基于CAR的調(diào)度集中CTC高級(jí)持續(xù)威脅研究

張衡

摘要 調(diào)度集中控制系統(tǒng)（CTC）網(wǎng)絡(luò)安全防護(hù)較為被動(dòng)，來(lái)自高級(jí)持續(xù)威脅 （APT， Advanced Persistent Threat）的網(wǎng)絡(luò)威脅不容忽視。提出基于網(wǎng)絡(luò)分析存儲(chǔ)庫(kù)CAR （Cyber?? Analytics Repository）的APT攻擊分析框架，實(shí)現(xiàn)主機(jī)威脅等級(jí)識(shí)別和最可能攻擊技術(shù)關(guān)聯(lián)。任意兩兩技術(shù)之間的Phi相關(guān)系數(shù)（Phi coefficient）為權(quán)重，技術(shù)為實(shí)體，構(gòu)建技術(shù)關(guān)聯(lián)有向加權(quán)圖。以戰(zhàn)術(shù)、技術(shù)及過(guò)程（TTPs，Tactics，Techniques and Procedures）描述APT攻擊，可疑主機(jī)的TTPs元組為分析起點(diǎn)，結(jié)合加權(quán)圖關(guān)聯(lián)潛在技術(shù)。有效幫助攻擊診斷和入侵緩解，提高CTC主動(dòng)防御能力。

關(guān)鍵詞 CTC;APT攻擊;網(wǎng)絡(luò)分析存儲(chǔ)庫(kù);TTPs;Phi

中圖分類號(hào) U283.2 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 2096-8949（2022）07-0008-03

0 引言

軌道交通領(lǐng)域典型網(wǎng)絡(luò)攻擊事件主要為高級(jí)持續(xù)威脅APT攻擊，其特點(diǎn)是目的性強(qiáng)、潛伏期長(zhǎng)、危害性高[1]。調(diào)度集中CTC中存在不少網(wǎng)絡(luò)安全盲區(qū)，達(dá)到信息安全等保要求存在一定差距[2]。Invincia實(shí)驗(yàn)室的研究表明100～200 M字節(jié)的系統(tǒng)日志足以檢測(cè)系統(tǒng)上執(zhí)行的85%的惡意軟件[3]。MITRE公司統(tǒng)一描述攻擊者所用的戰(zhàn)術(shù)、技術(shù)和過(guò)程（TTPs），闡述了基于TTPs方法狩獵網(wǎng)絡(luò)攻擊行為可行性[4]。CyGraph則采用基于圖形的網(wǎng)絡(luò)安全模型，以提供決策支持和態(tài)勢(shì)感知[5-6]。

綜上所述，提出基于網(wǎng)絡(luò)分析存儲(chǔ)庫(kù)（CAR）的APT攻擊分析框架。通過(guò)CAR數(shù)據(jù)模型，映射主機(jī)可能存在的TTPs元組，將威脅鎖定在少數(shù)可疑主機(jī)上。將可疑主機(jī)已知TTPs元組作為技術(shù)關(guān)聯(lián)有向圖的分析起點(diǎn)，通過(guò)Phi相關(guān)系數(shù)，關(guān)聯(lián)得到最可能的潛在技術(shù)，威脅嚴(yán)重性作為進(jìn)一步驗(yàn)證的優(yōu)先級(jí)指標(biāo)。

1 CTC業(yè)務(wù)場(chǎng)景威脅分析

調(diào)度中心CTC包括各工作站、文件服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。在各車站CTC控制回路中，信息傳輸方式是近似端到端（見圖1）。任何一側(cè)發(fā)生異常，都可能引起連鎖反應(yīng)。因此來(lái)自CTC中心內(nèi)部的APT攻擊較難防范。

（1）威脅來(lái)源包含內(nèi)部人員和漏洞。利用設(shè)備上的漏洞進(jìn)行攻擊是可能的;內(nèi)部人員具備一定系統(tǒng)訪問(wèn)權(quán)限，了解系統(tǒng)構(gòu)成和業(yè)務(wù)流程等。

（2）威脅手段包括使用惡意軟件、偽裝文件和惡意代碼。惡意軟件用來(lái)建立后門或立足點(diǎn);病毒偽裝成正常文件并執(zhí)行;利用本地工具執(zhí)行惡意代碼。

