王 亮，鐘 夫，黃 健

（中電科網(wǎng)絡(luò)安全科技股份公司，四川 成都 610095）

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和信息化程度的提高，網(wǎng)絡(luò)規(guī)模和信息系統(tǒng)也日趨龐大和復(fù)雜，科技的進(jìn)步提升了人們的工作效能和生活便利，但也給網(wǎng)絡(luò)空間帶來(lái)了更大的安全風(fēng)險(xiǎn)和威脅。針對(duì)高價(jià)值目標(biāo)，出于商業(yè)或政治動(dòng)機(jī)，網(wǎng)絡(luò)攻擊者個(gè)體或團(tuán)隊(duì)不再沿用過(guò)往單一的攻擊模式，而是在一個(gè)較長(zhǎng)周期內(nèi)，結(jié)合多種先進(jìn)的方法、工具及技術(shù)，持續(xù)和隱蔽地?fù)p害目標(biāo)利益。因此，通過(guò)入侵檢測(cè)系統(tǒng)、防火墻、Web 應(yīng)用防護(hù)系統(tǒng)（Web Application Firewall，WAF）等傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系提供的不完備的、孤島式的檢測(cè)信息來(lái)識(shí)別風(fēng)險(xiǎn)和威脅，存在信息冗余高、虛檢和漏檢頻繁的問(wèn)題[1]。為了應(yīng)對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，很多企業(yè)搭建了安全運(yùn)營(yíng)中心（Security Operations Center，SOC）體系，集中化管理安全產(chǎn)品的日志、事件和告警，并且平臺(tái)大都提供基于規(guī)則匹配的關(guān)聯(lián)分析機(jī)制，但由于普遍缺乏安全風(fēng)險(xiǎn)上下文，且只能識(shí)別已知威脅，信息孤島效應(yīng)還是沒有得以解決[2]。近來(lái)，依托大數(shù)據(jù)、人工智能技術(shù)的迭代演進(jìn)，以及高級(jí)持續(xù)性威脅的研究，出現(xiàn)了一些面向攻擊溯源的分析方法，大體思路為基于海量數(shù)據(jù)，結(jié)合網(wǎng)絡(luò)攻擊過(guò)程模型[3]，根據(jù)資產(chǎn)、安全產(chǎn)品日志和網(wǎng)絡(luò)流量的時(shí)間和空間相關(guān)性，來(lái)構(gòu)建大數(shù)據(jù)[4-9]、機(jī)器學(xué)習(xí)[10-11]或者知識(shí)圖譜[12-17]的檢測(cè)模型，還原攻擊過(guò)程和路徑；但這些方法或多或少面臨海量數(shù)據(jù)的計(jì)算復(fù)雜度過(guò)高，欠缺高質(zhì)量的標(biāo)簽數(shù)據(jù)，沒有先驗(yàn)信息和專家知識(shí)，復(fù)雜威脅過(guò)程還原能力弱，攻擊路徑溯源容錯(cuò)率低等問(wèn)題，因此尚無(wú)有效的規(guī)模應(yīng)用。

對(duì)此，本文提出了一種基于局部線性重疊聚類算法的網(wǎng)絡(luò)攻擊溯源分析方法。該方法首先挖掘安全產(chǎn)品上報(bào)日志中的攻擊特征，據(jù)此對(duì)資產(chǎn)、海量安全事件進(jìn)行社團(tuán)劃分；其次綜合分析社團(tuán)中攻擊鏈階段、攻擊時(shí)序、攻擊源和目標(biāo)信息等的局部線性關(guān)系，通過(guò)重疊聚類算法進(jìn)行攻擊路徑溯源。該方法較好地解決了上述海量安全事件處理復(fù)雜度高、攻擊路徑溯源容錯(cuò)率低等問(wèn)題。

1 相關(guān)技術(shù)

1.1 溯源圖譜

溯源圖譜是根據(jù)設(shè)備上報(bào)告警生成的具有有向圖結(jié)構(gòu)的數(shù)據(jù)，可以用于描述系統(tǒng)行為。所有系統(tǒng)級(jí)別的實(shí)體被當(dāng)作溯源圖中的節(jié)點(diǎn)，而實(shí)體之間的操作被當(dāng)作溯源圖的邊。根據(jù)目前設(shè)備上報(bào)的內(nèi)容分析，將唯一IP 作為實(shí)體，IP 與IP 之間的交互事件類型作為邊，因此定義如下：

