基于SIEM的APT檢測與防御體系研究

李艷斐 李斯祺

摘 要：高級持續性威脅（簡稱APT）是目前面臨的最嚴重的安全威脅，在整個攻擊過程中，攻擊者會投入大量的人力、財力以及時間，同時還會運用社工以及大量的0day，執行目的明確地針對型攻擊，尤其是利用惡意代碼，建立加密控制通道，竊取或篡改關鍵數據。如果被攻擊者不具備實時檢測與防御的能力，一旦業務系統被成功入侵，將遭受非常嚴重的經濟和業務損失。論文闡述了APT攻擊的典型特點和生命周期，以及對企業和組織可能造成的威脅，介紹了APT常見的攻擊渠道和技術環節，以及抵御APT攻擊面臨的技術難題和挑戰。為解決這些問題，提出了基于下一代SIEM（安全信息和事件管理）的APT檢測與防御體系，將所有安全設備、終端和應用中的日志事件和網絡流數據整合起來，實施規范化和關聯處理，識別APT攻擊特征，從而實時檢測和抵御APT攻擊，保障業務系統的網絡安全，降低業務數據被盜取和篡改的風險。

關鍵詞：APT攻擊；下一代SIEM；分層防御；端到端策略；動態數據模型

中圖分類號：TP393.0 文獻標識碼：J

Abstract： Nowadays， Advanced Persistent Threat is the most serious security threat. In APT attacks， attackers will invest a lot of manpower， financial resources and time. At the same time， they will use social engineering methods and a large number of zero-day vulnerability attacks， which aims specifically at targeted attacks， especially using malicious code and establishing an encrypted control channel， stealing or tampering key data. If the attacked targets does not have the ability of real-time attack detection and defense， once the business system is successfully intruded， it will suffer very serious economic and business losses. This paper describes the typical characteristics and life cycle of APT attacks， as well as the possible threats to enterprises and organizations， and introduces the common attack channels and technical links of APT， as well as the technical difficulties and challenges in resisting APT attacks. To solve the above problems， an APT detection and defense system based on next generation SIEM （Security Information and Event Management） is proposed， which integrates log events and network flow data of all security devices， terminals and applications， to implement normalization and association processing. Finally the characteristics of APT attacks need to be identified， which can help detecting and resisting APT attacks in real time to ensure the network Security of business systems， and reducing the risk of theft and tampering of business data.

Key words： APT attack； next generation SIEM； layered defense； end-to-end policy； dynamic data model.

1 引言

由于網絡安全形勢日趨嚴峻，越來越多的商業組織和政府機構成為APT攻擊的目標，其中包括教育、金融、科技、航空航天、電力、化工、電信、醫藥和咨詢機構等行業，雖然這些被攻擊目標通常都已安裝防御和檢測系統，用于提升安全防護能力，但依然遭受APT攻擊的持續威脅，部分攻擊可能持續數月未被發現，從而造成其業務能力急劇下降[1]。

為了解決上述普遍存在的APT攻擊問題，本文重點闡明APT的核心攻擊環節以及有效防御技術，提出一種基于下一代SIEM技術的APT攻擊檢測與防御體系，能夠實時檢測APT攻擊并及時做出響應，從而真正提升重要業務系統的網絡安全防護能力。

2 APT定義及特點

APT，全稱高級持續性威脅，通過長期潛伏找到有價值的特定目標，利用網絡中存在的應用程序漏洞，發起持續性網絡攻擊，通過滲透到系統中的關鍵基礎設施，建立并維持隱蔽的控制通道，從中竊取核心資料或篡改數據。它不同于所有的安全漏洞，主要特點描述有三點。

潛伏性：攻擊者通常在目標網絡中進行數月甚至一年以上的潛伏，大量收集用戶業務流程和目標系統的精確信息，徹底掌握攻擊目標的情況。

針對性：在徹底掌握目標的精確信息后，尋找軟件漏洞，構造專門代碼，對鎖定的目標發送惡意鏈接、郵件等程序，攻擊時只針對一個目標，避免大量散播引起注意。

持續性：在不被察覺的情況下，攻擊者會不斷嘗試各種攻擊手段，甚至被阻斷后，還會采用全新的方式再次發起攻擊，因此有些攻擊長達數年之久。

3 APT攻擊的核心環節

典型的APT生命周期主要分為五個階段[2]：定向情報收集、單點攻擊突破、控制通道構建、內部橫向滲透和數據收集上傳。

定向情報收集：攻擊者有針對性地搜集特定組織的網絡系統和員工信息，目的是為了解線上服務器分布情況、業務系統運行狀況，以及定位具有訪問數據資源權限的重要角色或者只是能夠作為跳板的其他角色等。

