隱蔽式網(wǎng)絡(luò)攻擊綜述

曹自剛熊 剛趙 詠郭 莉

1(中國科學(xué)院信息工程研究所 北京 100190)

2(北京郵電大學(xué) 北京 100876)

隱蔽式網(wǎng)絡(luò)攻擊綜述

曹自剛1,2熊 剛1趙 詠1郭 莉1

1(中國科學(xué)院信息工程研究所 北京 100190)

2(北京郵電大學(xué) 北京 100876)

近年來，隨著信息化的推進(jìn)，國民經(jīng)濟(jì)各行各業(yè)對網(wǎng)絡(luò)的依賴性明顯增強(qiáng)，網(wǎng)絡(luò)信息安全問題成為關(guān)系國家和社會(huì)安全的突出問題。受經(jīng)濟(jì)利益驅(qū)動(dòng)，加上各國之間的博弈在網(wǎng)絡(luò)空間的體現(xiàn)不斷加強(qiáng)，具有高技術(shù)性、高隱蔽性和長期持續(xù)性的網(wǎng)絡(luò)攻擊成為當(dāng)前網(wǎng)絡(luò)安全面臨的主要挑戰(zhàn)之一。文章對這種隱蔽式網(wǎng)絡(luò)攻擊進(jìn)行了介紹和描述，分析其主要特點(diǎn)和對當(dāng)前安全體系的挑戰(zhàn)。在此基礎(chǔ)上綜述了國內(nèi)外隱蔽式網(wǎng)絡(luò)攻擊檢測等方面的最新研究進(jìn)展。最后，對關(guān)鍵技術(shù)問題進(jìn)行了總結(jié)，并展望了本領(lǐng)域未來的研究方向。

隱蔽；網(wǎng)絡(luò)攻擊；高級持續(xù)性威脅；僵尸網(wǎng)絡(luò)；威脅發(fā)現(xiàn)

1 引 言

隨著互聯(lián)網(wǎng)的快速發(fā)展、工業(yè)信息化的推進(jìn)以及多種網(wǎng)絡(luò)的融合，網(wǎng)絡(luò)信息安全問題已經(jīng)成為一個(gè)突出的社會(huì)性問題。近年來，受經(jīng)濟(jì)利益驅(qū)動(dòng)而借助僵尸網(wǎng)絡(luò)和木馬進(jìn)行網(wǎng)絡(luò)攻擊和信息竊取的事件數(shù)量快速增加。網(wǎng)絡(luò)攻擊范圍已經(jīng)由計(jì)算機(jī)互聯(lián)網(wǎng)擴(kuò)展到工業(yè)控制系統(tǒng)、通信、能源、航空和交通等各個(gè)領(lǐng)域。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的網(wǎng)絡(luò)安全態(tài)勢報(bào)告[1]，針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的探測、滲透和攻擊事件時(shí)有發(fā)生，網(wǎng)站被植入后門等隱蔽性攻擊事件呈增長態(tài)勢，網(wǎng)站用戶信息成為黑客竊取重點(diǎn)；火焰病毒(Flame)、高斯病毒(Gauss)和紅色十月(Red October)病毒等實(shí)施的高級持續(xù)性威脅(Advanced Persistent Threat，APT)活動(dòng)頻現(xiàn)，對國家和企業(yè)的信息安全造成嚴(yán)重威脅。2012 年，我國境內(nèi)至少有 4.1萬余臺(tái)主機(jī)感染了具有 APT 特征的木馬程序。與此相呼應(yīng)，2009 年以來，多起 APT 攻擊事件接連被曝光，部分確認(rèn)受到國家級的支持。最近美國“棱鏡(PRISM)”計(jì)劃告密者斯諾登于 2013年 11 月公開的機(jī)密材料[2]顯示，我國有大量用戶被美國通過計(jì)算機(jī)網(wǎng)絡(luò)入侵(Computer Network Exploitation)方式安裝惡意軟件操控。網(wǎng)絡(luò)攻擊和信息竊取行為，已經(jīng)對公民個(gè)人財(cái)產(chǎn)及信息安全乃至國家信息安全都造成了嚴(yán)重威脅。

從網(wǎng)絡(luò)攻擊的發(fā)展趨勢看，當(dāng)前網(wǎng)絡(luò)攻擊具有如下特點(diǎn)：

(1)廣泛性。攻擊目標(biāo)范圍廣，從傳統(tǒng)的計(jì)算機(jī)互聯(lián)網(wǎng)到各行各業(yè)，如工業(yè)控制系統(tǒng)、交通、能源、航空、移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)等。

(2)趨利性。攻擊目的以信息竊取和獲取經(jīng)濟(jì)利益為主，政治目的也逐漸凸顯。竊取個(gè)人賬號等隱私信息、商業(yè)機(jī)密、科技情報(bào)和利用控制的大量主機(jī)實(shí)施拒絕服務(wù)攻擊、發(fā)送垃圾郵件或用于地下產(chǎn)業(yè)收益的攻擊數(shù)量大幅度增加。

(3)隱蔽性。技術(shù)手段上，為了保持持續(xù)性控制或持續(xù)獲得有用信息，攻擊者采用高級隱蔽技術(shù)對抗不斷增強(qiáng)的安全威脅檢測技術(shù)，從而實(shí)現(xiàn)長期潛伏和信息竊取而不被發(fā)現(xiàn)。

具有高隱蔽性和持續(xù)性的網(wǎng)絡(luò)攻擊能長期躲避安全審查，對信息安全危害大，是目前安全防護(hù)和發(fā)現(xiàn)威脅的難點(diǎn)。為了更好地描述此類高隱蔽性的網(wǎng)絡(luò)攻擊， 基于其與網(wǎng)絡(luò)安全研究中相關(guān)概念術(shù)語在原理上的相似性，包括躲避入侵檢測系統(tǒng)(IDS)的攻擊(Evasion)、躲避被動(dòng)攻擊檢測系統(tǒng)的逃逸攻擊(Evasive Attacks)以及惡意軟件在主機(jī)和網(wǎng)絡(luò)層面的逃逸技術(shù)(Evasion Technique)等，我們將其稱作隱蔽式網(wǎng)絡(luò)攻擊(Evasive Network Attack，ENA)。隱蔽式網(wǎng)絡(luò)攻擊的檢測對于及時(shí)發(fā)現(xiàn)安全威脅、保護(hù)公民個(gè)人隱私和財(cái)產(chǎn)安全、維護(hù)公共網(wǎng)絡(luò)安全并提高網(wǎng)絡(luò)安全保障能力具有重要意義。

2 隱蔽式網(wǎng)絡(luò)攻擊的概念和特點(diǎn)

2.1 概 念

隱蔽式網(wǎng)絡(luò)攻擊是一種對抗性網(wǎng)絡(luò)攻擊，采用隱蔽的入侵手段，并將自身網(wǎng)絡(luò)通信偽裝或隱藏于合法的正常網(wǎng)絡(luò)數(shù)據(jù)流中，以躲避主機(jī)和網(wǎng)絡(luò)安全檢測，從而長期駐留并控制受害主機(jī)，達(dá)到持續(xù)竊取信息或長期控制利用的目的。隱蔽式網(wǎng)絡(luò)攻擊的概念核心點(diǎn)如下：

(1)網(wǎng)絡(luò)相關(guān)性。攻擊必須有網(wǎng)絡(luò)活動(dòng)，因此單機(jī)上的惡意軟件不屬于此概念范疇。需要指出的是，本文討論的網(wǎng)絡(luò)一般限定為 IP 網(wǎng)絡(luò)，但廣義上講此處所指網(wǎng)絡(luò)的形式和協(xié)議是多種多樣的。

(2)隱蔽性。入侵方式和通信行為偽裝或隱藏是隱蔽式網(wǎng)絡(luò)攻擊的核心特征，因此，使用固定的非常用服務(wù)端口通信(加密或非加密)、網(wǎng)絡(luò)通信具有明顯內(nèi)容簽名特征或者攻擊過程容易被受害方感知的攻擊(比如拒絕服務(wù)類)等不屬于此概念范疇。

(3)可控性。攻擊者可以通過網(wǎng)絡(luò)遠(yuǎn)程控制受害主機(jī)執(zhí)行指定操作、記錄、上傳指定信息，因此一般意義上的蠕蟲、病毒不屬于此概念范疇。

(4)目的性。以持續(xù)竊取機(jī)密信息或長期控制利用為目的，因此普通的后門程序、盜取個(gè)人信息的常規(guī)木馬、惡意勒索軟件等都不屬于此范疇。

目前流行的網(wǎng)絡(luò)攻擊中，隱蔽型的木馬(Trojan)及后門程序(Backdoor)、新型僵尸網(wǎng)絡(luò)(Botnet)和部分 APT 可歸為此類攻擊，而拒絕服務(wù)(DOS)攻擊和 Web 入侵滲透 (SQL 注入、跨站腳本攻擊)等一般不屬于此概念范疇(部分可歸結(jié)為隱蔽式網(wǎng)絡(luò)攻擊采用的技術(shù)手段)。需要指出的是，早期的 IRC 僵尸網(wǎng)絡(luò)大都采用具有明顯特征的明文通信協(xié)議，而常規(guī)木馬采用異常端口或明文協(xié)議，容易被發(fā)現(xiàn)，不具備強(qiáng)隱蔽性特征，顯然不屬于隱蔽式網(wǎng)絡(luò)攻擊。我們定義的隱蔽式網(wǎng)絡(luò)攻擊與定向網(wǎng)絡(luò)攻擊[3]、APT 有較多重疊。拒絕服務(wù)攻擊雖然不具有一般意義的隱蔽性，但其往往是由僵尸網(wǎng)絡(luò)控制者(BotMaster)操縱數(shù)以萬計(jì)的僵尸(Zombie)主機(jī)(俗稱“肉雞”)來實(shí)施的，而 Web 入侵的目的通常是竊取網(wǎng)站用戶信息或通過植入惡意軟件控制更多的主機(jī)，因此他們與隱蔽式攻擊經(jīng)常有著密切的聯(lián)系。

