◆馬琳 房瀟 廉新科 張小坤

基于私有云安全平臺的APT攻擊檢測與防御架構(gòu)研究

◆馬琳 房瀟 廉新科 張小坤

（91977部隊 北京 100036）

APT攻擊作為隱蔽性極高、目的性極強、危害性極大的新型網(wǎng)絡攻擊方式，對具有高戰(zhàn)略價值的信息系統(tǒng)的安全穩(wěn)定運行構(gòu)成了巨大威脅。本文對APT攻擊的特征以及攻擊流程進行深入分析，總結(jié)了傳統(tǒng)安全體系架構(gòu)及防護手段在應對APT攻擊存在的不足，在此基礎上，設計了一種基于私有云安全平臺的APT攻擊檢測與防御架構(gòu)，為重要信息系統(tǒng)抵御APT攻擊提供了有效解決方案。

APT攻擊；私有云；蜜罐；沙箱

隨著信息技術(shù)的高速發(fā)展，網(wǎng)絡入侵和攻擊方式日新月異，逐漸呈現(xiàn)出多樣化、復雜化的發(fā)展趨勢，我們所面臨的信息安全形勢日趨嚴峻。近年來，諸如“震網(wǎng)病毒攻擊”、“極光行動”等一系列入侵目的性明確、隱蔽性強、危害性大的網(wǎng)絡入侵事件被曝光，APT（Advanced Persistent Threats，高級持續(xù)性威脅）攻擊，這一概念引起了國內(nèi)外信息安全行業(yè)的高度重視。政府、軍隊的信息系統(tǒng)作為具有高戰(zhàn)略價值的關鍵信息系統(tǒng)，是APT攻擊的重要對象[1]。傳統(tǒng)安全架構(gòu)、安全技術(shù)已經(jīng)無法有效應對APT攻擊這類新型綜合性網(wǎng)絡入侵手段。為此，文章在闡述APT攻擊內(nèi)涵、分析APT攻擊的特征、總結(jié)歸納APT攻擊實施過程的基礎上，提出了一種能夠有效防御APT攻擊的基于私有云安全平臺的防御與檢測方案，為保障信息系統(tǒng)安全運行提供重要技術(shù)支撐。

1 對APT攻擊的理解

1.1 定義

美國國家標準技術(shù)研究所（NIST）對APT攻擊有如下定義：掌握先進的網(wǎng)絡入侵知識并擁有資金支持的攻擊者，為實現(xiàn)竊取特定大型組織的高戰(zhàn)略價值涉密信息或破壞特定組織關鍵信息系統(tǒng)這一目的，通過技術(shù)或“社會工程學”等多種攻擊手段實施的具有針對性、持久性的網(wǎng)絡攻擊[2]。

1.2 APT攻擊特征

與傳統(tǒng)網(wǎng)絡攻擊行為相比，APT攻擊并沒有運用新概念的網(wǎng)絡攻擊技術(shù)，攻擊的實施者只是更具策略性、計劃性的組合使用了多種傳統(tǒng)網(wǎng)絡攻擊技術(shù)，提高了達到竊取核心數(shù)據(jù)或破壞重要計算設施等入侵目的的概率。與傳統(tǒng)網(wǎng)絡攻擊方式比，其具有如下三個顯著特征。

高級性（Advanced）。APT攻擊具有的“高級”特征主要體現(xiàn)在兩個方面。一是隱蔽性高。攻擊者在多年的網(wǎng)絡攻防對抗中，積累了豐富的網(wǎng)絡入侵經(jīng)驗，“零日”漏洞與未知惡意代碼的利用等具有逃逸性質(zhì)的網(wǎng)絡攻擊技術(shù)在APT攻擊實施的過程中被作為主要的攻擊手段，其幫助攻擊者實現(xiàn)了隱藏入侵特征、逃避傳統(tǒng)檢測與防御安全技術(shù)的目的[3]。二是APT攻擊者呈現(xiàn)出“高級”特征，攻擊者目標與目的明確，掌握專業(yè)攻擊知識，往往擁有巨額資金支持甚至攻擊者可能是背負國家意志的網(wǎng)絡戰(zhàn)士。

持續(xù)時間長（persistent）。APT攻擊實施者為成功入侵目標系統(tǒng)會花費較長的時間用于收集系統(tǒng)相關技術(shù)與非技術(shù)信息。為成功竊取核心資料、對系統(tǒng)造成毀滅性破壞，成功入侵后還通常會通過預留后門等手段保證對目標系統(tǒng)的長期控制以便挖掘高價值信息或適時地對信息系統(tǒng)造成破壞。

