李艷斐 李斯祺

摘 要：高級(jí)持續(xù)性威脅（簡(jiǎn)稱APT）是目前面臨的最嚴(yán)重的安全威脅，在整個(gè)攻擊過程中，攻擊者會(huì)投入大量的人力、財(cái)力以及時(shí)間，同時(shí)還會(huì)運(yùn)用社工以及大量的0day，執(zhí)行目的明確地針對(duì)型攻擊，尤其是利用惡意代碼，建立加密控制通道，竊取或篡改關(guān)鍵數(shù)據(jù)。如果被攻擊者不具備實(shí)時(shí)檢測(cè)與防御的能力，一旦業(yè)務(wù)系統(tǒng)被成功入侵，將遭受非常嚴(yán)重的經(jīng)濟(jì)和業(yè)務(wù)損失。論文闡述了APT攻擊的典型特點(diǎn)和生命周期，以及對(duì)企業(yè)和組織可能造成的威脅，介紹了APT常見的攻擊渠道和技術(shù)環(huán)節(jié)，以及抵御APT攻擊面臨的技術(shù)難題和挑戰(zhàn)。為解決這些問題，提出了基于下一代SIEM（安全信息和事件管理）的APT檢測(cè)與防御體系，將所有安全設(shè)備、終端和應(yīng)用中的日志事件和網(wǎng)絡(luò)流數(shù)據(jù)整合起來，實(shí)施規(guī)范化和關(guān)聯(lián)處理，識(shí)別APT攻擊特征，從而實(shí)時(shí)檢測(cè)和抵御APT攻擊，保障業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全，降低業(yè)務(wù)數(shù)據(jù)被盜取和篡改的風(fēng)險(xiǎn)。

關(guān)鍵詞：APT攻擊；下一代SIEM；分層防御；端到端策略；動(dòng)態(tài)數(shù)據(jù)模型

中圖分類號(hào)：TP393.0 文獻(xiàn)標(biāo)識(shí)碼：J

Abstract： Nowadays， Advanced Persistent Threat is the most serious security threat. In APT attacks， attackers will invest a lot of manpower， financial resources and time. At the same time， they will use social engineering methods and a large number of zero-day vulnerability attacks， which aims specifically at targeted attacks， especially using malicious code and establishing an encrypted control channel， stealing or tampering key data. If the attacked targets does not have the ability of real-time attack detection and defense， once the business system is successfully intruded， it will suffer very serious economic and business losses. This paper describes the typical characteristics and life cycle of APT attacks， as well as the possible threats to enterprises and organizations， and introduces the common attack channels and technical links of APT， as well as the technical difficulties and challenges in resisting APT attacks. To solve the above problems， an APT detection and defense system based on next generation SIEM （Security Information and Event Management） is proposed， which integrates log events and network flow data of all security devices， terminals and applications， to implement normalization and association processing. Finally the characteristics of APT attacks need to be identified， which can help detecting and resisting APT attacks in real time to ensure the network Security of business systems， and reducing the risk of theft and tampering of business data.

Key words： APT attack； next generation SIEM； layered defense； end-to-end policy； dynamic data model.

1 引言

由于網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻，越來越多的商業(yè)組織和政府機(jī)構(gòu)成為APT攻擊的目標(biāo)，其中包括教育、金融、科技、航空航天、電力、化工、電信、醫(yī)藥和咨詢機(jī)構(gòu)等行業(yè)，雖然這些被攻擊目標(biāo)通常都已安裝防御和檢測(cè)系統(tǒng)，用于提升安全防護(hù)能力，但依然遭受APT攻擊的持續(xù)威脅，部分攻擊可能持續(xù)數(shù)月未被發(fā)現(xiàn)，從而造成其業(yè)務(wù)能力急劇下降[1]。

為了解決上述普遍存在的APT攻擊問題，本文重點(diǎn)闡明APT的核心攻擊環(huán)節(jié)以及有效防御技術(shù)，提出一種基于下一代SIEM技術(shù)的APT攻擊檢測(cè)與防御體系，能夠?qū)崟r(shí)檢測(cè)APT攻擊并及時(shí)做出響應(yīng)，從而真正提升重要業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力。

