一種基于特征檢測(cè)的APT攻擊防御方案

趙 剛，朱 麗，肖 毅

(成都川大科鴻新技術(shù)研究所，成都 610064)

1 APT攻擊防御流程解析

1.1 APT攻擊特征

第一，專(zhuān)業(yè)性。網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境本身屬于一項(xiàng)綜合型、復(fù)雜型的工作系統(tǒng)，數(shù)據(jù)信息在內(nèi)部進(jìn)行傳輸時(shí)，分為多架構(gòu)分布式的模式，且開(kāi)源式信息的傳輸路徑由信息節(jié)點(diǎn)與承接信息節(jié)點(diǎn)的載體來(lái)決定，這就增加信息傳輸中的不確定性。對(duì)于攻擊者來(lái)講，要想最大限度地對(duì)某一類(lèi)信息進(jìn)行針對(duì)化獲取，攻擊者需在具有冗余性信息的網(wǎng)絡(luò)環(huán)境中尋找到此類(lèi)信息節(jié)點(diǎn)，其需要攻擊者具有較高的專(zhuān)業(yè)技能，深度了解網(wǎng)絡(luò)防御架構(gòu)，且能夠同時(shí)運(yùn)用多種攻擊手段，來(lái)面對(duì)不同信息傳輸路徑。所以，APT攻擊針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的運(yùn)行形式具有相對(duì)的專(zhuān)業(yè)性與針對(duì)性。

第二，滲透性。APT攻擊正確界定好信息目標(biāo)后，一般通過(guò)長(zhǎng)時(shí)間的網(wǎng)絡(luò)分析來(lái)制定出周密的侵入計(jì)劃，其可隨著信息流通路徑進(jìn)行跟隨，或者是通過(guò)信息引復(fù)制進(jìn)行侵入，長(zhǎng)時(shí)間地潛伏在目標(biāo)信息的流通節(jié)點(diǎn)下。APT通過(guò)對(duì)數(shù)據(jù)信息進(jìn)行敏感度確定，然后針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)中的安全防護(hù)機(jī)制進(jìn)行試探，與攻擊正確界定出網(wǎng)絡(luò)通信體系下的安全防護(hù)等級(jí)，然后通過(guò)自主優(yōu)化手段制定出較為嚴(yán)謹(jǐn)?shù)墓舴桨?，以保證在最短的時(shí)間內(nèi)攻克網(wǎng)絡(luò)安全防護(hù)體系，獲得相關(guān)數(shù)據(jù)信息。

第三，危害性。獲得攻擊目標(biāo)信息以后，其并不是以信息竊取為終結(jié)，而是仍對(duì)既定的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行繼續(xù)侵害，將病毒擴(kuò)散到更多的信息傳輸架構(gòu)內(nèi)，以獲取網(wǎng)絡(luò)組織中核心價(jià)值信息，進(jìn)而令整體網(wǎng)絡(luò)造成嚴(yán)重的信息傳輸癱瘓問(wèn)題。

1.2 APT攻擊過(guò)程

鎖定式攻擊。APT在攻擊過(guò)程中，先對(duì)信息目標(biāo)進(jìn)行界定，然后通過(guò)目標(biāo)在網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境中的活動(dòng)路徑，向目標(biāo)傳達(dá)帶有病毒的郵件或是推特，然后通過(guò)目標(biāo)，對(duì)網(wǎng)絡(luò)操作環(huán)境中的規(guī)律進(jìn)行特征分析，尋找信息目標(biāo)存在的安全漏洞。

利用漏洞進(jìn)行攻擊。在確定好攻擊目標(biāo)以后，攻擊者侵入目標(biāo)的電腦設(shè)備，針對(duì)目標(biāo)電腦設(shè)備內(nèi)軟件等應(yīng)用程序存在的漏洞，進(jìn)行病毒的設(shè)定，當(dāng)用戶(hù)在病毒程序中輸入相關(guān)權(quán)限信息后，攻擊者將立即對(duì)信息進(jìn)行復(fù)制，然后在用戶(hù)空閑時(shí)間內(nèi)，操控病毒軟件，對(duì)用戶(hù)設(shè)備中的價(jià)值信息進(jìn)行竊取。此類(lèi)信息截取過(guò)程具有一定的潛伏性，且信息讀取過(guò)程無(wú)法被既定的網(wǎng)絡(luò)安全防護(hù)機(jī)制所檢測(cè)到，將加大網(wǎng)絡(luò)安全運(yùn)營(yíng)問(wèn)題。

