基于異常外聯(lián)的關(guān)基網(wǎng)絡(luò)入侵檢測方法研究

張增波 韓一劍 牛澤彬

1.公安部第一研究所 2.北京中盾安信科技發(fā)展有限公司

引言

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求的入侵防范要求中明確規(guī)定，應(yīng)采取技術(shù)手段，提高對高級可持續(xù)威脅（APT）等網(wǎng)絡(luò)攻擊行為的入侵防范能力；應(yīng)采取技術(shù)手段，實(shí)現(xiàn)系統(tǒng)主動防護(hù)，及時識別并阻斷入侵和病毒行為。

關(guān)鍵信息基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)對抗是一個動態(tài)相長的過程。這個過程中攻方占優(yōu)勢的情況通常以惡意軟件、漏洞利用、病毒或其他攻擊方式成功入侵了組織的網(wǎng)絡(luò)或系統(tǒng)，當(dāng)攻擊者成功獲取足夠權(quán)限后，會構(gòu)建遠(yuǎn)程控制隧道（Remote Control Tunnel），也稱為“遠(yuǎn)控隧道”“反向隧道”或“外聯(lián)隧道”。

防守方若要發(fā)現(xiàn)攻擊控制的痕跡和通道，必須借助入侵檢測的手段來發(fā)現(xiàn)、分析、溯源攻擊者。本文提出的入侵檢測方案主要是檢測“敵已控我”的網(wǎng)絡(luò)安全事件的線索。此時攻擊者在實(shí)陷的目標(biāo)設(shè)備與攻擊者的控制服務(wù)器之間建立遠(yuǎn)程控制隧道后，它將被用來接收控制指令或?qū)⒈槐I的數(shù)據(jù)傳至控制服務(wù)器中。

一、入侵檢測

入侵檢測技術(shù)是一種通過監(jiān)控和分析系統(tǒng)活動情況來分析并提取入侵行為特征、對入侵行為進(jìn)行實(shí)時響應(yīng)的一種動態(tài)安全技術(shù)。通過監(jiān)視計算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的活動，識別可能的惡意行為或未經(jīng)授權(quán)的訪問嘗試。其主要目的是及時發(fā)現(xiàn)并響應(yīng)安全威脅，保護(hù)計算機(jī)網(wǎng)絡(luò)和系統(tǒng)堡壘。入侵檢測參照攻擊鏈模型，按照攻擊發(fā)生的階段可以劃分為“敵在攻我”和“敵已控我”兩個階段的入侵檢測。

“敵在攻我”顧名思義就是攻擊者正在利用外部的網(wǎng)絡(luò)基礎(chǔ)設(shè)施對我相關(guān)系統(tǒng)發(fā)起掃描探測、漏洞利用、暴力破解等攻擊。而“敵已控我”是指當(dāng)一個組織或網(wǎng)絡(luò)遭受入侵，被攻擊者從內(nèi)部網(wǎng)絡(luò)連接到外部網(wǎng)絡(luò)的情況通常被稱為“入侵被控返聯(lián)”（Compromished and Controlled Outbound Connectivity），也可以稱為“出站控制”（Outbound Command and Control）。

（一）當(dāng)前入侵檢測的主要方法

入侵檢測技術(shù)主要分為基于規(guī)則和基于行為分析兩大類型。比如基于特征選擇、貝葉斯推理、貝葉斯網(wǎng)絡(luò)、模式預(yù)測、基于神經(jīng)網(wǎng)絡(luò)、貝葉斯聚類等方法很多學(xué)者均有研究；此外還有基于操作行為監(jiān)控的入侵檢測，例如有基于條件概率、狀態(tài)遷移分析、鍵盤監(jiān)控、規(guī)則等。

傳統(tǒng)的檢測方式已經(jīng)不再適應(yīng)當(dāng)前的網(wǎng)絡(luò)形勢，基于機(jī)器學(xué)習(xí)的入侵檢測方法不僅能夠應(yīng)對復(fù)雜的網(wǎng)絡(luò)狀況檢測出未知攻擊，而且在檢測精度方面具有突出優(yōu)勢，能夠有效提高檢測率、降低誤報率，是目前研究的主要方向。但隨著目前網(wǎng)絡(luò)規(guī)模的不斷增大，檢測過程也越來越復(fù)雜，如何提高通信效率，保障系統(tǒng)數(shù)據(jù)處理和響應(yīng)速度需要進(jìn)一步研究。

