◆武宗濤 趙 進 葉 忠

（海軍計算技術(shù)研究所 北京 100841）

基于基線的APT檢測分析平臺研究與設(shè)計

◆武宗濤 趙 進 葉 忠

（海軍計算技術(shù)研究所 北京 100841）

為了彌補傳統(tǒng)安全防護措施在防范APT（高級持續(xù)性威脅）方面的不足，本文結(jié)合APT的特點，運用社會工程學(xué)，從用戶行為和網(wǎng)絡(luò)流量兩方面內(nèi)容提出了一種基于基線的APT檢測分析平臺的設(shè)計，實現(xiàn)對APT的深度檢測、追溯、印證，加強安全防護“內(nèi)控”。

高級持續(xù)性威脅APT；用戶行為基線；網(wǎng)絡(luò)流量基線

0 前言

APT（Advanced Persistent Threat），即高級持續(xù)性威脅，主要是指在各類攻擊技術(shù)基礎(chǔ)上結(jié)合社會工程學(xué)實現(xiàn)的復(fù)雜性攻擊，具有長期性、潛伏性等特征[1]。

傳統(tǒng)攻擊一般為非持續(xù)性攻擊，比如當目標無可利用漏洞和方法，攻擊無法進行，攻擊者會結(jié)束攻擊。與傳統(tǒng)攻擊淺嘗輒止、遇挫則止不同，APT攻擊采取隱藏和靜待的方式等待可再次攻擊的時機，其隱藏時間可達數(shù)年之久。APT攻擊的這些特性足以說明APT攻擊具備較強的針對性，一旦實施成功，產(chǎn)生的影響和后果要比一般傳統(tǒng)攻擊更為嚴重。同時，APT攻擊者實施的大部分攻擊并非針對計算機系統(tǒng)，而是人。人性的弱點從人類文明以來總是固有的，如釣魚、欺騙等，最終導(dǎo)致的結(jié)果就是，系統(tǒng)的淪陷，數(shù)據(jù)的失竊。

目前已發(fā)生了大批量的APT攻擊成功案例：2010年，Google極光攻擊導(dǎo)致Google網(wǎng)絡(luò)被滲透數(shù)月，并且造成大量數(shù)據(jù)被竊取。同年，在攻擊伊朗的Olympic Games網(wǎng)絡(luò)攻擊行動中，美國已開始對APT攻擊方法進行實戰(zhàn)驗證。2011年，國際安全廠商RSA、洛克希德馬丁等美國國防承包商、伊朗核工業(yè)、三菱重工軍工企業(yè)、美國政府、聯(lián)合國、韓國SK集團等陸續(xù)發(fā)現(xiàn)遭受APT攻擊，發(fā)現(xiàn)時已遭受了長期的資料竊取等破壞活動[2]。

目前，我國面臨的新型攻擊威脅的形勢還是比較嚴峻的[3]。利用“火焰”病毒、“高斯”病毒、“紅色十月”病毒等實施的APT活動頻現(xiàn)，對國家和企業(yè)的數(shù)據(jù)安全造成嚴重威脅。

在深入調(diào)研了大量的國內(nèi)外APT攻擊原理、特征、APT相關(guān)檢測防范技術(shù)和產(chǎn)品后，本文提出了一種基于基線的APT檢測分析平臺的研究和設(shè)計。平臺結(jié)合APT攻擊的階段性特點，運用社會工程學(xué)，監(jiān)測內(nèi)部異常行為、惡意行為的發(fā)生，實現(xiàn)對APT的深度追溯、印證，從而加強安全防護的“內(nèi)控”[4]，對現(xiàn)有安全防護體系形成有力的補充和完善。

1 基于基線的APT檢測分析平臺設(shè)計理念

基于基線的APT檢測分析平臺設(shè)計理念包括以下三點：

（1）APT行為模式會明顯偏離用戶的正常行為或習(xí)慣行為；

（2）APT攻擊發(fā)生后，在數(shù)據(jù)獲取過程中網(wǎng)絡(luò)流量比正常流量高一個數(shù)量級，且持續(xù)較長時間；

（3）任何攻擊行為（包括APT）都是通過網(wǎng)絡(luò)通信來進行攻擊，必然存在通信特定的數(shù)據(jù)包，即使模擬正常端口進行正常通信，也有跡可循[5]。

