劉科科，王丹輝，鄭學(xué)欣，郭 靜

(中國(guó)電子科學(xué)研究院，北京 100041)

0 引 言

APT(Advanced Persistent Threat，高級(jí)持續(xù)性威脅)，是指專門針對(duì)特定組織所作的復(fù)雜且多方位的高級(jí)滲透攻擊。它針對(duì)特定目標(biāo)及其關(guān)聯(lián)組織，通過(guò)從不同途徑進(jìn)行信息、資訊、消息的長(zhǎng)期搜集和監(jiān)控，并根據(jù)目標(biāo)的綜合防護(hù)能力進(jìn)行有針對(duì)性的對(duì)抗和穿透研究，持續(xù)不斷的從不同層次實(shí)施立體式攻擊滲透，最終達(dá)成對(duì)特定目標(biāo)的長(zhǎng)期性秘密控制、情報(bào)竊取、目標(biāo)摧毀等目的。高級(jí)持續(xù)性威脅潛伏期長(zhǎng)、隱蔽性強(qiáng)，且涉及層面眾多、關(guān)聯(lián)關(guān)系錯(cuò)綜復(fù)雜，針對(duì)傳統(tǒng)安全防御體系的新技術(shù)、新武器、新技戰(zhàn)法層出不窮，使得高級(jí)持續(xù)性威脅被感知和發(fā)現(xiàn)的難度極大[1]。因此，未來(lái)五到十年，開展APT攻擊行為的監(jiān)測(cè)預(yù)警將是我國(guó)網(wǎng)絡(luò)空間安全監(jiān)測(cè)預(yù)警的重點(diǎn)。

本文研究基于活動(dòng)行為特征關(guān)聯(lián)分析的APT攻擊行為檢測(cè)方法，提出了一種APT攻擊行為檢測(cè)模型，將其應(yīng)用于APT攻擊檢測(cè)系統(tǒng)設(shè)計(jì)并進(jìn)行了有效性測(cè)試。

本文結(jié)構(gòu)如下，第一章對(duì)現(xiàn)有APT攻擊防御思路進(jìn)行分析，第二章提出了一種基于活動(dòng)行為特征關(guān)聯(lián)分析的APT攻擊行為檢測(cè)方法，第三章進(jìn)行實(shí)驗(yàn)設(shè)計(jì)與分析，第四章全文總結(jié)。

1 APT攻擊檢測(cè)方法現(xiàn)狀分析

從2009年的極光行動(dòng)起，到近年來(lái)較為著名的超級(jí)工廠病毒攻擊(2010年)、夜龍攻擊(2011年)、蔓靈花行動(dòng)(2016年)、MONSOON事件(2016年)等，APT攻擊事件不斷涌現(xiàn)。通過(guò)對(duì)各類APT攻擊案例的過(guò)程回放和分析，可以看到APT攻擊的主要特性是通過(guò)特種木馬長(zhǎng)期潛伏在系統(tǒng)內(nèi)部，盜取系統(tǒng)核心數(shù)據(jù)，并在特定時(shí)刻對(duì)系統(tǒng)內(nèi)信息系統(tǒng)造成巨大破壞。概括來(lái)說(shuō)，APT攻擊主要具備極強(qiáng)的隱蔽性和針對(duì)性、攻擊手段豐富、潛伏時(shí)間長(zhǎng)、攻擊行為特征難以提取等特征[2-3]。

關(guān)于APT攻擊的檢測(cè)方法是目前網(wǎng)絡(luò)安全界的技術(shù)研究熱點(diǎn)之一。針對(duì)APT攻擊的特點(diǎn)，不同安全廠商、研究機(jī)構(gòu)提出了幾種防御思路[4]，其優(yōu)缺點(diǎn)具體如下：