典型僵尸網(wǎng)絡(luò)的攻擊流程包括利用漏洞入侵、命令與控制通信、信息竊取或?qū)嵤┕?。典型木馬的攻擊流程包括利用漏洞、文件捆綁入侵、命令與控制通信和信息竊取。典型 APT 的攻擊流程包括情報(bào)搜集、利用漏洞入口點(diǎn)突破，命令與控制通信、內(nèi)部橫向移動(dòng)、資產(chǎn)/數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)隱蔽泄露。上述三者及隱蔽式網(wǎng)絡(luò)攻擊的技術(shù)特點(diǎn)、目的性和側(cè)重點(diǎn)總結(jié)如表 1 所示。

可以看出，利用漏洞等隱蔽方式入侵、與命令控制服務(wù)器通信、實(shí)施信息竊取是他們的共同點(diǎn)。就隱蔽性而言，APT 與隱蔽式網(wǎng)絡(luò)攻擊最為相近。APT 與隱蔽式網(wǎng)絡(luò)攻擊的最大區(qū)別在于，前者一般被理解為定向攻擊，而后者可以是非定向的。APT 攻擊發(fā)起者在攻擊實(shí)施前首先要針對特定攻擊目標(biāo)進(jìn)行深入的調(diào)查，然后有針對性地展開全方位的入侵突破，采用手段包括高級入侵技術(shù)(常見是零日漏洞利用)或社會(huì)工程學(xué)等手段。此外，新型威脅、下一代威脅和高級網(wǎng)絡(luò)攻擊等概念實(shí)際意義與 APT 大同小異，此處不再贅述。

總之，隱蔽式網(wǎng)絡(luò)攻擊是對當(dāng)前最具挑戰(zhàn)性的一類高隱蔽性網(wǎng)絡(luò)攻擊的概括，其隱蔽性充分體現(xiàn)了攻擊實(shí)施者與當(dāng)前安全防護(hù)技術(shù)體系的對抗行為與能力。

表 1 常見網(wǎng)絡(luò)攻擊與隱蔽式網(wǎng)絡(luò)攻擊比較Table 1. Comparison between common network attacks and ENA

2.2 特 點(diǎn)

由于隱蔽式網(wǎng)絡(luò)攻擊是一個(gè)新的概念，其特點(diǎn)與目前的 APT、僵尸網(wǎng)絡(luò)和木馬存在部分重疊，因此，我們嘗試從已存在的木馬、僵尸網(wǎng)絡(luò)和 APT 的典型攻擊過程和技術(shù)特點(diǎn)中提取隱蔽式網(wǎng)絡(luò)攻擊的一般攻擊流程及特點(diǎn)。

鑒于木馬和僵尸網(wǎng)絡(luò)是惡意軟件和網(wǎng)絡(luò)攻擊領(lǐng)域廣泛接受的概念，我們首先從最近引起關(guān)注的 APT 出發(fā)，分析典型的 APT 攻擊的相關(guān)情況。根據(jù) Chien 等[4]的研究，并結(jié)合國外Mandiant(麥迪安)、FireEye(火眼)、McAfee(麥咖啡)和 Kaspersky(卡巴斯基)等安全公司的 APT研究分析報(bào)告[5-10]，匯總了典型 APT 案例的具體情況，如表 2 所示。

經(jīng)過對表格分析并結(jié)合部分報(bào)告內(nèi)容，我們可以得到如下關(guān)于 APT 的初步經(jīng)驗(yàn)結(jié)論：

APT 通常利用零日或未修復(fù)漏洞進(jìn)行入侵突破，通過網(wǎng)絡(luò)進(jìn)行命令控制通信和信息竊?。槐还ハ葜鳈C(jī)通常采用常見服務(wù)，尤其是加密服務(wù)的端口通信來躲避安全檢測，最常用的端口是 443和 80 等與 Web 相關(guān)的服務(wù)；C&C 服務(wù)器部署的SSL/TLS 服務(wù)常采用匿名性強(qiáng)的自簽名證書；命令控制服務(wù)器 IP 地理分布往往是相對分散的，通信內(nèi)容載荷往往經(jīng)過壓縮、加密變形。由此可見，采用高級隱蔽技術(shù)躲避檢測是 APT 的主要技術(shù)特點(diǎn)。

表 2 典型 APT 案例的分析Table 2. Analysis of typical APT cases

僵尸網(wǎng)絡(luò)和木馬雖然從具體特征上未必與APT 相同，但他們也在朝著更具隱蔽性的方向發(fā)展。主流僵尸網(wǎng)絡(luò)已經(jīng)逐步采用 HTTP 協(xié)議通信，其通信協(xié)議采用 HTTP，很難做到有效檢測和通用性檢測；而木馬已經(jīng)長期采用 HTTP 協(xié)議作為突破防火墻等安全設(shè)備的方法。同時(shí)，與 APT 類似，采用常見服務(wù)端口如 80、443 和8080 等的僵尸網(wǎng)絡(luò)和木馬實(shí)例也被不斷發(fā)現(xiàn)，比如 Zeus 和 Spyeye 等。因此，可以看出的一個(gè)趨勢是：網(wǎng)絡(luò)攻擊由于趨利性而走向隱蔽性，而為了實(shí)現(xiàn)隱蔽性，往往偽裝自身通信內(nèi)容隱藏于海量的合法和正常的網(wǎng)絡(luò)數(shù)據(jù)流中。

隱蔽式網(wǎng)絡(luò)攻擊之所以能夠長期潛伏而不被發(fā)現(xiàn)，正是依賴于上述躲避當(dāng)前主流安全審查策略及技術(shù)的高級手段。根據(jù)對當(dāng)前曝光的隱蔽式攻擊實(shí)例分析，總結(jié)出其主要特征如下：

(1)高級入口點(diǎn)突破。為了保證攻擊的隱蔽性，入口點(diǎn)突破技術(shù)既要突破網(wǎng)絡(luò)防護(hù)，又要突破主機(jī)防護(hù)，經(jīng)常利用零日漏洞或未修復(fù)漏洞，或通過社會(huì)工程學(xué)方式將惡意文件或軟件傳遞至特定目標(biāo)。零日漏洞利用(常見是電子郵件附件和水坑攻擊)、SQL 注入攻擊、跨站腳本攻擊和特種木馬等是常用手段。

(2)隱蔽網(wǎng)絡(luò)通信。用于受害者主機(jī)與外部命令控制服務(wù)器通信，以及將竊取到的數(shù)據(jù)泄露，用于躲避防火墻訪問控制規(guī)則、IDS 內(nèi)容檢測等。通常通過出站連接外部常用的合法服務(wù)端口進(jìn)行通信，包括加密服務(wù)和非加密服務(wù)端口。最常用的端口是 80(HTTP)和 443(HTTPS)，其他常用端口包括 22(SSH)和 8080(HTTP)等，同時(shí)也不排除采用 53(DNS)、21(FTP)、25(SMTP)、110(POP3)、465(SMTPS)和995(POP3S)等常見服務(wù)端口。

(3)內(nèi)部網(wǎng)絡(luò)入侵。當(dāng)攻擊者在內(nèi)部網(wǎng)絡(luò)找到立足點(diǎn)之后，一般都需要通過內(nèi)部網(wǎng)絡(luò)入侵控制更多有經(jīng)濟(jì)情報(bào)價(jià)值的主機(jī)，進(jìn)而訪問到高價(jià)值的資產(chǎn)或信息。經(jīng)常會(huì)用到的技術(shù)包括內(nèi)部網(wǎng)絡(luò)主機(jī)探測、漏洞掃描和口令破解等內(nèi)網(wǎng)滲透技術(shù)等。由于目前的網(wǎng)絡(luò)防護(hù)主要是邊界防護(hù)，安全設(shè)備一般部署在網(wǎng)關(guān)位置，網(wǎng)絡(luò)內(nèi)部缺乏有效的攻擊檢測和防護(hù)，缺乏有效的內(nèi)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)流的監(jiān)控方法，一旦攻擊者突破網(wǎng)絡(luò)邊界的安全壁壘，對內(nèi)網(wǎng)的攻擊就變得相對容易。

其中，隱蔽網(wǎng)絡(luò)通信是隱蔽式網(wǎng)絡(luò)攻擊的核心特點(diǎn)。

3 隱蔽式網(wǎng)絡(luò)攻擊對當(dāng)前安全體系的挑戰(zhàn)

自 2010 年起，被曝光的隱蔽式網(wǎng)絡(luò)攻擊事件明顯增多，尤其是美國的一些安全公司頻繁爆料此類攻擊。當(dāng)然，其中存在某些安全公司為了特定目的把不具備此類攻擊明顯特征的網(wǎng)絡(luò)攻擊進(jìn)行炒作的現(xiàn)象，比如對于暗鼠行動(dòng)(Operation Shady RAT)，賽門鐵克、卡巴斯基與麥咖啡公司就持有不同意見：賽門鐵克認(rèn)為麥咖啡過分夸大了該攻擊[11]，卡巴斯基則認(rèn)為僅僅是僵尸網(wǎng)絡(luò)而已。然而，國內(nèi)外的這些案例警示我們，目前的網(wǎng)絡(luò)安全系統(tǒng)已經(jīng)無法應(yīng)對快速發(fā)展的網(wǎng)絡(luò)攻擊技術(shù)。幾十年來，網(wǎng)絡(luò)安全防護(hù)缺乏前瞻性研究，核心技術(shù)思想沒有實(shí)質(zhì)變化，當(dāng)新型網(wǎng)絡(luò)攻擊突破當(dāng)前防護(hù)體系的核心防護(hù)技術(shù)后，整個(gè)網(wǎng)絡(luò)安全行業(yè)似乎一下子被拉開差距，處于疲于應(yīng)付的狀態(tài)。

目前的安全防護(hù)體系的主流安全防護(hù)設(shè)備包括基于主機(jī)的反病毒(Anti-virus)軟件、主機(jī)防火墻和主機(jī)入侵防護(hù)系統(tǒng)(HIPS)，基于網(wǎng)絡(luò)的防火墻(Firewall)、網(wǎng)絡(luò)入侵檢測/防護(hù)設(shè)備(IDS/ IPS)、統(tǒng)一威脅管理(UTM)和 Web 應(yīng)用防火墻(Web Application Firewall，WAF)等。這些設(shè)備和安全防護(hù)技術(shù)尚不能滿足隱蔽式攻擊檢測的需求。表 3 是主流安全防護(hù)產(chǎn)品在應(yīng)對隱蔽式網(wǎng)絡(luò)攻擊時(shí)的表現(xiàn)情況。