威脅大（threats）。APT攻擊與撒網(wǎng)式攻擊截然不同，經(jīng)過精心策劃，帶有政治色彩抑或是商業(yè)目的[4]，政府、軍隊的關鍵信息系統(tǒng)是APT攻擊的主要目標，成功入侵其危害必定較為深遠，輕則泄露關鍵涉密信息，重則威脅國家安全與穩(wěn)定。

1.3 APT攻擊實施流程

于近年來的眾多的APT攻擊案例，可歸納總結(jié)出APT攻擊的一般流程，如圖1所示。

圖1 APT攻擊實施流程

（1）情報收集與分析

APT攻擊者入侵前期會通過互聯(lián)網(wǎng)搜索、活動主機掃描、端口與服務類型探測等技術(shù)方法收集目標信息系統(tǒng)的拓撲信息、服務、部署的安全防護產(chǎn)品、系統(tǒng)脆弱性等技術(shù)信息；此外，還會通過“社會工程學”的手段收集目標系統(tǒng)使用者的組織結(jié)構(gòu)、人際關系與偏好等非技術(shù)信息?；谏鲜鰞煞N信息挖掘系統(tǒng)的防護薄弱環(huán)節(jié)，制定有效的定向入侵攻擊方案。

（2）定向入侵

在情報收集與分析的基礎之上，APT攻擊者會從安全防護薄弱環(huán)節(jié)入手，儲存高戰(zhàn)略價值信息的計算設施通常采取了較好的防御措施，不是定向入侵階段的直接目標。對安全意識較差的系統(tǒng)使用者進行釣魚式攻擊或?qū)Σ扇“踩雷o措施不當?shù)膶ν夥掌鳎ㄠ]件服務器、WEB服務器）進行滲透是該階段APT攻擊者常用方式，以實現(xiàn)控制邊緣計算設施的目的，便于日后向內(nèi)網(wǎng)核心計算設施橫向滲透。

（3）橫向滲透

為了能夠成功竊取涉密信息或適時對系統(tǒng)造成破壞，APT攻擊者會以定向入侵階段控制的計算設施為進一步入侵的立足點，利用“零日”漏洞或惡意代碼等多種手段通過跳板攻擊的方式逐步奪取核心計算設施的控制權(quán)。

（4）數(shù)據(jù)回傳或破壞

控制核心計算設施后，攻擊的實施者會通過端口復用、信道加密等技術(shù)建立用于回傳數(shù)據(jù)的隱蔽信道，將敏感涉密信息回傳給指定的公網(wǎng)服務器，一些具有破壞意圖的攻擊會選擇合適時機對核心計算設施進行破壞。

（5）入侵痕跡清除

心思縝密的攻擊實施者在入侵后會對安全日志等可能包含記錄異常操作的數(shù)據(jù)文件進行清理，實現(xiàn)阻礙安全人員通過審計日志等手段發(fā)現(xiàn)威脅與安全取證的效果。

2 傳統(tǒng)安全架構(gòu)正面臨APT攻擊的挑戰(zhàn)

傳統(tǒng)安全架構(gòu)、安全技術(shù)能夠較好抵御信息系統(tǒng)面臨的威脅。然而，在檢測與防御APT攻擊方面，傳統(tǒng)安全架構(gòu)與安全技術(shù)正面臨嚴峻挑戰(zhàn)，這是多因素共同作用的結(jié)果。

首先，傳統(tǒng)威脅檢測與防御設備單純從技術(shù)角度出發(fā)對威脅進行辨識，沒有提供有效的反信息收集安全應對策略，促使攻擊者能夠在實施攻擊前期獲得系統(tǒng)技術(shù)信息，從而可以優(yōu)化攻擊路徑、大幅減少入侵過程中產(chǎn)生的異常行為數(shù)，降低了傳統(tǒng)安全產(chǎn)品發(fā)現(xiàn)惡意行為并對惡意行為進行報警的可能性。

其次，傳統(tǒng)威脅檢測與防御類設備通過威脅特征庫與程序、數(shù)據(jù)流進行匹配，識別惡意程序與利用軟件漏洞的惡意數(shù)據(jù)流[5]。未知“零日”漏洞、未知惡意程序作為APT攻擊的主要技術(shù)手段充分利用了特征庫在時間維度上具有滯后性的特點，使APT攻擊對基于特征匹配檢測算法的安全產(chǎn)品具有很好的免疫能力。

再次，傳統(tǒng)威脅檢測與防御類設備需要通過部署合適的策略以實現(xiàn)其安全功能。計算資源、儲存資源限制了安全策略的維度。例如，防火墻僅僅能從目的地址、源地址、服務三個維度判別通信鏈路是否安全實現(xiàn)數(shù)據(jù)交換的控制。無法以用戶身份、行為習慣等因素以及因素間存在的關聯(lián)關系形成高維策略判斷數(shù)據(jù)交換的安全性，使合法權(quán)限的不合規(guī)使用成為可能。