(1)惡意代碼檢測(cè)類方案：該類方案主要覆蓋APT攻擊過(guò)程中的單點(diǎn)攻擊突破階段，用于檢測(cè)APT攻擊過(guò)程中的惡意代碼傳播過(guò)程。大多數(shù)APT攻擊都是通過(guò)惡意代碼來(lái)攻擊目標(biāo)用戶的個(gè)人電腦，從而突破目標(biāo)網(wǎng)絡(luò)和系統(tǒng)防御措施的，因此，惡意代碼檢測(cè)對(duì)于檢測(cè)和防御APT攻擊至關(guān)重要。該方案的最大不足之處在于經(jīng)過(guò)網(wǎng)絡(luò)的惡意代碼數(shù)量眾多，系統(tǒng)需要耗費(fèi)大量的資源進(jìn)行傳統(tǒng)病毒查殺分析，同時(shí)觸發(fā)的告警信息需要消耗過(guò)多運(yùn)維人力來(lái)進(jìn)行威脅分析。

(2)主機(jī)應(yīng)用保護(hù)類方案：該類方案主要覆蓋APT攻擊過(guò)程中的單點(diǎn)攻擊突破和數(shù)據(jù)收集上傳階段。不管何種惡意代碼必須在用戶主機(jī)終端上執(zhí)行才能控制主機(jī)終端乃至整個(gè)網(wǎng)絡(luò)，因此，如果能夠加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施，則可以有效防御APT攻擊。該方案需要針對(duì)不同主機(jī)進(jìn)行安裝部署，由于防護(hù)產(chǎn)品還可能導(dǎo)致主機(jī)系統(tǒng)的一些應(yīng)用異常，所以該方案的實(shí)用性還需要進(jìn)一步探討。

(3)網(wǎng)絡(luò)入侵檢測(cè)類方案：該類方案主要覆蓋APT攻擊過(guò)程中的控制通道構(gòu)建階段，通過(guò)在網(wǎng)絡(luò)邊界處部署入侵檢測(cè)系統(tǒng)來(lái)檢測(cè)APT攻擊的命令和控制通道。雖然APT攻擊所使用的惡意代碼變種多且升級(jí)頻繁，但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化，因此可以采用傳統(tǒng)入侵檢測(cè)方法來(lái)檢測(cè)APT的命令控制通道。該方案的難點(diǎn)是如何及時(shí)獲取到各APT攻擊手法的命令控制通道的檢測(cè)特征。

(4)基于蜜罐的APT檢測(cè)方案：蜜罐監(jiān)測(cè)技術(shù)是一種古老同時(shí)又新穎的安全防御技術(shù)，隨著網(wǎng)絡(luò)虛擬化和服務(wù)器虛擬化技術(shù)的發(fā)展，利用虛擬化技術(shù)構(gòu)建高交互式蜜罐與低交互式相結(jié)合的蜜罐成為有效防御APT攻擊的一種方式。這種方案的優(yōu)勢(shì)在于能有效捕獲APT攻擊行為，但缺陷在于其對(duì)APT攻擊行為的分析和溯源定位還得依靠傳統(tǒng)的安全防御措施。

(5)大數(shù)據(jù)分析檢測(cè)類方案：該類方案并不重點(diǎn)檢測(cè)APT攻擊中的某個(gè)步驟，它覆蓋了整個(gè)APT攻擊過(guò)程。該類方案是一種網(wǎng)絡(luò)取證思路，通過(guò)全面采集和分析各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的數(shù)據(jù)，來(lái)還原整個(gè)APT攻擊場(chǎng)景。利用大數(shù)據(jù)來(lái)防御APT攻擊被行業(yè)內(nèi)認(rèn)為是一種創(chuàng)新的技術(shù)思路，但是如何具體利用大數(shù)據(jù)技術(shù)來(lái)進(jìn)行安全分析目前還有待進(jìn)一步探索研究。