定義1：“溯源圖譜”是一個(gè)帶有標(biāo)簽的有向無(wú)循環(huán)圖，G=(V,E,L,M,K,Z)。其中，V是圖中的頂點(diǎn)，表示攻擊過(guò)程事件中的網(wǎng)絡(luò)實(shí)體集合；E是圖中邊的集合，描述網(wǎng)絡(luò)實(shí)體之間的關(guān)系；L是網(wǎng)絡(luò)實(shí)體數(shù)據(jù)類型標(biāo)簽集合；M是網(wǎng)絡(luò)實(shí)體和標(biāo)簽的映射集合；K表示V事件的集合；Z表示E事件的集合。

定義2：“網(wǎng)絡(luò)實(shí)體”是網(wǎng)絡(luò)中存在的IP 地址。

定義3：“網(wǎng)絡(luò)實(shí)體關(guān)系”表示網(wǎng)絡(luò)實(shí)體之間的相互作用和聯(lián)系。

具體的溯源圖譜如圖1 所示。

圖1 溯源圖譜

如圖1所示，頂點(diǎn)V、邊E、實(shí)體類型標(biāo)簽集合L、實(shí)體與標(biāo)簽的集合M、頂點(diǎn)事件集合K、邊事件集合表示如下：

1.2 攻擊溯源

攻擊溯源是在溯源圖G中以v為開始節(jié)點(diǎn)，使得G中存在li條路徑，當(dāng)該li的概率超過(guò)某個(gè)閾值時(shí)，則為G的可疑網(wǎng)絡(luò)攻擊鏈路，其數(shù)學(xué)定義為：

式中：top_prob為計(jì)算攻擊鏈路的概率函數(shù)，thread表示閾值。，如圖2所示。

圖2 中，加粗實(shí)線表示最有可能的攻擊鏈路，虛線表示的可行性較低一些，細(xì)實(shí)線表示不太可能的攻擊鏈路。其中，z表示邊事件集合，k表示節(jié)點(diǎn)事件集合，如果該事件參與了鏈路中相關(guān)攻擊過(guò)程，則對(duì)其進(jìn)行標(biāo)注。

2 基于重疊聚類技術(shù)的攻擊溯源分析

攻擊場(chǎng)景由事件組成，在形成的社團(tuán)中，事件數(shù)量較多，且事件與事件相互形成的攻擊特性的事件組合也非常多，無(wú)法通過(guò)枚舉的方式進(jìn)行一一判斷符合攻擊場(chǎng)景的事件組合，因此本文選用Cyber Kill Chain 網(wǎng)絡(luò)攻擊模型進(jìn)行建模，在離散的攻擊事件之間建立連接并構(gòu)建符合認(rèn)知的攻擊場(chǎng)景，從而輔助執(zhí)行攻擊行為檢測(cè)、評(píng)估和防御等各個(gè)流程[18]。Cyber Kill Chain 模型將網(wǎng)絡(luò)攻擊鏈總結(jié)為7 個(gè)步驟，即偵察目標(biāo)、投遞植入、漏洞利用、安裝駐留、命令控制、行動(dòng)收割、清除痕跡。在利用該模型進(jìn)行攻擊路徑溯源的過(guò)程中，由于某一個(gè)攻擊步驟是下一個(gè)攻擊產(chǎn)生的前提，滿足攻擊路徑溯源的組合事件較多，且存在某一個(gè)步驟屬于其他攻擊路徑溯源中的攻擊步驟，因此攻擊路徑溯源存在重疊性，為此定義其數(shù)學(xué)模型如下：

給定數(shù)據(jù)集X={x1,x2,…,xn}∈?n×m，使得f(X)=O，其中O={(x1,x2,…,xn),(xo,xp,…,xi),L,(xf,xm,…,xj)}表示數(shù)據(jù)集X被分配到不同的攻擊場(chǎng)景集合中。

本文設(shè)計(jì)的攻擊溯源分析流程包括數(shù)據(jù)源采集、構(gòu)建溯源圖、劃分攻擊社團(tuán)和通過(guò)重疊聚類進(jìn)行攻擊溯源4 個(gè)步驟，如圖3 所示。

圖3 攻擊溯源的分析流程

在圖3 中，數(shù)據(jù)采集主要來(lái)自安全設(shè)備上報(bào)的日志，作為構(gòu)建溯源圖的數(shù)據(jù)輸入?？紤]到數(shù)據(jù)量規(guī)模帶來(lái)的計(jì)算復(fù)雜度，利用網(wǎng)絡(luò)攻擊的社團(tuán)性進(jìn)行社團(tuán)劃分，從而減輕其溯源的計(jì)算量，最后應(yīng)用于重疊聚類算法對(duì)社團(tuán)進(jìn)行攻擊溯源分析，得到可疑度高的攻擊溯源相關(guān)事件。