單點攻擊突破：攻擊者在收集了足夠的情報信息之后，開始采用惡意代碼、漏洞攻擊等方式攻擊組織目標的終端設備，常見的攻擊方法包括兩種。第一種利用個人漏洞的社會工程學[3]是啟動目標網絡有效感染的最重要手段之一，也是訪問核心資源的最常用方法。攻擊者會向目標公司的員工發送郵件，誘騙其打開惡意附件，投送其惡意代碼。第二種最有效的APT攻擊類型是0day攻擊，即利用常見的系統未知漏洞。攻擊者在目標公司的員工經常訪問的網站上放置網頁木馬，當員工訪問該網站鏈接時，將惡意代碼下載并安裝到該員工的終端。

控制通道構建：攻擊者在控制終端設備之后，會創建從被控終端到控制服務器之間的命令控制通道，以獲得進一步攻擊指令，在維護該通道正常訪問的基礎上，還要不斷提升訪問權限，以獲取更多的系統操作權限，使攻擊行為不易被發現。

內部橫向滲透：一般情況下，攻擊者會優先攻陷員工終端，作為攻擊跳板，利用口令竊聽和漏洞攻擊等方法，在系統內部進行橫向滲透，以攻陷更多的終端和服務器，從而獲取組織內部其它包含重要資產的服務器的控制權限。

數據收集上傳：攻擊者在攻擊過程中，會不斷將搜集到的各服務器上的重要數據資產，進行壓縮、加密和打包，然后通過控制通道將數據回傳，如回傳成功，攻擊者將刪除系統中的全部入侵痕跡，以及任何可能識別攻擊源的記錄數據等。

4 APT攻擊檢測與防御體系研究

攻擊者通常會針對特定目標創建一系列的攻擊鏈，即使是最有效的網絡安全手段，包括代理服務器、防火墻、VPN和防病毒軟件，也無法獨自抵御APT攻擊。根據OSI七層模型，沒有一個單獨的層可以防御APT，但它們的組合是一個非常有凝聚力的障礙[4]。因此，最有效的檢測和防御APT攻擊的方式是根據網絡層級中攻擊的核心技術環節進行持續監控，并建立一一對應的抑制點。

4.1 APT攻擊分層模型

根據APT攻擊的典型特點和生命周期，對APT攻擊進行建模分析[5-7]分兩層表示。

上層為APT攻擊鏈。由偵察、滲透、行動和撤出組成。偵察階段包括主動、被動和半被動三種方式；滲透階段主要包括社會工程學、水坑、接觸式和漏洞四種方式；行動階段主要包括建立指揮控制、控制持久化、信息竊取、實施破壞和橫向移動等一系列過程；撤出階段主要包括回傳敏感數據和刪除日志記錄等一系列過程。

下層為APT攻擊樹。在偵察階段中，攻擊者通常會利用端口掃描、操作系統掃描、漏洞掃描等方法進行偵查；在滲透階段中，攻擊者通常會利用魚叉式網絡釣魚、社工字典攻擊、操作系統以及應用系統漏洞攻擊；在行動階段中，攻擊者通常會采用加密通信和隱蔽通信、放置后門及木馬程序、搜集各種信息等；在撤出階段中，攻擊者通常會進行回傳路徑確定及日志信息銷毀工作。

從上述模型可以總結出 APT 攻擊主要依賴網絡結構以及操作系統與應用漏洞等關鍵信息實施攻擊。

4.2 檢測與防御體系

根據APT攻擊分層模型，任何APT攻擊都是基于對OSI協議棧上層或底層的攻擊，而且會在棧上多個層次尋找漏洞來實現攻擊的最終目的[8]。因此，APT攻擊檢測防御體系需要嚴格遵循縱深防御的安全理念，按照網絡安全的分層方法，采取措施在每一層中檢測威脅，對其做出反應并消除威脅，如圖1所示，分別從物理層、網絡層、應用層和數據層四個方面對APT攻擊進行檢測和防御，以部署防護硬件和軟件探針的方式，在網絡結構的不同層次監控和生成安全事件，推送至下一代SIEM引擎進行存儲檢索和關聯分析。

4.2.1 檢測與防御技術

首先，針對物理層，在網絡及終端設備上安裝防病毒軟件，用于掃描流經網絡中各節點上的所有網絡數據包，以及壓縮和加密文件。

其次，針對網絡層，一方面在網絡邊界處部署網絡防火墻和入侵防御系統，前者用于檢測通過它的每一個數據包，決定這個數據包是允許進入網絡還是將其阻止在外，后者深入監控網絡流量和漏洞，尤其是在配置0day威脅最小化機制的前提下，可以完成基于異常統計和漏洞簽名的檢測。另一方面，在物理網絡層部署透明防火墻，根據攔截規則和默認通過規則，判斷所有的數據包以決定數據包是否允許通過，如果這個數據包允許通過，就被轉發到其他網絡接口，可以限制內部用戶訪問內部的資源。

