引用格式:趙云龍,楊繼,于運(yùn)濤,等.基于威脅情報(bào)關(guān)聯(lián)的APT攻擊識(shí)別與溯源技術(shù)[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2024,43(8):15-21,27.
引言
隨著網(wǎng)絡(luò)空間對(duì)抗愈演愈烈,網(wǎng)絡(luò)攻擊行為也不斷升級(jí),已經(jīng)不再局限于使用傳統(tǒng)的病毒、遠(yuǎn)控程序,正逐步向0-day漏洞利用、嵌套式攻擊、木馬潛伏植入、隱蔽加密通信等更加復(fù)雜的攻擊形態(tài)演化。這些攻擊目標(biāo)、攻擊目的高度確定的黑客行為,摻雜了人工智能、躲避逃逸、情報(bào)收集、社會(huì)工程、地緣政治等多種因素,無疑帶來了極大的危害。為了應(yīng)對(duì)網(wǎng)絡(luò)安全日益嚴(yán)峻的形勢(shì),各單位紛紛在安全合規(guī)監(jiān)管制度要求下采用隔離、阻斷、加密、身份認(rèn)證、訪問控制、備份等手段來保護(hù)自身業(yè)務(wù)信息系統(tǒng)的安全。但是這種被動(dòng)防守并不能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全威脅,尤其在面對(duì)手段多變、更新速度快、復(fù)雜度高的定向攻擊時(shí)顯得捉襟見肘。
威脅情報(bào)是從各類安全信息來源獲取的,用于對(duì)資產(chǎn)相關(guān)主體面對(duì)威脅或危害進(jìn)行響應(yīng)或處理決策提供支持。威脅情報(bào)數(shù)據(jù)不僅包括漏洞庫、惡意 IP/DNS/URL/郵箱等入侵威脅指標(biāo)(Indicator Of Compromise,IOC)信息,還包括安全攻擊事件等信息,目前最主要的威脅情報(bào)IOC應(yīng)用是識(shí)別受控主機(jī)C&C終端連接行為,或者通過人工經(jīng)驗(yàn)進(jìn)行IOC關(guān)聯(lián)和拓線,實(shí)現(xiàn)對(duì)安全事件的黑客組織背景追溯[1]。其迭代層次多且過程繁瑣,并且對(duì)及時(shí)性和準(zhǔn)確性有著非常高的要求。因?yàn)橐坏└呒?jí)持續(xù)性威脅(Advanced Persistent Threat,APT)組織的攻擊活動(dòng)被披露,舊的攻擊基礎(chǔ)設(shè)施就會(huì)被棄用,這就導(dǎo)致發(fā)現(xiàn)新攻擊線索的能力大幅降低[2]。為了解決以上問題,本文在實(shí)現(xiàn)全流量存儲(chǔ)、回溯和全球APT情報(bào)監(jiān)測(cè)的能力基礎(chǔ)上提出了基于拓展型入侵失陷指標(biāo)(即IOC 拓展指標(biāo))和動(dòng)態(tài)化攻擊模式規(guī)則、模型的APT攻擊識(shí)別和背景溯源方案,以達(dá)到精準(zhǔn)識(shí)別和取證的目的。
本文主要貢獻(xiàn)如下:
(1) 提出基于圖的疑似線索遍歷和回溯算法,實(shí)現(xiàn)了IOC多維度智能關(guān)聯(lián)和拓展,獲得更多未被披露線索。利用更加豐富的高可信IOC資源,提高情報(bào)檢測(cè)的成功率。
(2) 將適合作為流量檢測(cè)的TTP(Tactics Techniques & Procedures)特征,轉(zhuǎn)換為TTP規(guī)則和TTP模型兩部分,TTP規(guī)則用于可疑通信會(huì)話的初篩,TTP模型用于可疑會(huì)話的全量存儲(chǔ)數(shù)據(jù)報(bào)文的復(fù)雜計(jì)算分析,從而實(shí)現(xiàn)對(duì)APT攻擊行為流量的精準(zhǔn)檢測(cè),提高發(fā)現(xiàn)未知威脅的能力。
(3) 在充分發(fā)揮IOC在溯源方面價(jià)值的基礎(chǔ)上,基于安全事件TTP特征的關(guān)聯(lián)和利用,通過統(tǒng)計(jì)和機(jī)器學(xué)習(xí)等方法實(shí)現(xiàn)線索閉合性加權(quán)評(píng)估,更加精準(zhǔn)地實(shí)現(xiàn)針對(duì)APT攻擊行為的溯源、評(píng)估。
本文詳細(xì)內(nèi)容請(qǐng)下載:
http://ihrv.cn/resource/share/2000006100
作者信息:
趙云龍,楊繼,于運(yùn)濤,王紹杰
(中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所,北京 100083)