趙剛 朱麗 肖毅

摘 要：作為網(wǎng)絡運營環(huán)境中的一項安全隱患，APT攻擊憑借專業(yè)性、隱匿性的攻擊模式，非法竊取網(wǎng)絡用戶的數(shù)據(jù)信息，嚴重擾亂整體網(wǎng)絡環(huán)境。基于此，本文論述了APT攻擊行為，分析了APT攻擊檢測形式，并以活動行為特征為載體，對APT攻擊檢測方法進行研究。

關鍵詞：活動行為特征;APT;攻擊檢測方法

中圖分類號：TP309文獻標識碼：A文章編號：1003-5168（2020）17-0038-03

Research on APT Attack Detection Method Based on Active Behavior Characteristics

ZHAO Gang ZHU Li XIAO Yi

（Chuanda Kehong New TechnologyInstitute of Sichuan University，Chengdu Sichuan 610064）

Abstract： As a potential security hazard in the network operating environment， APT attacks rely on professional and covert attack modes to illegally steal data information from network users and seriously disrupt the overall network environment. Based on this， this paper discussed the APT attack behavior， analyzed the APT attack detection form， and took the activity behavior characteristics as the carrier to study the APT attack detection method.

Keywords： activity behavior characteristics;APT;attack detection method

開源式、分布式的網(wǎng)絡運營環(huán)境中，數(shù)據(jù)信息傳遞呈現(xiàn)一定的規(guī)律性。對于用戶來講，此類規(guī)律特征屬于一種定向化的指令操控行為;對于具有記憶功能的網(wǎng)絡系統(tǒng)來講，它將實現(xiàn)自主優(yōu)化，為用戶提供更為便捷的模式。但受用戶操作行為的差異性影響，它將為網(wǎng)絡病毒及攻擊者提供可乘之機，進而令網(wǎng)絡用戶的數(shù)據(jù)信息丟失?，F(xiàn)階段，網(wǎng)絡安全影響性最大的網(wǎng)絡攻擊行為是APT攻擊模式，此類攻擊手段可全方位地滲透到網(wǎng)絡結構中，針對信息目標進行全過程跟蹤，查驗數(shù)據(jù)信息存在的運行規(guī)律，然后潛伏在數(shù)據(jù)庫內(nèi)，對網(wǎng)絡結構內(nèi)的信息進行竊取。APT攻擊模式具有周期性長、隱蔽性高、影響面大特點[1-2]，對于綜合性、復雜性運營的網(wǎng)絡結構來講，將帶來一定的挑戰(zhàn)。為保證網(wǎng)絡環(huán)境下用戶信息安全，相關技術部門必須針對APT攻擊特性進行分析，查證出APT攻擊路徑及攻擊預期行為，以制定多方位的安全保障機制，提高網(wǎng)絡運營質量。

1 APT攻擊行為概述

高級持續(xù)威脅攻擊（APT）形式的出現(xiàn)最早可追溯到2008年底，網(wǎng)絡間諜組織對很多國家的計算機系統(tǒng)進行攻擊，竊取關鍵信息，此類攻擊形式具有針對性、復雜性。攻擊者具備專業(yè)的計算機知識，通過建立網(wǎng)絡結構的信息節(jié)點，入侵既定的網(wǎng)絡攻擊目標，達到非法竊取信息的目的。此類攻擊形式具有一定的潛伏特性，現(xiàn)有的網(wǎng)絡安全防護機制難以查驗出攻擊行為所產(chǎn)生的異常狀態(tài)。APT攻擊過程一般可分為三個階段。

1.1 前期準備階段

在對網(wǎng)絡系統(tǒng)發(fā)起攻擊前，攻擊者先收集網(wǎng)絡系統(tǒng)目標的相關信息，如系統(tǒng)信息、軟件信息、整體配置等。當然，因目標用戶所在網(wǎng)絡環(huán)境中的運行行為不同，攻擊者收取情報的手段呈現(xiàn)出多變性。例如，采用人工記錄形式、網(wǎng)絡爬蟲形式等，獲取與分析目標在網(wǎng)絡環(huán)境中產(chǎn)生的信息行為，進一步找出網(wǎng)絡結構內(nèi)系統(tǒng)存在的漏洞，并以此漏洞為核心，制定多方位的入侵計劃。

