摘 要：網(wǎng)絡(luò)安全環(huán)境日趨復(fù)雜，攻擊溯源技術(shù)已成為現(xiàn)有安全體系的重要挑戰(zhàn)，威脅情報(bào)的出現(xiàn)，提供對(duì)攻擊源的數(shù)據(jù)支持，對(duì)可能出現(xiàn)的各種攻擊溯源?，F(xiàn)實(shí)中的網(wǎng)絡(luò)攻擊發(fā)起者，范圍非常廣泛，不僅有個(gè)人攻擊者，還有資源豐富的犯罪團(tuán)伙，甚至還包括代表國家利益的黑客團(tuán)隊(duì)。這些攻擊者往往是長期“潛伏”和“伺機(jī)而動(dòng)”，具有極高的目的性，他們使用各種技術(shù)和程序或破壞或中斷系統(tǒng)來進(jìn)行金融詐騙，竊取知識(shí)產(chǎn)權(quán)或敏感信息。

關(guān)鍵詞：威脅情報(bào)；攻擊溯源；APT；情報(bào)共享

引言

隨著網(wǎng)絡(luò)空間的規(guī)模幾何狀擴(kuò)張和復(fù)雜度的增加，針對(duì)網(wǎng)絡(luò)空間的攻擊與威脅也越來越多，網(wǎng)絡(luò)安全威脅已經(jīng)不再是簡單的病毒侵襲和黑客入侵兩個(gè)方面。攻擊溯源技術(shù)已成為現(xiàn)有安全體系的重要挑戰(zhàn)，威脅情報(bào)的出現(xiàn)，提供對(duì)攻擊源的數(shù)據(jù)支持，對(duì)可能出現(xiàn)的各種攻擊溯源。現(xiàn)實(shí)中的網(wǎng)絡(luò)攻擊發(fā)起者，范圍非常廣泛，不僅有個(gè)人攻擊者，還有資源豐富的犯罪團(tuán)伙，甚至還包括代表國家利益的黑客團(tuán)隊(duì)。這些攻擊者往往是長期“潛伏”和“伺機(jī)而動(dòng)”，具有極高的目的性，他們使用各種技術(shù)和程序或破壞或中斷系統(tǒng)來進(jìn)行金融詐騙，竊取知識(shí)產(chǎn)權(quán)或敏感信息。

近期在網(wǎng)絡(luò)安全領(lǐng)域興起以威脅情報(bào)為攻擊溯源的新觀念。Gartner公司對(duì)威脅情報(bào)做出的定義：“威脅情報(bào)是對(duì)資產(chǎn)存在威脅的行為或危險(xiǎn)的行為，并以證據(jù)為基礎(chǔ)的知識(shí)，包括環(huán)境，機(jī)制，影響和對(duì)策建議，以幫助解決威脅或危險(xiǎn)的決策?！焙唵蔚恼f，通?？梢詮腃ERT、防病毒公司，安全服務(wù)公司，非政府安全組織那里看安全預(yù)警公告，漏洞公告，威脅通知等，這些都是典型的安全威脅情報(bào)，共享使用威脅情報(bào)技術(shù)將成為攻擊溯源的重要手段。從來自各種渠道的威脅情報(bào)信息，我們不僅可以為多源數(shù)據(jù)的可追溯性攻擊提供了重要的支持，同時(shí)將攻擊溯源從威脅情報(bào)信息反饋至其他機(jī)構(gòu)和用戶共享，以檢測(cè)攻擊防護(hù)聯(lián)動(dòng)處置工作，提供準(zhǔn)確的決策支持，正逐漸成為業(yè)界的共識(shí)。網(wǎng)絡(luò)攻擊溯源雖然已取得了一些研究成果，但網(wǎng)絡(luò)的多樣性，復(fù)雜性，現(xiàn)有的技術(shù)仍然需要進(jìn)一步完善和整合。追蹤網(wǎng)絡(luò)攻擊溯源指利用各種手段來追蹤網(wǎng)絡(luò)攻擊的發(fā)動(dòng)者，隨著入侵者攻擊手段不斷升級(jí)，逃避追蹤可追溯性手段變得越來越靈活，例如匿名網(wǎng)絡(luò)，網(wǎng)絡(luò)跳板，僵尸網(wǎng)絡(luò)等方法在網(wǎng)絡(luò)攻擊中大量使用，這給了跟蹤追查工作帶來嚴(yán)峻的挑戰(zhàn)。傳統(tǒng)方法的攻擊溯源往往只是一個(gè)簡單的技術(shù)，只能獲取部分攻擊信息，無法獲得攻擊的完整鏈條，往往達(dá)不到實(shí)戰(zhàn)化效果。在攻擊溯源實(shí)際工作中，攻擊鏈一旦中斷，往往會(huì)導(dǎo)致前功盡棄，讓很多前期工作變得毫無價(jià)值和追溯性。

