何纪成 卢楷 王坤
(北京科东电力控制系统有限责任公司 北京 100192)
摘要:高级持续性威胁(APT,advanced persistent threat)已成为高安全等级网络的最主要威胁之一,其极强的针对性、伪装性和阶段性使传统检测技术无法有效识别,因此新型攻击检测技术成为 APT 攻击防御领域的研究热点。首先,结合典型 APT 攻击技术和原理,分析攻击的 6 个实施阶段,并归纳攻击特点;然后,综述现有 APT攻击防御框架研究的现状,并分析当前基于网络安全大数据分析的 APT 攻击检测技术的研究内容与最新进展,指出相应技术在应对 APT 攻击过程中面临的挑战和下一步发展方向。
1.引言
当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标性以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为 APT(Advanced Persistent Threat)攻击。APT 攻击第一次曝光是在 2010 年的 Google“极光门”事件。此后,APT 攻击事件不断频出,较为著名的有丰收行动、摩诃草事件、蔓灵花行动、白俄罗斯军事通讯社事件等。APT 攻击的不断涌现给传统的安全防御技术带到巨大挑战,许多传统防御技术在 APT 攻击过程中丧失了防御能力。随着APT 攻击越演越烈,各国的政府部门、世界各大 IT 公司和信息安全厂商均开始投入到APT 攻击与防御的研究中,力图在这场 APT 攻防之战中掌握主动权,以改善 APT 防御落后于攻击技术的被动局面。
2.APT攻击概述
2.1APT攻击特征
作为一种不同于传统的攻击方式,APT攻击是一种可持久的一种网络攻击,攻击的目标主要是集中在政府部门和一些特定的企业,例如通信行业,能源行业,由于APT的攻击不仅仅是目前我们所知的一种单一的网络入侵方式,它是集成多种传统网络入侵的手段,并融合多方面深层次的网络渗透来越过传统的防御方法,目前市场上的大多软件和设备都不能很好的防御。APT攻击具有如下的特点:
1)攻击目标明确
APT的攻击是十分明确的,是针对某些特定组织的有计划的攻击,主要用于窃取核心的数据,文件的各种资料,对于不同的目标有特定的方案,攻击过程中不断的调整最佳的数据窃取方案。
2)攻击时间较长
在确定攻击目标后,攻击则可以长期的进行数据的窃取何检测,然后分析目标的系统是来达到入侵的目的。
3)攻击手段较高
和传统的网络攻击比较,APT则是使用较多的技术方法,既包括一般的木马,病毒等方法,也包括利用漏洞或者是网络渗透等方式。
4)扩大攻击目标和范围
APT攻击将以往从未涉足的智能网卡设备也纳入其中。以往APT主要是攻击政府和某些重要的单位,而在2012 年已经出现多个以苹果公司 MAC 操作系统为攻击目标的木马,另外将智能卡作为攻击目标的行为也日益增多。
5)攻击更加隐蔽
APT 网络攻击为了躲避安全防护和杀毒软件的查杀,往往会让自身的隐蔽性更强。在现有技术的基础上通过使用增加数字签名、DLL 搜寻路径劫持等技术来增加安全防护软件检测的难度。
期刊文章分类查询,尽在期刊图书馆
6)破坏性攻击增多
虽然APT攻击主要是已经静默的方式获取系统或者是设备的敏感数据和资料,但是近年来APT攻击在入侵系统后也发生破坏或销毁原有的数据的情况。
2.2 APT攻击流程
根据 APT 网络攻击的特点分析,APT攻击分为6 个阶段:
第一阶段,收集情报信息。攻击者会锁定特定目标和资源,通常将目标锁定为相关员工,以社交工程攻击的模式开始。某项调查数据显示只有 31% 的企业会惩处将敏感信息发布到互联网的员工,这样使得攻击者很容易获取到特定目标的内部网络环境和业务使用情况等重要信息。
第二阶段,攻击进入点。利用即时通信软件、电子邮件、社交网络工具或应用程序漏洞找到特定目标网络的进入点,并实施攻击,诱骗网络用户点击精心设计的恶意链接或者恶意代码。
第三阶段,命令与控制通信。APT 网络攻击活动首先在特定目标网络中找出存放有敏感信息的重要计算机,然后 APT 网络攻击利用网络通信协议来与C&C 服务器通讯,并确认通讯始终保持正常。
第四阶段,横向扩展入侵。针对特定目标网络中存有敏感信息的关键服务器和计算机,使用各类技巧和工具,尽可能将攻击者权限提升至超级管理员,让其可以轻松地去访问和控制关键目标。
第五阶段,重要信息发掘。为确保在数据资料窃取中找到价值最高的数据,APT 网络攻击会隐蔽地持续较长一段时间,来挖掘出尽可能多的敏感信息。在这个阶段,通常不是一个自动重复的过程,而是由人工介入对敏感信息进行过滤识别。
第六阶段,数据资料隐蔽窃取。为了保证 APT网络攻击不被发现以及规避法律约束,攻者尽可能悄无声息地获取数据资料,并且会在事后清理攻击所遗留的痕迹。
3大数据分析的APT检测研究现状
现有的许多基于网络大数据分析的攻击检测技术可以用以检测 APT 攻击。其中,常用的基于底层原始数据分析的检测技术主要有网络流量异常检测、主机恶意代码异常检测和社交网络安全事件挖掘 3 类;基于高层网络事件融合的检测技术主要是安全事件关联分析。另外,APT 攻击防御安全框架可以为各项 APT 防御和检测技术提供运行环境,对于有效应对 APT 攻击至关重要。
3.1异常流量检测研究
网络流量异常检测是指以网络流数据为输入,通过统计分析、数据挖掘和机器学习等方法,发现异常的网络数据分组和异常网络交互等信息。网络流量异常检测过程首先需要使用 Sniffer、Net Flow、fprobe 和 flow-tools 等数据流抓取工具来采集海量的网络数据流信息,然后从数据中提取和选择出可用于检测异常的数据属性。
3.2异常代码检测研究
恶意代码是指用于完成特定恶意功能的代码片段,其定义与恶意程序和恶意应用类似。恶意代码主要包括计算机病毒、蠕虫、特洛伊木马、后门、RootKit、僵尸程序和组合恶意代码等类型。恶意代码异常检测是指通过对海量样本程序的动静态特征进行智能分析来识别恶意代码的检测技术。
3.3数据挖掘技术研究
将工程中巨大的数据源整理,挖掘出数据中含有的特定的关系集,分析其中的关系和模式。确定在特定模式中那属于潜在的危险行为。然后归纳出某段时间的所有的潜在危险行为,作为分析的数据来源,最后确定多次的某些异常行为为APT攻击。
3.4建立防御中心的研究
目前,许多学者提出了不同的抗 APT 攻击安全框架,为高等级安全网络的建设提供了重要的参考依据。其中,针对高等级安全网络的 APT 防御问题,比如建立了包含 APT 检测网关、组织内部私有云、安全管理中心、安全存储中心和 APT 威胁管理控制台的 APT 防御体系结构。该方案能很好与本项目结合利用大数据分析技术获取数据源,然后将特定的数数据源放入防御中心,然后不间断更新数据源的一款防御框架。
论文作者:何纪成,卢楷,王坤
论文发表刊物:《河南电力》2018年7期
论文发表时间:2018/9/13
标签:网络论文; 目标论文; 数据论文; 异常论文; 检测技术论文; 恶意代码论文; 技术论文; 《河南电力》2018年7期论文;