一種聚合式持續分析自動發現惡意攻擊源的方法

戴海燕

摘 要

針對高威脅網絡安全事件隱蔽性強、攻擊手法多樣難以早期發現的問題，研究多維度分析評價及自動篩選高威脅目標的方法，采用具備對高威脅目標進行歷史事件關聯的持續監督技術，實現高威脅網絡安全事件的早期發現，提升安全預警能力。本文提出了一種聚合式持續分析自動發現惡意攻擊源的方法，該方法提出了一種新的威脅度計算模型，該計算模型綜合了攻擊源多維度的信息，利用機器學習中的回歸分析方法，針對具體的網絡安全環境，可訓練出具體的威脅度計算模型，利用計算得到的模型，可對未知的攻擊源，實時進行威脅度的計算，通過威脅度的大小來自動識別惡意的攻擊源。

【關鍵詞】聚合式持續分析 惡意攻擊源 攻擊手段

1 背景分析

隨著大數據技術的快速發展，使得數據采集技術以及大數據存儲得到快速的發展，將之前各個安全設備、網絡設備、防病毒設備、服務器等孤立的安全告警事件，進行了匯集，希望通過關聯分析的技術，機器學習技術，發現高威脅的網絡安全事件，定位高威脅的攻擊源。

目前現有的方法，主要是基于攻擊特征的檢測，發現攻擊行為來定位攻擊源，通過攻擊行為的威脅程度來定位攻擊源的威脅程度，但是攻擊者采用的攻擊手段不斷變化，而且攻擊過程會體現反復持續的過程，只是通過實時的告警事件，來定位一個攻擊源的威脅程度，會面臨這樣幾個問題，一是由于安全設備的誤報，會導致上報了大量的攻擊源，對所有的攻擊源進行確認，是個非常浩大的工程；二是攻擊源采用的攻擊手段不斷在變化，發生的告警事件也會不斷發生變化，定位一個攻擊源的威脅程度，需要結合歷史情況進行綜合分析；三是如何實時的結合歷史，實時的發現那些高威脅的惡意攻擊源，如果基于歷史事件的離線分析，可以事后發現那些高威脅的惡意攻擊源，但是不是安全監測和分析的目標。

高威脅的網絡安全事件隱藏在海量的安全告警事件中，攻擊手段多樣，持續時間較長，攻擊目標精準，要發現這些高威脅的攻擊源，需要通過分析機制從大量的攻擊源中，識別出可疑的攻擊源范圍，再利用持續跟蹤分析的方法對可疑的攻擊源進行持續的跟蹤分析，從而定位出高威脅的攻擊源。

2 定位可疑攻擊源

定位可疑攻擊源，是發現惡意攻擊源的前提條件，安全設備每天上報的攻擊源成千上萬甚至上百萬，但是真正惡意的攻擊源往往不到1%，如果不經過篩選，而是直接對所有的攻擊源進行持續的跟蹤，會使得分析沒有目標，大大浪費計算的資源和分析的工作，也會降低分析的效率，不能真正的定位出惡意的攻擊源來。

分析一個攻擊源是否為可疑的攻擊源，需要綜合考慮多個因素，如攻擊源采用的攻擊手段、攻擊針對的目標、攻擊的頻率、情報匹配、異常行為特征匹配等。

聚合分析以攻擊源為聚合目標，聚合各種跟攻擊源相關的信息，如攻擊源持續的攻擊時間、采用的所有攻擊手段、攻擊的目標范圍、攻擊次數、情報匹配情況、異常行為檢測情況等信息，在聚合的過程中，基于可疑攻擊源識別策略識別可疑攻擊源，可疑攻擊源識別后，進入后續的持續跟蹤分析，通過持續跟蹤分析，最后定位出惡意的攻擊源。

可疑攻擊源識別的策略包括發生高等級告警事件的攻擊源，進行頻繁掃描的攻擊源，發生某些異常行為的攻擊源，針對高等級資產的攻擊源等，這些被識別為可疑的攻擊源，后續會進行持續的跟蹤，在持續跟蹤的過程中，會利用威脅度計算模型，實時計算攻擊源的威脅度，通過威脅度來自動識別惡意的攻擊源。

3 聚合式持續跟蹤分析識別惡意攻擊源

在持續跟蹤分析的過程中，要持續聚合跟攻擊源相關的多維信息，在持續跟蹤的過程中，對聚合的信息基于威脅度分析模型，實時計算攻擊源的威脅度，通過威脅度來實時自動識別惡意的攻擊源。

