一種基于HIDS的威脅情報解決方案

王金輝 胡俊 徐湲策

摘? ?要：近年來，以挖礦木馬和勒索病毒為首的新型安全事件越來越多，企業對于信息安全建設的重視度越來越高。這類新型攻擊模式往往有著攻擊方式多變、攻擊影響大的特點。文章提供了一種基于主機型入侵檢測系統（Host-based Intrusion Detection System，HIDS）的威脅情報解決方案，通過高效結合HIDS的檢測能力和威脅情報數據，幫助企業第一時間發現惡意事件，并提供不同情況下的應急響應方案。

關鍵詞：HIDS;威脅情報;應急響應

中圖分類號：TP319? ? ? ? ? 文獻標識碼：B

Abstract： Novel security incidents like Ransomewares and MinerTrojan are being reported more than ever， which is why enterprises have paid more attention to information security. These novel attacks often have some skills to make them hard to track but they can do a huge damage to the enterprises. In this paper， by combining detection abilities of HIDS（Host-based Intrusion Detection System） and data of threat intelligence， a solution has been provided to help enterprises find attacks as soon as possible， along with efficient incident response plan based on different circumstances.

Key words： HIDS; threat intelligence; incident response

1 引言

近年來，不論是企業、社會輿論還是政府政策導向，對于網絡安全的重視程度已經越來越高;不論是歐盟的《通用數據保護條例》（GDPR）生效，還是國內十三屆全國人大常委會第五次會議表決通過的《電子商務法》、公安部發布的《網絡安全等級保護條例》等多項法規出臺，都表明了網絡安全在全球的重視程度。

但另一方面，以國內多家酒店數據泄漏事件為例，說明當前網絡安全的建設依然存在著諸多隱患。

當前網絡安全的建設面臨著兩大問題。

一是企業復雜的信息化程度使得安全監控難度增加。越來越多的企業 IT 信息采用了云服務化的方案。云平臺相比傳統的信息化建設擁有擴展性強、效率高等諸多優點。但這也使得企業的信息管理難度越來越大。云主機每天動輒要處理成千上萬的數據請求，使得其受到攻擊的可能性大大增加。

二是快速響應最新安全事件的需求無法很好滿足。安全事件的爆發往往具有由點到面的特點，如果能在發現一個安全事件的早期對其進行快速響應和處理，并通過這個安全事件的特征快速優化自己的整體系統，可以有效避免更多的損失。但是，如何將情報信息有效地應用到安全建設中，是企業安全建設亟待解決的問題。

本文提出了一種基于HIDS的威脅情報解決方案，通過結合HIDS的檢測能力和威脅情報數據的解決方案，并提供了解決方案的具體應用案例。該方案旨在幫助企業安全解決兩個問題：一是為企業提供有效地安全監控能力;二是通過安全監控和數據的結合，實時發現安全事件，并提供有效的處理方案。

2 威脅情報

2.1 威脅情報的定義

威脅情報的定義有多種，但最為人熟知的是Gartner在2014年發表的《安全威脅情報服務市場指南》（Market Guide for Security Threat Intelligence Service）中的定義：威脅情報是關于IT或信息資產所面臨的現有或潛在威脅的循證知識，包括情境、機制、指標、推論與可行建議，這些知識可為威脅響應提供決策依據。

