羅震宇 李寒箬

【摘 要】現(xiàn)階段網(wǎng)絡(luò)中存在著諸多攻擊行為，APT攻擊受到人們的重點(diǎn)關(guān)注。在安全日志的基礎(chǔ)上對(duì)APT攻擊的檢測(cè)，通常會(huì)先構(gòu)建攻擊模型接著把日志和模型關(guān)聯(lián)到一起，但是這對(duì)模型完整度的依賴性較高，不完整的模型會(huì)使一些警報(bào)不能匹配從而被遺漏，對(duì)于完整APT攻擊模型的構(gòu)建工作也是較為復(fù)雜的。就這個(gè)問題而言，本文研究和分析了從安全日志中挖掘攻擊場(chǎng)景模型的方法，進(jìn)行了一系列的相關(guān)研究工作，為檢測(cè)APT提供有效依據(jù)。先介紹了殺傷鏈模型，接著對(duì)APT攻擊以及模糊聚類做出了闡述，而后研究了攻擊場(chǎng)景的挖掘方法，以供相關(guān)人員進(jìn)行參考。

【關(guān)鍵詞】APT;殺傷鏈;模糊聚類;關(guān)聯(lián);攻擊場(chǎng)景

引言

電力公司信息中心比較重視網(wǎng)絡(luò)安全，信息化程度較高，網(wǎng)絡(luò)架構(gòu)在安全設(shè)計(jì)方面，目前已達(dá)到高強(qiáng)度的保護(hù)等級(jí)，在各職能部門網(wǎng)絡(luò)部署如防火墻、入侵檢測(cè)、防毒墻等多種安全設(shè)備，防御病毒和黑客等威脅對(duì)內(nèi)網(wǎng)的入侵。但隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，安全形勢(shì)和特點(diǎn)已有所變化，網(wǎng)絡(luò)威脅已從外部攻擊向內(nèi)部攻擊轉(zhuǎn)變、從惡意病毒碼傳播向異常行為攻擊轉(zhuǎn)變、從單一的通信協(xié)議偽裝向高層的應(yīng)用服務(wù)滲透……這些安全趨勢(shì)的變化，已經(jīng)給電力公司信息中心及下屬各單位網(wǎng)絡(luò)帶來嚴(yán)重的潛在威脅和風(fēng)險(xiǎn)。如何對(duì)網(wǎng)絡(luò)威脅即時(shí)檢測(cè)，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)主動(dòng)評(píng)估與防范，已成為網(wǎng)絡(luò)管理部門亟待解決的問題。本文正是在此基礎(chǔ)上根據(jù)相關(guān)的理論數(shù)據(jù)以及相應(yīng)有效的計(jì)算設(shè)計(jì)和研究了基于殺傷鏈和模糊聚類的APT攻擊場(chǎng)景生成方法。

1.殺傷鏈模型介紹

殺傷鏈?zhǔn)且粋€(gè)攻擊過程，對(duì)于過程中各個(gè)階段都有各自的攻擊行為與目的，通過日漸的完善與改進(jìn)，主要包含以下幾個(gè)階段：發(fā)現(xiàn)、鎖定、跟蹤、定位、交戰(zhàn)、評(píng)估。相關(guān)研究工作者提出了IKC，這是一種專門用于入侵的殺傷鏈模型，從入侵檢測(cè)方面把攻擊過程細(xì)化為幾個(gè)方面，其中包括：偵查、武器化、散布、惡用、設(shè)置、命令與控制、目標(biāo)達(dá)成。

殺傷鏈模型能夠表現(xiàn)出一個(gè)結(jié)構(gòu)，這個(gè)結(jié)構(gòu)能夠分析入侵過程以及發(fā)現(xiàn)相關(guān)的攻擊特征，其符合網(wǎng)絡(luò)攻擊的相關(guān)特點(diǎn)，給防御和檢測(cè)攻擊行為提供有效的依據(jù)，在APT相關(guān)研究工作中也會(huì)經(jīng)常應(yīng)用到它。安全防御人員可以通過殺傷鏈模型來檢測(cè)攻擊行為，并據(jù)此制定和實(shí)施相應(yīng)的對(duì)策，并對(duì)其他類似攻擊能有效進(jìn)行防御，降低系統(tǒng)和網(wǎng)絡(luò)在面對(duì)網(wǎng)絡(luò)攻擊時(shí)的損失。

2.APT攻擊

2.1 相關(guān)概念

2006年美國(guó)波音公司提出了APT攻擊的概念，這是APT概念首次的提出，其主要是指具有明確目的性的、時(shí)間持續(xù)的、高級(jí)的復(fù)雜網(wǎng)絡(luò)攻擊。谷歌公司在2010年遭受到高級(jí)的復(fù)雜網(wǎng)絡(luò)進(jìn)攻，從那時(shí)開始相關(guān)的行業(yè)以及相應(yīng)的研究工作者開始重點(diǎn)關(guān)注APT。