表 3 當(dāng)前安全防護(hù)手段與隱蔽式網(wǎng)絡(luò)攻擊對抗分析Table 3. Analysis of current security protection measures fighting against ENA

由表 3 可以看出，隱蔽式網(wǎng)絡(luò)攻擊能夠有效地有針對性地突破當(dāng)前的安全防護(hù)體系。目前的主機(jī)防護(hù)的異常行為檢測技術(shù)容易被隱蔽式攻擊的正常行為繞過，基于特征碼的檢測則更加容易躲避。同時(shí)，隱蔽式攻擊采用“大隱隱于市”(Hide in the Plain Sight)的方法，主要是合法服務(wù)端口、合法行為和合法加密通道的方式突破目前的網(wǎng)絡(luò)安全防護(hù)。

需要說明的是，主機(jī)入侵防護(hù)系統(tǒng)理論上能夠檢測主機(jī)端隱蔽式攻擊行為，然而其總體易用性較差，正常應(yīng)用也可能被誤報(bào)，安全性很大程度上依賴于用戶的個(gè)人判斷能力，因此未能廣泛應(yīng)用。而目前的自動(dòng)化 HIPS 技術(shù)不完善，往往因?yàn)楸憷远鵂奚踩裕?HIPS 采用的防護(hù)技術(shù)也能被繞過，因此 HIPS 不能從單點(diǎn)解決隱蔽性網(wǎng)絡(luò)攻擊問題。

此外，目前安全防護(hù)體系提出的云安全(Cloud Security)和沙箱(Sandbox)技術(shù)也不能解決隱蔽式網(wǎng)絡(luò)攻擊的問題。云安全的主要思想是利用知識共享和統(tǒng)計(jì)方法。共享云中的一臺(tái)主機(jī)發(fā)現(xiàn)惡意攻擊軟件后上報(bào)至云端，云端服務(wù)下發(fā)至各個(gè)用戶，這樣可以實(shí)現(xiàn)一處發(fā)現(xiàn)，全網(wǎng)受益，從而有效縮短對攻擊的響應(yīng)時(shí)間。而統(tǒng)計(jì)是指對于一個(gè)樣本，如果大部分用戶都識別為安全，那么從統(tǒng)計(jì)上該樣本是安全可信的；反之，大部分人認(rèn)為是攻擊程序，則其很可能是有害的。這里面可能存在很多問題，包括對安全廠商以及公共、私有云的信任，用戶隱私泄露，用戶是否加入云，普通用戶對惡意攻擊的識別度及主機(jī)端檢測技術(shù)水平等。目前來看，云安全并沒有在檢測技術(shù)上有根本性提升，只是通過分布式群體協(xié)作架構(gòu)在一定程度上提高安全性。因此，云安全不能從根本上應(yīng)對隱蔽式網(wǎng)絡(luò)攻擊。沙箱技術(shù)作為目前防護(hù)惡意軟件的主流技術(shù)之一，試圖采用虛擬運(yùn)行環(huán)境發(fā)現(xiàn)惡意軟件的攻擊性行為，但很可能被隱蔽式網(wǎng)絡(luò)攻擊繞過或因系統(tǒng)、軟件、環(huán)境等不能滿足特定條件無法觸發(fā)攻擊行為。

總之，隱蔽式網(wǎng)絡(luò)攻擊的最大特點(diǎn)是隱蔽性，從入侵技術(shù)到持續(xù)潛伏，再到與外部通信和數(shù)據(jù)泄露，力求做到在用戶無覺察情況下突破入口點(diǎn)，利用內(nèi)網(wǎng)防護(hù)弱點(diǎn)進(jìn)行網(wǎng)內(nèi)移動(dòng)，從而使主機(jī)端安全軟件認(rèn)為其是合法程序或構(gòu)成部分，安全防護(hù)體系認(rèn)為其通信行為是合法行為。這樣就對目前的安全檢測和應(yīng)急響應(yīng)帶來了巨大挑戰(zhàn)，具體如下：

(1)主機(jī)層面對惡意程序的檢測問題。目前主機(jī)層面的主要技術(shù)有特征碼、黑白名單、數(shù)字簽名、沙箱和應(yīng)用行為檢測(包括虛擬機(jī)技術(shù)、啟發(fā)式行為檢測等)。簡單特征碼、文件哈希檢測早已無法應(yīng)對惡意程序數(shù)量的快速增長，目前反病毒軟件可以用一條特征碼應(yīng)對數(shù)十個(gè)、數(shù)百個(gè)甚至更多的惡意程序樣本的檢測，但特征碼是基于已有特征的抽取，對于未知惡意程序，尤其是針對隱蔽式攻擊程序，特征碼基本無效。黑名單技術(shù)類似，如果惡意程序不在黑名單內(nèi)，則無效。白名單則往往僅限于特定場景應(yīng)用，或是為了提高反病毒程序的效率和減少誤報(bào)，惡意程序可以采用高級技術(shù)偽裝或注入到系統(tǒng)或常用程序內(nèi)。數(shù)字簽名一般用于輔助判定，而惡意程序完全可以盜用合法簽名或者自行簽名，目前已經(jīng)發(fā)生了多起此類攻擊[12]。行為檢測技術(shù)一般誤報(bào)率較高，難以在準(zhǔn)確度和效率之間找到平衡，同時(shí)隱蔽式網(wǎng)絡(luò)攻擊往往有觸發(fā)場景控制，或者偽裝能力很強(qiáng)(看起來就是“合法”正常程序)，難以從主機(jī)層面找到典型的惡意行為特征。此外，一旦隱蔽式攻擊利用零日漏洞進(jìn)行攻擊，其攻擊行為對于基于已知知識或行為主機(jī)的安全防護(hù)軟件來講是不可見的，也是無法檢測的。

(2)網(wǎng)絡(luò)層面的隱蔽攻擊檢測問題。防火墻的經(jīng)典策略是訪問控制列表，根據(jù)網(wǎng)絡(luò)連接的源目的地址、端口規(guī)則進(jìn)行控制，其缺點(diǎn)是不做內(nèi)容檢測，對于合法服務(wù)的端口被惡意利用的情況無法應(yīng)對。很多隱蔽式網(wǎng)絡(luò)攻擊都利用了這一顯著弱點(diǎn)，內(nèi)網(wǎng)主機(jī)主動(dòng)連接外部網(wǎng)絡(luò)的主機(jī)的HTTP、HTTPS、SSH 等常見服務(wù)，輕易繞過端口限制。網(wǎng)絡(luò)入侵檢測系統(tǒng)目前主要基于內(nèi)容特征簽名和異常行為模式進(jìn)行網(wǎng)絡(luò)攻擊檢測。對于內(nèi)容編碼、變形及加密的應(yīng)用服務(wù)，入侵檢測系統(tǒng)無法知道真實(shí)的傳輸內(nèi)容，為了不造成誤報(bào)，一般對此類服務(wù)放行。因此，隱蔽式網(wǎng)絡(luò)攻擊可以變形偽裝成加密服務(wù)躲避入侵檢測系統(tǒng)的檢查。

對于內(nèi)網(wǎng)攻擊的檢測，面臨諸多問題。首先是部署位置的問題，網(wǎng)關(guān)型設(shè)備很可能根本無法感知攻擊流量，在什么位置部署、部署多少設(shè)備涉及到成本和維護(hù)便利性問題。其次是防護(hù)的有效性問題，不少企業(yè)或機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)中主機(jī)的安全性較差，漏洞不能及時(shí)打上，應(yīng)用程序版本陳舊，沒有安裝安全防護(hù)軟件或者長久無法更新，使得他們更易受攻擊，當(dāng)攻擊者利用未修復(fù)的漏洞實(shí)施攻擊時(shí)，很難被發(fā)現(xiàn)。同時(shí)，內(nèi)網(wǎng)主機(jī)間往往信任度高，偽造身份信息或通過社會(huì)工程學(xué)攻擊會(huì)更容易成功，造成的危害性也更大。

(3)多來源數(shù)據(jù)的關(guān)聯(lián)融合分析問題。隱蔽式網(wǎng)絡(luò)攻擊是多階段的，具有較長時(shí)間跨度。入侵階段的入口點(diǎn)是動(dòng)態(tài)的，方式是多變的，內(nèi)部攻擊的方法和網(wǎng)絡(luò)通信的時(shí)間、網(wǎng)絡(luò)出口、數(shù)據(jù)泄露的方法等也是無法確定的，因此勢必需要多方面的全方位檢測體系。就目前的防護(hù)體系來看，雖然對攻擊準(zhǔn)確識別不太可能，但攻擊流程的任何一個(gè)環(huán)節(jié)都有可能觸發(fā)低安全等級的警報(bào)或產(chǎn)生日志，比如反垃圾郵件日志、IDS 的可疑遠(yuǎn)程控制通信行為日志、WAF 的可疑連接日志等。在極端情況下，需要記錄所有的網(wǎng)絡(luò)行為，包括正常行為。如何從多個(gè)來源的海量日志進(jìn)行融合分析，通過關(guān)聯(lián)分析和挖掘，從低安全等級日志和正常日志中根據(jù)時(shí)間和空間關(guān)系發(fā)現(xiàn)隱蔽性網(wǎng)絡(luò)攻擊，以及采用什么數(shù)據(jù)分析模型或方法，是具有很強(qiáng)挑戰(zhàn)性的問題。

總之，目前以已知應(yīng)對未知，異常應(yīng)對“正?！保瑔我粚用鏅z測應(yīng)對隱蔽式的復(fù)雜攻擊，以實(shí)時(shí)短時(shí)檢測應(yīng)對長期持續(xù)性攻擊，這種網(wǎng)絡(luò)安全防護(hù)手段對抗網(wǎng)絡(luò)攻擊尚未能取得較好的效果。隱蔽式網(wǎng)絡(luò)攻擊提高了攻擊的技術(shù)水平，突破了傳統(tǒng)的成本約束規(guī)則，打破了當(dāng)前的安全信任與分工體系，并通過拉長攻擊周期使實(shí)時(shí)檢測和應(yīng)急響應(yīng)幾乎成為空談。隱蔽式網(wǎng)絡(luò)攻擊的攻擊行為不是單個(gè)突出的，而更可能是多個(gè)、持續(xù)性、有序的和隱蔽的看似正常的或低威脅性的行為組合。