為了使得威脅情報更好地服務于企業，威脅情報一般擁有四個主要組成部分。

（1）基于知識的證據。威脅情報來源于對既往威脅的歸納和總結。

（2）包含場景、機制、指標等信息。威脅情報的上下文很重要，如果沒有上下文，則無法將威脅情報使用起來。

（3）情報對象是已知威脅或者是即將出現的威脅。

（4）為主體響應提供角色信息。這是威脅情報的核心價值所在，幫助企業提供可機讀、可人讀的戰術和戰略信息，從而輔助角色整體安全決策。

總結來看，威脅情報可以為企業安全提供三大價值。

（1）提升可疑問題驗證能力。當用戶在系統中發現一些可疑事件卻暫時沒有更多手段去檢測，利用威脅情報可以更好地幫助用戶確認該問題的可疑程度。

（2）提升惡意事件檢測能力。威脅情報可以提供大量的惡意數據，結合用戶自身的檢測系統，通過和威脅情報數據的比對，可以提升對惡意事件的檢測能力。

（3）提升溯源的能力。對于系統中發現的惡意事件，通過威脅情報可以更好地進行溯源，了解這種惡意事件的來龍去脈。

2.2 威脅情報的應用難題

威脅情報雖然能夠為用戶提供很多有價值的安全信息，但是企業在落地威脅情報的時候，還是有一些很實際的問題難以解決。

（1）檢測效率不高。雖然威脅情報擁有大量的數據庫，但是如何從用戶的IT資產中獲取足夠的信息，從而將威脅情報快速有效地應用到實際安全檢測中一直是威脅情報應用的一大難題。舉例來說，威脅情報現在發布了一個最新挖礦后門的信息，該后門會利用Redis的漏洞上傳惡意挖礦程序。但是對于用戶而言，只靠威脅情報是沒有很好的方法快速了解哪些主機上有該版本的Redis，并且需要確認這個Redis確實存在該漏洞，且沒有被修復過。同時，如果該主機存在有這個漏洞的Redis，只靠威脅情報也很難知道這些主機是否曾經被黑客利用該漏洞植入過挖礦木馬。

（2）分析數據不足。對于企業安全來說，僅僅發現存在哪些入侵事件的存在是不夠的，還需要分析入侵以后還有哪些行為，從而評估入侵事件的真偽和入侵事件造成的損失。舉例來說，已知某臺主機訪問過一個惡意域名，但是對于安全人員來說，他們還需知道該主機具體是哪個進程訪問的這個惡意域名，訪問這個惡意域名以后該進程又有過哪些行為，其他關聯進程又有哪些行為。而威脅情報提供的IoC（Inversion of Control，控制反轉）信息最多只能幫助用戶發現入侵事件，但是如何獲取主機上的更多事件信息，有效地分析入侵事件，則超出威脅情報信息的范圍了。

（3）應急響應能力不足。對于企業安全管理，應急響應是非常重要的一環，如何在發現惡意事件后進行快速處理響應，將損失最小化，是每個企業安全都會關注的問題。舉例來說，已知某臺主機發現了一些惡意進程，如何快速處理這些惡意進程，并清理殘余文件，并在其他相似主機上檢測是否有該主機存在。威脅情報一般只能提供一些檢測方法，但是如何有效處理問題也是威脅情報最終能夠落地實施的一大困境。

3 基于HIDS的威脅情報解決方案

3.1 HIDS

在解釋HIDS之前，先介紹一個常見的安全事件。

當攻擊者使用各種手段入侵的系統后，Get Shell及Get Shell以后的行為往往是不可避免的。比如，攻擊者通過Web漏洞上傳了一個WebShell，然后再通過該WebShell實施一次反彈Shell的攻擊，這樣黑客就擁有了靶機的Shell 控制權，剩下再做什么就看黑客的想法了。

之所以提到這個例子是因為，不論黑客以哪種方式進入主機，最終都需要在主機上實現Get Shell這個操作。也正是因為黑客的這個行為特征，基于主機的檢測機制越來越受到安全公司的青睞，也就是HIDS。HIDS作為傳統攻防視角的重要一環，有著不可替代的作用，可以有效地檢測到從網絡層面難以發現的安全問題，如后門、反彈Shell、惡意操作、主機組件安全漏洞、系統用戶管理安全問題、主機基線安全風險等。

HIDS的技術要求有三個特點。

（1）靈活且輕量級：對系統資源需求少，系統負載占用小。

（2）支持規則引擎，能夠靈活地進行規則配置。

（3）可以及時收集主機上的事件信息。

3.2 基于HIDS的威脅情報解決方案

基于HIDS的威脅情報解決方案是一套通過利用HIDS實時監控主機狀態和有效資產整理的能力，結合云端數據分析以及完善的處理響應能力，將威脅情報運用于安全實戰的一套解決方案。

