端上安裝了存在安全風險的應用軟件都會導致整個系統的防御體系出現問題。智能機上的終端軟件，如手機郵箱、辦公系統等都會成為 APT 攻擊的跳板，甚至直接導致企業關鍵業務信息的泄漏[1]。

2.3 攻擊過程

APT攻擊指攻擊者在未經允許訪問某組織的內部網絡，并長時間停留且不被發現的攻擊形式，并實現幾個目的。

長期潛伏在該單位網絡中，并伺機竊取機密數據；策劃攻擊方案并實施攻擊，使該組織網絡部分癱瘓或完全失效；為后續攻擊打開后門，為未來的攻擊做準備，達到長期利用的目的。攻擊者可能會持續多年并重復采取各種攻方式，以保證一直可以以高權限在該組織的網絡來投放惡意程序，以實現長期利用的目的。

高級持續威脅攻擊可以分為四步：準備、試探性攻擊、內網活動和實現最終攻擊目標。

在初始階段，攻擊者會從多方面收集信息來尋找被攻擊者的弱點。有經驗的攻擊者一般可能從公司官方網站、社交媒體和其他各種渠道，來了解目標個人或公司的方方面面并伺機尋找弱點。在攻擊者做好準備后，在第二階段，攻擊者會嘗試在目標網絡中建立立足點。

一般攻擊者會利用社會工程學，使惡意軟件得以植入到目標系統中[8，9]。內網活動這一步中，攻擊者會以上一步被感染的主機作為跳板，收集被攻擊者內部網絡的基礎架構信息，找到目標以實現最終目的。一旦攻擊者進入目標組織內部，會通過遠程控制的方式，實現對目標被滲透系統的控制，這就是高級持續威脅的常見控制方式[5]。

最后一步，攻擊者會攻擊最終目標，在在對方網絡執行惡意程序或操作后，即從目標網絡中竊取機密信息，或者破壞對方IT基礎設施等惡意行為。同時，攻擊者還可能在目標網絡中植入更強大的后門，以便長期訪問受害者網絡，在未來繼續竊取信息或采取惡意行動。

3 當前業內常用檢測方案

3.1 沙盒方案

針對攻擊者使用0day漏洞而致使基于特征的掃描技術失效的情況，提出沙盒技術方案識別異常行為，其原理是在實時流量進入受保護系統之前就先將其引入沙箱之中，通過對沙箱的文件系統、進程、注冊表、網絡行為實施監控，判斷流量中是否包含惡意代碼。沙盒方案最大的困難點在于測試環境的多樣性，由于沙盒對操作系統類型，瀏覽器版本和相關插件都有關系，如果缺乏合適的測試環境，可能會導致流量中的惡意代碼無法被檢測，造成漏報的情況。

3.2 基于異常的檢測方案

該方案首先對受保護系統的正常狀態進行建模，形成規則，通過對比識別異常情況，其核心技術是元數據提取技術、基于連接特征的惡意代碼檢測規則，以及基于行為模式的異常檢測算法。其中，元數據提取技術是指利用少量的元數據信息，檢測整體網絡流量的異常。基于連接特征的惡意代碼檢測規則，是檢測已知僵尸網絡、木馬通信的行為。而基于行為模式的異常檢測算法包括檢測隧道通信，可疑加密文件傳輸等。

3.3 全流量審計方案

這種方案具備強大的事后溯源能力和實時檢測能力，是將安全人員的分析能力、計算機強大的存儲能力和運算能力相結合的完整解決方案。其核心思想是通過對全流量進行深層次的解析和還原，檢測異常行為，在檢測到異常行為后，回溯分析相關流量，確認攻擊的完整過程。全流量審計方案核心技術包括大數據存儲及處理、應用識別、文件還原等。

通常來講，以上三種檢測方案需要面臨的數據量和計算量是相當大的。針對一個普通的百兆網絡，一天內需要處理的數據已經達到TP級別，因此提高對攻擊行為的分析能力將會對整個檢測效率的提升起到至關重要的作用[2]。