2 基于活動(dòng)行為特征關(guān)聯(lián)分析的APT攻擊行為檢測(cè)方法研究

2.1 基于活動(dòng)行為特征關(guān)聯(lián)分析的APT攻擊行為檢測(cè)模型

基于幾種識(shí)別和防御APT攻擊方法的優(yōu)缺點(diǎn)，本文提出了一種基于活動(dòng)行為特征關(guān)聯(lián)分析的APT攻擊行為檢測(cè)模型。該模型將流量還原技術(shù)、虛擬化技術(shù)、智能沙箱技術(shù)、惡意代碼檢測(cè)技術(shù)和關(guān)聯(lián)分析技術(shù)相結(jié)合，實(shí)現(xiàn)對(duì)APT攻擊行為的多層次監(jiān)測(cè)。該模型的技術(shù)實(shí)現(xiàn)流程如圖1所示。

圖1 技術(shù)實(shí)現(xiàn)流程圖

在APT攻擊的整個(gè)生命周期中，惡意攻擊程序控制通信交互和入侵的網(wǎng)絡(luò)訪問(wèn)行為必然會(huì)在網(wǎng)絡(luò)中傳遞數(shù)據(jù)包，留下數(shù)據(jù)痕跡。因此，對(duì)APT攻擊行為的檢測(cè)可以從網(wǎng)絡(luò)流量入口分析入手，通過(guò)從網(wǎng)絡(luò)硬件接口緩存到應(yīng)用層的直接零拷貝，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量信息的高速采集和還原；將還原后的流量數(shù)據(jù)進(jìn)行活動(dòng)行為特征的實(shí)時(shí)提取入庫(kù)，與此同時(shí)，從惡意行為代碼感知、軟件安全漏洞感知、典型攻擊行為感知、綜合關(guān)聯(lián)分析四個(gè)方面進(jìn)行實(shí)時(shí)監(jiān)測(cè)，最終實(shí)現(xiàn)對(duì)APT攻擊行為的監(jiān)測(cè)預(yù)警。其中，對(duì)惡意代碼和軟件漏洞的深度檢測(cè)，主要實(shí)現(xiàn)對(duì)APT攻擊惡意代碼植入階段的分析預(yù)警；對(duì)典型滲透攻擊行為的感知，主要實(shí)現(xiàn)對(duì)APT攻擊惡意代碼潛伏和活躍階段的分析預(yù)警；基于規(guī)則庫(kù)和知識(shí)庫(kù)的綜合關(guān)聯(lián)分析，將通過(guò)對(duì)攻擊行為的規(guī)則關(guān)聯(lián)、模式匹配、統(tǒng)計(jì)分析，實(shí)現(xiàn)對(duì)APT攻擊行為的綜合分析研判。

2.2 APT攻擊中基于活動(dòng)行為特征的未知木馬檢測(cè)方法

在基于活動(dòng)行為特征關(guān)聯(lián)分析的APT攻擊行為檢測(cè)模型中，最為核心的也是難度最大的就是基于活動(dòng)行為特征的未知木馬檢測(cè)方法研究。由于每一種木馬除去固有的特征字或關(guān)鍵字外，都會(huì)有修改系統(tǒng)注冊(cè)表、終止進(jìn)程、修改圖標(biāo)等一系列行為動(dòng)作，通過(guò)對(duì)這些行為特征跟蹤、分析、提煉，能夠?qū)ふ页鲆欢ǖ囊?guī)律用于對(duì)未知木馬的檢測(cè)。木馬檢測(cè)的實(shí)質(zhì)是對(duì)被監(jiān)測(cè)的數(shù)據(jù)進(jìn)行分類判斷分析，看其是合法程序或是木馬。在整個(gè)基于活動(dòng)行為特征的木馬檢測(cè)過(guò)程中，最關(guān)鍵的是如何正確地劃分異常行為與正常行為。

基于活動(dòng)行為特征的未知木馬檢測(cè)方法主要包括兩大組件，一是木馬活動(dòng)行為特征庫(kù)及相對(duì)應(yīng)的合法行為特征庫(kù)，二是木馬與合法程序區(qū)分器。通過(guò)對(duì)木馬活動(dòng)行為的觀察、研究和總結(jié)，提取出木馬的共有行為形成木馬活動(dòng)行為特征，對(duì)比合法程序的正常行為特征，即可定義木馬活動(dòng)行為規(guī)則以及合法行為規(guī)則，構(gòu)建木馬活動(dòng)行為特征庫(kù)和合法行為特征庫(kù)。

