一種APT檢測平臺設(shè)計與實現(xiàn)

唐宏斌 覃曉寧 劉敬華

（1.嶺南師范學(xué)院 廣東省湛江市 524048 2.藍(lán)盾信息安全技術(shù)有限公司 廣東省廣州市 510631）

數(shù)據(jù)是企業(yè)的生命線，一旦數(shù)據(jù)被竊，企業(yè)將將失去競爭力，難以生存與發(fā)展。現(xiàn)如今，沒有一個企業(yè)能孤立于互聯(lián)網(wǎng)之外。而在網(wǎng)絡(luò)中存在各種風(fēng)險，特別是2013年斯諾登事件曝光以來，網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊聽和數(shù)據(jù)被盜取等眾多事件曝光于大眾之下，人們意識到了安全的重要性。

高級持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊是指某組織對特定對象展開的持續(xù)有效的攻擊活動。此類攻擊活動具有極強的隱蔽性和針對性[1]。描述一個APT 攻擊完整的攻擊鏈，可以分為七步：偵查，工具制作，投送，攻擊滲透，安裝工具，控制，竊取破壞。當(dāng)黑客滲透成功，在網(wǎng)絡(luò)內(nèi)部模仿用戶行為進行數(shù)據(jù)竊密時，檢測難度已經(jīng)大大增加，且往往發(fā)現(xiàn)之后已經(jīng)造成一定損失。所以APT 檢測往往從黑客滲透的事前和事中入手。高級持續(xù)性威脅攻擊鏈圖如圖1。

面對著APT 攻擊，往往被攻擊對象被監(jiān)控和竊取數(shù)據(jù)多時而不自知。如何在APT 攻擊發(fā)生之時，有效檢測出此類攻擊并預(yù)警和阻斷是目前業(yè)界在探索的一個重要問題。鑒于此，本文設(shè)計一種高級持續(xù)性威脅檢測平臺，平臺解決APT 攻擊監(jiān)測和預(yù)警的問題，并在發(fā)現(xiàn)攻擊時智能聯(lián)動縱深防御安全設(shè)備進行阻斷，阻止數(shù)據(jù)竊取事件的發(fā)生，防患于初始階段。

1 高級持續(xù)性威脅（APT）檢測平臺設(shè)計與實現(xiàn)平臺體系架構(gòu)

高級持續(xù)性威脅檢測平臺總體架構(gòu)包括五橫三縱。其中，五橫包括感知基礎(chǔ)設(shè)施層、數(shù)據(jù)采集層、數(shù)據(jù)層、應(yīng)用層、展現(xiàn)層；三縱包括標(biāo)準(zhǔn)規(guī)范體系、安全保障體系和運維保障體系，架構(gòu)如圖2所示。

1.1 展現(xiàn)層

展現(xiàn)層是實現(xiàn)各類網(wǎng)絡(luò)安全態(tài)勢、APT 網(wǎng)絡(luò)安全事件、重要網(wǎng)絡(luò)安全通知公告等信息及時發(fā)布的重要渠道系統(tǒng)，包括：

（1）安全態(tài)勢WEB 展現(xiàn)系統(tǒng)；

（2）指揮室大屏展示系統(tǒng)；

（3）移動終端展示系統(tǒng)等。

1.2 應(yīng)用層

應(yīng)用層是平臺建設(shè)的核心內(nèi)容，包括：

（1）應(yīng)急指揮系統(tǒng)；

（2）APT 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)；

（3）信息通報處置系統(tǒng)；

（4）安全大數(shù)據(jù)分析系統(tǒng)。

1.3 數(shù)據(jù)層

數(shù)據(jù)層是態(tài)勢感知安全平臺數(shù)據(jù)存儲、管理及共享控制中樞，在數(shù)據(jù)采集層之上，包括：

（1）數(shù)據(jù)庫管理系統(tǒng)；

（2）數(shù)據(jù)湖泊：海量數(shù)據(jù)存儲能力，包括結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，涵蓋各個數(shù)據(jù)庫（數(shù)據(jù)采集庫、等保合規(guī)庫、應(yīng)用服務(wù)管理庫、APT 態(tài)勢感知數(shù)據(jù)庫、數(shù)據(jù)共享管理庫等）；

