基于情報、威脅框架等方式追蹤溯源方法研究

孫銘鴻 蔡蓓蓓

1.遼寧省互聯網技術支撐中心；2.江蘇省互聯網行業管理服務中心

0 引言

隨著網絡安全的深入發展，網絡安全已經成為關系國家安全的重大安全戰略問題。傳統的被動防御技術已經無法應對新興的復雜網絡攻擊，因此，需要更具有針對性的主動防御技術。攻擊溯源技術可以及時確定攻擊源頭或攻擊的中間介質，及其相應的攻擊路徑，在通過隔離、關閉等手段最大程度上降低攻擊損害的同時，還可制定更有針對性的防御與反制策略，實現主動防御。攻擊溯源技術是網絡空間防御體系從被動防御到主動防御轉換的重要步驟，提高了主動防御的及時性和有效性。目前，攻擊溯源技術處于發展階段，還缺乏有效的工具和系統，因此，攻擊溯源技術的研究和運用具有十分重要的意義，是維護國家網絡安全、防范網絡攻擊有力的技術保障。

近年來，在大國博弈過程中，某國能夠依托其分析溯源能力對我國進行網絡攻擊行為的指控，而我國由于不能依靠自身溯源能力進行輿論回擊而處于被動的狀態。同時，國際輿論也在大國影響力的作用下，有意識地提出對我國不利的論調，我國應該通過大力加強攻擊溯源能力的建設來改變這樣的現狀。而攻擊溯源技術可以對網絡攻擊過程進行記錄，可為解決國家間網絡空間安全爭端提供取證支撐，以捍衛國家網絡空間主權并威懾潛在的網絡攻擊。

1 基于威脅情報的智能化溯源

1.1 溯源技術分類及其概念界定

當前的攻擊溯源技術主要分為兩種：被動和主動技術。被動溯源技術包括針對潛在惡意行為警報進行取證調查和攻擊假設測試。主動溯源技術依靠威脅情報，產生攻擊假設，主動搜索潛在的威脅行為。情報是指被傳遞的知識或事實，最早源于軍事情報領域，概念與技術成熟后被引入網絡與信息安全領域，與網絡安全態勢密切相關。威脅情報是一種基于證據來描述威脅的知識信息，包括威脅相關的上下文環境信息，采用機制、指標、影響與行動建議等。這些用以描述已經存在或正在發生的攻擊威脅的信息，可以被受害目標用來進行決策并對威脅進行響應。威脅情報多被用于例如蜜罐、SIEM（Security Information and Event Management，安全信息和事件管理）等網絡安全防護設備的功能增強和攻擊溯源手動分析的輔助，面對攻擊溯源過程中產生的海量數據信息，人工處理復雜且耗時，利用威脅情報進行攻擊溯源已成為業界共識。

1.2 威脅情報的分類及概念界定

目前主要被使用的威脅情報為技術威脅情報和戰術威脅情報，其中技術威脅情報主要是失陷指標（IoC，Indicator of compromise），如文件哈希、IP、URL、域名、程序運行路徑、注冊表項、互斥量、發件人郵箱地址以及其它相關標簽。IoC也是可機讀的威脅情報的一種，還包括文件信譽和IP 情報。戰術威脅情報關注于攻擊者的TTP（Tactics、Techniques、Procedures，戰術、技術、過程），其中戰術是指對攻擊行動的概括性要求，表達的是目的或行動原因，常用于攻擊作業規劃與過程追蹤；技術是指通過什么動作執行來達成戰術的目標，包含預期完成的行動，但不包括完成行動的規定性指導；過程是特定的案例化或參照化技術執行說明，是完成任務的具體詳細的操作說明或指導，重點在于提供完整、詳細、正確的任務步驟說明。所獲取的特征信息通過關聯分析和拓展線索，可輸出大量與已知線索存在關聯的新線索，將未知攻擊與已存在的攻擊者建立聯系，并結合攻擊者TTP，逐步追蹤溯源攻擊者。威脅情報相關指標的金字塔模型如圖1 所示。

圖1 痛苦金字塔

1.3 威脅平臺建設現狀

目前，國內外的大部分網絡安全廠商均已建立了各自帶有溯源分析功能的在線威脅情報平臺。威脅情報平臺是用來收集、關聯實時數據，并對其分類、整合的一個平臺，可優先支持防御行動。同時，還會對現有安全技術和流程進行整合并加以補充，滿足了在多個利益相關個體和不同群體之間快速分享可機讀威脅情報的需求。現有威脅情報平臺可提供查詢和分析服務，通過威脅情報中黑客及組織的特征信息進行關聯實現攻擊者識別。

國內網絡安全廠商安天的威脅情報綜合分析平臺（Threat Intelligence Data，簡稱TID）具備一定的溯源能力。TID 基于安天海量流量側和端點側威脅感知能力和自動化樣本采集分析體系，累積形成高質量的自有威脅情報庫、知識庫，結合外部情報，具備快速查詢與獲取威脅情報的能力。利用簡便的交互式威脅關聯與同源分析方法，全面揭示攻擊者的攻擊工具、攻擊資源、攻擊手段，形成威脅分析和追蹤溯源能力，如圖2所示。