攻擊溯源方面早期研究主要集中在IP地址追蹤，包括基于主機(jī)IP的攻擊追溯和網(wǎng)絡(luò)追溯。主機(jī)IP追蹤的重點(diǎn)是主機(jī)認(rèn)證方面，通過其他渠道來源的身份驗(yàn)證機(jī)制來彌補(bǔ)依據(jù)不足的TCP/IP協(xié)議。美國總統(tǒng)奧巴馬于7月26日發(fā)布總統(tǒng)令：PPD-41，旨在建立一個(gè)全國性的網(wǎng)絡(luò)攻擊響應(yīng)鏈，并以附件的形式出臺(tái)了《美國網(wǎng)絡(luò)事故協(xié)作計(jì)劃》。我們可以從這個(gè)總統(tǒng)令看到在網(wǎng)絡(luò)安全中政府發(fā)揮著重要作用，政府不僅發(fā)揮協(xié)調(diào)的作用，還通過政府的領(lǐng)導(dǎo)和指揮，協(xié)調(diào)企業(yè)和民間力量，共同應(yīng)對(duì)網(wǎng)絡(luò)威脅。

安全威脅情報(bào)的意義是什么，我們?cè)撊绾蚊鎸?duì)？以往的設(shè)備和技術(shù)是基于非動(dòng)態(tài)機(jī)制，現(xiàn)在是動(dòng)態(tài)安全的時(shí)代，傳統(tǒng)的方法已經(jīng)難以應(yīng)對(duì)不斷變化和升級(jí)的攻擊手段。安全威脅情報(bào)正好是以動(dòng)態(tài)的手段來對(duì)抗攻擊者，威脅情報(bào)通過不斷被收集、補(bǔ)充、分析、改進(jìn)、再匯集形成一個(gè)閉環(huán)。同時(shí)，在不斷升級(jí)的新技術(shù)下，也產(chǎn)生新的威脅，如APT的出現(xiàn)、僵尸網(wǎng)絡(luò)、0day漏洞、惡意URL地址信息等，這些信息對(duì)網(wǎng)絡(luò)安全防御是非常有幫助的。2014年初，美國建立的網(wǎng)絡(luò)威脅情報(bào)整合中心，加強(qiáng)應(yīng)對(duì)網(wǎng)絡(luò)威脅，新設(shè)立的機(jī)構(gòu)和現(xiàn)有的網(wǎng)絡(luò)安全機(jī)構(gòu)是非常不同的，網(wǎng)絡(luò)威脅情報(bào)整合中心負(fù)責(zé)對(duì)各部門收集的情報(bào)分析，并為其他部門提供分析報(bào)告，由此我們可以看到網(wǎng)絡(luò)威脅情報(bào)在維護(hù)網(wǎng)絡(luò)安全的重要性。美國國家標(biāo)準(zhǔn)協(xié)會(huì)（NIST）對(duì)APT的定義是：掌握先進(jìn)的專業(yè)技術(shù)和有效資源，通過多種攻擊手段，以竊取機(jī)密信息，破壞系統(tǒng)程序或阻礙關(guān)鍵任務(wù)，或駐留在企業(yè)內(nèi)部網(wǎng)絡(luò)中發(fā)動(dòng)后續(xù)攻擊。我們可以把APT分開理解：

（1）A：高級(jí)。攻擊者往往掌握著一般攻擊者沒有的技術(shù)和資源，通過高級(jí)而復(fù)雜的技術(shù)，采用多種攻擊手段，動(dòng)態(tài)調(diào)整攻擊方式進(jìn)行攻擊。

（2）P：持久。攻擊者通過長期連續(xù)的滲透、監(jiān)控、采集、入侵步驟，入侵成功后會(huì)繼續(xù)駐留在網(wǎng)絡(luò)，等待執(zhí)行后續(xù)攻擊的機(jī)會(huì)來達(dá)到目的。

（3）T：危險(xiǎn)。攻擊者通常有雄厚的資金支持，黑客支持、技術(shù)支持等背景，以破壞和竊取大企業(yè)和國家的機(jī)密信息為目的，嚴(yán)重危害國家的安全利益和社會(huì)穩(wěn)定。