由于木馬活動(dòng)行為特征庫(kù)中的這些行為在合法程序中比較罕見，通過(guò)設(shè)計(jì)合理的分類算法即可將木馬行為與合法程序進(jìn)行分類，我們利用模式識(shí)別領(lǐng)域中的支持向量機(jī)分類算法來(lái)進(jìn)行木馬與合法程序的區(qū)分。

2.2.1 相關(guān)理論

(1)互信息理論

互信息反映某一隨機(jī)變量所帶另一隨機(jī)變量的信息，通過(guò)特征及其所屬類別共同出現(xiàn)的頻率，度量特征和類別的相關(guān)性[5]。設(shè)兩個(gè)隨機(jī)變量x和y的概率密度分別為p(x)和p(y)，則y對(duì)x的互信息為：MI(x;y)=log(p(x|y)/p(x))。其中，p(x)為先驗(yàn)概率，p(x|y)為在事件y發(fā)生的情況下，事件x發(fā)生的概率。

(2)核函數(shù)

核函數(shù)[6]是構(gòu)造木馬與合法程序區(qū)分器的重要基礎(chǔ)，它的作用是將線性不可分的輸入向量從低維輸入空間映射到一個(gè)高維特征空間，使得線性不可分的輸入向量在高維空間中實(shí)現(xiàn)線性可分。常用的核函數(shù)包括：

a)線性核函數(shù)：H(x,y)=d；

b)多項(xiàng)式核函數(shù)：H(x,y)=(+1)d；

c)高斯核函數(shù)：H(x,y)=e-|x-y|2/2δ2；

d)signoid核函數(shù)：H(x,y)=tanh(ρ+c)。

2.2.2 優(yōu)化木馬活動(dòng)行為特征庫(kù)及相對(duì)應(yīng)的合法行為特征庫(kù)

根據(jù)木馬的生存特點(diǎn)，其生命周期可分為木馬植入、潛伏、活躍三個(gè)階段，不同的階段具有不同的行為特征。依據(jù)異常行為檢測(cè)項(xiàng)得到木馬活動(dòng)行為特征向量，以作為木馬活動(dòng)行為特征庫(kù)的素材[7]。相對(duì)應(yīng)地，統(tǒng)計(jì)合法程序在網(wǎng)絡(luò)通信、文件操作、注冊(cè)表操作等方面的活動(dòng)行為特征，以作為與木馬活動(dòng)行為對(duì)應(yīng)的合法行為特征庫(kù)的素材。

為了提高木馬與合法程序區(qū)分器的區(qū)分效率，本文使用基于互信息的特征選擇算法篩選出對(duì)分類結(jié)果有效的特征，減少特征庫(kù)中特征向量的維數(shù)?；バ畔⑻卣鬟x擇法[8]使用互信息來(lái)衡量某個(gè)特征和特定類別的相關(guān)性，如果信息量越大，那么特征和這個(gè)類別的相關(guān)性越大，因此可以將每一個(gè)特征的互信息值從高到低排列，優(yōu)先選擇相關(guān)性較大的特征項(xiàng)[9,10]。

設(shè)t表示木馬或合法程序提取出來(lái)的特征，c1表示木馬程序類，c2表示合法程序類，則類別ci(i=1,2)對(duì)于特征t的互信息值為：

MI(t;ci)=log(p(t|ci)/p(t))=

log(p(t,ci)/(p(t)×p(ci))。

其中，p(t,ci)表示包含特征t且屬于類別ci的向量在特征庫(kù)中出現(xiàn)概率;p(t)表示包含特征t的向量在木馬特征庫(kù)和合法程序特征庫(kù)中出現(xiàn)的概率;p(c1)表示木馬特征庫(kù)和合法程序特征庫(kù)中的木馬特征向量出現(xiàn)的概率;p(c2)表示木馬特征庫(kù)和合法程序特征庫(kù)中的合法程序特征向量出現(xiàn)的概率。根據(jù)MI(t;ci)的公式可知，當(dāng)特征t在類別c1中出現(xiàn)的概率高，而在類別c2中出現(xiàn)概率低時(shí)，MI(t;c1)的值高，即特征t和類別c1相關(guān)性大，MI(t;c2)的值低，即特征t和類別c2相關(guān)性小。當(dāng)p(t|ci)>p(t)時(shí)，MI(t;ci)>0，特征t和類別ci成正相關(guān)，即當(dāng)一個(gè)特征向量中出現(xiàn)特征t時(shí)，該向量有可能屬于類別ci。當(dāng)p(t|ci)

