李艷斐 李斯祺

摘 要：高級持續(xù)性威脅（簡稱APT）是目前面臨的最嚴重的安全威脅，在整個攻擊過程中，攻擊者會投入大量的人力、財力以及時間，同時還會運用社工以及大量的0day，執(zhí)行目的明確地針對型攻擊，尤其是利用惡意代碼，建立加密控制通道，竊取或篡改關鍵數(shù)據(jù)。如果被攻擊者不具備實時檢測與防御的能力，一旦業(yè)務系統(tǒng)被成功入侵，將遭受非常嚴重的經(jīng)濟和業(yè)務損失。論文闡述了APT攻擊的典型特點和生命周期，以及對企業(yè)和組織可能造成的威脅，介紹了APT常見的攻擊渠道和技術環(huán)節(jié)，以及抵御APT攻擊面臨的技術難題和挑戰(zhàn)。為解決這些問題，提出了基于下一代SIEM（安全信息和事件管理）的APT檢測與防御體系，將所有安全設備、終端和應用中的日志事件和網(wǎng)絡流數(shù)據(jù)整合起來，實施規(guī)范化和關聯(lián)處理，識別APT攻擊特征，從而實時檢測和抵御APT攻擊，保障業(yè)務系統(tǒng)的網(wǎng)絡安全，降低業(yè)務數(shù)據(jù)被盜取和篡改的風險。

關鍵詞：APT攻擊；下一代SIEM；分層防御；端到端策略；動態(tài)數(shù)據(jù)模型

中圖分類號：TP393.0 文獻標識碼：J

Abstract： Nowadays， Advanced Persistent Threat is the most serious security threat. In APT attacks， attackers will invest a lot of manpower， financial resources and time. At the same time， they will use social engineering methods and a large number of zero-day vulnerability attacks， which aims specifically at targeted attacks， especially using malicious code and establishing an encrypted control channel， stealing or tampering key data. If the attacked targets does not have the ability of real-time attack detection and defense， once the business system is successfully intruded， it will suffer very serious economic and business losses. This paper describes the typical characteristics and life cycle of APT attacks， as well as the possible threats to enterprises and organizations， and introduces the common attack channels and technical links of APT， as well as the technical difficulties and challenges in resisting APT attacks. To solve the above problems， an APT detection and defense system based on next generation SIEM （Security Information and Event Management） is proposed， which integrates log events and network flow data of all security devices， terminals and applications， to implement normalization and association processing. Finally the characteristics of APT attacks need to be identified， which can help detecting and resisting APT attacks in real time to ensure the network Security of business systems， and reducing the risk of theft and tampering of business data.

Key words： APT attack； next generation SIEM； layered defense； end-to-end policy； dynamic data model.

1 引言

由于網(wǎng)絡安全形勢日趨嚴峻，越來越多的商業(yè)組織和政府機構成為APT攻擊的目標，其中包括教育、金融、科技、航空航天、電力、化工、電信、醫(yī)藥和咨詢機構等行業(yè)，雖然這些被攻擊目標通常都已安裝防御和檢測系統(tǒng)，用于提升安全防護能力，但依然遭受APT攻擊的持續(xù)威脅，部分攻擊可能持續(xù)數(shù)月未被發(fā)現(xiàn)，從而造成其業(yè)務能力急劇下降[1]。

為了解決上述普遍存在的APT攻擊問題，本文重點闡明APT的核心攻擊環(huán)節(jié)以及有效防御技術，提出一種基于下一代SIEM技術的APT攻擊檢測與防御體系，能夠實時檢測APT攻擊并及時做出響應，從而真正提升重要業(yè)務系統(tǒng)的網(wǎng)絡安全防護能力。

2 APT定義及特點

APT，全稱高級持續(xù)性威脅，通過長期潛伏找到有價值的特定目標，利用網(wǎng)絡中存在的應用程序漏洞，發(fā)起持續(xù)性網(wǎng)絡攻擊，通過滲透到系統(tǒng)中的關鍵基礎設施，建立并維持隱蔽的控制通道，從中竊取核心資料或篡改數(shù)據(jù)。它不同于所有的安全漏洞，主要特點描述有三點。

潛伏性：攻擊者通常在目標網(wǎng)絡中進行數(shù)月甚至一年以上的潛伏，大量收集用戶業(yè)務流程和目標系統(tǒng)的精確信息，徹底掌握攻擊目標的情況。