傳統(tǒng)的基于規(guī)則的外聯(lián)檢測方法，過于依賴于漏洞規(guī)則的更新，以及對攻擊者攻擊方法的掌握，其時效性和未知威脅發(fā)現(xiàn)能力明顯不足。

本文提出的異常外聯(lián)入侵檢測方法是一種基于規(guī)則的檢測方法，但是采用了主動探測和被動檢測的方式來主動發(fā)現(xiàn)外聯(lián)行為，并有效結(jié)合了云端威脅情報能力，相對于傳統(tǒng)基于規(guī)則的外聯(lián)檢測方法，本文的方法主動發(fā)現(xiàn)能力和時效性要高；相對機(jī)器學(xué)習(xí)的入侵檢測方法，本文的檢測方法其部署成本較低。

（二）主動探測和被動檢測相結(jié)合的異常外聯(lián)檢測方法

本文提出的網(wǎng)絡(luò)非法外聯(lián)檢測方案，是針對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)邊界防護(hù)完整性檢查的一種方法，在用戶無感知、業(yè)務(wù)無影響前提下，通過主動探測與被動檢測相結(jié)合的技術(shù)，實(shí)現(xiàn)事前預(yù)警、定位外聯(lián)通道、定位外聯(lián)終端、鎖定證據(jù)、取證分析，提升網(wǎng)絡(luò)邊界完整性管控。

網(wǎng)絡(luò)非法外聯(lián)檢測是一種主動防御方案，相對于網(wǎng)絡(luò)防火墻、應(yīng)用防火墻、終端防御系統(tǒng)等安全設(shè)備的被動防御措施，非法外聯(lián)可以第一時間發(fā)現(xiàn)違反網(wǎng)絡(luò)邊界測量的外聯(lián)行為，在入侵行為對信息系統(tǒng)發(fā)生影響之前，能夠及時精準(zhǔn)預(yù)警，及時切斷外聯(lián)通道，避免、轉(zhuǎn)移、降低信息系統(tǒng)面臨的風(fēng)險。

二、主要功能

主動探測和被動檢測相結(jié)合的網(wǎng)絡(luò)非法外聯(lián)檢測方法，主要包括兩大部分：一部分是利用跨域訪問探測方法，主動發(fā)送流量連通性測試數(shù)據(jù)測試跨網(wǎng)絡(luò)邊界訪問可行性；另一部分是手機(jī)網(wǎng)絡(luò)邊界的跨邊界流量，將數(shù)據(jù)訪問流量在云中心與情報進(jìn)行聯(lián)動，碰撞對比惡意外聯(lián)行為，如圖1所示。

本文的網(wǎng)絡(luò)非法外聯(lián)檢測系統(tǒng)具備以下能力：

1.違規(guī)外聯(lián)被動檢測能力

基于網(wǎng)絡(luò)流量及協(xié)議的深度解析，無需部署Agent客戶端，即可完成非法外聯(lián)行為監(jiān)控，包括一機(jī)兩網(wǎng)、一機(jī)多用、VPN代理外聯(lián)、VPN代理接入等非法外聯(lián)行為。

2.加密流量檢測能力

在原被動檢測能力基礎(chǔ)上，通過在TLS/SSL服務(wù)中對應(yīng)用的前置寫入，發(fā)現(xiàn)非法外聯(lián)主機(jī)，覆蓋面更廣。

3.失陷資產(chǎn)發(fā)現(xiàn)能力

通過DPI技術(shù)，結(jié)合精準(zhǔn)的威脅情報，對網(wǎng)絡(luò)中因木馬、勒索病毒、攻擊控制（CC）、挖礦等失陷資產(chǎn)存在的被控反聯(lián)行為進(jìn)行檢測。

4.規(guī)則匹配檢測能力

系統(tǒng)中內(nèi)置突破邊界軟件知識庫，包括隱蔽隧道特征庫、攻擊工具特征庫、高危漏洞特征庫、代理工具規(guī)則庫、主機(jī)狀態(tài)庫等，內(nèi)置檢測規(guī)則自動適配網(wǎng)內(nèi)業(yè)務(wù)應(yīng)用，完成違規(guī)行為特征檢測，對網(wǎng)內(nèi)業(yè)務(wù)應(yīng)用無影響。