1.2 攻擊入侵階段

前期入侵方案制定完畢以后，攻擊者便選取適當?shù)墓羰侄蝸砣肭帜繕怂诘木W(wǎng)絡環(huán)境。通常，攻擊者會對不具備網(wǎng)絡安全意識的用戶采取攻擊行為。例如，發(fā)送帶有病毒的窗口鏈接或者是帶有病毒的電子郵件，當員工郵件或網(wǎng)頁被瀏覽時，內(nèi)部存在的惡意代碼或病毒將自動由網(wǎng)絡協(xié)議入侵到用戶的信息業(yè)務層，以抓取用戶的信息傳輸路徑。此類惡意代碼及病毒屬于安全協(xié)議下的傳輸行為，以操作系統(tǒng)的漏洞來實現(xiàn)病毒滲透，一旦用戶打開郵件或網(wǎng)頁，即對內(nèi)部信息的傳輸進行認可，而此時計算機安全防護系統(tǒng)將把此類信息界定為安全信息。

1.3 持續(xù)攻擊階段

此類攻擊階段可以看成是病毒在網(wǎng)絡系統(tǒng)中的縱向發(fā)展階段。當系統(tǒng)未發(fā)現(xiàn)內(nèi)部信息所存在的病毒時，病毒將沿著網(wǎng)絡結構內(nèi)信息傳輸路徑滲透到各個信息承載節(jié)點上，然后將數(shù)據(jù)設備的承接載體進行程序化控制。當控制完設備以后，逐步對權限進行開放設定，令后續(xù)病毒滲透，可直接侵入頂層權限設備，以竊取計算機設備內(nèi)的各類信息資源。當完成數(shù)據(jù)資源的竊取時，病毒仍然不會停止對計算機的攻擊，甚至將進一步擴大病毒損害，對計算機設備的物理層進行毀滅性打擊，計算機設備內(nèi)的數(shù)據(jù)信息完全丟失。

2 APT攻擊檢測形式

信息化時代，大型網(wǎng)絡攻擊事件頻發(fā)，APT高級持續(xù)威脅攻擊也逐漸成為一種定性的攻擊框架。依據(jù)各類攻擊事件的回顧，大多數(shù)APT攻擊具有潛伏性和持續(xù)性，通過潛入特定病毒，分析系統(tǒng)內(nèi)部信息變化規(guī)律，然后通過信息傳輸路徑找尋和盜取核心數(shù)據(jù)。目前，網(wǎng)絡安全防護對于APT攻擊行為的檢測主要分為兩種形式[3-5]。

2.1 網(wǎng)絡入侵檢測模式

網(wǎng)絡入侵檢測模式主要界定APT攻擊信息的邊緣范疇，將防護與檢測相結合。其檢測機理是以APT內(nèi)的惡意代碼建構指令為框架，對APT攻擊行為進行檢測。盡管此類檢測機制可對APT在網(wǎng)絡邊界處的入侵行為進行檢測，但是其無法正確診斷APT攻擊方式，在多元化攻擊方式下，將難以對APP攻擊行為進行針對性檢測。

2.2 惡意代碼檢測模式

惡意代碼檢測模式是一種基礎檢測手段，主要作用于APT，分析網(wǎng)絡內(nèi)單體節(jié)點的攻擊，其針對APT網(wǎng)絡環(huán)境下的惡意代碼傳輸進行檢測，有效防護計算機用戶的硬件設備。惡意代碼檢測模式具有很強的針對性，可精準查驗出APT攻擊行為，但大數(shù)據(jù)時代，網(wǎng)絡數(shù)據(jù)信息趨于整合，其將為惡意代碼的輸入提供耦合場所。惡意代碼檢測機制將消耗大量資源來核驗內(nèi)部數(shù)據(jù)信息，增加網(wǎng)絡運營模式的冗余性，降低數(shù)據(jù)信息在網(wǎng)絡內(nèi)的傳輸質量。

3 基于活動行為特征的APT攻擊檢測方法

在對網(wǎng)絡用戶進行攻擊時，APT攻擊行為信息網(wǎng)絡環(huán)境中的傳輸模式呈現(xiàn)出對等話。在查驗網(wǎng)絡系統(tǒng)內(nèi)的病毒環(huán)境時，人們需要分析計算機用戶不存在病毒的數(shù)據(jù)行為，以便更加精準地分析出病毒。在某一時間段內(nèi)，計算機用戶的數(shù)據(jù)行為如表1所示。