該解決方案主要包括四個能力。

（1）基于行為監控的自動化檢測。

（2）基于資產信息的快速檢測。

（3）行為數據的快速查詢和關聯分析。

（4）完善的處理響應能力。

3.2.1 基于行為監控的自動化檢測

行為監控主要包括對于主機上進程創建、文件變化、域名訪問、遠程登錄等涉及文件、域名和IP信息的行為進行自動化監控。同時，將監控到的數據提供給威脅情報處理，從而將發現的惡意行為進行告警。

基于行為監控的自動化檢測可以完成兩項功能。

（1）實時監控主機上的重點行為事件，包括進程創建、重要文件變化、域名訪問、遠程登錄等，提取相關的文件信息、域名信息、IP信息并記錄下來。

（2）將主機上的關鍵信息和威脅情報數據進行比對，對于發現的惡意事件進行告警。

舉例來說，通過主機實時監控遠程登錄行為，將所有登錄IP記錄下來，并將其與威脅情報庫做匹配，如果發現是惡意IP就進行告警。

通過基于行為監控的自動化檢測，對于威脅情報的運用有兩大好處。

（1）解決實時性問題。實時發現安全隱患一直是安全建設的核心訴求之一，基于行為監控可以大大減少不必要的事件監控，同時又能保證實時性。再結合威脅情報的數據能力，從而可以幫助用戶快速發現安全問題。

（2）提高檢測效率。利用行為特征進行監控，可以使得從監控到檢測達到自動化檢測自動化告警的全自動化運營，減少人力成本的消耗，從而提高檢測效率。

3.2.2 行為數據的關聯分析和快速查詢

安全建設中除了發現問題，溯源和關聯分析也是非常重要的需求。溯源可以幫助用戶更好地解決問題，關聯分析可以幫助用戶確定安全事件的影響范圍，從而更好地制定處理策略。HIDS提供了大量的行為數據，結合云端的數據處理能力和關聯分析算法，可以幫助用戶對安全事件更好地做進一步處理，包括兩個功能。

（1）告警時自動關聯相關數據。在進行告警的時候，自動關聯與本次事件相關的數據。例如，告警事件為惡意進程，提供與進程相關的文件信息、啟動進程用戶、進程樹等信息。

（2）行為數據的快速查詢功能。HIDS在Agent上提供的數據收集能力和云端數據搜索功能，讓用戶可以通過控制臺快速搜索需要的行為數據，從而幫助用戶更好地確認問題及其產生的影響。

舉例來說，通過行為監控發現了某臺主機有訪問惡意域名的行為，告警信息中會提供該進程的相關信息，包括進程文件、進程PID等信息。同時，用戶可以通過查詢功能，去查詢在該進程訪問過該惡意域名以后還有哪些行為，比如有沒有從該域名下載文件，從而更好地去了解這次惡意事件后續影響的范圍。

行為數據的關聯分析和快速查詢對威脅情報的運用有兩項價值點。

（1）確定惡意事件的影響范圍。通過提供與告警事件相關的行為數據，可以幫助了解涉及這個事件相關信息，從而確認這次產生的事件具體影響了系統的哪些問題，對于后續進行處理有重要的意義。

（2）對惡意事件進行溯源分析。通過行為數據的快速查詢，可以幫助了解惡意事件的產生源頭在哪兒，惡意事件持續的行為信息是哪些，對于確認情報的準確性以及優化情報庫有著重要的意義。

3.2.3 基于資產信息的快速檢測

基于行為監控的自動化檢測是為了幫助主機能夠對當前和未來所有的事情進行檢測，但是威脅情報數據不能保證永遠及時推送，有的安全事故是很久以后才被人發現出來公之于眾，這時候就需要能夠有對歷史進行回溯分析的能力。