圖2 利用關聯同源分析進行威脅追蹤溯源

美國網絡安全廠商賽門鐵克的Deep Sight Intelligence 是一個云托管的網絡威脅情報平臺，該平臺可以提供由賽門鐵克通過終端和其它安全產品收集并通過其大數據倉庫匯總的技術和攻擊者情報，這些數據經過豐富、驗證和分析，以提供溯源功能，將未知指標與已知攻擊者聯系起來。

1.4 AI 大數據溯源平臺的建設現狀

目前相關威脅事件數量日益增長，威脅數據正不斷累積且數量巨大，僅靠人工分析溯源難以滿足快速增長的防御需求，所以更好地利用大數據進行溯源是必要手段。威脅情報作為提供了海量多來源的安全大數據，除了需要例如Deep Sight Intelligence 威脅情報平臺中利用云對安全大數據進行集成，還需利用人工智能（AI，Artificial Intelligence）技術進行快速處理分析大量數據，以實現自動化溯源，更好地發揮威脅情報在攻擊溯源中的價值。盡管AI 的使用在攻擊溯源的實現中尚不是主流，但其使用不斷增加和實現功能也越來越復雜，部分網絡安全廠商已成立了專門的網絡安全AI 技術研究團隊，例如美國網絡安全公司Sophos 的Sophos AI，其致力于推動機器學習（ML，Machine Learning）以實現信息安全。

美國網絡安全公司FireEye 為了解決現有溯源問題正在利用AI 開發相關工具。其根據自然語言處理和機器學習（ML）研究社區使用的既定方法，開發了一個建模框架，以評估不同組織之間的相似程度。該工具被稱為ATOMICITY，用于自動化識別新發現攻擊組織與已知組織的相似性，以確認其可歸屬于現有組織或是一個新組織，從而實現自動化溯源。相關示例如圖3、圖4 所示。

圖3 使用“文檔”的隱喻組織的摘要信息以進行相似性的機器學習分析的示例

圖4 ATOMICITY 工具的整體模型流程，用于分析組織和集群的相似程度

2 基于威脅框架的體系化溯源

2.1 威脅框架概念界定

在攻防雙方對抗態勢下，如果依然以離散的方式去孤立地看待和處置每個威脅事件，就會陷入沒有頭緒、無從下手的窘境，難以有效分析威脅的前因后果，看不清真正的攻擊者，無法理解真正的危害。當前對抗的嚴峻形勢，就促成了威脅框架的提出與發展。威脅框架是一套科學的方法和工具體系，能夠更深入地認知威脅，系統全面地分析其攻擊意圖、手法、過程與技術，從而幫助分析人員進行攻擊溯源，進而達成增強防御有效性的目標。

2.2 ATT&CK 框架的產生背景及其概念界定

對APT組織來說，攻擊行為通常有相對固定的生命周期。該生命周期分為6 個階段：偵察跟蹤階段、武器構建階段、載荷投遞階段、漏洞利用階段、安裝植入階段、命令與控制階段。網絡殺傷鏈從攻擊者視角更為清晰地理解攻擊行動，通過上下文建立起事件之間的關聯分析，從而更有效地理解攻擊目標與攻擊過程，也更有助于找到潛在對策與應對手段。為針對性解決威脅框架在戰術技術層面上實踐實用的問題，MITRE 在網絡殺傷鏈框架基礎上提出了ATT&CK 框架，如圖5 所示。

圖5 ATT&CK 框架的內容構成

ATT&CK 框架，是一套技術細節豐富、易于共享應用的攻擊行為分析模型和知識庫。ATT&CK 包含14 種戰術，每一種又包含數十種技術，將攻擊行為轉化為結構化列表進行表示。

2.3 基于ATT&CK 框架的威脅溯源

攻擊者是ATT&CK 框架的核心概念，對攻擊行動的分析以及知識庫的提煉積累，都是圍繞TTP 而展開的。識別溯源的過程是新的模式和TTP 發現的過程，工具和技術揭示了新的惡意行為模式和攻擊者的TTP，這是溯源周期的關鍵部分。TTP 使得防御系統擺脫或降低了對IoC 的依賴，將防御從檢測機器層執行動作信息，提升到檢測作業層行為信息。相比于惡意代碼哈希值、IP 地址等IoC 指標，基于TTP 的行為特征是很難改變的，攻擊者需要付出大量努力才能發現新的作業手法并實現防御規避的目的，其技術難度、時間周期和成本代價都是巨大的。因此，TTP 刻畫了攻擊者相對穩定的行為特征，使用基于TTP 的ATT&CK 框架能夠將威脅情報結構化，進一步增強了利用威脅情報進行攻擊溯源的有效能力。分析人員可通過攻擊戰術技術在矩陣中的映射狀態，來分析攻擊組織。由于不同攻擊組織的作業方式各不相同，其所采用的戰術技術集合也各不相同，并且具有相對穩定的特點，因此，基于矩陣映射狀態的分析，可區別不同組織，跟蹤特定組織的戰術技術變化，為攻擊溯源提供強有力的線索。

