基于日志的Windows系統安全威脅識別技術

魏峰

(國網甘肅省電力公司電力科學研究院， 甘肅，蘭州 730070)

0 引言

隨著人類社會越來越依賴網絡空間，網絡攻擊和網絡威脅等網絡惡意行為不斷爆發，越來越多的大企業和關鍵信息設施相繼被以APT為代表的新型網絡攻擊[1]侵害，針對APT攻擊的網絡防護技術已經成為各國信息安全領域的研究焦點。

2012年，沙特阿拉伯的石油行業遭受到了病毒Shamoon的攻擊。石油巨頭阿美石油公司超過3萬臺設備上的數據被惡意擦除。2016年，Shamoon病毒變種卷土重來，導致包括沙特阿拉伯民航總局在內的6個重要機構的計算機遭受嚴重破壞。2018年韓國平昌奧運會期間，主辦方計算機系統遭受到了Olympic Destoryer病毒攻擊，直接導致了奧運會網站的服務中斷，在此次事件中，攻擊者利用和模仿了多個黑客團隊的特征，迷惑安全人員并誤導其對攻擊來源歸屬地的判斷。據AV-test報告顯示[2]，僅2017年就發生了15.97萬起網絡安全事事件。然而，超過44%的受害公司沒有部署安全運營中心(SOC)來監控內網環境[3]。專業從事網絡安全服務的火眼公司報告稱，入侵者被企業安全人員發現的平均時間為101天[4]，72%的入侵超過1個月未被發現，28%甚至超過1年。這些現象表明大多數企業都無法及時察覺攻擊者對其網絡的入侵。

已有的入侵檢測研究主要關注基于主機的數據上，因為攻擊者經常通過利用內網主機作為跳板，獲得有效的登錄憑證在內網中橫向滲透。因此，相較于網絡層流量威脅識別，主機層日志數據為企業安全人員提供了更加全面的異常行為和安全威脅信息。從主機層日志中檢查各種用戶的登錄行為是安全人員的重要工作，并且主機層日志也是企業SIEM系統感知網絡態勢的重要數據來源。因此本文決定研究兩種基于異常的檢測方法，基于Windows主機日志來檢測內網橫向滲透，著重關注于各類異常登錄事件。

1 相關工作

1.1 內網漫游技術研究

攻擊者在入侵企業的網絡后，為了長時間不被安全人員發現并滲透更高級的目標主機，內網漫游是攻擊者常常使用的策略。

(1) APT高級持續威脅

進行內網漫游的攻擊者往往十分狡猾，擁有明確的動機和滲透主機目標，具備很強的入侵技術。正如前文所述，FireEye報告攻擊者在企業網絡中的駐留時間平均為101天。這種具有長期隱蔽性的入侵行為被稱為高級持續威脅(APT)，Chen等人的研究中介紹了APT具備的四個顯著特征：

① 明確的攻擊目標和具體的攻擊目的；

② 有組織的攻擊團隊和資源豐富的情報庫；

③ 反復嘗試的長期滲透活動；

④ 隱蔽性強的攻擊技術。

這些可以區分APT和普通網絡入侵，能夠幫助安全人員了解攻擊者如何隱蔽地入侵目標網絡。APT攻擊通常針對特定組織或企業，對目標進行全面細致的偵查，依仗有組織的攻擊團隊和充足的情報資源，對目標網絡進行長期且隱蔽地滲透嘗試。因此，APT攻擊是安全人員難以對付的勁敵，為企業網絡安全帶來嚴重威脅。