4 基于圖算法的檢測方案

基于圖算法的APT攻擊檢測方案，由兩個部分組成，對APT攻擊行為進行探測分析的框架和用于生成圖算法的生成方法。

4.1 攻擊分析框架

該框架首先包含了七個因素，其中三個用于描述攻擊的相關特性，相當于提供了攻擊的一些細節。第一個特性包含了每一個攻擊的攻擊步驟，不同攻擊的具體攻擊步驟與數量也是不同的。第二個特性是用于描述完成整個攻擊的每一個步驟中需要實現的方法，例如獲取系統權限，就可能會用到密碼爆破攻擊。第三個特性是用于描述攻擊方法，例如在密碼爆破攻擊中，有嘗試的次數和頻率。針對一些使用0day漏洞的攻擊，該特性可用于描述攻擊導致的系統預期改變。第四個特性用于描述攻擊可能發生的位置，可能在日志服務器中、也可能在工作站中，被探測的攻擊位置可以更加清晰的描述APT攻擊的思路。第五個特性和第六個特性因素則是探測攻擊的方法與分析攻擊的方法，探測攻擊的方法包括基于網絡的探測，基于主機的探測和基于日志分析的探測。分析方法即使用數據智能分析，通過智能分析才可以獲取攻擊的具體特性和攻擊位置。第七個特性是攻擊對象具體的業務屬性，可以判斷攻擊者的目的是什么，可能獲取的信息是什么[3]。

以上七種特性分別回答了四個問題：攻擊需要在哪里探測（第四個特性），如何將其探測出來（第五個特性和第六個特性），需要探測哪些攻擊（第一個特性、第二個特性和第三個特性），為什么需要探測這些攻擊（第七個特性）。這些特性有助于對單一攻擊進行分析并為建立攻擊鏈創造良好的數據基礎。例如，在某服務器中探測到密碼爆破攻擊，該攻擊探測的位置即在服務器上，服務器中用戶的權限為這次攻擊的目標，針對服務器中的數據可以判別攻擊者需要獲知的情況，同時也可以通過攻擊鏈判斷出攻擊者使用的跳板或下一個的方向，針對分析后指定的攻擊進行探測，做到有的放矢。

4.2 圖的生成方法

攻擊鏈中一個節點代表的是APT攻擊的某一個階段，如已經攻陷的服務器、獲得的權限或是一次木馬的布置，每一個節點上的攻擊都具備著上一節中所有的特性，攻擊鏈可以依據目標狀態數目、生成引擎實現方法、搜索策略、規模約束方法等進行分類。這些分類依據中最關鍵就是生成引擎，據此可以將生成方法大致分為基于模型檢測，基于規則推理。

基于模型檢測的生成方法是對整個網絡進行建模，分別將網絡中各個元素進行編碼，然后將攻擊者的起始點指向攻擊者當前所在的主機，攻擊者可利用的攻擊是指網絡中的漏洞，在模型完成后，利用已有的漏洞攻擊信息從攻擊者的初始權限開始，用一個有限狀態機模型表示網絡狀態的變化，通過檢測工具在網絡中尋找是否有違反安全設置的狀態，若有這可以以此生成一個攻擊鏈[4]。

基于規則推理的圖算法生成方法主要思想是運用邏輯學的理論來建立和分析圖算法，當前常用的邏輯編程語言成為 Prolog，這種語言于 1972 年正式誕生。Datalog在語法構成上是 Prolog 的一個子集，是一種針對演繹式數據庫的查詢和規則語言。

4.3 APT攻擊分析

APT攻擊雖然有多種攻擊路徑，但針對每一種攻擊路徑中具體每一種攻擊行為，攻擊者都是有一個相對固定的攻擊模式，例如攻擊者若試圖獲取或提升自己在目標系統中的權限，可能會使用社會工程攻擊或密碼探測攻擊以及一些漏洞探測；攻擊者若試圖竊取目標系統核心數據時，則可能使用數據庫遍歷；在獲取到部分權限時，攻擊者會進行權限的測試，進而嘗試進行權限的提升等。同樣，在一個網絡中，總是存在著某些關鍵的節點，攻擊者的攻擊必須經過這些節點，而作為有經驗的網絡管理者，這些關鍵的節點是可以確定出來的。如果從這些關鍵的節點出發生成圖算法，那么可以消除不必要的冗余，以及大大簡化圖算法的復雜程度，并且也有利于圖算法的分析。