5.非法外聯(lián)取證能力

針對具有非法外聯(lián)的終端進(jìn)行行為取證，可檢測非法外聯(lián)上網(wǎng)記錄，并將取證信息統(tǒng)一上報。

6.域名自學(xué)習(xí)能力

系統(tǒng)可以自動從網(wǎng)絡(luò)流量中學(xué)習(xí)用戶單位的業(yè)務(wù)系統(tǒng)域名，用于過濾非法外聯(lián)檢測點(diǎn)，可自主進(jìn)行檢測點(diǎn)控制，提升檢測范圍和細(xì)粒度。

7.詳細(xì)的事件記錄

通過不同監(jiān)測平臺入口，可查看對應(yīng)管理域內(nèi)非法外聯(lián)記錄，包括外聯(lián)時間、設(shè)備內(nèi)網(wǎng)IP地址、源端口、MAC地址、外網(wǎng)IP地址、目的端口、外聯(lián)協(xié)議、所在地區(qū)、使用的瀏覽器版本。

8.多維度事件統(tǒng)計

可統(tǒng)計單位當(dāng)日非法外聯(lián)事件次數(shù)、外聯(lián)IP數(shù)量，當(dāng)日外聯(lián)事件較多的主機(jī)排行，以及此單位非法外聯(lián)事件總數(shù)、外聯(lián)IP總數(shù)。

9.細(xì)粒度事件查詢

支持內(nèi)網(wǎng)IP、外網(wǎng)IP精確匹配查詢；MAC地址、設(shè)備編號、設(shè)備名稱精確匹配查詢；檢測協(xié)議精確匹配查詢，包括HTTP、TCP、UDP、DNS；時間范圍查詢；UserAgent、Refer、外網(wǎng)IP歸屬地模糊匹配查詢；按組織機(jī)構(gòu)查詢，結(jié)果包括當(dāng)前節(jié)點(diǎn)及其子節(jié)點(diǎn)信息。

10.靈活的檢測方式

針對具有統(tǒng)一出口的關(guān)鍵信息基礎(chǔ)設(shè)施單位，支持對外網(wǎng)出口IP的白名單進(jìn)行添加、編輯、刪除管理，白名單內(nèi)的出口IP不進(jìn)行檢測。

三、實(shí)現(xiàn)原理

該檢測方法在部署實(shí)施時采用旁路部署，無需安裝軟件客戶端，不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，用戶無感知。同時結(jié)合應(yīng)用層檢測和主動探測技術(shù)，更準(zhǔn)確、全面地發(fā)現(xiàn)非法外聯(lián)行為。

（一）應(yīng)用層檢測

主機(jī)通過交換機(jī)訪問內(nèi)網(wǎng)網(wǎng)絡(luò)地址（原始地址），向其發(fā)送http請求。網(wǎng)絡(luò)非法外聯(lián)檢測系統(tǒng)監(jiān)控請求流量，若流量命中了知識庫中的規(guī)則（包含協(xié)議解析、請求特征判斷等），則向內(nèi)網(wǎng)主機(jī)發(fā)送探測違規(guī)行為的報文；若內(nèi)網(wǎng)主機(jī)收到探測違規(guī)行為的報文，會嘗試對另一側(cè)網(wǎng)絡(luò)服務(wù)器發(fā)送探測請求，如果連接成功，則上報主機(jī)內(nèi)網(wǎng)IP、外網(wǎng)IP、User-Agent等信息。

網(wǎng)絡(luò)非法外聯(lián)檢測系統(tǒng)收到非法外聯(lián)信息后，會增加出口IP信息記錄到系統(tǒng)中。應(yīng)用層檢測與正常的業(yè)務(wù)訪問相結(jié)合，不受網(wǎng)絡(luò)結(jié)構(gòu)、防火墻設(shè)置的限制，檢測準(zhǔn)確率100%，但是存在一定的漏檢情況。網(wǎng)絡(luò)非法外聯(lián)檢測系統(tǒng)還結(jié)合TCP/UDP探測技術(shù)保證檢測準(zhǔn)確、全面。

