一種多維數據融合的網絡威脅溯源迭代分析模型研究*

萬 抒，王 進，裴 華

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

近年來，隨著網絡威脅向廣域化、復雜化和組織化演進發展，網絡威脅已不再是局限于單區域的單一破壞行為，而是一系列惡意行為或步驟的復雜組合。從防御方的視角來看，難以預先、準確地知曉網絡威脅全生命周期的各個步驟及具體攻擊行為，如何尋找各類惡意行為或步驟之間的蛛絲馬跡，如何完整復盤網絡威脅全過程的實施步驟，一直是網絡安全領域的難點問題。本文提出了利用大數據分析技術，對多個維度的數據進行融合關聯，采用尋找“同一威脅在不同維度的相似性破壞現象和相似性動作行為”的方法，逐次迭代還原網絡威脅的整個過程。

1 相關工作

近年來，為了網絡攻擊行為以及各個步驟描述語義的同一性、標準化和結構化，國內外研究機構提出了攻擊鏈模型，一般也稱為殺傷鏈模型（Cyber-Kill-Chain）。它是一種基于網絡攻擊全生命周期的模型[1]，最早是由洛克希德·馬丁公司的計算機事件響應小組提出，采用時間順序描述入侵者對攻擊目標系統實施攻擊所采取的路徑及手段的集合，將網絡攻擊劃分為“目標偵察—武器化—交付和投遞—外部利用—安裝—命令和控制—惡意活動”7個階段[2]。

上述經典的攻擊鏈模型（Cyber-Kill-Chain）不能很好地適用于內部網絡威脅，因此一些國內外的學者提出了適用于內部網絡威脅的攻擊鏈模型，包括LogRhythm的5階段模型、Lan-caster的3階段模型、SDAPT的8階段模型等[3]。總體來說，各個攻擊鏈模型均認為很多網絡攻擊或網絡威脅存在相對固定的生命周期和步驟[4]。

2 模型總體設計

為了解決針對廣域化、復雜化、組合網絡威脅的溯源復盤問題，本文提出了一種多維融合分析的網絡威脅溯源迭代分析模型，采用大數據分析技術，利用“尋找同一網絡威脅在不同維度的相似性破壞現象和動作行為”的思想，以資產作為關聯分析的主線，對多個維度的數據進行融合關聯，在資產損傷現象、資產運行現象、資產操作行為和資產網絡行為等方面形成安全數字矩陣，采用安全數字矩陣的“橫向相似關聯+縱向追蹤關聯”相結合的方法，構建從“相似損傷特征”“相似運行特征”“相似操作行為”到“相似網絡行為”的逐級反向追蹤分析機制，逐段推導網絡威脅各個步驟的關聯關系和行為特征，以此為基礎實現整個網絡攻擊鏈的智能化分析和復盤。

參照殺傷鏈模型[5]，以時間為序，形成總體映射模型：“相似損傷特征”主要是針對惡意活動階段的外部特征：“相似運行特征”主要是針對安裝、命令和控制階段的外部特征：“相似操作行為”主要是針對交付和投遞、外部利用階段的行為特征分析：“相似網絡行為”主要是針對武器化、交付和投遞階段的行為特征分析。總體設計如圖1所示。

圖1 模型總體設計

3 網絡威脅溯源分析機制

如圖2所示，以A、B、C、D、E、F共6個資產的應用場景為例，說明多個資產的網絡威脅溯源分析機制。本文提出模型的前提條件是對各類安全數據資源的語法語義實現了一致性、標準化的描述，即不同類別的安全數據資源已具備融合分析處理的能力。

圖2 網絡威脅溯源分析機制

3.1 資產受損相似性分析

依托于相應的安全檢測分析手段，對病毒木馬、網絡攻擊、系統竊權、數據泄露等資產破壞行為進行檢測，定期將基于發現的問題分別形成相應的資產受損特征鏈，如病毒木馬的資產受損鏈表示為：