（3）安全態(tài)勢感知數(shù)據(jù)總線。

1.4 數(shù)據(jù)采集層

數(shù)據(jù)采集層是態(tài)勢感知安全平臺統(tǒng)一的數(shù)據(jù)采集系統(tǒng)，支持多種數(shù)據(jù)采集方式，包括：

（1）安全設(shè)備、網(wǎng)絡(luò)設(shè)備、探針、終端設(shè)備、應(yīng)用或者接受其他相關(guān)日志；

（2）實時網(wǎng)絡(luò)全流量采集；

（3）導(dǎo)入外部威脅情報；

（4）軟件基因分析結(jié)果信息。

1.5 基礎(chǔ)設(shè)施層

基礎(chǔ)設(shè)施層是指為系統(tǒng)運行提供實體支撐的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲系統(tǒng)、終端設(shè)備、應(yīng)用支撐中間件等軟硬件設(shè)施。同時包括機房、應(yīng)急指揮室等內(nèi)容。

1.6 標(biāo)準(zhǔn)規(guī)范體系

平臺的基礎(chǔ)設(shè)施包括通用或?qū)Ｓ眯头?wù)器、可選的集中存儲組件、標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)拓?fù)洌餐瑯?gòu)成了平臺的基礎(chǔ)物理環(huán)境。對于超大型的應(yīng)用場景，可采用數(shù)據(jù)中心的模式進行建設(shè)。

標(biāo)準(zhǔn)規(guī)范體系是確保態(tài)勢感知安全平臺規(guī)范化的基礎(chǔ)，包括但不限于業(yè)務(wù)標(biāo)準(zhǔn)、數(shù)據(jù)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)等。

2 技術(shù)原理

本平臺基于大數(shù)據(jù)智能分析技術(shù)建立智能安全分析中心，采集設(shè)備日志、業(yè)務(wù)應(yīng)用日志、全流量L2-L7 層協(xié)議還原數(shù)據(jù)、利用沙箱技術(shù)對文件動態(tài)行為的分析結(jié)果、性能指標(biāo)、資產(chǎn)脆弱性、外部威脅情報等安全數(shù)據(jù)，利用AI 模型和可視化技術(shù)分析識別僵尸蠕毒和APT 攻擊等已知和未知威脅，對用戶網(wǎng)絡(luò)環(huán)境內(nèi)發(fā)生的所有行為進行全面分析，實現(xiàn)對脆弱性、威脅、事件的深入分析和關(guān)聯(lián)，從業(yè)務(wù)系統(tǒng)、應(yīng)用情境、用戶等維度進行關(guān)聯(lián)分析，實現(xiàn)攻擊路徑還原、攻擊危害評估、調(diào)查取證、安全態(tài)勢可視化分析等安全能力。高級持續(xù)性威脅檢測平臺技術(shù)架構(gòu)圖如圖3。

2.1 數(shù)據(jù)處理技術(shù)

引入大數(shù)據(jù)技術(shù)建立數(shù)據(jù)分析平臺，收集網(wǎng)絡(luò)、終端、系統(tǒng)、應(yīng)用層等各層面數(shù)據(jù)，進一步挖掘與分析，為網(wǎng)絡(luò)安全縱深防御、安全運營管理和應(yīng)急提供支撐，并在此基礎(chǔ)之上形成可視化的安全態(tài)勢感知系統(tǒng)。

2.2 URL過濾技術(shù)

URL 過濾技術(shù)用于對互聯(lián)網(wǎng)上的網(wǎng)站進行分類，將Web 流量與邊界防御設(shè)備如下一代防火墻的URL 過濾數(shù)據(jù)庫進行比較來限制訪問，以防止訪問者訪問不安全，有害的網(wǎng)站（如網(wǎng)絡(luò)釣魚頁面）。