(2) 攻擊生命周期

網絡安全是攻擊者和防御者之間的貓捉老鼠游戲，防御者長期以來被認為處于劣勢地位。直到HUTCHINS E等[5]定義了攻擊者殺鏈模型(attacker kill chain model)的概念，引導了攻擊模型的發展，通過對APT進行結構化建模來幫助進行檢測防御工作。Mandiant攻擊生命周期[6]以稍微不同的方式刻畫了網絡攻擊的不同階段。與攻擊者殺鏈的連鎖階段不同，Mandiant將網絡攻擊定義為生命周期[7-9]，如圖1所示。攻擊者在最初的入侵階段進入目標的網絡環境并建立立足點。此后，攻擊者繞過了位于企業網絡邊界的防火墻等安防設備，但內網中部署的種種監控工具仍有可能檢測它們。攻擊者隨后采用諸如提權和內網掃描等方法來擴大其入侵范圍。在內網中不斷掃描出來的漏洞和對入侵環境的更深入了解使攻擊者可以進行內網漫游，從而逼近高價值的信息系統或主機設備。

圖1 攻擊生命周期

1.2 入侵技術研究

內網漫游為攻擊者提供了對目標網絡的更深入訪問。在大多數網絡入侵中，最初都是通過魚叉式網絡釣魚來竊取企業員工的用戶賬戶。盡管攻擊者依靠竊來的員工賬戶，就可以在網絡中立足，但其仍遠未達成其任務目標，內網漫游使攻擊者能夠滲透他們感興趣的目標系統。

圖2是在企業網絡中檢測出來的內網漫游攻擊：攻擊者a通過網絡連接到內網員工計算機b，在文件共享服務器c中存儲了攻擊者要竊取的目標機密文件。機密文件可由管理員用戶d訪問，但不能由員工計算機b的用戶訪問。為了獲得對這些機密文件的訪問權，攻擊者可以執行如圖2中所示的內網漫游來完成其目標。攻擊者通過內網漫游獲得對管理員計算機的訪問權限，之后，可以使用這些權限訪問文件共享服務器上的機密文件。

圖2 內網漫游示意

1.3 Windows事件日志研究

受公開數據集的數量限制，學術界對異常檢測的研究傾向于基于網絡特征的檢測。因此，基于Windows安全事件日志的異常檢測研究相當有限，仍然有學者致力于對安全事件記錄進行聚類來推斷模式。Basagoiti等[10]通過對四個不同域控制器的Windows安全事件日志的分析，得出不同服務器基于頻繁事件的聚類表現出不同的模式。Asanger和Hutchison[11]等關注Windows登錄事件，他們使用基于全局k 近鄰方法的無監督異常檢測。在企業網絡中，當每個員工都有自己的計算機時，在多臺計算機上對同一用戶進行身份驗證的情況是十分可疑的，同一IP地址進行不同帳戶的身份驗證亦是如此，這可能是攻擊者在進行密碼猜測攻擊。

本文基于Windows事件日志來檢測內網漫游入侵行為，首先收集了一個子網下全部機器的Windows事件日志，并檢查全部的登錄事件。我們將一臺計算機到另一臺計算機的登錄行為用鏈式結構儲存，并且標記了所有異常事件，尤其是返回到該鏈中先前找到的主機的連接。如圖3所示，不同主機之間的連接會環回到先前連接過的主機，這種情況可能代表著攻擊者在內網漫游或竊取有用信息后，在網絡中創建持久性。企業環境中的大多數賬戶都會約束在預先定義好的登陸策略里，任何違背此登錄策略的行為都可能代表著攻擊，從Windows事件日志里可以挖掘出違背預先定義策略的登錄。

圖3 通過Windows登錄事件推測內網漫游

2 基于聚類和統計的異常檢測方法

正如Ahmed等[12]指出，由于缺乏通用的檢測技術、無處不在的噪聲數據、缺乏公開的數據集以及對用戶合法行為的漂移現象的有效解釋，為異常檢測研究的開展帶來了挑戰。Li等[13]提出了一種基于操作安全日志的分析框架。他們認為“企業網絡中的主機受公司規定和員工職能的約束，比互聯網上的主機相比，企業內網中的主機往往具有規律化的行為”，因此不符合預期、違背規律的行為都有可能是異常行為。Ahmed等人提出了基于分類、聚類和統計技術的網絡異常行為檢測。Buczak和Guven[14]使用聚類和統計技術檢測內網中橫向滲透的異常行為。入侵行為的網絡行為在統計上偏離了正常用戶的網絡行為，聚類或統計技術能夠檢測到這種異常偏差。