現(xiàn)階段來看APT攻擊的定義存在差異，這主要源于不同機(jī)構(gòu)對(duì)其有著不同的定義，美國(guó)NIST定義APT為：APT攻擊是攻擊者利用先進(jìn)的專業(yè)知識(shí)和有效資源，通過多種攻擊途徑（如網(wǎng)絡(luò)物理設(shè)施和欺騙等），在特定組織的信息技術(shù)基礎(chǔ)設(shè)施上建立立足點(diǎn)并進(jìn)行轉(zhuǎn)移，以達(dá)到竊取敏感數(shù)據(jù)、破壞程序或關(guān)鍵系統(tǒng)、阻礙任務(wù)、駐留在組織的內(nèi)部進(jìn)行后續(xù)攻擊的目的[1]。

2.2 APT生命周期說明

根據(jù)實(shí)施過程來劃分APT生命周期的階段，其中包括（a）攻擊前奏（b）入侵實(shí)施（c）后續(xù)攻擊。對(duì)于各個(gè)階段來說其都有各自的攻擊方法以及攻擊目的，前期階段的成果為后期階段奠定基礎(chǔ)，從而達(dá)到攻擊者的目的。

（a）攻擊前奏是指通過全面的掃描和探測(cè)，收集信息的一個(gè)階段。通常使用的技術(shù)手段有多種，其中包含以社會(huì)工程學(xué)為基礎(chǔ)的方法、利用大數(shù)據(jù)提取公開信息、掃描探測(cè)目標(biāo)網(wǎng)絡(luò)系統(tǒng)。根據(jù)收集到的相關(guān)情報(bào)攻擊者就能夠有針對(duì)性地制訂相應(yīng)的計(jì)劃。攻擊者這個(gè)階段的一系列操作都是為下一階段奠定了技術(shù)基礎(chǔ)。

（b）入侵實(shí)施階段包含三個(gè)具體環(huán)節(jié)：植入惡意代碼、提升權(quán)限、命令與控制。主要就是指攻擊方對(duì)目標(biāo)開始實(shí)際上的攻擊行為來獲取更高級(jí)別的權(quán)限，接著利用收集到的更有意義的情報(bào)來進(jìn)行滲透，從而達(dá)到增大影響范圍的目的。

（c）在后續(xù)攻擊這個(gè)階段，攻擊者會(huì)開展?jié)摲ぷ鳛榈木褪强梢匀〉酶玫臐B透效果、獲得更多數(shù)量的相關(guān)數(shù)據(jù)，在完成目標(biāo)之后攻擊者也許會(huì)開展破壞工作來抹除相應(yīng)的痕跡，從而增加查證的難度。

2.3 APT檢測(cè)技術(shù)說明

APT與傳統(tǒng)攻擊進(jìn)行比較，其具備諸多特點(diǎn)，其中包括方法的多樣化、持續(xù)時(shí)間久、較高的隱藏能力、攻擊路徑變化較快等方面。根據(jù)APT的這些特點(diǎn)以及在傳統(tǒng)技術(shù)的基礎(chǔ)上，相關(guān)工作者開發(fā)了適用于APT的檢測(cè)技術(shù)：（a）基于網(wǎng)絡(luò)流量的檢測(cè)（b）基于沙箱的檢測(cè)（c）基于惡意代碼的檢測(cè)（d）基于網(wǎng)絡(luò)安全事件挖掘的檢測(cè)（e）基于記憶的檢測(cè)技術(shù)

對(duì)于上述的檢測(cè)技術(shù)，重點(diǎn)講述一下“基于記憶的檢測(cè)技術(shù)”，這種技術(shù)所運(yùn)用的策略是通過時(shí)間來對(duì)抗時(shí)間，將單點(diǎn)進(jìn)行改變的一種方式。一些較為麻煩的多步驟攻擊只有經(jīng)過漫長(zhǎng)時(shí)間日志進(jìn)行關(guān)聯(lián)才能檢測(cè)出，但問題也隨之出現(xiàn)，需要用到相關(guān)的因果理論知識(shí)，攻擊規(guī)則和攻擊模型的構(gòu)建具備一定的主觀性，因此相關(guān)工作者開始自動(dòng)構(gòu)建、自動(dòng)更新的研究工作，降低相關(guān)人工操作，不用工作人員增添相應(yīng)的規(guī)則來完成更新。

3.模糊聚類

模糊聚類中關(guān)鍵的一步就是模糊相似度的函數(shù)計(jì)算，通常來講IDS警報(bào)為非數(shù)值型，對(duì)其進(jìn)行度量所使用的方法如下：

為警報(bào)集， 和 模糊聚類的隸屬函數(shù)定義為 ，其中m為一條警報(bào)的屬性個(gè)數(shù)， 為每個(gè)屬性對(duì)應(yīng)的權(quán)值， 為每個(gè)屬性的相似度隸屬函數(shù)，需要根據(jù)每個(gè)屬性的具體含義制定[1]。