由表1數(shù)據(jù)可知，用戶使用計算機設備時，各項數(shù)據(jù)呈現(xiàn)出一定的規(guī)律性，即便數(shù)據(jù)偏差出現(xiàn)變動，變動范圍也將呈現(xiàn)出一定的區(qū)域性。在對計算機用戶進行入侵時，APT攻擊發(fā)起的是針對性攻擊行為，依據(jù)用戶信息獲取形式，將病毒滲透到信息傳輸路徑中，但在攻擊存在的生命周期內(nèi)，病毒及惡意編碼程序的侵入將在網(wǎng)絡運營路徑中留下相關痕跡。以木馬病毒的侵入為例，從活動行為特征來看，木馬病毒在侵入內(nèi)部系統(tǒng)時將會在網(wǎng)絡結構內(nèi)植入數(shù)據(jù)信息，其內(nèi)部活動行為產(chǎn)生的向量特征與計算機程序呈現(xiàn)分離特性，這就為計算機內(nèi)木馬病毒的合法實現(xiàn)路徑提供有效載體。在具體識別中，計算機安全防護體系未能針對木馬病毒的特征向量，分析出木馬病毒的行動軌跡。從木馬病毒的生存特點來看，其在計算機網(wǎng)絡體系中可分為三個層面，即病毒植入、病毒潛伏、病毒觸發(fā)，每個病毒執(zhí)行層面都有與之相對應的向量特征。例如，病毒植入方面，承接計算機設備運行的遍歷目錄與注冊創(chuàng)建，兩者的出現(xiàn)頻數(shù)、出現(xiàn)頻率與基準參數(shù)有一定偏差，當然，此類偏差與計算機用戶正常操作所產(chǎn)生的動態(tài)差異相比，相差較為明顯，一旦此類數(shù)據(jù)表現(xiàn)異常，應針對此類信息節(jié)點所產(chǎn)生的特征向量進行測定。

為最大限度地提高木馬與計算機內(nèi)程序之間的分離效率，依托特征向量算法與模糊識別算法，對數(shù)據(jù)庫內(nèi)信息參數(shù)的特征向量進行維數(shù)分析。人們可以通過信息量之間的恒定差別來界定出特征向量組與信息節(jié)點基準向量之間的相關性，然后將特征向量數(shù)據(jù)信息模型中映射出的值量從大到小進行有序排列，分析出木馬病毒在網(wǎng)絡數(shù)據(jù)結構中的向量表性特征。在進行數(shù)據(jù)界定時，針對網(wǎng)絡結構內(nèi)的可疑程序，可建構一種虛擬映射環(huán)境，將信息行為所表現(xiàn)出的特征量同步轉移到虛擬環(huán)境的網(wǎng)絡架構中，然后將此類信息節(jié)點所呈現(xiàn)的特征向量當成病毒與程序器之間的輸入載體，最后通過相關算法，正確界定出信息節(jié)點特征量所呈現(xiàn)出的線性關系。

APT攻擊檢測體系一般可分為兩個系統(tǒng)。一是采集系統(tǒng)，對網(wǎng)絡架構內(nèi)的信息流量業(yè)務、協(xié)議傳輸模式、特征匹配等信息進行整合。二是分析系統(tǒng)，對采集系統(tǒng)傳遞的信息進行寫入，然后對信息內(nèi)特征向量與基準向量進行比對，判定信息安全事件，如果信息存在安全問題，將自動觸發(fā)告警事件并將其寫入系統(tǒng)。APT攻擊檢測系統(tǒng)是針對攻擊行為而設定的，考慮到APT攻擊行為的不可避免性，要想最大限度地檢測攻擊行為，必須結合網(wǎng)絡運營環(huán)境來制定完整的防護計劃，避免因用戶操作不當而造成病毒進入系統(tǒng)，最終提高網(wǎng)絡運營質量。

4 結語

網(wǎng)絡運營環(huán)境下，APT攻擊行為對網(wǎng)絡用戶造成的影響較為嚴重。網(wǎng)絡安全技術部門必須針對APT攻擊行為制定全方位的管控機制，深入分析APT攻擊行為，結合網(wǎng)絡運營模式，制定有效的解決措施。未來，要從技術、人員操控以及法律法規(guī)角度來建構多維度的安全防控機制，為網(wǎng)絡安全環(huán)境的常態(tài)化運行提供基礎保障。

參考文獻：

[1]余建，肖香梅，余瓊.校園網(wǎng)中一種基于路徑關聯(lián)的APT檢測系統(tǒng)關鍵技術研究[J].龍巖學院學報，2018（2）：53-60.

[2]菅華.淺談APT攻擊的檢測和防御[C]//內(nèi)蒙古通信學會2017年學術年會.2017.

[3]鄭生軍，范維，李大威，等.一種基于特征檢測的APT攻擊防御方案[J].信息技術，2017（7）：87-90.

[4]宋慶峰.基于全流量大數(shù)據(jù)分析技術構建電視臺總控APT攻擊檢測系統(tǒng)方法初探[C]//中國新聞技術工作者聯(lián)合會2015年學術年會.2015.

[5]胡楠，冉冉，呂旭明，等.基于網(wǎng)絡APT攻擊防護的網(wǎng)絡安全預警技術[J].電氣應用，2015（1）：340-342.