基于資產信息的快速檢測提供了兩種功能。

（1）通過資產識別的能力，能夠快速在海量主機中選擇到需要進行回溯的機器。HIDS 的資產識別能力可以通過安裝Agent而便捷地了解到主機的各類資產信息，通過快速搜索定位到目標主機。

（2）通過自定義檢測任務，能夠快速對主機特定信息進行核實確認，從而確認問題。HIDS的Agent具有在主機上執行特定檢測的能力，通過快速設置檢測任務獲取檢測結果，從而判定主機是否有被攻擊的可能性，也可以推測主機是否已經被攻擊或者曾經被攻擊過。

基于資產信息的快速檢測對于威脅情報的運用有兩個好處。

（1）降低情報滯后性帶來的影響。情報數據的滯后可能是難免的，但通過基于資產信息的檢測，可以快速定位可能存在風險的主機，把數據情報滯后帶來的影響盡可能降低。

（2）提高發現問題的效率。通過資產信息識別對主機進行快速分類，結合主機上的檢測能力，從而大大減小信息收集的工作量，提高發現問題的效率。

3.2.4 完善的處理響應能力

如何有效地對惡意事件進行處理是安全管理中重要的一環，威脅情報只能幫助用戶發現問題，但是處理問題就需要依賴于HIDS在主機上的能力。

在解決方案中，針對每類的威脅情報提供了對應的解決方案。

（1）針對惡意域名提供網絡阻斷和進程阻斷能力。惡意域名往往是通過釣魚郵件、木馬等方式進行前期攻擊的，發現訪問惡意域名事件后，可以通過網絡阻斷能力對該域名進行屏蔽。同時，系統也提供進程阻斷方式可以阻斷進程，以解決訪問進程下載惡意文件或者產生反彈Shell等行為。

（2）針對惡意進程提供進程阻斷、文件隔離和文件刪除能力。惡意進程往往是將木馬或者病毒投放到受影響主機上，通過啟動文件對主機產生惡意行為，比如挖礦、竊取信息等。進程阻斷能力可以立即阻止已經在執行的惡意進程，文件隔離和文件刪除可以處理惡意文件，防止惡意文件會有自啟動等其他能力，僅靠進程阻斷無法解決該問題。

舉例來說，系統發現一個惡意進程啟動，可以通過進程阻斷功能先阻斷進程，然后利用文件刪除功能清除相關文件，徹底解決惡意文件的殘留部分。

對于威脅情報的使用來說，完善的處理響應能力是補足其應用場景的最后一步，有了響應能力，使用者也有更大的動力去使用威脅情報來進行安全管理。

3.2.5 技術架構

基于HIDS的威脅情報架構如圖1所示。

（1）Agent，也就是主機代理。通過 Agent 收集主機信息。為了配合威脅情報的使用，這里的 Agent 需要收集的核心數據包括進程行為、網絡鏈接、文件信息和資產信息。

（2）Server，也就是服務中心。服務中心主要負責將Agent采集的信息進行匯總、綜合分析研判、檢測結果保存，同時將主機信息和威脅情報庫進行比對，發現惡意事件并進行告警。