ATT&CK 框架業務已獲得業界的廣泛支持，其積極作用得到了普遍認可，框架內容也在不斷擴展與細化。ATT&CK框架包括大量的工具和資源，可以補充任何安全策略。目前其已被應用到多種安全產品中，例如端點產品，根據現有攻擊者行為，為其編寫檢測規則，更好地檢測和防御攻擊，同時在檢測到的威脅行為所產生的警報中顯示歸屬于ATT&CK 框架中的技術點，可據此發現相關聯的組織，并進行進一步分析溯源。

3 溯源技術發展趨勢及相關建議

根據上述的研究背景、意義，以及溯源方式的產生背景、概念界定及其優勢介紹，可得出如下的溯源技術發展趨勢結論：在應對相關挑戰的同時，溯源技術的研究與分析工作將得到系統化推動，在攻防雙方的博弈中得到不斷發展。因此可以說溯源技術的發展將呈波浪式上升的趨勢。網絡攻擊溯源技術還有著巨大的發展空間，如何追溯到更多的有用數據，如何多維度地對得到的數據進行分析，以及如何提高攻擊溯源技術的有效性等方面依舊任重而道遠。對于后續發展，本文也針對溯源技術提供廠商方面提出了一些不太成熟的建議，供大家參考。

3.1 構建自動化溯源技術

人工智能是一種先進的方法，憑借強大的智能驅動能力以及大規模運算能力，有潛力通過分析大量攻擊線索實現自動化挖掘攻擊者身份，并發現分析人員看不見的模式來提高溯源的準確性。智能溯源技術需要對網絡攻擊進行全面深入地了解，結合通過各種防御技術積累安全數據后，在利用人工智能增強安全防御能力的同時，使用機器學習等算法分析攻擊行為，發現攻擊并自動化溯源攻擊，從而達到高成熟度攻擊溯源水平。目前，人工智能已被用于開展針對攻擊溯源的研究和應用，部分國外安全廠商建立專項研究團隊，已經從使用簡單的線性回歸到使用深度學習，并取得了階段性成果，而國內使用人工智能進行溯源的相關實現還與國外存在一定差距，但構建有效的自動化溯源技術和體系將是今后發展的一個必然選擇。因此，需要加強與加快人工智能與機器學習的研究，逐步實現從手動溯源的方式轉變為半自動甚至完全自動化的溯源方式。

3.2 完善主動溯源技術

雖然基于低維經驗特征的溯源分析還將持續，人工分析在相當一段時間內依然是溯源分析的主要手段，但目前主動溯源技術已經展現初步的成果，例如基于網絡欺騙技術和基于威脅情報的主動溯源技術，已能夠在溯源過程中為分析人員提供一定程度的支持，所以完善主動溯源技術將是近期溯源技術發展的主要方向。對于網絡欺騙技術的應用而言，需要構建面向追蹤溯源的網絡欺騙環境，包括構建虛擬化的基礎網絡環境，部署高仿真虛擬主機和服務，施放多重蜜餌資源，以及提升欺騙環境本身的可靠性。對于威脅情報的應用而言，加強威脅情報庫的建設是重要基礎，同時對其它產品提供安全大數據支撐。網絡安全公司、政企單位等各方需要有效地加強合作建設與資源共享。除了目前已有的威脅數據之外，來自暗網和攻擊第一現場的最新威脅情報、最新惡意軟件樣本、最新漏洞攻擊樣本以及代碼靜態和行為特征，都是威脅情報庫建設的重要內容。開源軟件平臺、典型網絡攻擊平臺和框架的公開資源也是網絡威脅情報庫構建時的重要來源。除了對現有主動溯源技術進行深入研究外，也要對新技術新策略進行探索發現。

3.3 對抗逃避溯源技術

基于現有溯源技術的發展與不斷成熟，攻擊者也在相應地使用匿名網絡、網絡跳板、隱蔽通信、隱寫術等技術和虛假線索混淆視聽等方法積極對抗溯源。虛假線索對于攻擊者來說容易植入，對于分析人員來說是溯源過程中的難點，所以識別身份仿冒將是溯源工作的重要需求。目前來看，需要將特征行為進行細粒度的分解，因為基于TTP 的行為特征很難改變，所以依靠基于TTP 的威脅框架是對抗身份仿冒的一種必要手段。此外，可以利用人工智能技術，實現對身份偽裝線索的智能識別。

4 結束語

近年來，攻擊溯源技術逐漸朝著智能化、體系化的方向發展。雖然目前尚處于發展階段，缺乏有效的工具，但是溯源體系已見雛形，未來必定會以更快的速度向前發展。攻擊溯源技術作為網絡空間防御體系從被動防御到主動防御轉換的重要步驟，是維護國家網絡安全、防范網絡攻擊的技術保障。為了捍衛國家網絡空間主權，建設網絡強國，提升攻擊溯源能力刻不容緩。