對于隱蔽式網(wǎng)絡(luò)攻擊的檢測，需要主機(jī)和網(wǎng)絡(luò)檢測相結(jié)合，在提升多個(gè)點(diǎn)各自能力的同時(shí)，更需要從多個(gè)維度開展，從長時(shí)間尺度上進(jìn)行關(guān)聯(lián)分析，從而發(fā)現(xiàn)隱蔽的安全威脅。

4 隱蔽式網(wǎng)絡(luò)攻擊的攻與防

對隱蔽式網(wǎng)絡(luò)攻擊的研究目前處于起步階段，主要是通過實(shí)例分析找到此類攻擊的主要技術(shù)手段，并相應(yīng)采取新老交替的方法進(jìn)行應(yīng)對，同時(shí)借助于一些新的技術(shù)進(jìn)行對抗，比如零日漏洞檢測技術(shù)、隱蔽網(wǎng)絡(luò)通信行為的檢測以及多源數(shù)據(jù)的關(guān)聯(lián)融合分析等。下面將從其相關(guān)技術(shù)和檢測兩個(gè)方面分別進(jìn)行闡述。

4.1 隱蔽式網(wǎng)絡(luò)攻擊

隱蔽式網(wǎng)絡(luò)攻擊之所以采用零日漏洞等攻擊手段，無非是為了突破當(dāng)前的網(wǎng)絡(luò)安全防護(hù)體系。而當(dāng)今網(wǎng)絡(luò)安全防護(hù)系統(tǒng)中，防火墻和 IDS仍占據(jù)主要地位，但較以往的粒度更細(xì)，功能亦更多。下面就從入侵檢測系統(tǒng)逃避和新型隱蔽攻擊方法探索兩個(gè)方面進(jìn)行簡單總結(jié)。

在躲避入侵檢測系統(tǒng)方面，相關(guān)研究工作至少可以追溯到上個(gè)世紀(jì)末，且持續(xù)至今。Ptacek等[13]指出了 IDS 系統(tǒng)被動(dòng)協(xié)議分析可靠性的兩個(gè)根本問題，即信息不全和被動(dòng)方式，并定義基于上述問題的針對 IDS 系統(tǒng)的三類攻擊：插入、逃避和拒絕服務(wù)，針對市場上四款 IDS 產(chǎn)品的測試表明上述攻擊是有效的。Wagner 等[14]引入了模仿攻擊(Mimicry Attacks)的概念，并開發(fā)了一個(gè)評估 IDS 對抗模仿攻擊安全性的理論框架，針對一個(gè)典型主機(jī) IDS 采用 6 種思路實(shí)施攻擊，包括在避免改變應(yīng)用可觀察到的行為、耐心等待適時(shí)插入攻擊序列、尋找最佳執(zhí)行路徑、替換系統(tǒng)調(diào)用參數(shù)、插入無用操作和生成等效攻擊。Kayacik 等[15]對模仿攻擊進(jìn)行了揭秘，將緩沖區(qū)溢出攻擊分為前奏和利用兩個(gè)組成部分，通過對四個(gè)有漏洞的 UNIX 應(yīng)用程序進(jìn)行監(jiān)控研究前奏和利用部分的異常行為，結(jié)果表明雖然利用部分可以逃避異常檢測，前奏部分卻難以完全逃避。Kolesnikov 等[16]探討基于正常流量變異的多態(tài)蠕蟲(每個(gè)實(shí)例具有不同形態(tài))的概念，研究當(dāng)蠕蟲已經(jīng)進(jìn)入目標(biāo)系統(tǒng)內(nèi)時(shí)如何躲避本地 IDS 檢測的問題。針對 IDS 實(shí)例的實(shí)驗(yàn)表明，簡單的多態(tài)蠕蟲可以躲避基于特征簽名的 IDS，而高級多態(tài)蠕蟲通過特定方法將自身混入正常 HTTP 流量中并保持流量屬性的統(tǒng)計(jì)分布基本不變，可以躲避基于異常的 IDS 的檢測。在 Rajab 等[17]的研究中，他們指出隨著被動(dòng)網(wǎng)絡(luò)監(jiān)視器司空見慣，惡意軟件可以主動(dòng)探測他們并躲避他們，并提出一種簡單有效的動(dòng)態(tài)躲避網(wǎng)絡(luò)監(jiān)視器的技術(shù)。該方法采用輕量級的采樣技術(shù)探測活動(dòng)網(wǎng)絡(luò)的 IP 前綴，隔離不活動(dòng)的 IP 前綴對應(yīng)的網(wǎng)絡(luò)(可能是未被使用或作為被動(dòng)監(jiān)測)，從而避免被監(jiān)視器所捕獲。Marpaung 等[18]對惡意軟件的逃避技術(shù)進(jìn)行了總結(jié)，包括混淆(Obfuscation)、分片和會(huì)話拼接(Fragmentation and Session Splicing)，應(yīng)用特定的違規(guī)行為，協(xié)議違規(guī)行為，在 IDS 處插入流量，拒絕服務(wù)和代碼重用攻擊。

在新型隱蔽攻擊的探索方面，最近較為火熱的是高級逃逸技術(shù)(Advanced Evasion Technique)[19]，其技術(shù)大部分都是上述逃避 IDS 的方法中提及的技術(shù)。2010 年 10 月，芬蘭公司 STONESOFT 發(fā)現(xiàn)，很多高級逃逸技術(shù)可以穿透很多當(dāng)時(shí)國際上著名的大公司網(wǎng)絡(luò)。這一方面說明當(dāng)前安全設(shè)備存在諸多不完善之處，同時(shí)也為攻擊者提供了躲避安全檢測的思路，即利用攻擊目標(biāo)安全防護(hù)系統(tǒng)的自身漏洞。劉超等[20]設(shè)計(jì)實(shí)現(xiàn)了一種基于TLS 加密通信協(xié)議 HTTPS 隧道木馬，可以有效繞過防火墻和入侵檢測系統(tǒng)。此外，零日漏洞的挖掘和利用對于隱蔽攻擊往往是十分便利的，相關(guān)研究此處并未包含。

需要指出的是，對于安全行業(yè)，最好的技術(shù)、最新的方法未必體現(xiàn)在學(xué)術(shù)研究成果上。受經(jīng)濟(jì)和政治利益驅(qū)動(dòng)，黑客或研究人員一旦找到可以突破安全防護(hù)的新方法(比如可利用的系統(tǒng)或常用軟件零日漏洞、新的攻擊技術(shù))，往往不是將相關(guān)信息提供給安全公司并提醒用戶防護(hù)，而是用來謀取利益。比如 Vupen 公司[21]就將其團(tuán)隊(duì)發(fā)現(xiàn)的漏洞出售，這種情況在黑客社區(qū)并不少見。對于國家來說，新的隱蔽攻擊方法可能被作為網(wǎng)絡(luò)對抗中的有力武器，很可能屬于國家秘密，并不輕易示人。這樣以來，學(xué)術(shù)研究往往會(huì)滯后于實(shí)踐，甚至在一定程度上缺乏實(shí)用性。因此，我們的總結(jié)必然是不全面的。但至少可以看出，安全本身就是一個(gè)蘊(yùn)含著攻防雙方對抗的動(dòng)態(tài)概念。攻擊方對于躲避安全防護(hù)系統(tǒng)的探索從未停止過，也不可能停止。隱蔽式網(wǎng)絡(luò)攻擊的凸顯是防護(hù)方的方法和技術(shù)較明顯落后于對方的表現(xiàn)。

4.2 隱蔽式網(wǎng)絡(luò)攻擊的檢測

由于隱蔽性網(wǎng)絡(luò)攻擊不是具有精確定義的稱呼，根據(jù)其內(nèi)涵與外延，相關(guān)的檢測與防護(hù)研究工作可以從僵尸網(wǎng)絡(luò)、隱蔽木馬和 APT 三個(gè)相關(guān)的方向進(jìn)行總結(jié)。

僵尸網(wǎng)絡(luò)的檢測研究方面。目前基于HTTP、P2P 的隱蔽性和生存性強(qiáng)的僵尸網(wǎng)絡(luò)呈增多趨勢，對應(yīng)地，基于群體行為特征和行為關(guān)聯(lián)的檢測方法成為主流，基于日志數(shù)據(jù)的學(xué)習(xí)挖掘方法為事后分析提供了支持。僵尸網(wǎng)絡(luò)的檢測從根本上講是異常檢測，即區(qū)分出僵尸網(wǎng)絡(luò)通信區(qū)別于一般通信的特點(diǎn)。目前有以下檢測方法[22-24]：基于內(nèi)容簽名的方法(簡單準(zhǔn)確，對未知的無效)、基于行為特征的方法(流量的群體相似性和時(shí)間關(guān)聯(lián)性)、基于關(guān)聯(lián)分析的方法(分布式拒絕服務(wù)攻擊、掃描、垃圾郵件、二進(jìn)制文件下載和漏洞利用等行為活動(dòng))和基于數(shù)據(jù)挖掘的方法(動(dòng)態(tài) DNS、DNS 集中請求，NXDOMAIN 和攻擊事件日志分析)。Gu 等[25]提出的 BotMiner 通過將可疑活動(dòng)聚類和相似通信流聚類，以及對兩者結(jié)果進(jìn)一步關(guān)聯(lián)分析找出 Botnet 中的主機(jī)。該方法不依賴協(xié)議、網(wǎng)絡(luò)架構(gòu)和先驗(yàn)知識，具有可擴(kuò)展性。Gu 等[26]提出了BotProbe 通過主動(dòng)探測來識別 IRC 僵尸網(wǎng)絡(luò)的隱蔽或混淆通信。Yadav 等[27]借助 DNS 請求失敗和域名(成功和失敗)的熵(歸一化的編輯距離)關(guān)聯(lián)分析加速 Botnet 檢測。Zhao 等[28]利用機(jī)器學(xué)習(xí)方法借助于流統(tǒng)計(jì)屬性通過對流量行為進(jìn)行分類的方法對僵尸網(wǎng)絡(luò)進(jìn)行識別。