為了使具有高戰(zhàn)略價值的信息系統(tǒng)實現(xiàn)令攻擊者“進不來、看不懂、拿不走、跑不掉”的安全防御目標，有必要結(jié)合傳統(tǒng)安全設備針對APT攻擊構(gòu)建合理的安全防御架構(gòu)。

3 基于私有云安全平臺的APT攻擊的檢測與防御架構(gòu)

基于一般的內(nèi)部信息系統(tǒng)的實際情況，可設計一種基于私有云安全平臺的APT攻擊的檢測與防御架構(gòu)，示意圖見圖2。該方案在對APT攻擊理解的基礎上，基于私有云安全平臺為APT攻擊的檢測與防御提供了一套完整的解決方案，其中包含的主要技術(shù)與整體作用如下文所述。

圖2 基于私有云安全平臺的APT攻擊的檢測與防御架構(gòu)

3.1 主要技術(shù)

（1）融合沙箱技術(shù)的蜜罐系統(tǒng)

蜜罐系統(tǒng)是構(gòu)造脆弱性環(huán)境欺騙引誘攻擊者攻擊、捕捉攻擊的主動防御技術(shù)[6]。虛擬沙箱技術(shù)是目前檢測與防御未知惡意代碼和利用“零日”漏洞的非法流量的可靠技術(shù)，其通過硬件與操作系統(tǒng)虛擬化技術(shù)構(gòu)建與真實操作系統(tǒng)相隔離的應用程序虛擬執(zhí)行環(huán)境，動態(tài)分析應用程序執(zhí)行與數(shù)據(jù)交換時是否存在對系統(tǒng)注冊表、服務進行修改、非法連接網(wǎng)絡等異常行為，達到辨識應用程序與數(shù)據(jù)流是否具有威脅的目的[7]。普通蜜罐系統(tǒng)不具有發(fā)現(xiàn)未知惡意流量與未知惡意代碼的能力，而沙箱技術(shù)的運用需要占用一定的計算資源，直接部署于業(yè)務內(nèi)網(wǎng)主機會對提供的服務質(zhì)量產(chǎn)生一定影響，本文提出的架構(gòu)能夠較好解決上述問題。

（2）白名單技術(shù)

白名單技術(shù)的實現(xiàn)原理與傳統(tǒng)安全設備的實現(xiàn)原理相似即基于特征匹配技術(shù)。將安全文件與安全操作行為的特征碼存儲于特征庫，與特征庫中特征碼不匹配的未知文件、未知流量、未知行為即被識別為灰色數(shù)據(jù)并觸發(fā)報警，需要經(jīng)過人工判定其合法性。該技術(shù)的主要存在兩個問題：其一，安全特征碼數(shù)量遠遠超過惡意文件特征碼數(shù)量，特征匹配過程與儲存會占用大量計算與儲存資源；其二，灰色數(shù)據(jù)數(shù)量龐大，人工判定合法性的工作量無法估量?？梢姲酌麊渭夹g(shù)在傳統(tǒng)安全架構(gòu)中難部署。

（3）私有云技術(shù)

云計算技術(shù)是實現(xiàn)基于私有云安全平臺APT攻擊檢測與防御架構(gòu)的基礎。本架構(gòu)中私有云所具有的整合計算資源、儲存資源的能力為白名單技術(shù)與未知與已知惡意代碼云查殺功能的實現(xiàn)提供支撐[8]。

3.2 整體效用分析

基于圖2所構(gòu)建的系統(tǒng)拓撲結(jié)構(gòu)，系統(tǒng)信息流如圖3所示?？梢?，信息系統(tǒng)業(yè)務內(nèi)網(wǎng)、融合沙箱技術(shù)的蜜罐系統(tǒng)與外網(wǎng)之間雙向互通?？筛鶕?jù)APT攻擊路徑對該架構(gòu)的效用分情況討論。

圖3 APT攻擊實施流程

整合沙箱技術(shù)的蜜罐系統(tǒng)被用作業(yè)務網(wǎng)絡的“避雷針”，通過構(gòu)造脆弱性環(huán)境，能夠有效混淆APT攻擊者對目標系統(tǒng)認知，欺騙攻擊者率先選擇從外網(wǎng)向蜜罐系統(tǒng)攻擊路徑，大大降低實際業(yè)務網(wǎng)絡被入侵的可能性。當成功引誘攻擊時，整合沙箱技術(shù)的蜜罐系統(tǒng)被用作整體架構(gòu)的“探針”，利用沙箱技術(shù)將蜜罐捕捉的未定性數(shù)據(jù)進行動態(tài)分析，在辨識安全性后制作惡意文件的特征碼上傳至云端特征庫，從而構(gòu)建系統(tǒng)私有的惡意代碼特征庫，這樣攻擊者再使用原本未知的惡意代碼與原本未知的可利用“零日”漏洞非法流量滲透實際業(yè)務網(wǎng)絡時，業(yè)務主機終端部署的云檢測查殺客戶端會對數(shù)據(jù)進行特征碼制作與云端特征庫進行比對確定威脅，解決了特征庫具有滯后性的問題。此外，不將沙箱布置于業(yè)務內(nèi)網(wǎng)計算設施上，降低了業(yè)務內(nèi)網(wǎng)計算資源、帶寬資源的開銷，對于時效性要求極高的系統(tǒng)意義重大。