3.1 威脅度計算模型

攻擊源威脅度分析模型涉及的分析維度有：攻擊源攻擊持續的時長、采用了哪些攻擊手段類型、最高階攻擊階段（攻擊階段按照標準劃分為8個階段）、持續聚合的攻擊事件數量、持續聚合的攻擊目標資產范圍、持續聚合的攻擊目標資產脆弱性情況、持續聚合的威脅情報分析情況、持續聚合的攻擊場景等。

3.1.1 攻擊持續時間

該維度通過持續跟蹤攻擊源的安全告警事件，計算最新攻擊時間與攻擊開始時間的時間間隔，該維度體現攻擊源攻擊的持續時間，數據以天作為分析單位，數據處理規則如表1所示。

3.1.2 采用的攻擊手段類型

在持續跟蹤分析的過程中，持續的聚合攻擊源所有相關的安全事件，在分析的過程中，除了會聚合攻擊源的攻擊告警事件，同時也會聚合攻擊源的異常行為事件。

該維度體現了攻擊源攻擊方式的嘗試，同時也體現了攻擊滲透的過程，數據處理規則如表2所示。

3.1.3 當前最高告警級別

在持續跟蹤分析的過程中，會不斷聚合各種攻擊告警事件和異常行為事件，每種事件的告警等級會不一樣，告警等級同時也體現了攻擊源的威脅程度，告警等級數據處理規則如表3所示。

3.1.4 攻擊階段

在持續跟蹤分析的過程中，會不斷聚合各種攻擊告警事件，每種攻擊告警事件對應著攻擊鏈上不同的攻擊階段，該維度體現攻擊的滲透程度，同時也體現了攻擊源對網絡的威脅程度，攻擊階段數據處理規則如表4所示。

3.1.4 攻擊事件數量

該維度記錄在持續跟蹤分析的過程中，聚合的攻擊事件的數量，該維度體現了攻擊源發動攻擊的次數，數據處理規則如表5所示。

3.2 基于回歸分析的模型訓練

在實際的持續跟蹤過程中，聚合的信息會不斷的豐富，聚集的數據也會不斷的增長，威脅度也會實時跟著變化，在實際的應用中，由于每個用戶網絡安全的實際情況不一致，為了使模型計算的威脅度準確度較高，前期可以基于人工的分析，確定攻擊源的威脅度，然后將這些確定威脅度的攻擊源作為樣本數據，利用回歸分析的方法，訓練得到一組適合于用戶具體網絡環境的權值向量，從而得到一個實例化的威脅度計算模型。

采用的回歸算法有線性回歸、決策樹回歸、隨機森林回歸等算法。

4 模型應用

基于歷史數據的模型訓練得到的威脅度計算模型，可用于對未知的攻擊源聚合的數據進行實時計算，在持續聚合的過程中，威脅度計算模型的各個影響因素的取值會不斷的進行變化，使得威脅度也會不斷的進行改變，利用威脅度計算模型，可以實現對攻擊源威脅度持續動態的計算，在每個影響因素變化的同時，觸發威脅度的重新計算，在威脅度達到規定的級別時，自動將攻擊源識別為惡意的攻擊源。

通過實際的應用檢驗，自動識別的惡意攻擊源，準確率達到85%以上。

5 總結

APT攻擊持續時間長，攻擊手段多樣，攻擊不段變化，對于這種持續高級的攻擊手段，傳統的基于短時間內的告警事件，簡單維度的分析，無法定位真正的高威脅攻擊源，APT攻擊手段隱蔽性、多樣性和變化性，傳統的安全設備很難檢測出攻擊進行告警，這種隱蔽、多樣且不斷變化的攻擊手段，需要借助基于應用場景的網絡行為來進行分析，需要利用機器學習的方法，通過正常的網絡行為規范，來發現異常的網絡行為。

聚合式持續分析自動發現惡意攻擊源的方法，綜合了包括攻擊源多維度因素，利用上述的威脅度計算模型，實時多維度的分析攻擊源的威脅程度，實時識別高威脅的攻擊源，從海量的事件中，定位出少量的真正高威脅的攻擊源，達到智能識別的目標，如果與安全設備聯動，即可實現主動安全的目標。

作者單位

中電長城網際系統應用有限公司 北京市 102209endprint