系統(tǒng)控制攻擊。當(dāng)攻擊者網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)長(zhǎng)時(shí)間潛伏以后，通過(guò)對(duì)用戶(hù)的日常操作行為進(jìn)行規(guī)律查驗(yàn)，然后在特定的時(shí)間段內(nèi)向用戶(hù)下達(dá)代碼及病毒程序，令主機(jī)設(shè)備下載相關(guān)軟件，此時(shí)軟件對(duì)于設(shè)備安全系統(tǒng)來(lái)講屬于認(rèn)證的用戶(hù)，當(dāng)帶有病毒的程序得到網(wǎng)絡(luò)協(xié)議的認(rèn)可，為APT攻擊規(guī)避了安全系統(tǒng)的檢測(cè)，系統(tǒng)內(nèi)病毒程序?qū)⒆詣?dòng)對(duì)計(jì)算機(jī)設(shè)備的主系統(tǒng)進(jìn)行操控。

1.3 APT防御措施

當(dāng)前網(wǎng)絡(luò)安全系統(tǒng)對(duì)于APT攻擊的防護(hù)策略一般有以下幾種實(shí)現(xiàn)方式。首先，通過(guò)大數(shù)據(jù)技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的數(shù)據(jù)信息進(jìn)行價(jià)值挖掘，檢測(cè)到數(shù)據(jù)信息運(yùn)營(yíng)中存在的異常狀態(tài)，然后分析出數(shù)據(jù)信息結(jié)構(gòu)內(nèi)的威脅問(wèn)題。其次，主動(dòng)分析APT攻擊鏈條，通過(guò)APT數(shù)據(jù)模型的潛入模式，對(duì)APT攻擊特征行為進(jìn)行檢測(cè)與分析，然后以目標(biāo)信息的運(yùn)行路徑對(duì)APT攻擊手段進(jìn)行反向檢測(cè)，發(fā)現(xiàn)APT攻擊行為，進(jìn)而對(duì)APT攻擊進(jìn)行阻止。最后，考慮到APT攻擊問(wèn)題的不可規(guī)避性因素，在網(wǎng)絡(luò)安全防護(hù)中要想提高檢測(cè)機(jī)制，需對(duì)APT的攻擊行為進(jìn)行主動(dòng)檢測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)用戶(hù)信息行為存在的異常特性，針對(duì)異常狀態(tài)的網(wǎng)絡(luò)協(xié)議及DNS進(jìn)行全路徑跟蹤，以制定完整的網(wǎng)絡(luò)防御體系，降低APT攻擊危害。

2 基于特征檢測(cè)的APT攻擊防御方案實(shí)現(xiàn)模式

2.1 可信業(yè)務(wù)模塊的設(shè)定

APT攻擊一般是針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)的業(yè)務(wù)信息層進(jìn)行攻擊，而對(duì)于網(wǎng)絡(luò)運(yùn)作體系來(lái)講，其屬于信息持續(xù)性傳播的一種有效載體，通過(guò)各類(lèi)信息節(jié)點(diǎn)，對(duì)數(shù)據(jù)信息定向傳輸，來(lái)保證承接互聯(lián)網(wǎng)體系運(yùn)行的企業(yè)實(shí)現(xiàn)數(shù)據(jù)的高質(zhì)量傳輸?？尚艠I(yè)務(wù)模塊的設(shè)定可將其界定為持續(xù)性防御層面，即針對(duì)信息傳輸路徑來(lái)制定跟隨性、持續(xù)性的防御機(jī)制，以對(duì)APT攻擊形成同步防護(hù)。

在制定業(yè)務(wù)流防御體系時(shí)，通過(guò)內(nèi)部數(shù)據(jù)信息傳輸特征進(jìn)行檢測(cè)，例如：訪問(wèn)時(shí)間協(xié)議入口、信息傳輸路徑等，將此類(lèi)信息模式作為特征檢測(cè)的基準(zhǔn)，同時(shí)也可將其界定為企業(yè)網(wǎng)絡(luò)運(yùn)行的一種常態(tài)機(jī)制，然后深度分析出每一類(lèi)信息在網(wǎng)絡(luò)結(jié)構(gòu)內(nèi)所占用的資源，從而達(dá)到數(shù)據(jù)精準(zhǔn)檢測(cè)的目的。另外，考慮到企業(yè)網(wǎng)絡(luò)運(yùn)行的持續(xù)性，固定時(shí)間段內(nèi)呈現(xiàn)出信息傳輸峰值，此時(shí)信息傳輸節(jié)點(diǎn)在同一時(shí)間下將面臨著一定的冗余性問(wèn)題，企業(yè)需針對(duì)網(wǎng)絡(luò)運(yùn)作模式來(lái)建立信息流量傳輸?shù)目煽空J(rèn)證機(jī)制，將檢測(cè)威脅作為主要安全防護(hù)手段。