2.1 數(shù)據(jù)源采集

常見的數(shù)據(jù)源有流量檢測(cè)日志、安全設(shè)備日志、訪問(wèn)記錄、服務(wù)運(yùn)行日志、用戶認(rèn)證記錄、pcap 日志包、威脅情報(bào)、服務(wù)運(yùn)行狀態(tài)等。根據(jù)目前所具有的采集能力，采集的數(shù)據(jù)主要來(lái)自入侵檢測(cè)（Intrusion Detection System，IDS）、入侵防御（Intrusion Prevention System，IPS）、Web 應(yīng)用防火墻（Web Application Firewall，WAF）、防毒墻、高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）檢測(cè)設(shè)備，并按照相關(guān)事件模型定義進(jìn)行抽取，其攻擊階段屬性符合Kill Chain 模型，按照時(shí)間順序進(jìn)行事件存儲(chǔ)。

2.2 構(gòu)建溯源圖

第1 個(gè)階段主要是構(gòu)建溯源圖結(jié)構(gòu)，從圖譜的結(jié)構(gòu)出發(fā)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行分析，因此根據(jù)定義1、2、3 構(gòu)建溯源圖，其中，原始數(shù)據(jù)分為兩類：一類是節(jié)點(diǎn)事件，形成節(jié)點(diǎn)，該事件只有HostIP 值，沒有源IP 和目的IP 的值；另一類是節(jié)點(diǎn)與節(jié)點(diǎn)產(chǎn)生邊的事件，該事件具有源IP 和目的IP 的值。

將第1 類事件產(chǎn)出的所有事件形成一個(gè)節(jié)點(diǎn)，并將該節(jié)點(diǎn)包含的所有事件用數(shù)組的屬性保存；第2 類事件對(duì)應(yīng)形成節(jié)點(diǎn)與節(jié)點(diǎn)的邊關(guān)系，并與第1類事件具有相同的IP 進(jìn)行事件融合，若源IP 或者目的IP 與第1 類事件IP 相同，則不生成新的節(jié)點(diǎn)，否則添加新的節(jié)點(diǎn)。

2.3 基于攻擊特性的溯源圖社團(tuán)劃分

由于原始數(shù)據(jù)在一段時(shí)間中產(chǎn)生的量特別巨大，且從攻擊的宏觀性角度來(lái)看，其具有社團(tuán)性的特點(diǎn)，因此在這個(gè)階段的主要目標(biāo)是通過(guò)社團(tuán)的劃分減少攻擊溯源的計(jì)算量，以及在分割的過(guò)程中減少攻擊事件的錯(cuò)誤劃分。對(duì)此，根據(jù)定義節(jié)點(diǎn)間的攻擊性的權(quán)重向量對(duì)社團(tuán)進(jìn)行劃分，且社團(tuán)劃分為無(wú)監(jiān)督劃分，根據(jù)權(quán)重向量對(duì)社團(tuán)的增益性進(jìn)行劃分。

針對(duì)溯源圖譜中的攻擊特性，經(jīng)過(guò)相關(guān)安全專家討論，設(shè)計(jì)如表1 所示的節(jié)點(diǎn)間事件數(shù)量的變化性、節(jié)點(diǎn)間的交互性、節(jié)點(diǎn)間的事件類別多樣性、節(jié)點(diǎn)所處溯源網(wǎng)絡(luò)結(jié)構(gòu)的最大深度4 個(gè)指標(biāo)，作為溯源圖中邊的攻擊特性衡量的向量，并利用信息熵對(duì)這4 個(gè)指標(biāo)進(jìn)行線性加權(quán)，得到邊的權(quán)重。

表1 溯源圖譜攻擊特征

根據(jù)表1，進(jìn)行如下定義。

定義4：?jiǎn)挝粫r(shí)間內(nèi)節(jié)點(diǎn)間數(shù)量變化np1=max(在一段時(shí)間內(nèi)，上一時(shí)刻與下一時(shí)刻產(chǎn)生的斜率)，表示一種攻擊的可能性。

定義6：事件類別np3=max(在一段時(shí)間內(nèi)，上一時(shí)刻與下一時(shí)刻產(chǎn)生的斜率)，表示攻擊手段的變化性。

節(jié)點(diǎn)邊的權(quán)重為以上定義的4 個(gè)特征的信息熵，并利用相關(guān)社團(tuán)劃分算法對(duì)溯源圖進(jìn)行社團(tuán)劃分，其中信息熵計(jì)算公式如下：