（3）目標(biāo)主要是竊取密鑰和泄露敏感數(shù)據(jù)。

2 基于CAR的APT攻擊分析框架

APT攻擊分析框架主要由四個(gè)部分構(gòu)成（見圖2）：

（1）構(gòu)建技術(shù)關(guān)聯(lián)有向加權(quán)圖。

（2）主機(jī)本地日志收集和CAR數(shù)據(jù)模型的確定。

（3）確定可疑主機(jī)及TTPs元組。

（4）驗(yàn)證結(jié)果：最可能的技術(shù)和威脅等級(jí)。

2.1 基于Phi的技術(shù)關(guān)聯(lián)有向加權(quán)圖

MITRE公司匯總的APT攻擊威脅情報(bào)中包含121個(gè)APT組織和493個(gè)工具[7]，所含332個(gè)技術(shù)分布在12種攻擊戰(zhàn)術(shù)中（詳見表1）。

利用卡爾·皮爾森發(fā)明的Phi相關(guān)系數(shù)測(cè)量APT攻擊中各階段中技術(shù)之間的關(guān)聯(lián)性（見式1及表2）。如n11表示（Ti，Tj）共存在一個(gè)APT組織或工具的頻數(shù)，其余類比。

（1）

只考慮技術(shù)間的正相關(guān)，選取中度相關(guān)及以上技術(shù)對(duì)（Phi≥0.3），以Phi值為邊權(quán)重，技術(shù)為節(jié)點(diǎn)，存入圖形數(shù)據(jù)庫(kù)Neo4j。

2.2 CAR數(shù)據(jù)模型映射TTPs元組

網(wǎng)絡(luò)分析存儲(chǔ)庫(kù)CAR（Cyber?? Analytics Repository）中每個(gè)對(duì)象通過(guò)動(dòng)作和字段兩個(gè)維度來(lái)識(shí)別，三元組（對(duì)象，動(dòng)作，字段）就像一個(gè)坐標(biāo)，描述對(duì)象的屬性和狀態(tài)變化[8]。

研究的目標(biāo)是在APT攻擊早期幫助攻擊診斷和入侵緩解，而TA0010和TA0040戰(zhàn)術(shù)屬于攻擊完成部分，故不做討論。因此確定TTPs元組長(zhǎng)度為10。該10元組按加權(quán)和計(jì)算轉(zhuǎn)為統(tǒng)一威脅分值，計(jì)算如下：

（2）

（3）

n值為10，是戰(zhàn)術(shù)的位置（參考表1），Si是位置戰(zhàn)術(shù)下檢測(cè)到的技術(shù)的數(shù)目，wi是權(quán)重。TTPs元組威脅分值越高，所用的戰(zhàn)術(shù)個(gè)數(shù)越多，將威脅分值劃分為四個(gè)威脅等級(jí)（見表3），從低到高依次為綠、黃、橙、紅。

2.3 基于有向加權(quán)圖的APT技術(shù)關(guān)聯(lián)

借助Neo4j Cypher語(yǔ)言在技術(shù)有向加權(quán)圖關(guān)聯(lián)最可能技術(shù)。一是尋找同戰(zhàn)術(shù)下最可能技術(shù);二是補(bǔ)全空白戰(zhàn)術(shù)（技術(shù)統(tǒng)計(jì)為0）下的技術(shù)。常用攻擊模式枚舉和分類CAPEC [9]中Severity（嚴(yán)重性）字段，作為進(jìn)一步驗(yàn)證的優(yōu)先級(jí)依據(jù)。

尋找同戰(zhàn)術(shù)下最可能技術(shù)的算法如下。定義兩個(gè)空集temp和temp2，以非空戰(zhàn)術(shù)下的每個(gè)技術(shù)為起點(diǎn)，以關(guān)系A(chǔ)PTlike進(jìn)行搜索。相關(guān)程度最大的技術(shù)存入集合temp。如果temp與taci的交為空集，關(guān)聯(lián)出了潛在技術(shù)，存入temp2。如交集為temp本身，未關(guān)聯(lián)出潛在技術(shù)。如果存在一部分交集，temp中技術(shù)去除交集存入temp2。選擇非空的temp2的技術(shù)為起點(diǎn)，以CAPEC關(guān)系搜索所涉及的攻擊模式，嚴(yán)重性為屬性，構(gòu)成二元組。最后按照嚴(yán)重性排序，輸出推斷的技術(shù)集合res。