基于 HTTP 協(xié)議的僵尸網(wǎng)絡(luò)很容易隱藏在普通 HTTP 流量中，難以發(fā)現(xiàn)；同時(shí)不少僵尸網(wǎng)絡(luò)開始采用加密手段或 P2P 模式增強(qiáng)隱蔽性和可生存性。很多隱蔽式網(wǎng)絡(luò)攻擊是定向攻擊，很可能不具備僵尸網(wǎng)絡(luò)的協(xié)同性和時(shí)空相似性等特征，且往往采用加密信道，難以找到特征。隱蔽性網(wǎng)絡(luò)攻擊與一般意義上的僵尸網(wǎng)絡(luò)存在較大差異，不一定具有分布式拒絕服務(wù)、垃圾郵件和掃描等關(guān)聯(lián)活動(dòng)特征。因此，對僵尸網(wǎng)絡(luò)的檢測方法不能廣泛應(yīng)用于隱蔽式網(wǎng)絡(luò)攻擊。

木馬的檢測方面。主要檢測方法可以歸納為基于特征匹配的檢測技術(shù)和基于網(wǎng)絡(luò)行為的檢測，其中后者涵蓋基于心跳檢測(時(shí)間間隔、數(shù)據(jù)包大小和數(shù)量)和交互操作行為(人的行為，兩個(gè)方向數(shù)據(jù)包大小、間隔、比例等)。Chen 等[29]提出基于應(yīng)用層內(nèi)容檢測已知遠(yuǎn)程控制木馬的框架，并通過會(huì)話關(guān)聯(lián)檢測簡單加密(XOR)的木馬。李世淙等[30]等提出了一種分層聚類的木馬通信行為檢測方法，通過對 IP 通信的雙向字節(jié)數(shù)、包數(shù)、持續(xù)時(shí)間和包間隔進(jìn)行異常檢測發(fā)現(xiàn)木馬通信行為；類似的工作還有張曉晨等[31]針對竊密木馬檢測的研究。基于特征匹配的方法屬于事后檢測，需不斷進(jìn)行特征庫更新，難以應(yīng)對封裝，編碼變形；對基于心跳等行為檢測方法而言，網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)游戲、聊天軟件也有類似“心跳”行為，易誤報(bào)；基于聚類等學(xué)習(xí)方法在真實(shí)場景中的實(shí)用性難以達(dá)到要求。

APT 檢測是目前安全產(chǎn)業(yè)界和學(xué)術(shù)界的研究焦點(diǎn)之一。產(chǎn)業(yè)界有 FireEye、趨勢科技(TrendMicro)、RSA 等業(yè)內(nèi)網(wǎng)絡(luò)安全公司針對APT 提出了檢測方案，主要包括三方面的檢測：惡意代碼檢測、可疑通信檢測和攻擊行為檢測，分別針對包含漏洞利用代碼的惡意文件、命令控制通信和下載、傳播、數(shù)據(jù)泄露等。具體來說：

第一是主機(jī)端防范入侵突破，解決的問題是惡意代碼檢測和主機(jī)應(yīng)用防護(hù)。典型代表有國外 FireEye 的惡意代碼防御系統(tǒng) MPS(Malware Protection System)和 Bit9 的可信安全平臺(tái)，國內(nèi)南京瀚海源的產(chǎn)品“星云”和安天的“追影”高級威脅鑒定器。

第二是網(wǎng)絡(luò)通信，包括命令與控制通信信道發(fā)現(xiàn)，數(shù)據(jù)泄露檢測以及內(nèi)網(wǎng)威脅檢測。國外趨勢科技的 Deep Discovery 專門檢測 APT 攻擊的命令控制通道，其入侵檢測系統(tǒng)引擎上部署了惡意代碼檢測沙箱來彌補(bǔ)傳統(tǒng)特征攻擊檢測的不足。國內(nèi)尚未見到對應(yīng)產(chǎn)品，但網(wǎng)絡(luò) IDS/IPS 產(chǎn)品與其原理類似，技術(shù)細(xì)節(jié)可能存在一定差異。

第三是綜合檢測、大數(shù)據(jù)分析方面，國外產(chǎn)品代表有 RSA 的 NetWitness，國內(nèi)有啟明星辰天闐威脅檢測與智能分析系統(tǒng)等。

產(chǎn)業(yè)界各類產(chǎn)品采用的主要技術(shù)包括黑白名單、虛擬執(zhí)行、智能沙箱、特征匹配和自動(dòng)提取、軟件信譽(yù)庫和智能上下文分析等。此外，為了提高準(zhǔn)確度和減少漏報(bào)，多個(gè)廠商之間的產(chǎn)品出現(xiàn)了相互集成和共享信息的情況。

學(xué)術(shù)方面，由于零日漏洞常出現(xiàn)在 APT 攻擊前期的入口突破階段，對于整個(gè)攻擊過程來說往往十分重要，因此研究者嘗試從零日漏洞攻擊檢測著手發(fā)現(xiàn) APT 攻擊。Alazab 等[32]針對惡意軟件的混淆技術(shù)，根據(jù) Windows 系統(tǒng) API 調(diào)用頻率借助有監(jiān)督機(jī)器學(xué)習(xí)算法對零日未知惡意軟件進(jìn)行識別。賽門鐵克的 Bilge 等[33]對 2008 年到2011 年間的零日攻擊進(jìn)行了系統(tǒng)性的實(shí)證研究，利用 1100 萬真實(shí)主機(jī)的歷史場景數(shù)據(jù)進(jìn)行分析，通過將可執(zhí)行程序與利用的漏洞關(guān)聯(lián)，并借助程序最早出現(xiàn)日期對比，識別出一定數(shù)量的零日漏洞利用程序，并分析了零日漏洞生命周期。Aleroud 等[34]借助線性數(shù)據(jù)變換和異常檢測技術(shù)基于已知攻擊簽名上下文屬性檢測零日攻擊，其中線性數(shù)據(jù)轉(zhuǎn)換技術(shù)依賴于幾個(gè)判別函數(shù)，用于借助分析網(wǎng)絡(luò)連接特征計(jì)算零日攻擊的估計(jì)概率。異常檢測技術(shù)識別使用一類最近鄰算法，并使用奇異值分解技術(shù)來實(shí)現(xiàn)降維。Dai 等[35]通過分析全網(wǎng)主機(jī)的系統(tǒng)調(diào)用構(gòu)建系統(tǒng)對象依賴圖，并通過前向和后向追蹤識別零日攻擊路徑。此外還有人利用蜜罐來檢測零日攻擊。

Binde 等[36]針對 APT 攻擊遠(yuǎn)程控制環(huán)節(jié)，提出了以下幾個(gè)方面的檢測方法：規(guī)則集合(釣魚、PI-RAT 和注冊表項(xiàng))、統(tǒng)計(jì)和關(guān)聯(lián)方法(Fast-flux 域名和注冊表檢查和 Snort 規(guī)則檢查PI-RAT 關(guān)聯(lián))、人工方法(DNS 日志、異常流量、奇怪的出站流量)和自動(dòng)化數(shù)據(jù)泄漏阻斷(檢測和阻止 RAR 文件、限制出站連接、OSSEC 主動(dòng)響應(yīng))。Tankard[37]指出對抗 APT 需要多種網(wǎng)絡(luò)監(jiān)控措施(日志分析、文件完整性檢查、注冊表監(jiān)控和 rootkit 檢測)，而且分析出站流量非常重要，對 443 端口流量進(jìn)行嚴(yán)格的訪問控制；Giura 等[38]提出了一種利用 MapReduce 分布式計(jì)算來揭露 APT 攻擊的框架，通過事件來源、事件存儲(chǔ)、多平面關(guān)聯(lián)和時(shí)間關(guān)聯(lián)進(jìn)行 APT 檢測；Virvilis 等[39]對 stuxnet、duqu、flame 和 Red October 進(jìn)行了技術(shù)分析，并針對性地提出了對抗 APT 的方法：補(bǔ)丁管理、強(qiáng)網(wǎng)絡(luò)訪問控制和監(jiān)控，嚴(yán)格的互聯(lián)網(wǎng)訪問策略和內(nèi)容檢查，電子郵件附件異常檢查，DNS 查詢檢查，蜜罐和主機(jī)入侵檢測系統(tǒng)。

從上面可以看出，對于隱蔽式網(wǎng)絡(luò)攻擊，主流檢測方法不再依賴于具體特征本身，而是利用攻擊行為與正常行為在上下文屬性、對象依賴關(guān)系和網(wǎng)絡(luò)連接特征等方面的差異來識別判斷。而且，采用多種方法進(jìn)行綜合檢測是應(yīng)對隱蔽式網(wǎng)絡(luò)攻擊的主流思路。

5 隱蔽式網(wǎng)絡(luò)攻擊檢測的未來

雖然隱蔽式網(wǎng)絡(luò)攻擊檢測尚處于探索階段，目前甚至短期內(nèi)找不到較好的解決方法，但至少需要做好以下三個(gè)方面：隱蔽式網(wǎng)絡(luò)攻擊的主機(jī)層面檢測、隱蔽式網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)檢測(包括出入口和網(wǎng)絡(luò)內(nèi)部)和多源海量數(shù)據(jù)的融合關(guān)聯(lián)分析。從做好各個(gè)關(guān)鍵點(diǎn)防護(hù)出發(fā)，減輕此類攻擊的損害，然后構(gòu)筑一個(gè)新的安全體系，有效預(yù)防、檢測和阻止此類攻擊。具體來說至少需要在以下關(guān)鍵研究點(diǎn)上取得突破。

5.1 隱蔽式網(wǎng)絡(luò)攻擊的主機(jī)層面檢測

研究隱蔽式網(wǎng)絡(luò)攻擊能夠逃避主機(jī)端檢測的原因、技術(shù)手段和特點(diǎn)，并探索新的有效檢測方法?；诂F(xiàn)有知識的方法無法應(yīng)對未知攻擊，新的隱蔽性攻擊在已知特征庫里面找不到特征標(biāo)識，因此被判定為合法、安全。這種理論對于隱蔽式網(wǎng)絡(luò)攻擊的安全防護(hù)是不可行的。特征庫類似于黑名單，黑名單無法檢測出沒有歷史記錄的非法行為。而采用白名單對于用戶來說限制過多，頻繁擴(kuò)充或變更白名單可能出現(xiàn)配置不一致等問題，而且如果過分依賴白名單，一旦其出現(xiàn)問題，后果將十分嚴(yán)重。