2.4 重疊聚類

研究發(fā)現(xiàn)，僅利用X={x1,x2,…,xn}的Kill Chain模型的攻擊階段屬性來(lái)構(gòu)建離散攻擊事件的攻擊場(chǎng)景有局限性，如分布式拒絕服務(wù)（Distributed Denial of Service，DDOS）攻擊在事件的表現(xiàn)上具有時(shí)間性的特點(diǎn)，為此參考文獻(xiàn)[19]中事件攻擊相似性的處理，使用時(shí)間關(guān)聯(lián)性、網(wǎng)段關(guān)聯(lián)特性、入侵端口、執(zhí)行的階段性這4個(gè)特征作為攻擊路徑溯源的依據(jù)，具體特征如表2 所示。

表2 事件特征

根據(jù)表2 的事件特征，本文定義特征計(jì)算方式如下文所述，其中ai和aj分別代表兩組數(shù)據(jù)且j＞i。

（1）時(shí)間引起的事件關(guān)聯(lián)性：時(shí)間反映了攻擊事件之間的前后關(guān)系，隨著時(shí)間的推移，兩個(gè)攻擊事件之間的關(guān)聯(lián)性逐漸減弱。其相似性度量可定義為：

（2）網(wǎng)段關(guān)聯(lián)特性：一般而言，攻擊方的IP地址大都從同一網(wǎng)段中發(fā)起，因此同一攻擊方在IDS 告警日志的源IP 或目的IP 上具有相似性。其相似性度量可定義為：

式中：M=max{H(ai,sIP,aj,sIP),H(ai,sIP,aj,dIP)}，H(ai,dIP,aj,sIP),H(ai,dIP,aj,dIP)，其中H函數(shù)是兩個(gè)IP 地址的二進(jìn)制表示從左到右位相同的數(shù)目，sIP指源IP 地址，dIP指目的IP 地址。

（3）入侵端口：假使攻擊方使用不同的工具進(jìn)行服務(wù)器入侵訪問(wèn)并成功得手，那么這兩條數(shù)據(jù)的HTTP 請(qǐng)求方法、服務(wù)器端口號(hào)、客戶端端口號(hào)、客戶端環(huán)境、HTTP 響應(yīng)碼應(yīng)該具有相同之處。目前原始信息中只有相關(guān)端口，因此其相似性度量定義為：

（4）執(zhí)行的階段性：從殺傷鏈的特點(diǎn)來(lái)看，前一條事件的攻擊方法造成的結(jié)果可能是展開下一條事件中的攻擊方法的前提條件。其相似性度量可定義為：

目前大部分對(duì)攻擊路徑溯源的方法都是非重疊性的處理，使得攻擊路徑溯源的容錯(cuò)率較低。雖然有利用重疊算法進(jìn)行直接聚類的，但是在構(gòu)造攻擊溯源路徑特征進(jìn)行距離計(jì)算時(shí)，存在對(duì)屬性特征變化不敏感的情況。為此本文提出基于局部線性重疊的聚類算法對(duì)攻擊路徑溯源進(jìn)行聚類，具體計(jì)算過(guò)程如下文所述。

（1）局部線性處理。xi與xj在歐式空間中的關(guān)系如圖4 所示。為了使得特征距離計(jì)算具有敏感性，利用該相互關(guān)系進(jìn)行表示。同時(shí)，為了滿足xi在高維空間中的稀疏性，利用局部線性進(jìn)行處理，并且為了關(guān)注xi形成的所有可能的攻擊路徑，利用近鄰點(diǎn)進(jìn)行表示。

圖4 局部近鄰點(diǎn)

因此，xi由其k個(gè)近鄰點(diǎn)表示：

式中：lj為噪聲點(diǎn)，fjk為相似性。

（2）K 近鄰點(diǎn)的確定。K 近鄰點(diǎn)的確定大部分是利用K 最近鄰（k-Nearest Neighbor，KNN）算法找出其k個(gè)近鄰點(diǎn)。在攻擊溯源路徑中，特別是路徑的最后一步，其與之相鄰的點(diǎn)往往小于k個(gè)點(diǎn)，因此k近鄰點(diǎn)是不固定的，故而通過(guò)對(duì)xi利用kmeans 進(jìn)行聚類，確定近鄰點(diǎn)個(gè)數(shù)。

（3）fjk的權(quán)重求解。為了使得fjk盡可能與X矩陣相似，構(gòu)造的數(shù)學(xué)模型如下：

式中：||·||F為范數(shù)，λ是為了引入噪聲添加的系數(shù)。

（4）重疊聚類。本文參考基于圖熵聚類的重疊社區(qū)發(fā)現(xiàn)算法[20]中利用信息熵的思路，進(jìn)行重疊聚類算法設(shè)計(jì)，步驟如下：