同戰(zhàn)術(shù)下最可能技術(shù)關(guān)聯(lián)算法：

輸入：非空戰(zhàn)術(shù)下技術(shù)集合taci={t1，t2，…，tN}

有向加權(quán)圖G=（V，E，Phi）

輸出：預(yù)測(cè)的技術(shù)集合res

1： temp=temp2=

2： for ti∈tacido

3： =select max （Cypher G（ti，APTlike），Phi）

temp |=

4：end for

5： if temp =? do temp2=temp

else if temp = temp do temp2=

else do temp2 = temp - temp

6： for? temp2 and temp? do

7：? （，S）=max （Cypher G（，CAPEC），Severity）

8： end for

9： res = Sort（（，S），Severity）

同理，假設(shè)所有已知的技術(shù)均屬于該空白戰(zhàn)術(shù)，按照同戰(zhàn)術(shù)技術(shù)關(guān)聯(lián)技術(shù)算法進(jìn)行推斷。

3 實(shí)驗(yàn)結(jié)果

APT攻擊威脅情報(bào)中任意兩兩技術(shù)關(guān)聯(lián)，經(jīng)篩選同戰(zhàn)術(shù)下技術(shù)關(guān)聯(lián)646對(duì)，不同戰(zhàn)術(shù)下技術(shù)關(guān)聯(lián)4 871對(duì)。共涉及112個(gè)攻擊模式。

使用MITRE CALDERA軟件模擬CTC中心內(nèi)部攻擊。工作站3的APT活動(dòng)分析結(jié)果（見圖3）顯示，第四、五天的威脅分值最高，優(yōu)先對(duì)這兩天的TTPs元組進(jìn)行檢查。TA0003（持久性）中戰(zhàn)術(shù)中，相同戰(zhàn)術(shù)下關(guān)聯(lián)的最可能技術(shù)見表4。

4 總結(jié)

結(jié)果表明該文方法能夠有效縮小威脅分析范圍，在技術(shù)關(guān)聯(lián)有向加權(quán)圖上找到最可能的潛在技術(shù)，進(jìn)一步明確攻擊意圖。接下來(lái)的工作，一是擴(kuò)大APT威脅情報(bào)信息來(lái)源，提高TTPs元組映射的準(zhǔn)確率。二是收集更大的真實(shí)攻擊數(shù)據(jù)集，以增加技術(shù)關(guān)聯(lián)的數(shù)量和質(zhì)量。

參考文獻(xiàn)

[1]Zhang Q， Li H， Hu J. A study on security framework against advanced persistent threat[C]// IEEE International Conference on Electronics Information & Emergency Communication. IEEE， 2017.

[2]王日升， 李景斌. 既有線TDCS 2. 0系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)研究[J]. 鐵道通信信號(hào)， 2020（11）： 46-50.

[3]Berlin K， Slater D， Saxe J. Malicious behavior detection using windows audit logs[C]//Proceedings of the 8th ACM Workshop on Artificial Intelligence and Security. 2015： 35-44.

[4]Milajerdi S， Gjomemo R， Eshete B， et al. HOLMES： Real-time APT detection through correlation of suspicious information flows[C]//2019 IEEE Symposium on Security and Privacy （SP）. IEEE， 2019： 1137-1152.

[5]Noel S， Harley E， Tam K， et al. Big-Data Architecture for Cyber Attack Graphs[J]. MITRE case， 2014（14-3549）.

[6]Noel S， Harley E， Tam K， et al. CyGraph： graph-based analytics and visualization for cybersecurity[M]//Handbook of Statistics. Elsevier， 2016（35）： 117-167.

[7]MITRE. ATT&CK navigator[DB/OL]. https： //mitre-attack. github. io/attack-navigator/.

[8]MITRE. Cyber Analytics Repository（CAR）[DB/OL]. https： //car. mitre. org.

[9]MIRTE. Common Attack Pattern Enumerations and Classifications （CAPEC） [DB/OL]. https：//capec.mitre.org/index.html.