該系統的主要思想是即通過對關鍵節點的探測分析，當檢測到異常攻擊時，對攻擊行為進行分析，并使用圖算法生成中的攻擊路徑生成算法計算出攻擊路徑，在攻擊路徑中會出現于該攻擊相關的攻擊作為其前提條件或結果，針對這些攻擊進行探測可有效地判斷系統中是否正發生攻擊。

攻擊路徑指的是由一系列相互關聯的攻擊構成的從攻擊起點到攻擊目標的一條攻擊序列。一條有效的攻擊路徑必須滿足幾個條件。

（1）起始的攻擊前提必須是攻擊者的初始狀態。

（2）最后的攻擊結果必須是攻擊者的目標。

（3）中間的攻擊的前提必須是前一個攻擊的攻擊結果，攻擊結果是后一個攻擊的前提條件。

（4）攻擊路徑不包含圈。基于單調性假設，攻擊者不會通過攻擊獲取一個已經得到的權限，假設攻擊路徑包含圈，那么就意味著攻擊者的某次攻擊的攻擊結果是先前某次攻擊的前提條件。而這次原子攻擊的前提條件顯然曾經達到過，因此這條攻擊路徑是沒有意義的。

（5）有效的攻擊路徑的長度應該是有限的，以往的圖算法生成工具分析真實的大規模網絡時，常常出現很長的攻擊路徑，但實際上攻擊者采用的攻擊路徑往往很短。因此，針對網絡的實際情況應當限定攻擊路徑的長度，這對于識別分析攻擊者的真實攻擊路線是有意義的。

系統工作流程如圖3所示。

4.4 案例

以Windows服務器為例，攻擊者在獲取webshell后，一般會進行本地網卡信息查看，并運行：ifconfig；然后進行權限探測，運行命令：whoami、query user、net user等；接著檢查服務器的網絡連接信息，運行：netstat；最后查看服務器的補丁修補情況，運行命令systeminfo。以這些命令為圖元素節點，生成圖模型，符合此模型的行為疑似為攻擊者已經獲取到服務器的部分權限，正在進行信息收集并進而嘗試提權的行為。

4.5 實驗效果

與傳統的APT檢測系統相比，該系統有效地提高了APT攻擊檢測的工作效率。有效降低整個網絡檢測的數據量，針對特定的攻擊進行探測，探測系統可使用全流量審計方案，攻擊路徑生成系統以攻擊探測系統得到的攻擊為基礎，分析出該攻擊的七大特性，并利用網絡拓撲得到整個網絡的關鍵節點。生成在該關鍵節點發起的攻擊所可能的攻擊路徑，針對攻擊路徑中的攻擊使用攻擊探測系統進行逐一排查，該系統并未對整個系統的所有流量進行全審計，而只是對可疑的位置進行探測。

5 結束語

APT攻擊是一個全新的，更具備復雜性的攻擊方式，目前APT之所以難以被探測是因為APT攻擊不具有特定的特征點，APT攻擊更多的使用一些從未用的攻擊組合或漏洞，該系統通過分析系統內發生的某一個異常攻擊，并通過圖算法生成技術由后向前的對攻擊進行探測，可有效地防御APT攻擊。

參考文獻

[1] 翟立東，李躍，賈召鵬，郭莉.融合網絡空間的APT威脅檢測與防護[J].技術研究，2013.03（58-60）.

[2] 周濤.大數據與APT攻擊檢測[J].信息安全與通信保密 2012.7（23）.

[3] Johannes De Vries，Hans Hoogstraaten.Systems for Detecting Advanced Persistent Threats[C].2012 International Conference on Cyber Security.

[4] 是灝.基于專家知識的網絡攻擊圖生成方法[D].上海交通大學，2011.

[5] Junho Choi，Htet Myet Lynn.Ontology based APT Attack Behavior Analysis in Cloud Computing[C].2015 10th International Conference on Broadband and Wireless Computing， Communication and Applications.

[6] Mathew Nicho， Shafaq Naheed Khan.A Decision Matrix Model to Identify and Evaluate APT Vulnerabilities at the User Plane [C].2018 MIPRO 2018， May 21-25， 2018， Opatija Croatia.