2 基于基線的APT檢測分析平臺設(shè)計

基于基線的APT檢測分析平臺主要由數(shù)據(jù)采集、數(shù)據(jù)分析、前臺交互三部分組成，如圖1所示。

圖1 基于基線的APT檢測分析平臺架構(gòu)

2.1 數(shù)據(jù)采集

前端數(shù)據(jù)采集主要分為主機日志采集、網(wǎng)絡(luò)流量采集、安全設(shè)備日志采集、網(wǎng)絡(luò)設(shè)備日志采集、應(yīng)用系統(tǒng)日志采集五個部分。

2.1.1 主機日志采集

主機日志采集主要通過主機日志代理，實現(xiàn)從終端、服務(wù)器等對象上收集主機日志，經(jīng)過解析、歸一化等處理后，提煉出用戶操作行為，供后臺用戶行為基線挖掘、匹配。

2.1.2 網(wǎng)絡(luò)流量采集

網(wǎng)絡(luò)流量采集通過鏡像核心交換機的流量，實現(xiàn)對網(wǎng)絡(luò)流量的高效采集，提取出通信會話、傳送的郵件/文件，供后臺實施異常流量分析、可疑會話檢測、惡意文件分析。

2.1.3 安全設(shè)備日志采集

安全設(shè)備日志采集主要實現(xiàn)從防火墻、入侵檢測設(shè)備、漏洞掃描設(shè)備等安全設(shè)備上實時收集安全日志，經(jīng)過解析、歸一化等處理后，供后臺進行APT追溯、印證。

2.1.4 網(wǎng)絡(luò)設(shè)備日志采集

網(wǎng)絡(luò)設(shè)備日志采集主要實現(xiàn)從交換機、路由器等網(wǎng)絡(luò)設(shè)備上實時收集日志，經(jīng)過解析、歸一化等處理后，供后臺進行APT追溯、印證。

2.1.5 應(yīng)用系統(tǒng)日志采集

應(yīng)用系統(tǒng)日志采集主要實現(xiàn)從各類應(yīng)用系統(tǒng)采集應(yīng)用日志，經(jīng)過解析、歸一化等處理后，提煉出用戶操作行為，供后臺用戶行為基線挖掘、匹配。

2.2 數(shù)據(jù)分析

數(shù)據(jù)分析主要分為實時分析和離線分析兩部分。

離線分析主要實現(xiàn)基線挖掘，包括用戶行為基線挖掘和網(wǎng)絡(luò)流量基線挖掘。

實時分析主要對用戶行為日志以及流量信息進行實時匹配處理，實現(xiàn)用戶行為分析、異常流量分析、可疑會話檢測、惡意文件分析。

2.2.1 用戶行為分析

用戶行為分析包括基于基線的用戶行為分析和基于規(guī)則的用戶違規(guī)行為分析。用戶行為基線主要從用戶行為歷史數(shù)據(jù)中進行提取和分析，采用統(tǒng)計分析和頻繁項分析的方法，挖掘出用戶在不同時間段、不同應(yīng)用系統(tǒng)的行為模式、行為基線，為用戶行為分析提供檢測、分析的標準和依據(jù)。

（1）基于基線的用戶行為分析

針對APT更多地利用人性的弱點，同樣結(jié)合社會工程學(xué)，基于用戶行為基線（反映用戶正常行為習(xí)慣模式），對實時上報的用戶行為日志進行實時匹配，發(fā)現(xiàn)用戶明顯偏離正常行為或習(xí)慣行為的活動，并形成異常告警。其中，用戶行為日志主要從主機日志、應(yīng)用系統(tǒng)日志等日志信息中進行提取和分析。

（2）基于規(guī)則的違規(guī)行為分析

采用傳統(tǒng)分析思路，根據(jù)實際業(yè)務(wù)需求，構(gòu)造黑名單、白名單等規(guī)則庫，對用戶行為日志進行實時匹配，實現(xiàn)對用戶違規(guī)行為的檢測，并形成異常告警。