既然目前的檢測方法能被突破，那么研究新的主機(jī)層次檢測方法很有必要。主機(jī)檢測的優(yōu)點(diǎn)是可以知道行為的產(chǎn)生者是哪個(gè)進(jìn)程、哪個(gè)線程，缺點(diǎn)是一旦對手比你的技術(shù)水平更高、更底層，那么你就“有眼無珠”，很難檢測對方的行為。這個(gè)時(shí)候，可以從主機(jī)外來看，即從其網(wǎng)絡(luò)連接發(fā)現(xiàn)蛛絲馬跡。因此，通過將主機(jī)檢測和網(wǎng)絡(luò)檢測融合起來，將是很有意義的。在主機(jī)軟件判定方面，采用白名單機(jī)制或者在白名單、黑名單中間加入“灰名單”，借助于行為特征、歷史知識等來進(jìn)行綜合判定是比較可行的方法。

5.2 隱蔽式網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)檢測

包括網(wǎng)絡(luò)出入口隱蔽通道檢測和內(nèi)網(wǎng)攻擊行為檢測。具體來說，至少包含以下內(nèi)容：

5.2.1 加密服務(wù)中的隱蔽攻擊通道檢測

研究如何將識別不同加密服務(wù)以及將常規(guī)加密應(yīng)用服務(wù)(P2P 和 VoIP 等)與隱蔽式攻擊加密通道進(jìn)行粗粒度區(qū)分的挑戰(zhàn)性問題[40]，便于在此基礎(chǔ)上對可疑攻擊流量進(jìn)行進(jìn)一步分析。

近年來，互聯(lián)網(wǎng)飛速發(fā)展，普通個(gè)人用戶的可用網(wǎng)絡(luò)帶寬成倍增加，網(wǎng)絡(luò)用戶數(shù)量呈現(xiàn)高速增長趨勢。根據(jù)中國互聯(lián)網(wǎng)信息中心(CNNIC)的統(tǒng)計(jì)，截至 2013 年 6 月底，我國網(wǎng)民規(guī)模達(dá)5.91 億[41]。網(wǎng)絡(luò)用戶增加促進(jìn)了網(wǎng)絡(luò)經(jīng)濟(jì)的繁榮，也引起網(wǎng)絡(luò)流量的大幅度增加。流量的增長給用戶網(wǎng)絡(luò)安全管理的有限計(jì)算資源帶來極大挑戰(zhàn)。尤其是最近幾年，隨著 P2P 應(yīng)用借助加密混淆技術(shù)逃避運(yùn)營商的封鎖以及網(wǎng)絡(luò)安全問題的日益突出，采用 HTTPS 進(jìn)行 Web 訪問，采用加密FTP、電子郵件、以及加密通道進(jìn)行遠(yuǎn)程訪問和辦公的服務(wù)越來越多。根據(jù) CNCERT 統(tǒng)計(jì)，TCP 443端口(HTTPS)流量長期在 TCP 端口流量排行中位列第 3 位[42]。加密網(wǎng)絡(luò)服務(wù)(加密 P2P 等)的大量增長和服務(wù)內(nèi)部的復(fù)雜多變性[43]使得惡意行為更容易隱藏其中，增加了隱蔽式攻擊的檢測難度。

目前觀察到的隱蔽式攻擊較多借助加密方式躲避檢查。因此，對于企業(yè)、機(jī)構(gòu)的安全管理員來說，需要關(guān)注所有網(wǎng)絡(luò)通信行為，并且盡可能準(zhǔn)確地排除正常訪問行為，從而將可疑隱蔽式攻擊流量所在的大集合經(jīng)過初篩形成一個(gè)較小的集合，便于后面進(jìn)一步分析。

隱蔽式網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)檢測問題歸根結(jié)底是流量中隱蔽攻擊行為模式的識別問題，且基本上是一個(gè)異常流量的發(fā)現(xiàn)問題。但由于這些惡意攻擊流量隱藏較深，且偽裝較好，看起來與正?！盁o異”，所以能夠欺騙當(dāng)前的檢測設(shè)備，突破網(wǎng)絡(luò)安全防御。同時(shí)，流量變形(Traffic Morph)[44]和混淆技術(shù)給惡意攻擊者提供了網(wǎng)絡(luò)流量層面躲避檢測的新途徑。因此，如何有效檢測隱蔽式攻擊的網(wǎng)絡(luò)通道，是當(dāng)前亟待解決的技術(shù)難題。當(dāng)網(wǎng)絡(luò)攻擊流量模式不具有明顯異常時(shí)，可以運(yùn)用逆向思維，通過從加密服務(wù)整體中精確識別合法服務(wù)來篩選出可疑隱蔽攻擊通道。

5.2.2 偽裝及利用合法加密服務(wù)的隱蔽攻擊通道流量識別

面對安全設(shè)備的網(wǎng)絡(luò)檢查，隱蔽式網(wǎng)絡(luò)攻擊中受控主機(jī)上的惡意軟件(或泄密者)和命令與控制(C&C)服務(wù)器(或接收者)通信或數(shù)據(jù)泄露逐漸轉(zhuǎn)變?yōu)椴捎眉用芸刂菩诺馈Ｄ壳?，部分僵尸網(wǎng)絡(luò)、后門已經(jīng)開始采用 HTTPS、SSH 等加密服務(wù)端口或偽裝成相應(yīng)流量躲避檢測。最近發(fā)現(xiàn)的APT 多采用 HTTPS 和 SSH 協(xié)議。根據(jù)根據(jù)安全廠商的分析報(bào)告[6,7]，Gauss、Duqu 和 Flame 等 APT 均支持采用 SSL 或 SSL 協(xié)議與命令控制服務(wù)器通信。

需要指出，采用或偽裝加密不是偶然個(gè)例，而是必然趨勢。2013 年 4 月，國內(nèi)廠商發(fā)現(xiàn)利用波士頓爆炸事件的 APT 樣本采用 HTTPS 與 C&C服務(wù)器進(jìn)行網(wǎng)絡(luò)通信[45]；2013 年 5 月，賽門鐵克發(fā)現(xiàn)一個(gè) Linux 后門程序 Fokirtor 將其流量偽裝成正常 SSH 流量躲避檢測[46]；知名僵尸網(wǎng)絡(luò)Spyeye 采用 80(HTTP)和 443(HTTPS)端口躲避安全檢查。圖 1 是 2013 年 4 月捕獲的 Spyeye 樣本的網(wǎng)絡(luò)數(shù)據(jù)包示例(客戶端到服務(wù)器方向)，服務(wù)器端口為 443，但通信內(nèi)容不是標(biāo)準(zhǔn) SSL/ TLS 協(xié)議格式。網(wǎng)絡(luò)安全公司 Mandiant 的報(bào)告(M-Trends)[47]指出，APT 攻擊樣本 100% 僅采用出站連接，且 83% 采用 TCP 的 80 或 443 端口。

隱蔽式網(wǎng)絡(luò)攻擊之所以采用 SSL 等加密服務(wù)或服務(wù)端口進(jìn)行通信，有以下原因：

(1)不能用明文，因?yàn)榭刂仆ǖ劳ㄐ?、上傳文件等很容易被安全設(shè)備檢測到；

(2)不適宜用簡單編碼或變形，可能被安全設(shè)備解密或被異常檢測發(fā)現(xiàn)；

(3)不適宜在非加密服務(wù)端口采用強(qiáng)加密手段，容易被異常檢測發(fā)現(xiàn)；

(4)只有采用合法加密服務(wù)端口，才容易繞過檢測，從而長期保持隱蔽性。

圖 1 僵尸網(wǎng)絡(luò) Spyeye 通過 TCP443 端口躲避檢查Fig.1. Botnet Spyeye exploits TCP port 443 to escape detection

因此，采用合法加密服務(wù)端口的對應(yīng)加密應(yīng)用類型或偽裝成其流量進(jìn)行通信是隱蔽性網(wǎng)絡(luò)攻擊的必然選擇。如何對合法加密服務(wù)端口的流量進(jìn)行檢測，識別出其中極小比例的隱蔽式網(wǎng)絡(luò)攻擊的通道，是一個(gè)亟待解決的問題。

5.2.3 HTTP 等常見非加密協(xié)議中的隱蔽攻擊通道的識別

HTTP 是目前網(wǎng)絡(luò)流量的最主要來源之一，根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的 TCP 端口流量排行統(tǒng)計(jì)，80 端口的流量始終排名第一位，且遙遙領(lǐng)先于其他端口[42]。根據(jù) Mandiant[47]，大部分 APT攻擊采用了 80 和 443 端口進(jìn)行命令控制通信。主流的僵尸網(wǎng)絡(luò)也主要采用 HTTP 協(xié)議隱藏受控端和控制端的通信。而對木馬來說，反彈式木馬很早就采用了 HTTP 協(xié)議來躲避主機(jī)反病毒軟件和網(wǎng)絡(luò)防火墻的檢查。隱蔽式網(wǎng)絡(luò)攻擊之所以一致選擇了 HTTP 服務(wù)端口，首先是考慮到 HTTP協(xié)議應(yīng)用的廣泛性；其次，相對于 HTTPS 的加密流，明文 HTTP 協(xié)議的內(nèi)容通過編碼、變形或加密更容易逃避安全設(shè)備的檢查。一旦命令和數(shù)據(jù)經(jīng)過編碼，又作為 HTTP 的 URL 或數(shù)據(jù)的組成部分，就非常難以做到有效檢測，一般情況下會(huì)被當(dāng)作正常數(shù)據(jù)放行。

因此，如何從各種 HTTP 請求中挖掘出這些惡意攻擊的通道，將這些深度偽裝的攻擊流量或主機(jī)識別出來，是一個(gè)非常有挑戰(zhàn)的問題，甚至難以有效解決。在目前的情況下，采用基于 IP、域名的聲譽(yù)，請求的行為特征并結(jié)合學(xué)習(xí)方法是可能的緩解方案之一。

需要指出的是，除了 HTTP 服務(wù)的 80 端口外，53(DNS 服務(wù))、110(POP3)、25(SMTP)、21(FTP)、23(TELNET)、554(RTSP)和161(SNMP)等常用服務(wù)端口，以及 8080(HTTP代理)、1080(Socks 代理)和 8000(互聯(lián)網(wǎng)廣播、iRDMI)等端口都有可能被隱蔽式網(wǎng)絡(luò)攻擊用于隱蔽通信。因此，該研究應(yīng)擴(kuò)展為常用服務(wù)端口的異常攻擊行為模式的發(fā)現(xiàn)。這就要求安全設(shè)備不能簡單的基于端口，而要深入理解常用協(xié)議的細(xì)節(jié)，這樣才有可能發(fā)現(xiàn)偽裝行為或異常模式。