針對性：在徹底掌握目標的精確信息后，尋找軟件漏洞，構造專門代碼，對鎖定的目標發(fā)送惡意鏈接、郵件等程序，攻擊時只針對一個目標，避免大量散播引起注意。

持續(xù)性：在不被察覺的情況下，攻擊者會不斷嘗試各種攻擊手段，甚至被阻斷后，還會采用全新的方式再次發(fā)起攻擊，因此有些攻擊長達數(shù)年之久。

3 APT攻擊的核心環(huán)節(jié)

典型的APT生命周期主要分為五個階段[2]：定向情報收集、單點攻擊突破、控制通道構建、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳。

定向情報收集：攻擊者有針對性地搜集特定組織的網(wǎng)絡系統(tǒng)和員工信息，目的是為了解線上服務器分布情況、業(yè)務系統(tǒng)運行狀況，以及定位具有訪問數(shù)據(jù)資源權限的重要角色或者只是能夠作為跳板的其他角色等。

單點攻擊突破：攻擊者在收集了足夠的情報信息之后，開始采用惡意代碼、漏洞攻擊等方式攻擊組織目標的終端設備，常見的攻擊方法包括兩種。第一種利用個人漏洞的社會工程學[3]是啟動目標網(wǎng)絡有效感染的最重要手段之一，也是訪問核心資源的最常用方法。攻擊者會向目標公司的員工發(fā)送郵件，誘騙其打開惡意附件，投送其惡意代碼。第二種最有效的APT攻擊類型是0day攻擊，即利用常見的系統(tǒng)未知漏洞。攻擊者在目標公司的員工經(jīng)常訪問的網(wǎng)站上放置網(wǎng)頁木馬，當員工訪問該網(wǎng)站鏈接時，將惡意代碼下載并安裝到該員工的終端。

控制通道構建：攻擊者在控制終端設備之后，會創(chuàng)建從被控終端到控制服務器之間的命令控制通道，以獲得進一步攻擊指令，在維護該通道正常訪問的基礎上，還要不斷提升訪問權限，以獲取更多的系統(tǒng)操作權限，使攻擊行為不易被發(fā)現(xiàn)。

內(nèi)部橫向滲透：一般情況下，攻擊者會優(yōu)先攻陷員工終端，作為攻擊跳板，利用口令竊聽和漏洞攻擊等方法，在系統(tǒng)內(nèi)部進行橫向滲透，以攻陷更多的終端和服務器，從而獲取組織內(nèi)部其它包含重要資產(chǎn)的服務器的控制權限。

數(shù)據(jù)收集上傳：攻擊者在攻擊過程中，會不斷將搜集到的各服務器上的重要數(shù)據(jù)資產(chǎn)，進行壓縮、加密和打包，然后通過控制通道將數(shù)據(jù)回傳，如回傳成功，攻擊者將刪除系統(tǒng)中的全部入侵痕跡，以及任何可能識別攻擊源的記錄數(shù)據(jù)等。

4 APT攻擊檢測與防御體系研究

攻擊者通常會針對特定目標創(chuàng)建一系列的攻擊鏈，即使是最有效的網(wǎng)絡安全手段，包括代理服務器、防火墻、VPN和防病毒軟件，也無法獨自抵御APT攻擊。根據(jù)OSI七層模型，沒有一個單獨的層可以防御APT，但它們的組合是一個非常有凝聚力的障礙[4]。因此，最有效的檢測和防御APT攻擊的方式是根據(jù)網(wǎng)絡層級中攻擊的核心技術環(huán)節(jié)進行持續(xù)監(jiān)控，并建立一一對應的抑制點。

4.1 APT攻擊分層模型

根據(jù)APT攻擊的典型特點和生命周期，對APT攻擊進行建模分析[5-7]分兩層表示。

上層為APT攻擊鏈。由偵察、滲透、行動和撤出組成。偵察階段包括主動、被動和半被動三種方式；滲透階段主要包括社會工程學、水坑、接觸式和漏洞四種方式；行動階段主要包括建立指揮控制、控制持久化、信息竊取、實施破壞和橫向移動等一系列過程；撤出階段主要包括回傳敏感數(shù)據(jù)和刪除日志記錄等一系列過程。