2.2.2 異常流量分析

異常流量分析包括基于基線的異常流量分析和基于規(guī)則的違規(guī)行為分析。

（1）基于基線的異常流量分析

基于基線的匹配分析的依據(jù)：在沒有攻擊或者攻擊很短的時間內(nèi)網(wǎng)絡(luò)流量沒有特別大的改變；在APT攻擊發(fā)生后，數(shù)據(jù)獲取過程中數(shù)據(jù)流量比正常流量高一個數(shù)量級，且持續(xù)較長一段時間。

因此，針對APT攻擊中隱蔽傳輸、加密傳輸、未知協(xié)議傳輸?shù)葐栴}，基于基線的匹配分析重點監(jiān)測數(shù)據(jù)回傳階段的流量變化，從而檢測出未知攻擊。APT攻擊隱蔽的越好、越猖狂，要獲取的數(shù)據(jù)量越多，流量變化越大。

基于網(wǎng)絡(luò)流量基線（即網(wǎng)絡(luò)正常行為模式，包括固定時間段的正常流量大小、正常目的IP離散度、正常協(xié)議分布等），通過分析流量對于正常行為模式的偏離而識別存在攻擊行為，并形成異常告警，如某一時刻網(wǎng)絡(luò)流量大幅偏離正常流量或目的IP聚合，則可能存在攻擊行為，又如某一端口持續(xù)數(shù)月和某一固定的IP存在不間斷流量的回傳等。

（2）基于規(guī)則的違規(guī)行為分析

采用傳統(tǒng)分析思路，構(gòu)造黑名單、白名單等規(guī)則庫，對網(wǎng)絡(luò)流量屬性進行實時匹配，實現(xiàn)對違規(guī)行為的檢測，并形成異常告警。

2.2.3 可疑會話檢測

可疑會話檢測的依據(jù)：任何攻擊行為都是通過網(wǎng)絡(luò)通信來進行攻擊，必然存在通信特定的數(shù)據(jù)包；即使模擬正常端口進行正常通信，也有跡可循。

可疑會話檢測，通過分析從流量中提取的會話，不僅能檢測已知木馬，還能檢測出隱蔽性較強的未知攻擊木馬。

可疑會話檢測內(nèi)容主要如表1。

表1 可疑會話檢測的內(nèi)容

2.2.4 惡意文件分析

惡意文件分析支持靜態(tài)檢測和動態(tài)監(jiān)控。

（1）靜態(tài)檢測

利用殺毒軟件進行文件查殺，對Office、PDF、CHM、HLP、視頻、Flash、圖片等多種格式的文件進行分析。

（2）動態(tài)監(jiān)控

通過虛擬平臺執(zhí)行，對多操作系統(tǒng)、多瀏覽器環(huán)境進行模擬，實現(xiàn)對抗虛擬機檢測、多種壓縮格式檢測，對多種格式的文檔進行溢出檢測、shellcode分析。

2.2.5 基線挖掘

基線挖掘分為用戶行為基線挖掘和網(wǎng)絡(luò)流量基線挖掘。

（1）用戶行為基線挖掘

基于統(tǒng)計學(xué)和機器學(xué)習(xí)的技術(shù)，對海量用戶歷史行為記錄進行挖掘分析，形成用戶行為基線，比如用戶長期使用的服務(wù)、服務(wù)每天的訪問頻度、訪問習(xí)慣、正常流入流出流量大小、基于長期統(tǒng)計的CPU負載和內(nèi)存占用等。

（2）網(wǎng)絡(luò)流量基線挖掘

基于統(tǒng)計學(xué)和機器學(xué)習(xí)的技術(shù)，對海量歷史網(wǎng)絡(luò)流量記錄進行挖掘分析，形成網(wǎng)絡(luò)流量基線，比如固定時間段正常流量大小、正常目的IP離散度、正常協(xié)議分布、正常數(shù)據(jù)包大小等。

2.3 前臺交互

前臺交互主要向用戶提供操作管理、態(tài)勢呈現(xiàn)等功能接口，包括安全態(tài)勢、異常告警、APT溯源、審計印證、策略管理和系統(tǒng)管理等。