接下來我們進(jìn)行模糊聚類的過程。對(duì)于一條新的警報(bào) ，它與已得到的聚類中的警報(bào) 的距離，或者相似度用下式表示：

其中， 為屬性k的權(quán)重。

（1）攻擊事件。

（2）IP地址

多個(gè)主機(jī)攻擊統(tǒng)一目標(biāo)主機(jī)、一個(gè)主機(jī)攻擊多個(gè)目標(biāo)主機(jī)、跳板式攻擊。

（3）時(shí)間戳

最終總的相似度為

4.攻擊場(chǎng)景挖掘方法

4.1 篩選攻擊序列

根據(jù)相關(guān)的攻擊序列集合來看，每個(gè)集合中警報(bào)間都有著一定的聯(lián)系，這可能開展APT攻擊時(shí)所產(chǎn)生的，但并不是全部的集合都是APT，這就需要我們通過對(duì)有效數(shù)據(jù)和信息的比對(duì)分析來進(jìn)行挖掘。

主要篩選以下幾種情況：將獨(dú)立的報(bào)警刪除;保留攻擊序列的完整程度;保留相關(guān)IP地址;保留DNS惡意分析警報(bào)。

4.2 攻擊場(chǎng)景生成

在攻擊序列向有向圖發(fā)生轉(zhuǎn)變時(shí)將接近攻擊時(shí)間的相同報(bào)警進(jìn)行合并，將警報(bào)合并為一個(gè)節(jié)點(diǎn)，由于攻擊者在進(jìn)行攻擊時(shí)會(huì)應(yīng)用到一些自動(dòng)化，接連發(fā)送惡意請(qǐng)求，導(dǎo)致出現(xiàn)一些時(shí)間相近、事件相同的警報(bào)。

攻擊場(chǎng)景挖掘流程：

—返回第取出ASS攻擊序列一步。滿足的話則——ASi轉(zhuǎn)換為有向圖;

不存在的話——多個(gè)有向圖通過轉(zhuǎn)移矩陣合并為一個(gè)概率攻擊場(chǎng)景圖。

5.結(jié)語

綜上所述，通過對(duì)殺傷鏈模型以及APT攻擊的了解之后，研究了挖掘攻擊場(chǎng)景的相關(guān)技術(shù)，接著介紹了APT場(chǎng)景生成方法的相關(guān)流程，介紹了相應(yīng)模塊的處理和計(jì)算方法。本次研究對(duì)于網(wǎng)絡(luò)威脅檢測(cè)系統(tǒng)的部署，內(nèi)網(wǎng)安全機(jī)制的強(qiáng)化有著一定的積極意義。還要不斷加強(qiáng)即時(shí)檢測(cè)用戶異常行為，監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)自動(dòng)評(píng)估和響應(yīng)，應(yīng)對(duì)信息網(wǎng)絡(luò)環(huán)境變遷迅速及業(yè)務(wù)多元發(fā)展所帶來的隱藏安全威脅，以此確保內(nèi)部網(wǎng)絡(luò)系統(tǒng)相關(guān)信息資產(chǎn)的機(jī)密性、完整性與可用性。

參考文獻(xiàn)：

[1]霍彥宇. 基于殺傷鏈和模糊聚類的APT攻擊場(chǎng)景生成方法的研究與設(shè)計(jì)[D]. 2018.

[2]張玉剛. 基于模糊聚類和因果關(guān)聯(lián)的攻擊場(chǎng)景構(gòu)造方法的研究與實(shí)現(xiàn)[D]. 華中師范大學(xué)， 2009.

[3]蔡虹， 葉水生. 一種基于模糊聚類的組合BP神經(jīng)網(wǎng)絡(luò)數(shù)據(jù)挖掘方法[J]. 南昌航空大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2005， 19（1）：19-23.

[4]齊惠英. 一種基于主成分分析和模糊聚類的入侵檢測(cè)方法[J]. 科技通報(bào)， 2012， 28（12）：51-53.

[5]楊蘋. 基于聚焦式模糊聚類算法的數(shù)據(jù)挖掘故障診斷方法[J]. 動(dòng)力工程學(xué)報(bào)， 2006， 26（4）：511-515.

[6]蔡麗萍， 李茂青. 一種基于模糊聚類的日志挖掘方法及應(yīng)用[C]// 中國(guó)數(shù)據(jù)庫(kù)學(xué)術(shù)會(huì)議. 2004.

作者簡(jiǎn)介：

羅震宇，男，漢族，云南，大學(xué)本科，網(wǎng)絡(luò)及網(wǎng)絡(luò)安全運(yùn)維;

李寒箬，女，云南，大學(xué)本科， 網(wǎng)絡(luò)及網(wǎng)絡(luò)安全運(yùn)維。

（作者單位：1云南電網(wǎng)有限責(zé)任公司信息中心;2云南電網(wǎng)有限責(zé)任公司信息中心）