定義特征項(xiàng)t在木馬特征庫(kù)和合法程序特征庫(kù)中的互信息值為MI(t)=MI+(t)-MI-(t)，其中

p(t|ci)>p(t)；

p(t|ci)

設(shè)木馬或合法程序Ai的行為特征向量為A1(t1,…,tn,cj),…,Am(t1,…,tn,cj)，其中j∈{1,2}。閾值為K?；诨バ畔⒌奶卣鬟x擇算法步驟如下。對(duì)i∈{1,2,…,n}的每一個(gè)i的取值，依次如下計(jì)算：

第一步，計(jì)算包含特征ti且屬于類別c1和(或)c2的特征向量在特征庫(kù)中出現(xiàn)的概率p(ti,c1)和(或)p(ti,c2)。計(jì)算包含特征ti的向量在木馬特征庫(kù)和合法程序特征庫(kù)中出現(xiàn)的概率p(ti)。計(jì)算木馬特征庫(kù)和合法程序特征庫(kù)中的木馬特征向量出現(xiàn)的概率p(c1)。計(jì)算木馬特征庫(kù)和合法程序特征庫(kù)中的合法程序特征向量出現(xiàn)的概率p(c2)。

第二步，計(jì)算特征ti在木馬特征庫(kù)和合法程序特征庫(kù)中的互信息值MI(ti)。

第三步，判斷MI(ti)的值是否超過(guò)設(shè)定的閾值K。如果MI(ti)≥，則特征向量保留特征項(xiàng)ti；否則如果MI(ti)

經(jīng)過(guò)基于互信息的特征選擇算法的處理，本方案獲得了更優(yōu)的木馬與合法程序活動(dòng)行為特征庫(kù)，并作為木馬與合法程序區(qū)分器的輸入。

2.2.3 構(gòu)造木馬與合法程序區(qū)分器

對(duì)于可疑程序，由于其對(duì)計(jì)算機(jī)具有潛在的威脅，因此在提取其活動(dòng)行為特征時(shí)要在虛擬環(huán)境中虛擬執(zhí)行，得出其活動(dòng)行為特征向量作為木馬與合法程序區(qū)分器的輸入。木馬與合法程序區(qū)分器的構(gòu)造是通過(guò)模式識(shí)別領(lǐng)域中較為成熟的理論來(lái)解決，本研究通過(guò)構(gòu)建非線性支持向量機(jī)分類器來(lái)區(qū)分木馬與合法程序。

支持向量機(jī)分類算法[11]是一種基于統(tǒng)計(jì)學(xué)習(xí)理論的模式識(shí)別方法，能很好的解決小樣本、高維數(shù)、非線性和局部最小點(diǎn)等問(wèn)題。支持向量機(jī)分類算法的核心思想是通過(guò)事先選擇的非線性映射算法(核函數(shù))把線性不可分的輸入向量從低維輸入空間映射到一個(gè)高維特征空間，使得線性不可分的輸入向量在高維空間中實(shí)現(xiàn)線性可分，并依據(jù)結(jié)構(gòu)風(fēng)險(xiǎn)最小化理論在這個(gè)高維特征空間中構(gòu)造最優(yōu)分類超平面。