（二）威脅情報檢測

利用威脅情報是檢測惡意程序非法外聯(lián)的有效方法。通過安全運(yùn)營中網(wǎng)絡(luò)安全報警的分析，以及來自各個渠道的威脅情報信息，可有效發(fā)現(xiàn)已被標(biāo)記為惡意程序的外聯(lián)行為。本文的檢測方法中，通過檢測交換機(jī)的流量與威脅情報碰撞，可快速準(zhǔn)確識別基于木馬、勒索病毒、遠(yuǎn)控工具所引起的黑客或APT組織攻擊而造成的失陷資產(chǎn)反聯(lián)。

（三）邊界代理檢測

在重大網(wǎng)絡(luò)安全事件、攻防演練中提取攻擊工具與回聯(lián)特征，針對隱蔽隧道、遠(yuǎn)控工具、內(nèi)網(wǎng)穿透等通過加密流量回聯(lián)建立指紋知識庫，通過對流量中相關(guān)協(xié)議的特征進(jìn)行提取與分析，識別其通過偽裝構(gòu)造的外聯(lián)流量，從而對有互聯(lián)網(wǎng)合規(guī)出口場景的突破邊界的反聯(lián)行為進(jìn)行檢測與識別。

四、技術(shù)要點(diǎn)

網(wǎng)絡(luò)非法外聯(lián)檢測系統(tǒng)主要具備以下技術(shù)特點(diǎn)：

（1）檢測一機(jī)多用違規(guī)行為。實(shí)時檢測計算機(jī)及網(wǎng)絡(luò)設(shè)備，既連接內(nèi)部網(wǎng)同時又連接國際互聯(lián)網(wǎng)的一機(jī)多用行為，同時能夠快速檢測計算機(jī)在內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)切換的一機(jī)多用行為。

（2）檢測違規(guī)架設(shè)VPN。用戶通過VPN用戶接入內(nèi)網(wǎng)并訪問內(nèi)網(wǎng)WEB服務(wù)器，系統(tǒng)監(jiān)控到WEB訪問流量，觸發(fā)非法外聯(lián)檢測，訪問互聯(lián)網(wǎng)的過程會被自動檢測為非法外聯(lián)行為。

（3）被控反聯(lián)。基于知識庫對失陷資產(chǎn)發(fā)送的流量報文的檢測。

（4）定位非法外聯(lián)終端。非法外聯(lián)記錄包含了非法外聯(lián)設(shè)備的內(nèi)網(wǎng)IP、mac和互聯(lián)網(wǎng)IP，方便管理者進(jìn)行溯源定位。

（5）旁路部署不影響業(yè)務(wù)連續(xù)性。在進(jìn)行非法外聯(lián)監(jiān)測的同時，原始請求會正常到達(dá)內(nèi)網(wǎng)服務(wù)器，無論非法外聯(lián)檢測報文能否收到應(yīng)答，內(nèi)網(wǎng)服務(wù)器都能正?；貞?yīng)，不影響業(yè)務(wù)功能。

（6）非法外聯(lián)取證。在發(fā)現(xiàn)非法外聯(lián)行為后，系統(tǒng)可對非法外聯(lián)行為進(jìn)行取證，通過相應(yīng)技術(shù)手段還原用戶外聯(lián)頁面，提取用戶信息。同時，便攜式取證工具可在外聯(lián)終端提取用戶違規(guī)上網(wǎng)信息。

五、典型應(yīng)用場景部署

（一）單點(diǎn)非法外聯(lián)檢測系統(tǒng)部署

針對于網(wǎng)絡(luò)結(jié)構(gòu)簡單、網(wǎng)絡(luò)監(jiān)控范圍小的場景，以單點(diǎn)設(shè)備形式部署網(wǎng)絡(luò)非法外聯(lián)檢測系統(tǒng)，對接公有非法外聯(lián)捕獲服務(wù)器，完成網(wǎng)絡(luò)非法外聯(lián)監(jiān)測及管理。同時，可根據(jù)不同的網(wǎng)絡(luò)非法外聯(lián)監(jiān)測需求，如內(nèi)網(wǎng)與內(nèi)網(wǎng)隔離監(jiān)控、內(nèi)網(wǎng)與生產(chǎn)網(wǎng)間隔離監(jiān)控，完成不同位置的非法外聯(lián)捕獲平臺部署。