2 APT定義及特點(diǎn)

APT，全稱高級(jí)持續(xù)性威脅，通過長(zhǎng)期潛伏找到有價(jià)值的特定目標(biāo)，利用網(wǎng)絡(luò)中存在的應(yīng)用程序漏洞，發(fā)起持續(xù)性網(wǎng)絡(luò)攻擊，通過滲透到系統(tǒng)中的關(guān)鍵基礎(chǔ)設(shè)施，建立并維持隱蔽的控制通道，從中竊取核心資料或篡改數(shù)據(jù)。它不同于所有的安全漏洞，主要特點(diǎn)描述有三點(diǎn)。

潛伏性：攻擊者通常在目標(biāo)網(wǎng)絡(luò)中進(jìn)行數(shù)月甚至一年以上的潛伏，大量收集用戶業(yè)務(wù)流程和目標(biāo)系統(tǒng)的精確信息，徹底掌握攻擊目標(biāo)的情況。

針對(duì)性：在徹底掌握目標(biāo)的精確信息后，尋找軟件漏洞，構(gòu)造專門代碼，對(duì)鎖定的目標(biāo)發(fā)送惡意鏈接、郵件等程序，攻擊時(shí)只針對(duì)一個(gè)目標(biāo)，避免大量散播引起注意。

持續(xù)性：在不被察覺的情況下，攻擊者會(huì)不斷嘗試各種攻擊手段，甚至被阻斷后，還會(huì)采用全新的方式再次發(fā)起攻擊，因此有些攻擊長(zhǎng)達(dá)數(shù)年之久。

3 APT攻擊的核心環(huán)節(jié)

典型的APT生命周期主要分為五個(gè)階段[2]：定向情報(bào)收集、單點(diǎn)攻擊突破、控制通道構(gòu)建、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳。

定向情報(bào)收集：攻擊者有針對(duì)性地搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息，目的是為了解線上服務(wù)器分布情況、業(yè)務(wù)系統(tǒng)運(yùn)行狀況，以及定位具有訪問數(shù)據(jù)資源權(quán)限的重要角色或者只是能夠作為跳板的其他角色等。

單點(diǎn)攻擊突破：攻擊者在收集了足夠的情報(bào)信息之后，開始采用惡意代碼、漏洞攻擊等方式攻擊組織目標(biāo)的終端設(shè)備，常見的攻擊方法包括兩種。第一種利用個(gè)人漏洞的社會(huì)工程學(xué)[3]是啟動(dòng)目標(biāo)網(wǎng)絡(luò)有效感染的最重要手段之一，也是訪問核心資源的最常用方法。攻擊者會(huì)向目標(biāo)公司的員工發(fā)送郵件，誘騙其打開惡意附件，投送其惡意代碼。第二種最有效的APT攻擊類型是0day攻擊，即利用常見的系統(tǒng)未知漏洞。攻擊者在目標(biāo)公司的員工經(jīng)常訪問的網(wǎng)站上放置網(wǎng)頁(yè)木馬，當(dāng)員工訪問該網(wǎng)站鏈接時(shí)，將惡意代碼下載并安裝到該員工的終端。

控制通道構(gòu)建：攻擊者在控制終端設(shè)備之后，會(huì)創(chuàng)建從被控終端到控制服務(wù)器之間的命令控制通道，以獲得進(jìn)一步攻擊指令，在維護(hù)該通道正常訪問的基礎(chǔ)上，還要不斷提升訪問權(quán)限，以獲取更多的系統(tǒng)操作權(quán)限，使攻擊行為不易被發(fā)現(xiàn)。

內(nèi)部橫向滲透：一般情況下，攻擊者會(huì)優(yōu)先攻陷員工終端，作為攻擊跳板，利用口令竊聽和漏洞攻擊等方法，在系統(tǒng)內(nèi)部進(jìn)行橫向滲透，以攻陷更多的終端和服務(wù)器，從而獲取組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器的控制權(quán)限。

數(shù)據(jù)收集上傳：攻擊者在攻擊過程中，會(huì)不斷將搜集到的各服務(wù)器上的重要數(shù)據(jù)資產(chǎn)，進(jìn)行壓縮、加密和打包，然后通過控制通道將數(shù)據(jù)回傳，如回傳成功，攻擊者將刪除系統(tǒng)中的全部入侵痕跡，以及任何可能識(shí)別攻擊源的記錄數(shù)據(jù)等。