利用支持向量機(jī)分類算法的基于活動(dòng)行為特征的木馬檢測(cè)算法步驟如圖2所示。

圖2 基于活動(dòng)行為特征的木馬 檢測(cè)算法步驟圖

第一步，在已建立的木馬活動(dòng)行為特征庫(kù)和合法程序行為特征庫(kù)的基礎(chǔ)上，定義算法的輸入向量{(x1,y1),…,(xn,yn)}，其中xi(i=1,…,n)是特征項(xiàng)，表示木馬活動(dòng)行為特征或者合法程序行為，yi∈{1,-1},(i=1,…,n)。如果xi是木馬活動(dòng)行為特征庫(kù)中的特征項(xiàng)，則對(duì)應(yīng)的yi取值為1，否則如果xi是合法行為特征庫(kù)中的特征項(xiàng)，則對(duì)應(yīng)的yi取值為-1。

第二步，選取合適的核函數(shù)H(x,y)，構(gòu)造最優(yōu)分類超平面，得出最優(yōu)分類超平面參數(shù)α=(α1,…,αn)T和β。

2.3 基于活動(dòng)行為特征的APT攻擊檢測(cè)系統(tǒng)設(shè)計(jì)

APT攻擊檢測(cè)系統(tǒng)包含CPU、內(nèi)存、硬盤、GE口等物理組件。其中包含8個(gè)GE口4個(gè)用于管理配置，4個(gè)用于接收鏡像的流量。APT攻擊檢測(cè)系統(tǒng)利用自己的鏡像口連接至交換機(jī)的鏡像端口，所處理的網(wǎng)絡(luò)高速流量來(lái)源于網(wǎng)絡(luò)中通過(guò)高性能路由器分流鏡像出的網(wǎng)絡(luò)流量。

APT攻擊檢測(cè)系統(tǒng)的從邏輯上分為采集子系統(tǒng)和分析子系統(tǒng)，其中采集子系統(tǒng)主要負(fù)責(zé)流量采集、協(xié)議過(guò)濾、會(huì)話還原、特征匹配等功能；分析子系統(tǒng)主要負(fù)責(zé)原始事件寫入數(shù)據(jù)庫(kù)、安全事件判定、生成告警事件、告警事件寫入數(shù)據(jù)庫(kù)等功能。

采集子系統(tǒng)收到鏡像流量后，先進(jìn)行二層過(guò)濾、三層過(guò)濾、分片重組，然后進(jìn)行協(xié)議識(shí)別、會(huì)話還原，接著進(jìn)行特征匹配、虛擬執(zhí)行等功能，生成原始文件，具體流程如圖3所示。

圖3 采集子系統(tǒng)處理流程圖

分析子系統(tǒng)收到TCP連接請(qǐng)求后，接收原始文件、解析消息內(nèi)容、判定消息是否合法，之后執(zhí)行事件標(biāo)準(zhǔn)化，包括將合法消息入庫(kù)，進(jìn)行事件判定、歸并、分類，最后關(guān)聯(lián)分析。

圖4 分析子系統(tǒng)處理流程圖

3 試驗(yàn)驗(yàn)證與分析

本研究以Clean MX 數(shù)據(jù)庫(kù)和國(guó)內(nèi)安全廠商提供的病毒庫(kù)為基礎(chǔ)，并根據(jù)長(zhǎng)期研究經(jīng)驗(yàn)抽取測(cè)試木馬樣本集，結(jié)合正常程序構(gòu)建特征庫(kù)，進(jìn)行漏報(bào)率及誤報(bào)率檢測(cè)實(shí)驗(yàn)。

3.1 基于特征庫(kù)檢測(cè)的漏報(bào)率測(cè)試

通常要求APT攻擊檢測(cè)設(shè)備漏報(bào)率檢測(cè)不高于5%，具體實(shí)驗(yàn)步驟如下：

(1)在某臺(tái)終端上安裝發(fā)送PCAP格式包的軟件(例如Tcpreplay)，作為發(fā)包機(jī)；

(2)利用Tcprelay分別構(gòu)造含有100個(gè)、200個(gè)、300個(gè)、400個(gè)、500個(gè)、600個(gè)、700個(gè)、800個(gè)、900個(gè)、1000個(gè)真實(shí)木馬樣本的異常流量；