下層為APT攻擊樹。在偵察階段中，攻擊者通常會利用端口掃描、操作系統(tǒng)掃描、漏洞掃描等方法進行偵查；在滲透階段中，攻擊者通常會利用魚叉式網(wǎng)絡釣魚、社工字典攻擊、操作系統(tǒng)以及應用系統(tǒng)漏洞攻擊；在行動階段中，攻擊者通常會采用加密通信和隱蔽通信、放置后門及木馬程序、搜集各種信息等；在撤出階段中，攻擊者通常會進行回傳路徑確定及日志信息銷毀工作。

從上述模型可以總結出 APT 攻擊主要依賴網(wǎng)絡結構以及操作系統(tǒng)與應用漏洞等關鍵信息實施攻擊。

4.2 檢測與防御體系

根據(jù)APT攻擊分層模型，任何APT攻擊都是基于對OSI協(xié)議棧上層或底層的攻擊，而且會在棧上多個層次尋找漏洞來實現(xiàn)攻擊的最終目的[8]。因此，APT攻擊檢測防御體系需要嚴格遵循縱深防御的安全理念，按照網(wǎng)絡安全的分層方法，采取措施在每一層中檢測威脅，對其做出反應并消除威脅，如圖1所示，分別從物理層、網(wǎng)絡層、應用層和數(shù)據(jù)層四個方面對APT攻擊進行檢測和防御，以部署防護硬件和軟件探針的方式，在網(wǎng)絡結構的不同層次監(jiān)控和生成安全事件，推送至下一代SIEM引擎進行存儲檢索和關聯(lián)分析。

4.2.1 檢測與防御技術

首先，針對物理層，在網(wǎng)絡及終端設備上安裝防病毒軟件，用于掃描流經(jīng)網(wǎng)絡中各節(jié)點上的所有網(wǎng)絡數(shù)據(jù)包，以及壓縮和加密文件。

其次，針對網(wǎng)絡層，一方面在網(wǎng)絡邊界處部署網(wǎng)絡防火墻和入侵防御系統(tǒng)，前者用于檢測通過它的每一個數(shù)據(jù)包，決定這個數(shù)據(jù)包是允許進入網(wǎng)絡還是將其阻止在外，后者深入監(jiān)控網(wǎng)絡流量和漏洞，尤其是在配置0day威脅最小化機制的前提下，可以完成基于異常統(tǒng)計和漏洞簽名的檢測。另一方面，在物理網(wǎng)絡層部署透明防火墻，根據(jù)攔截規(guī)則和默認通過規(guī)則，判斷所有的數(shù)據(jù)包以決定數(shù)據(jù)包是否允許通過，如果這個數(shù)據(jù)包允許通過，就被轉發(fā)到其他網(wǎng)絡接口，可以限制內(nèi)部用戶訪問內(nèi)部的資源。

第三，在應用層補充實現(xiàn)Web應用防護、電子郵件保護、僵尸網(wǎng)絡檢測、沙箱檢測等高級防御功能，以保障應用服務的安全運行。

第四，在數(shù)據(jù)層，一方面對數(shù)據(jù)庫的用戶操作進行審計，另一方面對內(nèi)部數(shù)據(jù)的流轉進行審計。

通過對上述四個網(wǎng)絡層次的安全監(jiān)控，將主機活動、網(wǎng)絡活動、漏洞信息、資產(chǎn)信息、郵件活動、數(shù)據(jù)活動、賬號活動等信息集中采集，并報送SIEM平臺進行數(shù)據(jù)挖掘分析，一方面用于對整體網(wǎng)絡安全態(tài)勢進行監(jiān)控，一方面用于發(fā)現(xiàn)網(wǎng)絡中更多未知的安全威脅，從而有效抵御APT攻擊。

4.2.2 下一代SIEM技術

安全信息與事件管理（簡稱SIEM）是整個體系的核心，它負責從各種安全設備或軟件生成的數(shù)據(jù)源收集信息，持久化存儲信息，在不同事件之間關聯(lián)，創(chuàng)建關聯(lián)規(guī)則或警報，分析數(shù)據(jù)并使用可視化手段監(jiān)控數(shù)據(jù)。