4 APT攻擊檢測(cè)與防御體系研究

攻擊者通常會(huì)針對(duì)特定目標(biāo)創(chuàng)建一系列的攻擊鏈，即使是最有效的網(wǎng)絡(luò)安全手段，包括代理服務(wù)器、防火墻、VPN和防病毒軟件，也無法獨(dú)自抵御APT攻擊。根據(jù)OSI七層模型，沒有一個(gè)單獨(dú)的層可以防御APT，但它們的組合是一個(gè)非常有凝聚力的障礙[4]。因此，最有效的檢測(cè)和防御APT攻擊的方式是根據(jù)網(wǎng)絡(luò)層級(jí)中攻擊的核心技術(shù)環(huán)節(jié)進(jìn)行持續(xù)監(jiān)控，并建立一一對(duì)應(yīng)的抑制點(diǎn)。

4.1 APT攻擊分層模型

根據(jù)APT攻擊的典型特點(diǎn)和生命周期，對(duì)APT攻擊進(jìn)行建模分析[5-7]分兩層表示。

上層為APT攻擊鏈。由偵察、滲透、行動(dòng)和撤出組成。偵察階段包括主動(dòng)、被動(dòng)和半被動(dòng)三種方式；滲透階段主要包括社會(huì)工程學(xué)、水坑、接觸式和漏洞四種方式；行動(dòng)階段主要包括建立指揮控制、控制持久化、信息竊取、實(shí)施破壞和橫向移動(dòng)等一系列過程；撤出階段主要包括回傳敏感數(shù)據(jù)和刪除日志記錄等一系列過程。

下層為APT攻擊樹。在偵察階段中，攻擊者通常會(huì)利用端口掃描、操作系統(tǒng)掃描、漏洞掃描等方法進(jìn)行偵查；在滲透階段中，攻擊者通常會(huì)利用魚叉式網(wǎng)絡(luò)釣魚、社工字典攻擊、操作系統(tǒng)以及應(yīng)用系統(tǒng)漏洞攻擊；在行動(dòng)階段中，攻擊者通常會(huì)采用加密通信和隱蔽通信、放置后門及木馬程序、搜集各種信息等；在撤出階段中，攻擊者通常會(huì)進(jìn)行回傳路徑確定及日志信息銷毀工作。

從上述模型可以總結(jié)出 APT 攻擊主要依賴網(wǎng)絡(luò)結(jié)構(gòu)以及操作系統(tǒng)與應(yīng)用漏洞等關(guān)鍵信息實(shí)施攻擊。

4.2 檢測(cè)與防御體系

根據(jù)APT攻擊分層模型，任何APT攻擊都是基于對(duì)OSI協(xié)議棧上層或底層的攻擊，而且會(huì)在棧上多個(gè)層次尋找漏洞來實(shí)現(xiàn)攻擊的最終目的[8]。因此，APT攻擊檢測(cè)防御體系需要嚴(yán)格遵循縱深防御的安全理念，按照網(wǎng)絡(luò)安全的分層方法，采取措施在每一層中檢測(cè)威脅，對(duì)其做出反應(yīng)并消除威脅，如圖1所示，分別從物理層、網(wǎng)絡(luò)層、應(yīng)用層和數(shù)據(jù)層四個(gè)方面對(duì)APT攻擊進(jìn)行檢測(cè)和防御，以部署防護(hù)硬件和軟件探針的方式，在網(wǎng)絡(luò)結(jié)構(gòu)的不同層次監(jiān)控和生成安全事件，推送至下一代SIEM引擎進(jìn)行存儲(chǔ)檢索和關(guān)聯(lián)分析。

4.2.1 檢測(cè)與防御技術(shù)

首先，針對(duì)物理層，在網(wǎng)絡(luò)及終端設(shè)備上安裝防病毒軟件，用于掃描流經(jīng)網(wǎng)絡(luò)中各節(jié)點(diǎn)上的所有網(wǎng)絡(luò)數(shù)據(jù)包，以及壓縮和加密文件。

其次，針對(duì)網(wǎng)絡(luò)層，一方面在網(wǎng)絡(luò)邊界處部署網(wǎng)絡(luò)防火墻和入侵防御系統(tǒng)，前者用于檢測(cè)通過它的每一個(gè)數(shù)據(jù)包，決定這個(gè)數(shù)據(jù)包是允許進(jìn)入網(wǎng)絡(luò)還是將其阻止在外，后者深入監(jiān)控網(wǎng)絡(luò)流量和漏洞，尤其是在配置0day威脅最小化機(jī)制的前提下，可以完成基于異常統(tǒng)計(jì)和漏洞簽名的檢測(cè)。另一方面，在物理網(wǎng)絡(luò)層部署透明防火墻，根據(jù)攔截規(guī)則和默認(rèn)通過規(guī)則，判斷所有的數(shù)據(jù)包以決定數(shù)據(jù)包是否允許通過，如果這個(gè)數(shù)據(jù)包允許通過，就被轉(zhuǎn)發(fā)到其他網(wǎng)絡(luò)接口，可以限制內(nèi)部用戶訪問內(nèi)部的資源。