(3)使用發(fā)包機(jī)將第2步構(gòu)造的10個(gè)網(wǎng)絡(luò)流量包，分10次向APT攻擊檢測(cè)設(shè)備進(jìn)行持續(xù)發(fā)送；

(4)每一次發(fā)送流量完畢后，在設(shè)備管理端登錄APT攻擊檢測(cè)設(shè)備管理界面，查看告警事件個(gè)數(shù)；

(5)將發(fā)送10次的告警事件個(gè)數(shù)之和與木馬數(shù)量之和對(duì)比，計(jì)算漏報(bào)告警事件的個(gè)數(shù)；

(6)計(jì)算漏報(bào)率，漏報(bào)率=漏報(bào)的告警事件數(shù)之和/木馬程序數(shù)量之和。

圖5 平均漏報(bào)數(shù)量實(shí)驗(yàn)曲線圖

多次進(jìn)行實(shí)驗(yàn)以保證數(shù)據(jù)有效性，同一木馬樣本數(shù)量下的平均漏報(bào)數(shù)量實(shí)驗(yàn)曲線如圖5所示，多次實(shí)驗(yàn)后計(jì)算出的平均漏報(bào)率為1.3%，因此，基于特征庫(kù)檢測(cè)的漏報(bào)率低于5%性能測(cè)試合格。

3.2 基于特征庫(kù)檢測(cè)的誤報(bào)率測(cè)試

通常要求APT攻擊檢測(cè)設(shè)備誤報(bào)率檢測(cè)不高于10%，實(shí)驗(yàn)過(guò)程與第3.1節(jié)類似，在某臺(tái)終端上安裝發(fā)送PCAP格式包的軟件作為發(fā)報(bào)機(jī)，通過(guò)向APT攻擊檢測(cè)設(shè)備發(fā)送含有100個(gè)、200個(gè)、300個(gè)、400個(gè)、500個(gè)、600個(gè)、700個(gè)、800個(gè)、900個(gè)、1 000個(gè)的木馬樣本的網(wǎng)絡(luò)流量，設(shè)定流量程序總數(shù)為10 000個(gè)。檢測(cè)合法程序被誤報(bào)為木馬程序的數(shù)量即為誤報(bào)事件，誤報(bào)率=誤報(bào)的事件數(shù)量之和/合法程序數(shù)量之和，驗(yàn)證APT攻擊檢測(cè)設(shè)備的誤報(bào)率是否低于10%。

圖6 平均誤報(bào)數(shù)量實(shí)驗(yàn)曲線圖

多次進(jìn)行實(shí)驗(yàn)以保證數(shù)據(jù)有效性，同一合法程序數(shù)量下的平均誤報(bào)數(shù)量實(shí)驗(yàn)曲線如圖6所示，多次實(shí)驗(yàn)后計(jì)算出的平均誤報(bào)率為0.54%，因此，基于特征庫(kù)檢測(cè)的誤報(bào)率低于10%性能測(cè)試合格。

4 結(jié) 語(yǔ)

世界上沒(méi)有絕對(duì)的安全，也沒(méi)有攻不破的堡壘。正所謂道高一尺，魔高一丈。APT攻擊行為的特點(diǎn)決定了對(duì)APT攻擊行為的防御也是不斷變化長(zhǎng)期持續(xù)發(fā)展的。本文從APT攻擊行為的特點(diǎn)和防御技術(shù)的發(fā)展現(xiàn)狀出發(fā)，提出了一種基于活動(dòng)行為特征關(guān)聯(lián)分析的APT攻擊行為檢測(cè)方法，通過(guò)優(yōu)化行為特征庫(kù)并構(gòu)造木馬與合法程序的區(qū)分器來(lái)實(shí)現(xiàn)對(duì)APT攻擊行為的檢測(cè)和預(yù)警，將其應(yīng)用于檢測(cè)系統(tǒng)并進(jìn)行了有效性試驗(yàn)，其研究成果可有力促進(jìn)APT攻擊行為檢測(cè)與預(yù)警產(chǎn)品的研發(fā)。