傳統(tǒng)的SIEM平臺普遍使用“日志歸一化”技術進行日志關聯(lián)分析，這種靜態(tài)數(shù)據(jù)模型很難適配各種異構日志，而且不論寬表設計的字段如何全面也難以百分百匹配全部日志，并且可能存在大量冗余空白字段，不利于數(shù)據(jù)分析和可視化展示。在新的技術體系下，下一代SIEM設計采用動態(tài)數(shù)據(jù)模型的建模技術，利用Hive的Schema on read模式進行數(shù)據(jù)存儲，收集到的各種異構數(shù)據(jù)可不做任何處理直接存儲在分布式文件系統(tǒng)中，作為第一層原始數(shù)據(jù)存儲。在原始數(shù)據(jù)層之上建立模型存儲層，包括實體-關系-標簽和相關算法的關聯(lián)數(shù)據(jù)模型。每個模型都是為了描述實體和關系的集合而構建的，實體用于描述某個客觀的對象，如IP、域名、URL等，關系是表示對象和對象之間的聯(lián)系、事件、行為，一般對應原始數(shù)據(jù)存儲層中的各種日志，如登錄成功、訪問域名、訪問URL、攻擊某個IP等。模型中的每個實體和關系都來自一個或多個日志中抽取的數(shù)據(jù)，模型能夠將不同的數(shù)據(jù)源聚合成一個邏輯視圖。

通過動態(tài)數(shù)據(jù)建模技術，所有異構數(shù)據(jù)通過一個關聯(lián)數(shù)據(jù)模型將其集成在一起，以實現(xiàn)利用一個線索擴展調查整個事件。這個關聯(lián)數(shù)據(jù)模型不再是完全固定的，而是可以根據(jù)不同的場景和業(yè)務需求設定不同的關聯(lián)數(shù)據(jù)模型。最終建立起一個非常靈活和強有力的SIEM平臺，分析模型完全與底層數(shù)據(jù)解耦，并且實體關系是一種業(yè)務視角出發(fā)的數(shù)據(jù)建模方法，可以為平臺用戶提供一種以安全業(yè)務視角的數(shù)據(jù)發(fā)現(xiàn)、模型探索的工具，可以迅速的理解數(shù)據(jù)、應用數(shù)據(jù)，并支撐安全分析模型的快速開發(fā)。

5 結束語

以上是基于下一代SIEM的APT檢測與防御體系的研究，雖然能夠從整體上提供一個可行的解決方案，但并不能夠對檢測與防御APT的全部手段和技術進行列舉和介紹。APT防御手段還包括深度學習等技術，需要通過累積經(jīng)驗進行持續(xù)監(jiān)控、不斷適應和學習。因此，還應該考慮基于神經(jīng)網(wǎng)絡，分別從可擴展的檢測器、主機分類監(jiān)控、攻擊源監(jiān)控、網(wǎng)絡流量監(jiān)控等方面，加強對企業(yè)內(nèi)部數(shù)據(jù)流轉的監(jiān)控，從而在正常的網(wǎng)絡流量中尋找異常行為。

總而言之，未來檢測和防御APT的研究工作需要深入了解網(wǎng)絡內(nèi)部各個安全點之間的綜合信息交換，加強硬件及軟件的安全配置，加強相關安全人員的安全意識和技術培訓，對網(wǎng)絡流量及訪問行為進行嚴格審計，制定更加詳細的攻擊應對方案，并確保全面防護的高級預防和檢測。

參考文獻

[1] 崔翔，劉潮歌，程學旗.APT分析與大數(shù)據(jù)計算思考[J].中國信息安全， 2014（01）：102-104.

[2] 張瑜，潘小明，等.APT攻擊與防御[J].清華大學學報（自然科學版）， 2017，57（11）：1127-1133.

[3] 吳少華，胡勇.社會工程在APT攻擊中的應用與防御[J].信息安全與通信保密， 2014（10）：93-95+99.

[4] Rot A， Olszewski B. Advanced Persistent Threats Attacks in Cyberspace. Threats， Vulnerabilities， Methods of Protection[C]. Federated Conference on Computer Science and Information Systems. 2017：113-117.

[5] 譚韌，殷肖川，焦賢龍，廉哲，陳玉鑫.一種軟件定義APT攻擊移動目標防御網(wǎng)絡架構[J].山東大學學報（理學版），2018，53（01）：38-45.

[6] 譚韌，殷肖川，廉哲，陳玉鑫.APT攻擊分層表示模型[J].計算機應用， 2017，37（09）：2551-2556.

[7] 樊雷，余江明，雷英杰.面向APT攻擊的分層表示模型[J].計算機工程， 2018，44（08）：155-160.

[8] Jover R.P. Giura P.， How vulnerabilities in wireless networks can enable Advanced Persistent Threats， International Journal on Information Technology （IREIT），2013，（1）：145-151.

[9] 沈立君.APT攻擊威脅網(wǎng)絡安全的全面解析與防御探討[J].信息安全與技術， 2015，6（08）：66-70.