舉個(gè)例子：

某企業(yè)部署了一套網(wǎng)絡(luò)安全威脅態(tài)勢(shì)預(yù)警系統(tǒng)，有一天該系統(tǒng)中的某個(gè)終端異常請(qǐng)求被防火墻攔截了，防火墻將異常攔截?cái)?shù)據(jù)上傳到了安全威脅態(tài)勢(shì)預(yù)警系統(tǒng)，生成了威脅情報(bào)信息；安全威脅態(tài)勢(shì)預(yù)警系統(tǒng)將這個(gè)威脅情報(bào)信息下發(fā)到該網(wǎng)絡(luò)中所有的安全設(shè)備中，所有安全設(shè)備馬上進(jìn)行了排查，并將排查信息和相關(guān)日志匯集到了隔離分析系統(tǒng)，安全技術(shù)人員通過隔離分析系統(tǒng)系統(tǒng)對(duì)這個(gè)異常請(qǐng)求進(jìn)行了分析，發(fā)現(xiàn)是一起利用惡意軟件、惡意代碼、計(jì)算機(jī)病毒的攻擊行為，并通過安全威脅態(tài)勢(shì)預(yù)警系統(tǒng)完成了整個(gè)事件的溯源。溯源后制定了相應(yīng)安全規(guī)則，再下發(fā)到了其它終端安全設(shè)備和下一代防火墻中，所有設(shè)備協(xié)同聯(lián)動(dòng)阻斷了這起攻擊。

APT的先進(jìn)性和隱蔽性可以輕松穿透傳統(tǒng)安全防線，所以應(yīng)對(duì)高級(jí)威脅我們必須要依靠行為檢測(cè)進(jìn)行分析，提交可執(zhí)行和操作的分析結(jié)果，利用威脅情報(bào)可以對(duì)攻擊溯源提供一定的技術(shù)基礎(chǔ)，但其在實(shí)際應(yīng)用中的效果嚴(yán)重依賴于所獲得情報(bào)的數(shù)量和質(zhì)量。保證網(wǎng)絡(luò)的安全有效運(yùn)行需要先進(jìn)的技術(shù)和嚴(yán)格的管理制度和法律的威嚴(yán)相結(jié)合，這才是最佳安全策略，只有配套建立面向攻擊溯源的威脅情報(bào)共享機(jī)制才能確保獲得用于攻擊溯源的威脅情報(bào)信息，否則威脅情報(bào)共享技術(shù)也將成為鏡花水月。其次，攻擊溯源工作需要一個(gè)全方位的綜合威脅情報(bào)的支持和協(xié)調(diào)機(jī)制，需要跨部門的溝通。我國目前的威脅情報(bào)的機(jī)制缺乏部門之間的統(tǒng)一指揮機(jī)制，缺乏有效的溝通和協(xié)作，從而導(dǎo)致攻擊溯源威脅情報(bào)信息缺失、遺漏，不能完整的追溯。因此，建議由國家權(quán)威機(jī)構(gòu)對(duì)攻擊溯源信息共享與建設(shè)牽頭帶動(dòng)，逐步推進(jìn)和完善國家網(wǎng)絡(luò)安全威脅情報(bào)和態(tài)勢(shì)感知系統(tǒng)建設(shè)機(jī)制，全國性的網(wǎng)絡(luò)威脅情報(bào)資料庫。

參考文獻(xiàn)

[1]楊澤明，李強(qiáng)，劉俊榮，等.面向攻擊溯源的威脅情報(bào)共享利用研究[J].信息安全研究，2015（1）.

[2]郝堯，陳周國，蒲石，等.多源網(wǎng)絡(luò)攻擊追蹤溯源技術(shù)研究[J].通信技術(shù)，2013，46（12）.

[3]王青峰，范艷紅.網(wǎng)絡(luò)安全威脅態(tài)勢(shì)評(píng)估與分析技術(shù)研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（2）：128-129.

[4]林龍成，陳波，郭向民.傳統(tǒng)網(wǎng)絡(luò)安全防御面臨的新威脅：APT攻擊[J].信息安全與技術(shù)，2013，4（3）：20-25.

[5]云曉春.威脅情報(bào)助力互聯(lián)網(wǎng)應(yīng)急響應(yīng)[J].信息安全與通信保密，2015（10）：21-21.

[6]張磊，李維杰.美國《網(wǎng)絡(luò)威脅信息共享指南》摘要[J].中國信息安全，2015（6）：86-87.

[7]沈立君.APT攻擊威脅網(wǎng)絡(luò)安全的全面解析與防御探討[J].信息安全與技術(shù)，2015，6（8）：66-70.