另外一種情況，當APT攻擊者選擇從外網(wǎng)直接向?qū)嶋H業(yè)務內(nèi)網(wǎng)進行滲透這條攻擊路徑時便會觸發(fā)白名單機制。桌面終端部署的云檢測查殺客戶端將執(zhí)行、使用的文件、數(shù)據(jù)流量的特征碼傳至云端與云端白名單特征庫進行比對，不匹配的文件、數(shù)據(jù)流量將被標記為灰色文件，由終端部署的客戶端將標記的灰色文件經(jīng)私有云導入融合沙箱技術(shù)的蜜罐系統(tǒng)再次進行動態(tài)分析，從而發(fā)現(xiàn)具有惡意性質(zhì)的文件與數(shù)據(jù)流量，對于不具有惡意性質(zhì)的文件與數(shù)據(jù)流量經(jīng)人工判別其安全性后列入白名單特征庫。白名單與融合沙箱技術(shù)的蜜罐系統(tǒng)的聯(lián)用的突出優(yōu)點在于，大大降低了人工判定灰色文件與數(shù)據(jù)流量合法性的工作量。

除了能夠有效抵御APT攻擊外，該架構(gòu)還具有節(jié)省業(yè)務內(nèi)網(wǎng)計算資源與儲存資源的優(yōu)點。眾所周知，無論是傳統(tǒng)殺毒系統(tǒng)還是白名單技術(shù)，但凡是基于特征匹配算法的安全技術(shù)，都需要在終端構(gòu)建特征庫，特征碼匹配的過程中也一定會占用本地計算資源，尤其是惡意代碼數(shù)量逐年增長、白名單特征碼數(shù)量龐大，匹配過程中無關實際業(yè)務的計算資源的開銷也會越來越多，勢必會影響信息系統(tǒng)整體效能的發(fā)揮[9]。通過在云端進行特征匹配，有效避免了上述問題，節(jié)省了實際業(yè)務內(nèi)網(wǎng)的寶貴計算資源。

4 結(jié)論

政府、軍隊的信息系統(tǒng)是影響國家穩(wěn)定發(fā)展的關鍵基礎設施，為保障其安全運行，一定要做好對抗APT這種復雜攻擊的準備。本文提出的基于私有云安全平臺的APT攻擊檢測與防御架構(gòu)為對抗APT攻擊提供了切實可行的思路。此外，要牢記防御技術(shù)手段的局限性，重視系統(tǒng)使用者安全意識的培養(yǎng)，方能保障具有高戰(zhàn)略價值的信息系統(tǒng)安全運行。

[1]孫景民，崔金生，曹美琴.軍事網(wǎng)絡中APT攻擊的防御方法研究[J].信息安全與通信保密，2014.

[2]林龍成，陳波，郭向民.傳統(tǒng)網(wǎng)絡安全防御面臨的新威脅：APT攻擊[J].信息安全與技術(shù)，2013.

[3]黃達理，薛志.進階持續(xù)性滲透攻擊的特征分析研究[J].信息安全與通信保密，2012.

[4]駱祥.APT網(wǎng)絡攻擊及其防御策略的研究[D].天津：天津大學，2013.

[5]許婷.一種有效防范APT攻擊的網(wǎng)絡安全架構(gòu)[J].信息安全與通信保密，2013.

[6]諸葛建偉，唐勇，韓心慧，段海新.蜜罐技術(shù)研究與應用進展[J].軟件學報，2013.

[7]李晨，涂碧波，孟丹，馮圣中. 基于多安全機制的 Linux 應用沙箱的設計與實現(xiàn)[J]. 集成技術(shù)，2004.

[8]趙鵬，齊文泉，時長江. 下一代計算機病毒防范技術(shù)“云安全”架構(gòu)與原理[J].信息技術(shù)與信息化，2009.

[9]汪水翔，薛玉蘭，劉勇. 基于“云安全”技術(shù)的軍隊信息網(wǎng)絡防毒系統(tǒng)研究[J].信息網(wǎng)絡安全，2009.