第三，在應(yīng)用層補(bǔ)充實(shí)現(xiàn)Web應(yīng)用防護(hù)、電子郵件保護(hù)、僵尸網(wǎng)絡(luò)檢測(cè)、沙箱檢測(cè)等高級(jí)防御功能，以保障應(yīng)用服務(wù)的安全運(yùn)行。

第四，在數(shù)據(jù)層，一方面對(duì)數(shù)據(jù)庫(kù)的用戶操作進(jìn)行審計(jì)，另一方面對(duì)內(nèi)部數(shù)據(jù)的流轉(zhuǎn)進(jìn)行審計(jì)。

通過對(duì)上述四個(gè)網(wǎng)絡(luò)層次的安全監(jiān)控，將主機(jī)活動(dòng)、網(wǎng)絡(luò)活動(dòng)、漏洞信息、資產(chǎn)信息、郵件活動(dòng)、數(shù)據(jù)活動(dòng)、賬號(hào)活動(dòng)等信息集中采集，并報(bào)送SIEM平臺(tái)進(jìn)行數(shù)據(jù)挖掘分析，一方面用于對(duì)整體網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行監(jiān)控，一方面用于發(fā)現(xiàn)網(wǎng)絡(luò)中更多未知的安全威脅，從而有效抵御APT攻擊。

4.2.2 下一代SIEM技術(shù)

安全信息與事件管理（簡(jiǎn)稱SIEM）是整個(gè)體系的核心，它負(fù)責(zé)從各種安全設(shè)備或軟件生成的數(shù)據(jù)源收集信息，持久化存儲(chǔ)信息，在不同事件之間關(guān)聯(lián)，創(chuàng)建關(guān)聯(lián)規(guī)則或警報(bào)，分析數(shù)據(jù)并使用可視化手段監(jiān)控?cái)?shù)據(jù)。

傳統(tǒng)的SIEM平臺(tái)普遍使用“日志歸一化”技術(shù)進(jìn)行日志關(guān)聯(lián)分析，這種靜態(tài)數(shù)據(jù)模型很難適配各種異構(gòu)日志，而且不論寬表設(shè)計(jì)的字段如何全面也難以百分百匹配全部日志，并且可能存在大量冗余空白字段，不利于數(shù)據(jù)分析和可視化展示。在新的技術(shù)體系下，下一代SIEM設(shè)計(jì)采用動(dòng)態(tài)數(shù)據(jù)模型的建模技術(shù)，利用Hive的Schema on read模式進(jìn)行數(shù)據(jù)存儲(chǔ)，收集到的各種異構(gòu)數(shù)據(jù)可不做任何處理直接存儲(chǔ)在分布式文件系統(tǒng)中，作為第一層原始數(shù)據(jù)存儲(chǔ)。在原始數(shù)據(jù)層之上建立模型存儲(chǔ)層，包括實(shí)體-關(guān)系-標(biāo)簽和相關(guān)算法的關(guān)聯(lián)數(shù)據(jù)模型。每個(gè)模型都是為了描述實(shí)體和關(guān)系的集合而構(gòu)建的，實(shí)體用于描述某個(gè)客觀的對(duì)象，如IP、域名、URL等，關(guān)系是表示對(duì)象和對(duì)象之間的聯(lián)系、事件、行為，一般對(duì)應(yīng)原始數(shù)據(jù)存儲(chǔ)層中的各種日志，如登錄成功、訪問域名、訪問URL、攻擊某個(gè)IP等。模型中的每個(gè)實(shí)體和關(guān)系都來自一個(gè)或多個(gè)日志中抽取的數(shù)據(jù)，模型能夠?qū)⒉煌臄?shù)據(jù)源聚合成一個(gè)邏輯視圖。