聚類方法的主要優點是可以在無監督的情況下工作，不需要預先定義什么是異常，其主要依賴三個關鍵假設。

(1) 偏離良性數據構造的聚類的數據被視為異常，在基于密度的聚類算法中，這種假設會將噪聲視為異常。

(2) 在包含良性和異常數據點的聚類中，異常點距離最近的聚類質心更遠，因此，基于距離的閾值可以將良性和異常數據分開。

(3) 當數據聚集在多個簇中時，異常點往往屬于更小、更稀疏的簇。因此，良性和異常數據簇的分離十分依賴聚類簇大小、密度的參數設置。

為了應對APT攻擊并檢測真實網絡的攻擊者，Lee等[15]認為需要分析更細粒度的日志記錄。因此，本文研究Windows事件日志是否可以用于檢測內網安全威脅，尤其是內網漫游行為。由于內網主機端有大量的日志數據，因此本文引入基于機器學習的異常檢測技術幫助處理日志。

2.1 實驗數據

實驗使用的日志數據分兩類：良性數據和惡意數據。良性數據從單位內網的36臺員工計算機中收集了60個Windows日志文件，約185萬條事件記錄，總共包含52種事件類型。表1中列舉了出現頻率最高的15種事件和與賬戶登錄相關的事件。惡意數據從紅藍攻防演練中1臺紅方使用的入侵計算機中收集，含有1個Windows日志文件，約4萬條事件記錄。

表1 頻率最高的15種事件和賬戶登錄事件

2.2 方法設計

(1) 特征選擇

本文設計了以下特征選擇方法。首先將具有常量值的屬性刪除，因為這些屬性中不包含有關記錄的其他信息。具有常量值的屬性包括事件日志名稱和事件通道。因為本文只使用了安全事件日志，為了防止過擬合，刪除了標識屬性，例如EventRecordID。表2列舉了經過選擇后的特征。

(2) HDBSCAN聚類算法

本文使用Python語言實現HDBSCAN方法，將最小聚類大小設置為參數m，R鄰域內最小樣本量設置為參數s。換句話說，當一個點的R鄰域包含至少s個樣本，并且得到的聚類至少包含m個點，則形成一個聚類[16]。

本文使用3種方法從無監督的聚類結果分析惡意樣本：① 從歸類為噪聲的樣本類人工分析是否存在惡意樣本；② 將距聚類質心的距離超過預定義閾值的樣本標記惡意樣本；③ 將含有少量樣本的聚類標記為惡意樣本。

表2 經過選擇的特征

對于第二種方法，其實分析的是HDBSCAN聚類產生的離群值。這些離群樣本十分異常，遠離整體樣本，往往自身就很有分析的價值，因此本文把離群值單獨作為一類來分析[17]。

(3) 主成分分類法(PCC)

本文對訓練數據采取了主成分分析，保留了數據中方差較大的主成分特征?；诖薖CA模型，對數據進行擬合，剔除異常值，再對剩余樣本重新擬合，由此訓練的PCA模型是分類預測模型的基礎，對測試集中的數據點進行預測。

為了找到最佳的距離閾值，本文在構建ROC曲線時使用不同的閾值計算TPR和FPR之間的差異。通過檢查所有事件日志之間以及與標準偏差有關的最大差異的平均值，確定基于主成分的分類(PCC)的閾值。

3 實驗

3.1 數據統計

本文收集的單位內網Windows日志數據集中60個日志文件含有61 349條登錄事件記錄，平均每臺計算機約有1 000條記錄，其中的60%在預處理過程中被過濾。攻防演練中紅方使用入侵計算機日志中含有3 000條登錄時間記錄，這些記錄將作為惡意樣本[18-19]。圖4、圖5是良性樣本和惡意樣本中不同類型登錄記錄的頻率。