2.3.1 安全態(tài)勢

構(gòu)建安全態(tài)勢量化指標體系，基于后臺數(shù)據(jù)分析結(jié)果，融合、評估形成全局安全態(tài)勢，支持根據(jù)APT溯源結(jié)果展示APT攻擊軌跡以及網(wǎng)絡(luò)弱點分布，并以豐富的形式呈現(xiàn)給用戶。

2.3.2 異常告警

對后臺數(shù)據(jù)分析產(chǎn)生的APT行為、用戶異常行為、網(wǎng)絡(luò)異常行為、違規(guī)行為等告警進行統(tǒng)一展示。

2.3.3 溯源印證

對APT行為進行深度追溯，挖掘所有相關(guān)用戶行為記錄和網(wǎng)絡(luò)流量記錄，提供給專業(yè)人員進行人工分析印證，從而輔助定位APT行為來源、過程、影響。

2.3.4 策略管理

為用戶提供各類規(guī)則的配置接口，包括主機日志采集策略、流量采集策略、黑名單規(guī)則、白名單規(guī)則、基線挖掘參數(shù)等。

2.3.5系統(tǒng)管理

提供APT檢測分析平臺的參數(shù)配置、用戶管理、權(quán)限管理等功能，并實現(xiàn)平臺運行狀態(tài)監(jiān)控、系統(tǒng)日志記錄等功能。

3 基于基線的APT檢測分析平臺實現(xiàn)與驗證

基于基線的APT檢測分析平臺分為硬件和軟件兩部分，具體部署模式如圖2所示。

圖2 基于基線的APT檢測分析平臺部署模式

硬件部分主要為流量探針，負責(zé)采集網(wǎng)絡(luò)流量，旁路部署于核心交換機上。軟件部分分為主機日志代理和APT檢測分析后臺軟件。主機日志代理部署于終端、服務(wù)器等監(jiān)控對象上，采集主機日志，發(fā)送至APT檢測分析平臺后臺進行處理；APT檢測分析后臺軟件部署于高性能服務(wù)器上，對主機日志、流量信息、安全設(shè)備日志、網(wǎng)絡(luò)設(shè)備日志、應(yīng)用系統(tǒng)日志進行實時分析和挖掘分析，以及對流量探針和主機日志代理的統(tǒng)一管理。

4 結(jié)論

本文對基于基線的APT檢測分析平臺進行了設(shè)計與實現(xiàn)，通過離線挖掘形成用戶行為基線和網(wǎng)絡(luò)流量基線，有效監(jiān)測APT行為在不同方面表現(xiàn)出的異常，探索安全保障方式從規(guī)則判斷到異常發(fā)現(xiàn)、由靜到動、由單點到整體、由被動變主動方式的轉(zhuǎn)變。我們下一步的研究工作是，結(jié)合大數(shù)據(jù)分析技術(shù)和平臺，實現(xiàn)對海量數(shù)據(jù)的高效實時分析、離線挖掘，提升基于基線的APT檢測分析平臺在大規(guī)模網(wǎng)絡(luò)中應(yīng)用的實用性。

[1]杜躍進，翟立東，李躍，賈召鵬.一種應(yīng)對APT攻擊的安全架構(gòu)：異常發(fā)現(xiàn)[J].計算機研究與發(fā)展，2014.

[2]楊軍，石永.APT攻擊技術(shù)及其安全防護研究[C]. Proceedings of 2012 International Conference on Earth Science and Remote Sensing(ESRS 2012)，2012.

[3]國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2014年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[EB/OL]. http://www.cert.org.cn/pu blish/main/46/2015/20150601155121202938498.html，2015/2015.

[4]石波，王紅艷，郭旭東.基于業(yè)務(wù)白名單的異常違規(guī)行為監(jiān)測研究[C].信息網(wǎng)絡(luò)安全，2015.

[5]唐勇.基于網(wǎng)絡(luò)的攻擊特征自動提取技術(shù)研究[D].國防科學(xué)技術(shù)大學(xué)，2008.