第三，在應用層補充實現Web應用防護、電子郵件保護、僵尸網絡檢測、沙箱檢測等高級防御功能，以保障應用服務的安全運行。

第四，在數據層，一方面對數據庫的用戶操作進行審計，另一方面對內部數據的流轉進行審計。

通過對上述四個網絡層次的安全監控，將主機活動、網絡活動、漏洞信息、資產信息、郵件活動、數據活動、賬號活動等信息集中采集，并報送SIEM平臺進行數據挖掘分析，一方面用于對整體網絡安全態勢進行監控，一方面用于發現網絡中更多未知的安全威脅，從而有效抵御APT攻擊。

4.2.2 下一代SIEM技術

安全信息與事件管理（簡稱SIEM）是整個體系的核心，它負責從各種安全設備或軟件生成的數據源收集信息，持久化存儲信息，在不同事件之間關聯，創建關聯規則或警報，分析數據并使用可視化手段監控數據。

傳統的SIEM平臺普遍使用“日志歸一化”技術進行日志關聯分析，這種靜態數據模型很難適配各種異構日志，而且不論寬表設計的字段如何全面也難以百分百匹配全部日志，并且可能存在大量冗余空白字段，不利于數據分析和可視化展示。在新的技術體系下，下一代SIEM設計采用動態數據模型的建模技術，利用Hive的Schema on read模式進行數據存儲，收集到的各種異構數據可不做任何處理直接存儲在分布式文件系統中，作為第一層原始數據存儲。在原始數據層之上建立模型存儲層，包括實體-關系-標簽和相關算法的關聯數據模型。每個模型都是為了描述實體和關系的集合而構建的，實體用于描述某個客觀的對象，如IP、域名、URL等，關系是表示對象和對象之間的聯系、事件、行為，一般對應原始數據存儲層中的各種日志，如登錄成功、訪問域名、訪問URL、攻擊某個IP等。模型中的每個實體和關系都來自一個或多個日志中抽取的數據，模型能夠將不同的數據源聚合成一個邏輯視圖。

通過動態數據建模技術，所有異構數據通過一個關聯數據模型將其集成在一起，以實現利用一個線索擴展調查整個事件。這個關聯數據模型不再是完全固定的，而是可以根據不同的場景和業務需求設定不同的關聯數據模型。最終建立起一個非常靈活和強有力的SIEM平臺，分析模型完全與底層數據解耦，并且實體關系是一種業務視角出發的數據建模方法，可以為平臺用戶提供一種以安全業務視角的數據發現、模型探索的工具，可以迅速的理解數據、應用數據，并支撐安全分析模型的快速開發。

5 結束語

以上是基于下一代SIEM的APT檢測與防御體系的研究，雖然能夠從整體上提供一個可行的解決方案，但并不能夠對檢測與防御APT的全部手段和技術進行列舉和介紹。APT防御手段還包括深度學習等技術，需要通過累積經驗進行持續監控、不斷適應和學習。因此，還應該考慮基于神經網絡，分別從可擴展的檢測器、主機分類監控、攻擊源監控、網絡流量監控等方面，加強對企業內部數據流轉的監控，從而在正常的網絡流量中尋找異常行為。

總而言之，未來檢測和防御APT的研究工作需要深入了解網絡內部各個安全點之間的綜合信息交換，加強硬件及軟件的安全配置，加強相關安全人員的安全意識和技術培訓，對網絡流量及訪問行為進行嚴格審計，制定更加詳細的攻擊應對方案，并確保全面防護的高級預防和檢測。

參考文獻

[1] 崔翔，劉潮歌，程學旗.APT分析與大數據計算思考[J].中國信息安全， 2014（01）：102-104.

[2] 張瑜，潘小明，等.APT攻擊與防御[J].清華大學學報（自然科學版）， 2017，57（11）：1127-1133.

[3] 吳少華，胡勇.社會工程在APT攻擊中的應用與防御[J].信息安全與通信保密， 2014（10）：93-95+99.

[4] Rot A， Olszewski B. Advanced Persistent Threats Attacks in Cyberspace. Threats， Vulnerabilities， Methods of Protection[C]. Federated Conference on Computer Science and Information Systems. 2017：113-117.

[5] 譚韌，殷肖川，焦賢龍，廉哲，陳玉鑫.一種軟件定義APT攻擊移動目標防御網絡架構[J].山東大學學報（理學版），2018，53（01）：38-45.

[6] 譚韌，殷肖川，廉哲，陳玉鑫.APT攻擊分層表示模型[J].計算機應用， 2017，37（09）：2551-2556.

[7] 樊雷，余江明，雷英杰.面向APT攻擊的分層表示模型[J].計算機工程， 2018，44（08）：155-160.

[8] Jover R.P. Giura P.， How vulnerabilities in wireless networks can enable Advanced Persistent Threats， International Journal on Information Technology （IREIT），2013，（1）：145-151.

[9] 沈立君.APT攻擊威脅網絡安全的全面解析與防御探討[J].信息安全與技術， 2015，6（08）：66-70.