（3）威脅情報中心。威脅情報中心負責威脅情報數據的管理，包括威脅情報查詢、威脅情報更新等功能。

（4）Web，即前端控制臺。用戶通過前端控制臺完成對于檢測結果的集中管理，并通過服務端提供的數據及任務下發能力，完成安全分析、報警處理和快速查詢等功能。

3.3 方案總結

HIDS是一種基于主機的檢測方法，方案通過借用HIDS的檢測方法獲取主機信息，然后結合威脅情報數據發現主機安全問題。方案具有幾個優點。

（1）通過HIDS提供基于行為的自動化檢測方法，能夠實時高效地發現惡意事件，解決傳統威脅情報檢測效率不高的問題。

（2）通過HIDS提供行為數據的關聯分析和快速查詢能力，能夠有效地確定事件影響范圍并進行行為溯源，解決傳統威脅情報分析數據不足的問題。

（3）通過HIDS提供基于資產信息的快速檢測能力，提高發現問題的效率從而盡可能降低情報滯后帶來的問題，解決傳統威脅情報滯后卻又無法追查的問題。

（4）通過HIDS提供的處理響應能力，針對不同惡意事件提供對應的解決方案，從而解決傳統威脅情報只能發現問題但是很難解決問題的處境。

4 應用案例解析

挖礦木馬的應急響應事件。利用本文的解決方案，對于一次挖礦木馬的應急響應可以按照圖2的步驟完成。

（1）青藤威脅情報發出告警，某團伙會利用Redis的未授權訪問權限來傳播挖礦木馬，并在威脅情報中給出了對應木馬的IOC信息。

（2）通過資產確定擁有Redis服務的主機。再通過自定義檢測任務針對這些樣本信息進行檢測。在這里，自定義檢測任務以Yara規則的形式存在，Yara規則是一種非常好用的規則設置方法，可以很簡單、有效地配置檢測規則讓主機執行。

（3）通過數據分析確認威脅情報的準確性以及Yara規則的可行性，再擴大檢測范圍，查看所有主機上有可能擁有該文件的信息，以防有木馬隱藏在非Redis的主機上。

（4）通過處理響應能力，完成對已經啟動的挖礦進程阻斷，并隔離刪除所有與挖礦木馬相關的文件。

5 結束語

本文簡單介紹了一種基于HIDS的威脅情報解決方案，通過方案在發揮威脅情報數據優勢的同時，也能解決傳統威脅情報檢測效率不高、數據分析不足和響應處理不完善等問題。同時，給出了實際應用案例來說明這種解決方案在商業應用中的實際價值。

但是，方案只解決了威脅情報的落地問題，沒有能夠很好地回饋威脅情報本身。在未來，應該可以將方案進行優化，通過檢測結果和威脅情報數據的深度比對及分析處理，進一步優化和擴充威脅情報本身的數據資源，將威脅情報數據和檢測結果形成一個更緊密聯系的閉環安全管理模式。

參考文獻

[1] S. Barnum. Standardizing cyber threat intelligence information with the structured threat information expression （stix）[EB/OL]. https：//www.mitre.org/publications/technical-papers/standardizing-cyber-threat-intelligence-information-with-the， January 2012.

[2] T. Sander， J. Hailpern. Ux aspects of threat information sharing platforms： An examination and lessons learned using personas[J]. Proceedings of the 2nd ACM Workshop on Information Sharing and Collaborative Security， WISCS15， 2015：51-59.

[3] C. Johnson， L. Badger， and D. Waltermine. Guide to cyber threat information sharing [draft][J].Technical report， NIST Special Publication， April 2016.

[4] Dave Shackleford， The SANS State of Cyber Threat Intelligence Survey： CTI Important and Maturing[EB/OL]. https：//www.sans.org/reading-room/whitepapers/bestprac/paper/37177， August 15， 2016.

[5] Matt Bromiley， Threat Intelligence： What It Is and How to Use It Effectively[EB/OL]. https：//nsfocusglobal.com/wp-content/uploads/2017/01/SANS_Whitepaper_Threat_Intelligence__What_It_Is__and_How_to_Use_It_Effectively.pdf， September 2016.

[6] Chris Pace， Dr. Christopher Ahlberg， The Threat Intelligence Handbook[EB/OL]. https：//go.recordedfuture.com/book， 2018.

[7] 青藤云安全.青藤云安全產品與解決方案手冊[EB/OL]. https：//qingteng.cn/download/， 2018.

[8] M. Maasberg， M. Ko， and N. L. Beebe. Exploring a systematic approach to malware threat assessment[J]. In 49th Hawaii International Conference on System Sciences （HICSS）， 2016：5517-5526.

[9] VirusTotal. YARA's documentation[EB/OL]. https：//yara.readthedocs.io/en/v3.8.1/， March 2019.