式中，Event-Vir(ai)表示已發現的某一病毒木馬事件。以此類推，網絡攻擊的資產受損鏈表示為：

系統竊權的資產受損鏈表示為：

數據泄露的資產受損鏈表示為：

為了確保資產受損特征矩陣的標準化和一致性，將只選取各個資產受損特征鏈的前十項重要特征，以此整合各個資產受損特征鏈形成資產受損特征矩陣：

同理，定期形成資產B、C、D、E、F……的資產受損特征矩陣AdM(Bi),AdM(Ci),AdM(Di),AdM(Ei),AdM(Fi),…

對資產受損特征矩陣AdM(Bi),AdM(Ci),AdM(Di),AdM(Ei),AdM(Fi),…進行關聯對比分析，若發現特征矩陣存在2個以上相同的要素，則將其劃分為一組，假設A、B、C、D、E、F的資產受損特征矩陣存在2個以上的相同要素，將其劃分為“相似受損資產集”。

3.2 資產內部威脅溯源機制

依托于相應的安全檢測和安全審計手段，對“相似受損資產集”中相關的資產一段時間內的運行信息進行融合分析，包括系統策略、系統用戶、系統漏洞、系統進程等運行狀態信息，定期提取相關特征分別形成相應的資產運行特征鏈，如系統策略的資產運行特征鏈表示為：

系統用戶的資產運行特征鏈表示為：

系統漏洞的資產運行特征鏈表示為：

系統進程的資產運行特征鏈表示為：

為了確保資產運行特征矩陣的標準化和一致性，將只選取各個資產運行特征鏈的前10項重要特征，以此整合各個資產運行特征鏈形成資產運行特征矩陣：

同理，定期形成資產B、C、D、E、F……的資產受損特征矩陣AeM(Bi),AeM(Ci),AeM(Di),AeM(Ei),AeM(Fi)。

依托于相應的安全檢測和安全審計手段，對“相似受損資產集”中相關的資產一段時間內的內部操作行為進行融合分析，包括策略操作、外設操作、進程操作、數據操作等操作行為信息，定期提取相關特征，按照3.1節的模式分別形成相應的資產操作行為鏈，包括進程操作的資產操作行為鏈表示為AoC-Str(Ai)，外設操作的資產操作行為鏈表示為AoC-Dev(Ai)，進程操作的資產操作行為鏈表示為AoC-Pro(Ai)，數據操作的資產操作行為鏈表示為AoC-Dat(Ai)。

為了確保資產運行特征矩陣的標準化和一致性，將只選取各個資產網絡行為鏈的前10項重要特征，以此整合各個資產操作行為鏈形成資產操作行為矩陣：

同理，定期形成資產B、C、D、E、F……的資產受損特征矩陣AoM(Bi),AoM(Ci),AoM(Di),AoM(Ei),AoM(Fi)。

基于安全大數據分析技術，通過發現同一網絡威脅在不同資產的受損特征、運行特征和操作行為等方面的相似性，逐步追溯還原網絡威脅在不同階段的外在特征，資產A、B、C、D、E、F已形成一個“相似受損資產集”，以此為例實施后續相關數據分析。

以“相似受損資產集”中的時刻為起點，反向追蹤分析集合中A、B、C、D、E、F在一段時間內所有的資產運行特征矩陣，如反向追蹤資產A、B、C、D、E、F在過去24個時間間隔內的資產運行特征矩陣，即對{(AeM(Ai),AeM(Ai-1),…,AeM(Ai-23)},{(AeM(Bi),AeM(Bi-1),…,AeM(Bi-23)}，{(AeM(Ci),AeM(Ci-1),…,AeM(Ci-23)}，{(AeM(Di),AeM(Di-1),…,AeM(Di-23)},{(AeM(Ei),AeM(Ei-1),…,AeM(Ei-23)},{(AeM(Fi),AeM(Fi-1),…,AeM(Fi-23)}進行對比關聯分析，發現資產A、B、C、D存在相同的運行特征要素，將其劃分為“相似運行特征資產集”，并形成“相似資產運行特征矩陣集”。

同理，以“相似受損資產集”中的時刻為起點，反向追蹤分析集合中A、B、C、D、E、F在一段時間內所有的資產操作行為矩陣，反向追蹤資產A、B、C、D、E、F在過去24個時間間隔內的資產運行特征矩陣，發現資產B、C、D、E存在相同的運行特征要素，將其劃分為“相似操作行為資產集”，并形成“相似資產操作行為矩陣集”。