檢測平臺在智能分析中心內(nèi)置機器學(xué)習(xí)引擎，在檢測惡意DNS域名和鏈接上通過對樣本的模型訓(xùn)練，預(yù)測惡意域名和鏈接，經(jīng)過確認(rèn)后，加入到URL 過濾數(shù)據(jù)庫以更新數(shù)據(jù)庫；同時，可以通過學(xué)習(xí)威脅情報信息，亦可擴大URL 過濾范圍，提高準(zhǔn)確度。

2.3 沙箱技術(shù)

沙箱可模擬真實環(huán)境，運行未知文件后得出文件運行過程中的各種行為，綜合分析后可準(zhǔn)確判斷未知威脅。

2.4 智能AI引擎技術(shù)

搭載最新的AI 威脅檢測引擎，能夠識別惡意代碼變種、未知威脅等特征匹配模式無法識別的高級威脅。

3 高級持續(xù)性威脅檢測平臺功能

3.1 靜態(tài)分析

基于傳統(tǒng)的入侵檢測和殺毒技術(shù)，可以對已知的病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)、緩沖區(qū)溢出攻擊、DDoS、掃描探測、欺騙劫持、SQL 注入、XSS、網(wǎng)站掛馬、異常流量等惡性攻擊行為有非常準(zhǔn)確高效的檢測效果。

3.2 流量模型分析

通過了黑的檢測，并不代表安全，因為它是通過對已知的攻擊樣本進行分析，提煉出各種簽名文件來進行檢測只能對已知或者公開的攻擊進行預(yù)警和防御。因此基于流量探針技術(shù)，采集主流使用的通訊協(xié)議的流量數(shù)據(jù)，形成流量基線，由此可以判斷網(wǎng)絡(luò)內(nèi)異與常態(tài)的流量行為，從白中挑出灰。

3.3 沙箱檢測

對于繞過入侵檢測和殺毒軟件的灰色數(shù)據(jù)，引入動態(tài)沙箱檢測技術(shù)，使用多種虛擬機環(huán)境運行被檢測文件，監(jiān)測文件打開后的系統(tǒng)環(huán)境、內(nèi)存狀態(tài)以及文件的各種行為等以確定文件是否為惡意文件。

3.4 人工智能大數(shù)據(jù)分析

平臺基于人工智能，針對高級持續(xù)性威脅進行全面檢測、可視化、告警和智能聯(lián)動防御，包含原始文件、流量還原、傳統(tǒng)惡意文件檢測、無監(jiān)督機器學(xué)習(xí)惡意軟件或流量分析、可疑文件動態(tài)分析、異常流量檢測、橫向移動監(jiān)測、數(shù)據(jù)泄露監(jiān)測、全流量離線深度協(xié)議分析、資產(chǎn)管理、事件關(guān)聯(lián)分析告警、網(wǎng)絡(luò)攻擊態(tài)勢可視化等功能。

3.5 綜合態(tài)勢展示

綜合態(tài)勢展示世界和中國范圍內(nèi)的攻擊軌跡與次數(shù)，包括病毒事件、入侵事件、異常流量；可查看網(wǎng)絡(luò)安全基本態(tài)勢，包括網(wǎng)絡(luò)攻擊、惡意文件、異常流量事件、網(wǎng)絡(luò)流量和安全日志；受攻擊重點資產(chǎn)和攻擊來源TOP10 的周和月報表。

4 結(jié)語

本文提出了一種基于大數(shù)據(jù)平臺的高級持續(xù)性威脅檢測平臺，針對高級持續(xù)性攻擊行為提供全方位多維度監(jiān)測、精確感知及預(yù)警與防御的專業(yè)安全產(chǎn)品，保護用戶資產(chǎn)數(shù)據(jù)。