《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信与网络 > 设计应用 > 基于威胁情报关联的APT攻击识别与溯源技术
基于威胁情报关联的APT攻击识别与溯源技术
网络安全与数据治理
赵云龙,杨继,于运涛,王绍杰
中国电子信息产业集团有限公司第六研究所
摘要: 网络空间对抗形态正变得更加复杂,其中掺杂了人工智能、躲避逃逸、情报收集、社会工程、地缘政治等多种因素。目前威胁情报IOC特征主要被用来识别受控主机以及C&C终端连接行为;另外通过关联拓展IOC进行黑客组织溯源。以全流量存储、回溯和全球APT威胁情报监测为数据基础,提出基于IOC拓展指标和TTP规则、模型关联的APT攻击识别和背景溯源方案,可以将传统的基于时间点的检测模式延伸到基于历史时间窗的检测模式,能够更加充分地应对APT的持续性和长期性,同时也成为APT组织背景溯源的有效途径之一。
關(guān)鍵詞: IOC特征 TTP 关联分析
中圖分類號:TP181;TP393文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.08.003
引用格式:趙云龍,楊繼,于運濤,等.基于威脅情報關(guān)聯(lián)的APT攻擊識別與溯源技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(8):15-21,27.
APT attack identification and tracing technology based on threat intelligence correlation
Zhao Yunlong,Yang Ji, Yu Yuntao, Wang Shaojie
The 6th Research Institute of China Electronics Corporation
Abstract: The form of confrontation in cyberspace is becoming more complex, with artificial intelligence, evasion, intelligence gathering, social engineering, geopolitics and more. At present, IOC characteristics of threat intelligence are mainly used to identify controlled host and C&C terminal connection behavior. In addition, we can trace the hacker organization through the association extension IOC. Based on the data of full traffic storage, backtracking and global APT threat intelligence monitoring, an APT attack identification and background traceability scheme based on IOC extended index, TTP rules and model association is proposed, which can extend the traditional detection mode based on time point to the detection mode based on historical time window, and can more fully cope with the persistence and long-term nature of APT. At the same time, it also becomes one of the effective ways to trace the background of APT organization.
Key words : full traffic; threat intelligence; IOC characteristics; TTP; association analysis

引言

隨著網(wǎng)絡(luò)空間對抗愈演愈烈,網(wǎng)絡(luò)攻擊行為也不斷升級,已經(jīng)不再局限于使用傳統(tǒng)的病毒、遠控程序,正逐步向0-day漏洞利用、嵌套式攻擊、木馬潛伏植入、隱蔽加密通信等更加復(fù)雜的攻擊形態(tài)演化。這些攻擊目標、攻擊目的高度確定的黑客行為,摻雜了人工智能、躲避逃逸、情報收集、社會工程、地緣政治等多種因素,無疑帶來了極大的危害。為了應(yīng)對網(wǎng)絡(luò)安全日益嚴峻的形勢,各單位紛紛在安全合規(guī)監(jiān)管制度要求下采用隔離、阻斷、加密、身份認證、訪問控制、備份等手段來保護自身業(yè)務(wù)信息系統(tǒng)的安全。但是這種被動防守并不能及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全威脅,尤其在面對手段多變、更新速度快、復(fù)雜度高的定向攻擊時顯得捉襟見肘。

威脅情報是從各類安全信息來源獲取的,用于對資產(chǎn)相關(guān)主體面對威脅或危害進行響應(yīng)或處理決策提供支持。威脅情報數(shù)據(jù)不僅包括漏洞庫、惡意 IP/DNS/URL/郵箱等入侵威脅指標(Indicator Of Compromise,IOC)信息,還包括安全攻擊事件等信息,目前最主要的威脅情報IOC應(yīng)用是識別受控主機C&C終端連接行為,或者通過人工經(jīng)驗進行IOC關(guān)聯(lián)和拓線,實現(xiàn)對安全事件的黑客組織背景追溯[1]。其迭代層次多且過程繁瑣,并且對及時性和準確性有著非常高的要求。因為一旦高級持續(xù)性威脅(Advanced Persistent Threat,APT)組織的攻擊活動被披露,舊的攻擊基礎(chǔ)設(shè)施就會被棄用,這就導(dǎo)致發(fā)現(xiàn)新攻擊線索的能力大幅降低[2]。為了解決以上問題,本文在實現(xiàn)全流量存儲、回溯和全球APT情報監(jiān)測的能力基礎(chǔ)上提出了基于拓展型入侵失陷指標(即IOC 拓展指標)和動態(tài)化攻擊模式規(guī)則、模型的APT攻擊識別和背景溯源方案,以達到精準識別和取證的目的。

本文主要貢獻如下:

(1) 提出基于圖的疑似線索遍歷和回溯算法,實現(xiàn)了IOC多維度智能關(guān)聯(lián)和拓展,獲得更多未被披露線索。利用更加豐富的高可信IOC資源,提高情報檢測的成功率。

(2) 將適合作為流量檢測的TTP(Tactics Techniques & Procedures)特征,轉(zhuǎn)換為TTP規(guī)則和TTP模型兩部分,TTP規(guī)則用于可疑通信會話的初篩,TTP模型用于可疑會話的全量存儲數(shù)據(jù)報文的復(fù)雜計算分析,從而實現(xiàn)對APT攻擊行為流量的精準檢測,提高發(fā)現(xiàn)未知威脅的能力。

(3) 在充分發(fā)揮IOC在溯源方面價值的基礎(chǔ)上,基于安全事件TTP特征的關(guān)聯(lián)和利用,通過統(tǒng)計和機器學(xué)習(xí)等方法實現(xiàn)線索閉合性加權(quán)評估,更加精準地實現(xiàn)針對APT攻擊行為的溯源、評估。


本文詳細內(nèi)容請下載:

http://ihrv.cn/resource/share/2000006100


作者信息:

趙云龍,楊繼,于運濤,王紹杰

(中國電子信息產(chǎn)業(yè)集團有限公司第六研究所,北京 100083)


Magazine.Subscription.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。