2.2 未知威脅檢測(cè)模型的設(shè)定

針對(duì)APT攻擊形式所設(shè)定的威脅檢測(cè)模型分為4個(gè)環(huán)節(jié)：

第一，數(shù)據(jù)統(tǒng)計(jì)模型的設(shè)定。針對(duì)企業(yè)網(wǎng)絡(luò)運(yùn)行模式下的信息流量進(jìn)行特征統(tǒng)計(jì)，例如同一時(shí)間節(jié)點(diǎn)下信息峰值情況、時(shí)間段內(nèi)信息傳輸規(guī)律、不同部門(mén)工作時(shí)間下網(wǎng)絡(luò)結(jié)構(gòu)的信息訪問(wèn)途徑。綜合上述信息特征來(lái)建立基于企業(yè)運(yùn)行的數(shù)據(jù)統(tǒng)計(jì)模型，通過(guò)大數(shù)據(jù)技術(shù)、數(shù)據(jù)信息模型內(nèi)的參數(shù)進(jìn)行正確界定，得出某一信息在某一節(jié)點(diǎn)下的運(yùn)行行為及其預(yù)期運(yùn)行路徑，然后生成相關(guān)數(shù)據(jù)和參數(shù)，作為衡量APT攻擊防御的基準(zhǔn)。

第二，檢測(cè)流量偏差。通過(guò)統(tǒng)計(jì)數(shù)據(jù)模型的確定，對(duì)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)中的信息傳輸流量進(jìn)行同步化檢測(cè)，然后將信息確定值反饋到系統(tǒng)，進(jìn)行參數(shù)比對(duì)，如產(chǎn)生的誤差范圍超出固定的閾值時(shí)，則表明此類(lèi)信息存在未知風(fēng)險(xiǎn)，此時(shí)數(shù)據(jù)信息模型將對(duì)此類(lèi)信息進(jìn)行標(biāo)記，并及時(shí)反饋到計(jì)算機(jī)系統(tǒng)中向設(shè)備管理員進(jìn)行提示。

第三，數(shù)據(jù)異常分析模型。如發(fā)現(xiàn)某類(lèi)未知威脅，且此類(lèi)未知威脅并不是由系統(tǒng)維護(hù)和升級(jí)造成的，則數(shù)據(jù)信息模型將對(duì)此類(lèi)信息進(jìn)行標(biāo)記，并依據(jù)專(zhuān)家系統(tǒng)及數(shù)據(jù)挖掘技術(shù)對(duì)承載信息的業(yè)務(wù)流進(jìn)行分析。

第四，響應(yīng)模型。當(dāng)系統(tǒng)檢測(cè)到信息業(yè)務(wù)流存在未知威脅時(shí)，系統(tǒng)將自動(dòng)開(kāi)啟防護(hù)舉措對(duì)存在威脅性的信息進(jìn)行訪問(wèn)限制，然后將檢測(cè)到的數(shù)據(jù)實(shí)時(shí)上傳到計(jì)算機(jī)管理界面上。一旦管理員對(duì)此類(lèi)信息確認(rèn)為病毒攜帶載體，則系統(tǒng)自動(dòng)對(duì)信息及其傳輸路徑進(jìn)行全面清查與跟隨式監(jiān)控，以提高網(wǎng)絡(luò)系統(tǒng)的運(yùn)營(yíng)質(zhì)量。

3 結(jié)語(yǔ)

APT攻擊對(duì)網(wǎng)絡(luò)信息結(jié)構(gòu)造成的危害性較大，要想最大限度規(guī)避網(wǎng)絡(luò)攻擊所帶來(lái)的危害，應(yīng)深度分析APT攻擊特性，并建立多方位特征檢測(cè)手段，深度挖掘出信息存在的安全隱患，為網(wǎng)絡(luò)安全運(yùn)營(yíng)奠定堅(jiān)實(shí)基礎(chǔ)。