5.2.4 內(nèi)網(wǎng)攻擊行為檢測

內(nèi)網(wǎng)攻擊行為是指從內(nèi)網(wǎng)發(fā)起的針對網(wǎng)絡(luò)內(nèi)部主機(jī)的攻擊行為。內(nèi)網(wǎng)攻擊對于入侵者獲取有價(jià)值的信息和資產(chǎn)是很重要的一步。對于安全防護(hù)級別較高的企業(yè)或機(jī)構(gòu)來說，包含重要信息的主機(jī)一般是不會(huì)直接暴露給攻擊者的。因此，攻擊者在突破外層防護(hù)后，一般需要在內(nèi)網(wǎng)進(jìn)行多次跳轉(zhuǎn)或移動(dòng)，以控制更有價(jià)值的主機(jī)，從而實(shí)施進(jìn)一步的攻擊行為。目前安全設(shè)備比如防火墻、IDS 和 WAF 等基本屬于邊界防護(hù)，一般部署在網(wǎng)關(guān)，無法對網(wǎng)絡(luò)內(nèi)部攻擊進(jìn)行審核，一旦攻擊者侵入內(nèi)部網(wǎng)絡(luò)，就能夠較容易地進(jìn)行數(shù)據(jù)嗅探、網(wǎng)絡(luò)主機(jī)掃描、漏洞掃描，并利用漏洞進(jìn)行技術(shù)性或非技術(shù)性的攻擊。

內(nèi)網(wǎng)攻擊行為檢測的主要難點(diǎn)在于如何在主機(jī)之間部署安全防護(hù)設(shè)備，若每臺(tái)主機(jī)之間都部署，勢必造成成本太高，故此方法不可行。一種較為可行的方案是將內(nèi)網(wǎng)產(chǎn)生的流量復(fù)制后轉(zhuǎn)發(fā)到特定的處理設(shè)備上監(jiān)控并分析處理，但勢必會(huì)增加網(wǎng)絡(luò)復(fù)雜度和經(jīng)濟(jì)成本。

5.3 多來源海量數(shù)據(jù)的融合關(guān)聯(lián)分析

就目前的研究成果來看，對隱蔽式網(wǎng)絡(luò)攻擊的檢測研究還處在過渡階段，大部分方法都是在原有基礎(chǔ)上的改進(jìn)，并沒有質(zhì)的突破。如果要構(gòu)建一個(gè)新的檢測體系，那么很多問題亟待解決，其中很重要的就是多來源數(shù)據(jù)的存儲(chǔ)、管理與綜合關(guān)聯(lián)分析。

目前大數(shù)據(jù)的思路[48]在應(yīng)對新型安全威脅發(fā)現(xiàn)方面較為突出。對于日益增長的網(wǎng)絡(luò)流量，我們?nèi)绾未鎯?chǔ)對日后分析有用的數(shù)據(jù)，僅依賴安全設(shè)備日志肯定是不夠的。那么是否全流量存儲(chǔ)，還是提取關(guān)鍵信息存儲(chǔ)，或者兩者結(jié)合？對于主機(jī)端是否要存儲(chǔ)信息來彌補(bǔ)網(wǎng)絡(luò)層面的不足？面對海量數(shù)據(jù)如何設(shè)計(jì)存儲(chǔ)架構(gòu)來節(jié)約空間并滿足日后檢索分析的效率需求？但無論如何，數(shù)據(jù)來源必定包含各種安全設(shè)備的日志信息，及大量主機(jī)的不同類型的數(shù)據(jù)信息。

然而，數(shù)據(jù)不會(huì)告訴我們攻擊是如何發(fā)生的，需要我們運(yùn)用智能去挖掘。智能上下文分析技術(shù)，時(shí)序事件關(guān)聯(lián)有助于多來源數(shù)據(jù)的融合分析。關(guān)聯(lián)分析的結(jié)果很可能是一個(gè)不確定的結(jié)果，因此隱蔽式網(wǎng)絡(luò)攻擊的識別決策問題也是未來的研究內(nèi)容之一。

具體來說，對于大數(shù)據(jù)，需要解決的問題有：如何進(jìn)行智能分析，如何運(yùn)用機(jī)器學(xué)習(xí)的方法實(shí)現(xiàn)去偽存真、去粗取精，如何把事件順序理清，如何從橫向和縱向進(jìn)行關(guān)聯(lián)分析，如何排除干擾并最終追蹤溯源等。如何從數(shù)據(jù)中提取有用知識并將知識融合形成能力是未來安全系統(tǒng)解決數(shù)據(jù)分析問題的關(guān)鍵。

5.4 總結(jié)和展望

從當(dāng)前的主流檢測技術(shù)來看，采用常見服務(wù)端口的隱蔽式網(wǎng)絡(luò)攻擊通信行為能容易地夠繞過安全防護(hù)。對于隱蔽式攻擊加密信道的檢測，研究者在運(yùn)用多種檢測手段并進(jìn)行綜合關(guān)聯(lián)分析方面達(dá)成了一致的看法，但缺乏對關(guān)鍵環(huán)節(jié)關(guān)鍵問題的深入研究，更多的是綜合性的檢測方案。反病毒軟件和網(wǎng)絡(luò)入侵檢測設(shè)備分別作為主機(jī)和網(wǎng)絡(luò)層面的主要防護(hù)手段，如何在技術(shù)層面提升他們應(yīng)對隱蔽式攻擊的能力是需要解決的難題。從隱蔽式攻擊的生命周期看，在命令控制通信和數(shù)據(jù)隱蔽泄漏階段實(shí)施檢測是基于網(wǎng)絡(luò)檢測較為合適的選擇，而主機(jī)端檢測技術(shù)對于早期發(fā)現(xiàn)并阻止隱蔽式攻擊入侵具有關(guān)鍵性意義。需要指出的是，隱蔽式網(wǎng)絡(luò)攻擊的檢測是整個(gè)安全行業(yè)的挑戰(zhàn)性問題，需要花費(fèi)大量精力進(jìn)行相關(guān)技術(shù)突破，從關(guān)鍵點(diǎn)出發(fā)，由點(diǎn)及面，構(gòu)建綜合立體防御，最終實(shí)現(xiàn)從分散的、異構(gòu)的海量數(shù)據(jù)流中發(fā)現(xiàn)隱藏的威脅。

當(dāng)前針對隱蔽式網(wǎng)絡(luò)攻擊的檢測方法可歸結(jié)為以下幾方面：

(1)入口點(diǎn)惡意代碼檢測：在互聯(lián)網(wǎng)入口點(diǎn)和主機(jī)層面對 Web、郵件、文件共享等可能攜帶的惡意代碼進(jìn)行檢測，在早期及時(shí)發(fā)現(xiàn) APT 攻擊的蛛絲馬跡。

(2)出口點(diǎn)數(shù)據(jù)防泄密：APT 攻擊目標(biāo)是有價(jià)值的數(shù)據(jù)信息，在主機(jī)上部署數(shù)據(jù)泄漏防護(hù)產(chǎn)品，防止敏感信息的外傳也是防御 APT 攻擊的方法之一。

(3)攻擊過程中網(wǎng)絡(luò)通信檢測：在網(wǎng)絡(luò)層面對 APT 攻擊的行為進(jìn)行檢測。

(4)大數(shù)據(jù)分析：全面采集網(wǎng)絡(luò)中的各種數(shù)據(jù)(原始的網(wǎng)絡(luò)數(shù)據(jù)包、業(yè)務(wù)運(yùn)行日志和設(shè)備安全日志)，采用大數(shù)據(jù)分析技術(shù)和智能分析算法來檢測 APT，可以覆蓋 APT 攻擊的各個(gè)階段。

我們認(rèn)為，要想做好隱蔽式網(wǎng)絡(luò)攻擊防御，需要幾大轉(zhuǎn)變，即：從被動(dòng)防御到主動(dòng)感知；從異常檢測到威脅發(fā)現(xiàn)；從單點(diǎn)決策到融合分析；從攻擊特征到行為路徑；從實(shí)時(shí)檢測到長期追蹤；從黑白名單到安全信譽(yù)；從企業(yè)責(zé)任到全民協(xié)作。同時(shí)，人為因素應(yīng)該受到充分重視，包括了內(nèi)部人員威脅、社交網(wǎng)絡(luò)、社會(huì)工程和安全意識等。

隱蔽式網(wǎng)絡(luò)攻擊的檢測不是一朝一夕的事情。既然信息安全問題已經(jīng)成為各行各業(yè)的共同問題，那么解決這一問題就不僅僅要靠少數(shù)安全行業(yè)的企業(yè)來完成，而是需要大家的共同參與，不僅是安全行業(yè)內(nèi)部的協(xié)作，更需要企業(yè)之間、政府多個(gè)部門之間以及政府與民間的緊密合作。隨著隱蔽式網(wǎng)絡(luò)攻擊實(shí)例的發(fā)現(xiàn)，經(jīng)過不斷總結(jié)和積極探索，新的方法和思路將越來越成熟，我們對其響應(yīng)速度將會(huì)不斷提升，最終其隱蔽性將被淡化直至消失，而其對整個(gè)行業(yè)的安全威脅也將得以消除。

[1] 國家互聯(lián)網(wǎng)應(yīng)急中心. 2012 年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述 [EB/OL]. (2014-2-14).http://202.108.212.119/publish/main/upload/ File/2012CNCERTreport(1). pdf.

[2] Boon F, Derix S, Modderkolk H. NSA infected 50,000 computer networks with malicious software [EB/OL]. http://www.nrc.nl/nieuws/2013/11/23/ nsa-infected-50000-computer-networks-withmalicious-software/.

[3] Sood A, Enbody R. Targeted cyberattacks: a superset of advanced persistent threats [J]. IEEE Security and Privacy, 2013, 11(1): 54-61.

[4] Chien E, OMurchu L, Falliere N. W32.Duqu: the precursor to the next stuxnet [C] // The 5th USENIX Workshop on Large-Scale Exploits and Emergent Threats, 2012.

[5] McAfee Foundstone Professional Services and McAfee Labs. Global energy cyberattacks: “Night Dragon” [EB/OL]. (2014-2-15). http://www.mcafee. com/in/resources/white-papers/wp-global-energycyberattacks-night-dragon. pdf.