①將數(shù)據(jù)集中的xi作為候選節(jié)點(diǎn)，從候選節(jié)點(diǎn)中選取部分節(jié)點(diǎn)存入種子集合中；

②隨機(jī)選取種子集合中的一個(gè)節(jié)點(diǎn)，并加入其所有鄰居節(jié)點(diǎn)組合成一個(gè)類；

③計(jì)算聚類中鄰居節(jié)點(diǎn)的熵值，如果熵值降低則移除；

④計(jì)算其聚類外的邊界點(diǎn)的熵值，如果熵值降低則添加；

⑤輸出具有最小熵值的聚類并從種子集中刪除該種子；

⑥重復(fù)以上步驟直到種子集中沒有種子剩余。

3 應(yīng)用列舉

本文提出的算法已作為安全運(yùn)行監(jiān)管系統(tǒng)的核心能力應(yīng)用于威脅監(jiān)測(cè)模塊，在某企業(yè)的實(shí)際使用中，針對(duì)不同廠商上報(bào)的威脅日志，安全運(yùn)行監(jiān)管系統(tǒng)會(huì)對(duì)網(wǎng)絡(luò)攻擊類和惡意代碼類威脅事件按照標(biāo)準(zhǔn)數(shù)據(jù)模型進(jìn)行轉(zhuǎn)換，并按事件模型定義對(duì)齊進(jìn)行信息補(bǔ)全，再進(jìn)行數(shù)據(jù)抽取、構(gòu)圖、分析，最后利用相關(guān)的數(shù)據(jù)構(gòu)造溯源圖，如圖5 所示。

圖5 溯源圖構(gòu)建流

根據(jù)2.3 節(jié)的溯源圖邊權(quán)重的定義計(jì)算方式進(jìn)行社團(tuán)劃分，選用Lovain 算法進(jìn)行社團(tuán)劃分，結(jié)果如圖6 所示。

針對(duì)2.4 節(jié)所篩選出的事件特征，使得特征之間具有相似性和階段性，將相似的進(jìn)行聚合，從而得到候選攻擊鏈?zhǔn)录Ｓ捎跊]有任何先驗(yàn)信息和專家知識(shí)，聚類算法以相似性度量為基礎(chǔ)能夠有效識(shí)別和挖掘無(wú)標(biāo)簽數(shù)據(jù)中的潛在聚簇信息，本文利用重疊聚類進(jìn)行相關(guān)聚類，結(jié)果如圖7 所示，其中具有攻擊特性的攻擊事件鏈集合1 的事件如表3所示。

通過(guò)以上分析可以看出，此模型算法具有如下優(yōu)點(diǎn)：

（1）處理告警信息中的誤報(bào)問(wèn)題。主要體現(xiàn)在重疊聚類對(duì)事件特征進(jìn)行稀疏的過(guò)程中，將與攻擊特性不相關(guān)的事件進(jìn)行去除。

（2）處理告警信息中漏報(bào)的問(wèn)題。主要體現(xiàn)在重疊聚類方法對(duì)具有攻擊特性的事件鏈進(jìn)行聚合的過(guò)程中，將具有階段性、時(shí)間關(guān)聯(lián)性、端口和網(wǎng)段的同源性數(shù)據(jù)拉近。kill chain 模型的攻擊鏈的7個(gè)階段分別為：偵察目標(biāo)—投遞植入—漏洞利用—命令控制—安裝駐留—行動(dòng)收割—清除痕跡。因此，此過(guò)程中可能存在“命令控制”的漏報(bào)事件，需要相關(guān)安全人員進(jìn)行排查。

4 結(jié)語(yǔ)

本文利用安全設(shè)備上報(bào)的日志數(shù)據(jù)在溯源圖譜的定義上構(gòu)建相關(guān)圖譜，在降低攻擊路徑溯源的計(jì)算復(fù)雜度和計(jì)算量的基礎(chǔ)上，提取溯源圖譜具有攻擊特性的邊權(quán)重，并利用Lovain 算法進(jìn)行社團(tuán)劃分，將溯源圖譜拆分為具有攻擊特性的溯源子圖社團(tuán)。最后利用本文提出的基于重疊聚類技術(shù)進(jìn)行攻擊溯源分析。實(shí)驗(yàn)結(jié)果表明，該算法設(shè)計(jì)能夠有效對(duì)攻擊進(jìn)行溯源，并有效地改善溯源中誤報(bào)和漏報(bào)的缺點(diǎn)。