圖4 良性樣本的登錄記錄

圖5 惡意樣本的登錄記錄

我們發現，在惡意樣本和良性樣本中，服務登錄都是主要登錄事件。惡意樣本和良性樣本最大的區別在于解鎖計算機的登錄次數。這可以解釋為員工在做其他工作時鎖定計算機，從而使計算機在無人值守時處于非活動狀態。然而，在惡意場景中，攻擊者通常利用內網計算機執行入侵活動，使用NTLM身份驗證建立連接登錄，這種登錄方式不涉及解鎖行為。在使用遠程桌面協議(RDP)建立連接時，會記錄類型10(遠程交互)和11(緩存交互)的登錄記錄。登錄類型3和9分別表示網絡登錄使用新憑據登錄，這兩種登錄方式都涉及域帳戶，而域帳戶可用于內網滲透，通過注冊者的IP地址或計算機名稱來標識登錄的位置。

3.2 實驗結果

我們在訓練集和測試集上進行HDBSCAN聚類實驗，該算法對良性記錄和惡意記錄進行相互關聯的評估。添加新的點可能會改變聚類，從而需要重新運行聚類算法。在本實驗中，當出現一個包含約5%的可用登錄記錄的最小集群時，我們就將所有給出離群值評分的記錄歸類為惡意記錄。由圖6可以看出，聚類方法的ROC曲線下的平均面積為0.880，標準偏差為0.034。 離群值高于0的所有記錄都被標記為惡意。

圖6 兩種方法的ROC曲線

HDBSCAN聚類方法的平均真陽性率為85.63%，平均假陽性率為8.29%。真陽性率和假陽性率的標準差分別為6.99%和4.65%。真陽性率最高為97.14%，最低為67.5%，假陽性率為0.31%～24.77%。有5種事件日志的FPR高于15%。

根據圖6中PCC方法的平均ROC曲線，曲線下面積為0.855，可以推斷在TPR為60-65%時，假陽性率會顯著增加。因此，我們選擇3.70倍標準差的保守閾值來降低假陽性率。不同日志之間的理想閾值差別很大，因此我們嘗試了全部最高閾值以選擇這個保守閾值。PCC方法的平均真陽性率為59.81%，標準差為7.54%，平均假陽性率為4.70%，標準差為3.31%。真陽性率最低為43.14%，最高為72.06%。由于采用了保守的閾值，除3種事件日志外，其余日志的假陽性率均低于10%，最低為0.00%，最高為13.95%。

圖6顯示了PCC方法比聚類法獲得了更低TRP。然而，PCC方法的FPR的增長速度要比HDBSCAN法快很多，在較高的真陽性率(TPRs)下，PCC無法正確區分良性記錄和惡意記錄。因此，PCC方法的檢測能力較差。

綜上所述，基于HDBSCAN的聚類能夠獲得更高的TPR，但這必然會以更多的假陽性分類為代價。然而，由于大多數被檢查事件日志的FPR小于15%，平均FPR為8.29%，HDNSCAN聚類仍然具有很強的檢測性能。

4 總結

隨著攻擊方式的不斷進化，入侵檢測工作的難度越來越大。為了提高對APT攻擊行為的檢測，本文將檢測任務部署到擁有細粒度Windows事件日志的員工計算機中，并且本文實驗證明了基于單計算機的Windows安全事件日志能夠用來進行異常檢測。本文關注的視角是攻擊者已經繞過了位于企業網絡邊界的防火墻等安防設備，旨在尋找一種方法檢測已經在企業內網中駐留的入侵行為。入侵檢測一項艱巨的任務，正如火眼公司報告所言，攻擊者在受害者網絡中的平均存活時間是101天[4]。本文希望提出一種性能更強的檢測方法來彌補這一差距。