通過動(dòng)態(tài)數(shù)據(jù)建模技術(shù)，所有異構(gòu)數(shù)據(jù)通過一個(gè)關(guān)聯(lián)數(shù)據(jù)模型將其集成在一起，以實(shí)現(xiàn)利用一個(gè)線索擴(kuò)展調(diào)查整個(gè)事件。這個(gè)關(guān)聯(lián)數(shù)據(jù)模型不再是完全固定的，而是可以根據(jù)不同的場(chǎng)景和業(yè)務(wù)需求設(shè)定不同的關(guān)聯(lián)數(shù)據(jù)模型。最終建立起一個(gè)非常靈活和強(qiáng)有力的SIEM平臺(tái)，分析模型完全與底層數(shù)據(jù)解耦，并且實(shí)體關(guān)系是一種業(yè)務(wù)視角出發(fā)的數(shù)據(jù)建模方法，可以為平臺(tái)用戶提供一種以安全業(yè)務(wù)視角的數(shù)據(jù)發(fā)現(xiàn)、模型探索的工具，可以迅速的理解數(shù)據(jù)、應(yīng)用數(shù)據(jù)，并支撐安全分析模型的快速開發(fā)。

5 結(jié)束語

以上是基于下一代SIEM的APT檢測(cè)與防御體系的研究，雖然能夠從整體上提供一個(gè)可行的解決方案，但并不能夠?qū)z測(cè)與防御APT的全部手段和技術(shù)進(jìn)行列舉和介紹。APT防御手段還包括深度學(xué)習(xí)等技術(shù)，需要通過累積經(jīng)驗(yàn)進(jìn)行持續(xù)監(jiān)控、不斷適應(yīng)和學(xué)習(xí)。因此，還應(yīng)該考慮基于神經(jīng)網(wǎng)絡(luò)，分別從可擴(kuò)展的檢測(cè)器、主機(jī)分類監(jiān)控、攻擊源監(jiān)控、網(wǎng)絡(luò)流量監(jiān)控等方面，加強(qiáng)對(duì)企業(yè)內(nèi)部數(shù)據(jù)流轉(zhuǎn)的監(jiān)控，從而在正常的網(wǎng)絡(luò)流量中尋找異常行為。

總而言之，未來檢測(cè)和防御APT的研究工作需要深入了解網(wǎng)絡(luò)內(nèi)部各個(gè)安全點(diǎn)之間的綜合信息交換，加強(qiáng)硬件及軟件的安全配置，加強(qiáng)相關(guān)安全人員的安全意識(shí)和技術(shù)培訓(xùn)，對(duì)網(wǎng)絡(luò)流量及訪問行為進(jìn)行嚴(yán)格審計(jì)，制定更加詳細(xì)的攻擊應(yīng)對(duì)方案，并確保全面防護(hù)的高級(jí)預(yù)防和檢測(cè)。

參考文獻(xiàn)

[1] 崔翔，劉潮歌，程學(xué)旗.APT分析與大數(shù)據(jù)計(jì)算思考[J].中國(guó)信息安全， 2014（01）：102-104.

[2] 張瑜，潘小明，等.APT攻擊與防御[J].清華大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2017，57（11）：1127-1133.

[3] 吳少華，胡勇.社會(huì)工程在APT攻擊中的應(yīng)用與防御[J].信息安全與通信保密， 2014（10）：93-95+99.

[4] Rot A， Olszewski B. Advanced Persistent Threats Attacks in Cyberspace. Threats， Vulnerabilities， Methods of Protection[C]. Federated Conference on Computer Science and Information Systems. 2017：113-117.

[5] 譚韌，殷肖川，焦賢龍，廉哲，陳玉鑫.一種軟件定義APT攻擊移動(dòng)目標(biāo)防御網(wǎng)絡(luò)架構(gòu)[J].山東大學(xué)學(xué)報(bào)（理學(xué)版），2018，53（01）：38-45.

[6] 譚韌，殷肖川，廉哲，陳玉鑫.APT攻擊分層表示模型[J].計(jì)算機(jī)應(yīng)用， 2017，37（09）：2551-2556.

[7] 樊雷，余江明，雷英杰.面向APT攻擊的分層表示模型[J].計(jì)算機(jī)工程， 2018，44（08）：155-160.

[8] Jover R.P. Giura P.， How vulnerabilities in wireless networks can enable Advanced Persistent Threats， International Journal on Information Technology （IREIT），2013，（1）：145-151.

[9] 沈立君.APT攻擊威脅網(wǎng)絡(luò)安全的全面解析與防御探討[J].信息安全與技術(shù)， 2015，6（08）：66-70.