[6] Kaspersky Lab Global Research and Analysis Team. Gauss: abnormal distribution [EB/OL]. (2014-2-10). http://www.securelist.com/en/downloads/vlpdfs/ kaspersky-lab-gauss.pdf.

[7] Bencsáth B, Pék G, Buttyán L, et al. Duqu: a stuxnet-like malware found in the wild [EB/OL]. (2011-10-14). http://free.ebooks6.com/Duqu-A-Stuxnet-like-malware-found-in-the-wild--Technical-Report-by-pdf-e7121.html.

[8] Litan A. RSA SecurID attack details unveiledlessons learned [EB/OL]. (2014-02-10). http:// blogs.gartner.com/avivah-litan/2011/04/01/rsasecurid-attack-details-unveiled-they-should-haveknown-better/.

[9] Alperovitch D. Revealed: operation shady RAT [EB/OL]. (2014-02-10). http://www.mcafee.com/ us/resources/white-papers/wp-operation-shady-rat. pdf.

[10] Bennett JT, Moran N, Villeneuve N. Poison ivy: assessing damage and extracting intelligence [EB/ OL]. (2014-02-10). http://www.FireEye.com/ resources/pdfs/FireEye-poison-ivy-report. pdf.

[11] Lau H. The truth behind the shady RAT [EB/OL]. (2014-02-15). http://www.symantec.com/connect/ blogs/truth-behind-shady-rat.

[12] Amann B, Sommer R, Vallentin M, et al. No attack necessary: the surprising dynamics of SSL trust relationships [C] // The 29th Annual Computer Security Applications Conference, 2013: 179-188.

[13] Ptacek TH, Newsham TN. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection [Z]. Calgary: Secure Networks Incorporated, 1998.

[14] Wagner D, Soto P. Mimicry attacks on host-based intrusion detection systems [C] // Proceedings of the 9th ACM Conference on Computer and Communications Security, 2002: 255-264.

[15] Kayacik HG, Zincir-Heywood AN. Mimicry attacks demystified: what can attackers do to evade detection? [C] // The 6th Annual Conference on Privacy, Security and Trust, 2008: 213-223.

[16] Kolesnikov O, Lee W. Advanced polymorphic worms: evading IDS by blending in with normal traffic [R]. GIT-CC-05-09, Atlanta: Georgia Technology College of Computing, 2005.

[17] Rajab MA, Monrose F, Terzis A. Fast and evasive attacks: highlighting the challenges ahead [C] // Proceedings of 9th International Symposium, Lecture Notes in Computer Science, 2006: 206-225.

[18] Marpaung JAP, Sain M, Lee HJ. Survey on malware evasion techniques: state of the art and challenges [C] // The 14th International Conference on Advanced Communication Technology, 2012: 744-749.

[19] Gold S. Advanced evasion techniques [J]. Network Security, 2011, 1: 16-19.

[20] 劉超, 王軼駿, 施勇, 等. 匿名 HTTPS 隧道木馬的研究 [J]. 信息安全與通信保密, 2011, 9(12): 78-80.

[21] VUPEN Security—The leading provider of defensive and offensive cyber security intelligence [EB/OL]. (2014-02-10). http://www.vupen.com/ english/.

[22] Feily M, Shahrestani A, Ramadass S. A survey of botnet and botnet detection [C] // The 3rd International Conference on Emerging Security Information, Systems and Technologies, 2009: 268-273.

[23] 方濱興, 崔翔, 王威. 僵尸網(wǎng)絡(luò)綜述 [J]. 計(jì)算機(jī)研究與發(fā)展, 2011, 48(8): 1315-1331.

[24] 江健, 諸葛建偉, 段海新, 等. 僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù) [J]. 軟件學(xué)報(bào), 2012, 23(1): 82-96.

[25] Gu GF, Perdisci R, Zhang JJ, et al. Botminer: clustering analysis of network traffic for protocoland structure independent botnet detection [C] // Proceedings of the 17th Conference on Security Symposium, 2008: 139-154.

[26] Gu GF, Yegneswaran V, Porras P, et al. Active botnet probing to identify obscure command and control channels [C] // Annual Computer Security Applications Conference, 2009: 241-253.

[27] Yadav S, Reddy ALN. Winning with dns failures: strategies for faster botnet detection [C] // The 7th International ICST Conference on Security and Privacy in Communication Networks, Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering, 2012: 446-459.

[28] Zhao D, Traore I, Sayed B, et al. Botnet detection based on traffic behavior analysis and flow intervals [J]. Computers & Security, 2013, 39: 2-16.

[29] Chen ZQ, Wei P, Delis A. Catching remote administration trojans (RATs) [J]. Software: Practice and Experience, 2008, 38(7): 667-703.

[30] 李世淙, 云曉春, 張永錚. 一種基于分層聚類方法的木馬通信行為檢測模型 [J]. 計(jì)算機(jī)研究與發(fā)展, 2012, 49(增刊): 9-16.

[31] 張曉晨, 劉勝利, 劉龍. 網(wǎng)絡(luò)竊密木馬的自適應(yīng)檢測模型研究 [J]. 計(jì)算機(jī)應(yīng)用研究, 2013, 30(11): 3434-3437.

[32] Alazab M, Venkatraman S, Watters P, et al. Zeroday malware detection based on supervised learning algorithms of api call signatures [C] // Proceedings of the Ninth Australasian Data Mining Conference, 2011: 171-182.

[33] Bilge L, Dumitras T. Before we knew it: an empirical study of zero-day attacks in the real world [C] // Proceedings of the 2012 ACM Conference on Computer and communications security, 2012: 833-844.

[34] Aleroud A, Karabatis G. Toward zero-day attack identification using linear data transformation techniques [C] // IEEE 7th International Conference on Software Security and Reliability, 2013: 159-168.

[35] Dai J, Sun XY, Liu P. Patrol: revealing zeroday attack paths through network-wide system object dependencies [C] // Proceedings of the 18th European Symposium on Reseaech in Computer Security, Lecture Notes in Computer Science, 2013: 536-555.

[36] Binde BE, McRee R, O’Connor TJ. Assessing Outbound Traffic to Uncover Advanced Persistent Threat [Z]. Maryland : Sans Technology Institute, 2011.

[37] Tankard C. Advanced persistent threats and how to monitor and deter them [J]. Network security, 2011, 8: 16-19.

[38] Giura P, Wang W. Using large scale distributed computing to unveil advanced persistent threats [J]. Science, 2012, 1(3): 93-105.

[39] Virvilis N, Gritzalis D. The big four-what we did wrong in advanced persistent threat detection? [C] // The 8th International Conference on Availability, Reliability and Security, 2013: 248-254.

[40] 熊剛, 孟姣, 曹自剛, 等. 網(wǎng)絡(luò)流量分類研究進(jìn)展與展望 [J]. 集成技術(shù), 2012, 1(1): 32-42.

[41] 中國互聯(lián)網(wǎng)信息中心. 第 32 次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告 [EB/OL]. (2014-02-10). http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/ hlwtjbg/201307/t20130717_40664.htm.

[42] 國家互聯(lián)網(wǎng)應(yīng)急中心. 協(xié)議流量排名 [EB/OL]. (2014-02-10). http://www.cert.org.cn/publish/ main/index.html.

[43] 曹自剛, 熊剛, 趙詠. 基于 X.509 證書測量的隱私泄露分析 [J]. 計(jì)算機(jī)學(xué)報(bào), 2014, 37(1): 151-164.

[44] Wright CV, Coulls SE, Monrose F. Traffic morphing: an efficient defense against statistical traffic analysis [C] // Proceedings of the 16th Network and Distributed Systems Symposium, 2009: 237-250.

[45] 南京翰海源. 利用波士頓馬拉松爆炸案熱點(diǎn)的新 APT 攻擊 [EB/OL]. (2014-02-18). http:// blog.vulnhunt.com/index.php/2013/04/19/new_ apt_attack_exploit_theboston_marathon_boom_ event/.

[46] Symantec. Linux back door uses covert communication protocol [EB/OL]. (2014-02-18). http://www.symantec.com/connect/blogs/linuxback-door-uses-covert-communication-protocol.

[47] Mandiant. M-Trends: advanced persistent threat malware [EB/OL]. (2014-02-10). https://www. mandiant.com/blog/m-trends-advanced-persistentthreat-malware/.

[48] 周濤. 大數(shù)據(jù)與 APT 攻擊檢測 [J]. 信息安全與通信保密, 2012, 7: 23.

A Survey on Evasive Network Attack

CAO Zigang1,2XIONG Gang1ZHAO Yong1GUO Li1

1( Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100190, China )
2( Beijing University of Posts and Telecommunications, Beijing 100876, China )

In recent years, due to advances in informatization, the national economy has become more dependent on networks. As a result, the network and information security has become a prominent problem for the national security and social stability. Driven by economic interests and the game between countries reflected in the growing cyberspace confrontations, network attacks with high-tech, high concealment and long-term sustainability become one of the major challenges in the network security. In this paper, the certain kind of covert attack was referred as the evasive network attack (ENA). Firstly, the main characteristics of ENA and the challenges it brings in current security systems were analyzed, based on which the latest developments at home and abroad for ENA detection and other related studies were reviewed then. Finally, key technical issues and future research directions in this field were summarized.

evasive; network attack; advanced persistent threat; botnet; threat discovery

TP 393

A

2014-01-24

國家高技術(shù)研究發(fā)展計(jì)劃(863 計(jì)劃)(2011AA010703)、國家科技支撐計(jì)劃(2012BAH46B02)、中國科學(xué)院戰(zhàn)略性先導(dǎo)科技專項(xiàng)課題(XDA06030200)、國家自然科學(xué)基金項(xiàng)目(61070184)。

曹自剛，博士研究生，研究方向?yàn)榫W(wǎng)絡(luò)測量和網(wǎng)絡(luò)攻擊檢測；熊剛(通訊作者)，高級工程師，研究方向?yàn)榫W(wǎng)絡(luò)信息安全，E-mail：xionggang@ict.ac.cn；趙詠，博士，助理研究員，研究方向?yàn)樾畔踩?P2P 測量；郭莉，正研級高工，研究方向?yàn)榫W(wǎng)絡(luò)信息安全。