將檢測系統(tǒng)設(shè)備部署于監(jiān)控域內(nèi)核心交換機(jī)旁路，通過“交換機(jī)鏡像”及“NetworkTAPs設(shè)備復(fù)制流量”兩種方式獲取用戶網(wǎng)絡(luò)流量，部署詳細(xì)描述如下：

第一種：交換機(jī)流量鏡像

（1）檢測設(shè)備需部署在核心交換機(jī)位置，每臺交換機(jī)對應(yīng)一臺設(shè)備；

（2）每臺檢測設(shè)備需要接三個核心交換機(jī)網(wǎng)口。

第二種：NetworkTAPs設(shè)備復(fù)制流量

（1）外聯(lián)檢測設(shè)備需部署在核心交換機(jī)位置，每臺交換機(jī)對應(yīng)一臺E01系統(tǒng)；

（2）每臺外聯(lián)檢測設(shè)備需接兩個核心交換機(jī)網(wǎng)口及NetworkTAPs設(shè)備一個鏡像口。

（二）多級分布式非法外聯(lián)監(jiān)測系統(tǒng)部署

針對于分支單位數(shù)量較多、層級較多的場景，為滿足“統(tǒng)規(guī)、統(tǒng)建、統(tǒng)管”等要求，非法外聯(lián)監(jiān)測需進(jìn)行多級分布式系統(tǒng)建設(shè)，包括網(wǎng)絡(luò)非法外聯(lián)集中管理平臺、多級網(wǎng)絡(luò)非法外聯(lián)檢測系統(tǒng)，以及根據(jù)實(shí)際要求部署網(wǎng)絡(luò)非法外聯(lián)捕獲服務(wù)器。

1.物理/邏輯隔離網(wǎng)絡(luò)

網(wǎng)絡(luò)非法外聯(lián)集中管理平臺部署于總部服務(wù)網(wǎng)，用于對各分支單位檢測系統(tǒng)的集中管理。網(wǎng)絡(luò)非法外聯(lián)捕獲服務(wù)器可根據(jù)不同網(wǎng)絡(luò)非法外聯(lián)監(jiān)測需求，選擇不同監(jiān)測位置部署檢測設(shè)備，完成總部及各分支單位非法外聯(lián)的檢測。例如，只監(jiān)測非法外聯(lián)互聯(lián)網(wǎng)場景，則將外聯(lián)捕獲服務(wù)器部署于互聯(lián)網(wǎng)側(cè)（互聯(lián)網(wǎng)側(cè)可以服務(wù)形式使用公安部第一研究所的云分析平臺），如總體部署圖4所示；檢測內(nèi)網(wǎng)與內(nèi)網(wǎng)之間違規(guī)互聯(lián)場景，則外聯(lián)捕獲服務(wù)器部署于內(nèi)網(wǎng)側(cè)，如總體部署圖5所示。

2.統(tǒng)一出口網(wǎng)絡(luò)

網(wǎng)絡(luò)非法外聯(lián)集中管理平臺部署于總部服務(wù)網(wǎng)，用于對各分支單位檢測設(shè)備的集中管理，非法外聯(lián)捕獲平臺部署于互聯(lián)網(wǎng)側(cè)（互聯(lián)網(wǎng)側(cè)可以服務(wù)形式使用云分析平臺），完成總部及各分支單位非法外聯(lián)的檢測。檢測設(shè)備部署于地區(qū)分支單位匯聚交換機(jī)旁路，基于網(wǎng)絡(luò)流量分析完成日?；欠ㄍ饴?lián)監(jiān)測。

六、結(jié)語

基于異常外聯(lián)的關(guān)基網(wǎng)絡(luò)入侵檢測方法已經(jīng)在交通、能源、金融等領(lǐng)域進(jìn)行了大量實(shí)踐，實(shí)踐表明該方法在檢測發(fā)現(xiàn)“敵已控我”攻擊行為、檢測受控外聯(lián)通道方面具有良好的應(yīng)用效果，同時在發(fā)現(xiàn)單位內(nèi)部網(wǎng)絡(luò)私搭亂建、破壞網(wǎng)絡(luò)邊界完整性等方面也具有廣闊的應(yīng)用前景。