引言

隨著網(wǎng)絡(luò)空間對(duì)抗愈演愈烈，網(wǎng)絡(luò)攻擊行為也不斷升級(jí)，已經(jīng)不再局限于使用傳統(tǒng)的病毒、遠(yuǎn)控程序，正逐步向0-day漏洞利用、嵌套式攻擊、木馬潛伏植入、隱蔽加密通信等更加復(fù)雜的攻擊形態(tài)演化。這些攻擊目標(biāo)、攻擊目的高度確定的黑客行為，摻雜了人工智能、躲避逃逸、情報(bào)收集、社會(huì)工程、地緣政治等多種因素，無疑帶來了極大的危害。為了應(yīng)對(duì)網(wǎng)絡(luò)安全日益嚴(yán)峻的形勢(shì)，各單位紛紛在安全合規(guī)監(jiān)管制度要求下采用隔離、阻斷、加密、身份認(rèn)證、訪問控制、備份等手段來保護(hù)自身業(yè)務(wù)信息系統(tǒng)的安全。但是這種被動(dòng)防守并不能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全威脅，尤其在面對(duì)手段多變、更新速度快、復(fù)雜度高的定向攻擊時(shí)顯得捉襟見肘。

威脅情報(bào)是從各類安全信息來源獲取的，用于對(duì)資產(chǎn)相關(guān)主體面對(duì)威脅或危害進(jìn)行響應(yīng)或處理決策提供支持。威脅情報(bào)數(shù)據(jù)不僅包括漏洞庫、惡意 IP/DNS/URL/郵箱等入侵威脅指標(biāo)（Indicator Of Compromise，IOC）信息，還包括安全攻擊事件等信息，目前最主要的威脅情報(bào)IOC應(yīng)用是識(shí)別受控主機(jī)C&C終端連接行為，或者通過人工經(jīng)驗(yàn)進(jìn)行IOC關(guān)聯(lián)和拓線，實(shí)現(xiàn)對(duì)安全事件的黑客組織背景追溯［1］。其迭代層次多且過程繁瑣，并且對(duì)及時(shí)性和準(zhǔn)確性有著非常高的要求。因?yàn)橐坏└呒?jí)持續(xù)性威脅（Advanced Persistent Threat，APT）組織的攻擊活動(dòng)被披露，舊的攻擊基礎(chǔ)設(shè)施就會(huì)被棄用，這就導(dǎo)致發(fā)現(xiàn)新攻擊線索的能力大幅降低［2］。為了解決以上問題，本文在實(shí)現(xiàn)全流量存儲(chǔ)、回溯和全球APT情報(bào)監(jiān)測(cè)的能力基礎(chǔ)上提出了基于拓展型入侵失陷指標(biāo)（即IOC 拓展指標(biāo)）和動(dòng)態(tài)化攻擊模式規(guī)則、模型的APT攻擊識(shí)別和背景溯源方案，以達(dá)到精準(zhǔn)識(shí)別和取證的目的。

本文主要貢獻(xiàn)如下：

(1) 提出基于圖的疑似線索遍歷和回溯算法，實(shí)現(xiàn)了IOC多維度智能關(guān)聯(lián)和拓展，獲得更多未被披露線索。利用更加豐富的高可信IOC資源，提高情報(bào)檢測(cè)的成功率。

(2) 將適合作為流量檢測(cè)的TTP（Tactics Techniques & Procedures）特征，轉(zhuǎn)換為TTP規(guī)則和TTP模型兩部分，TTP規(guī)則用于可疑通信會(huì)話的初篩，TTP模型用于可疑會(huì)話的全量存儲(chǔ)數(shù)據(jù)報(bào)文的復(fù)雜計(jì)算分析，從而實(shí)現(xiàn)對(duì)APT攻擊行為流量的精準(zhǔn)檢測(cè)，提高發(fā)現(xiàn)未知威脅的能力。

(3) 在充分發(fā)揮IOC在溯源方面價(jià)值的基礎(chǔ)上，基于安全事件TTP特征的關(guān)聯(lián)和利用，通過統(tǒng)計(jì)和機(jī)器學(xué)習(xí)等方法實(shí)現(xiàn)線索閉合性加權(quán)評(píng)估，更加精準(zhǔn)地實(shí)現(xiàn)針對(duì)APT攻擊行為的溯源、評(píng)估。

本文詳細(xì)內(nèi)容請(qǐng)下載：

http://ihrv.cn/resource/share/2000006100

作者信息：

趙云龍，楊繼，于運(yùn)濤，王紹杰

（中國電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京 100083）