取“相似運行特征資產集”和“相似操作行為資產集”的并集，形成“相似威脅特征資產集”，即資產A、B、C、D、E組合形成“相似威脅特征資產集”，之后，基于相同的資產受損特征要素，提取形成資產受損特征AdF(t)；基于相同的資產運行特征要素，提取形成資產運行特征AeF(t)；基于相同的資產操作行為要素，提取形成資產內部行為特征AoF(t)；以此作為資產內部某一威脅的相關步驟特征，并以此組合形成資產內部威脅鏈：

3.3 資產外部威脅溯源機制

依托于相應的安全檢測和安全審計手段，對“相似威脅特征資產集”中相關的資產一段時間內的網絡操作行為進行融合分析，包括文件傳送、遠程登陸、應用訪問、數據獲取等操作行為信息，定期提取相關特征分別形成相應的資產網絡行為鏈，包括文件傳輸的資產網絡行為鏈AnC-Fil(Ai)，遠程登陸的資產網絡行為鏈AnC-Log(Ai)，應用訪問的資產網絡行為鏈AnC-App(Ai),數據獲取的資產網絡行為鏈AnC-Dta(Ai)。為了確保資產運行特征矩陣的標準化和一致性，將只選取各個資產網絡行為鏈的前10項重要特征，如果存在要素不夠的情況，以數字0補齊，以此整合各個資產網絡行為鏈形成資產網絡行為矩陣AnM(Ai)、AnM(Bi)、AnM(Ci)、AnM(Di)。

以“相似威脅特征資產集”中的時刻為起點，反向追蹤分析集合中A、B、C、D、E在一段時間內所有的資產網絡行為矩陣，以1個小時為時間間隔，反向追蹤資產A、B、C、D、E、F在過去24個時間間隔內的資產運行特征矩陣，發現資產A、B、D、E存在相同的網絡行為要素，將其劃分為“相似網絡行為資產集”，并形成“相似網絡行為資產集”為：

基于“相似網絡行為資產集”相同特征要素和“資產內部威脅鏈”進行相關性分析，若存在強相關行為，則提取相關特征作為資產網絡威脅特征AnF(t)，以此組合形成網絡威脅鏈：

4 模型迭代驗證機制

基于網絡威脅鏈AtC(t)的網絡行為關系進行回溯定位分析，將網絡威脅源頭的資產作為可疑資產，之后將網絡威脅鏈和相關可疑終端作為網絡威脅情報，實現全網發布和共享，如圖3所示。

后續的網絡威脅溯源分析過程中，可利用網絡威脅鏈AtC(t)和可疑資產作為威脅情報輔助進行分析，同時，持續利用后續更多的數據樣本，持續驗證網絡威脅鏈的特征是否準確且全面，可疑終端是否再次發生類似威脅行為，基于相關驗證數據迭代修正上述威脅情報，持續提升其準確性。

圖3 模型迭代驗證流程

5 實例分析

本文在某試驗網絡中選擇2 000個終端/服務器進行測試，終端/服務器上部署主機安全軟件，能夠實時采集上報各類威脅告警信息、安全事件信息、運行狀態信息、用戶操作信息、網絡通信信息等，匯總到后臺的安全大數據平臺，安全大數據平臺具備多維度多層次的融合分析能力；同時，在后臺構建一個網絡威脅情報系統，能夠基于安全大數據平臺的分析數據形成新的威脅情報，或修正相關威脅情報。

經過10天的驗證，采用該模型進行溯源迭代分析，已回溯了2個網絡威脅鏈，結合安全專家的進一步分析，成功定位到威脅源資產以及相應的威脅動作。

6 結語

多維融合分析的網絡威脅溯源迭代分析模型主要是針對廣域化、復雜化和組織化的網絡威脅，采用安全大數據分析技術，基于“尋找同一威脅在不同維度的相似性破壞現象和相似性動作行為”的方法，逐步溯源、復盤網絡威脅的整個過程以及相關步驟，經過驗證，在一定程度上能夠較好地實現網絡威脅全程溯源問題。

但是，由于目前安全領域的關聯分析模型尚處于發展階段，不同維度、不同表象網絡威脅的基礎關聯分析模型較少，導致本文提出的模型在實際應用過程中，某些步驟還需要安全專家人工參與和判斷，如何實現網絡威脅全過程的智能分析和溯源，是該模型后續需要研究的問題。