一種基于可信業(yè)務(wù)流的未知威脅檢測方法

?

一種基于可信業(yè)務(wù)流的未知威脅檢測方法

楊大路1,范 維2,南淑君1,宿雅婷1

（1.北京國電通網(wǎng)絡(luò)技術(shù)有限公司,北京,100070;2國網(wǎng)遼寧省電力有限公司電力科學(xué)研究院,遼寧,110006)

0　引言

APT（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）攻擊是當(dāng)前最具威脅的攻擊形式。從APT攻擊的效果分析，不僅是像SONY這樣的大型公司受到損失，甚至是RSA這樣的專業(yè)安全公司的數(shù)據(jù)也被竊取。這些事實(shí)表明，現(xiàn)行的安全機(jī)制已經(jīng)無法滿足以APT攻擊為代表的新一代威脅的防御需求。在這種情況下，必須建立新的防御機(jī)制，建立新形勢下的信息安全防御體系。

本文首先分析了典型的APT攻擊過程，并在此基礎(chǔ)上結(jié)合具體的業(yè)務(wù)環(huán)境建立了可信業(yè)務(wù)流的概念，提出了一種未知威脅檢測方法，最后給出了原型系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)。

1　典型APT攻擊過程分析

目前，信息系統(tǒng)運(yùn)維人員已經(jīng)初步建立了信息安全的概念，或多或少地部署了安全防護(hù)設(shè)備對(duì)系統(tǒng)實(shí)施安全防護(hù)。越來越多的攻擊者在發(fā)起攻擊時(shí)，首先會(huì)測試是否可以繞過目標(biāo)網(wǎng)絡(luò)的安全檢測，利用一些新型的攻擊手段，如0day威脅、高級(jí)逃避技術(shù)、多階段攻擊、APT 攻擊等。這些新的攻擊方式，通常稱為新一代威脅。由于它們繞過了傳統(tǒng)安全機(jī)制，因此往往會(huì)造成更大的破壞。下面以APT攻擊為例分析新一代安全威脅的攻擊過程。

APT攻擊具有以下三個(gè)特性：

（1）高級(jí)：攻擊者往往是黑客中的精英，同時(shí)使用包括新型攻擊手段在內(nèi)的多種方法和工具，以達(dá)到預(yù)期的攻擊目標(biāo)。

（2）持續(xù)性滲透：攻擊者針對(duì)特定的攻擊目標(biāo)，長時(shí)間地進(jìn)行滲透。在不被發(fā)現(xiàn)的情況下，長時(shí)間地潛伏在目標(biāo)網(wǎng)絡(luò)和系統(tǒng)中搜集有用信息，以獲得利益的最大化。

（3）威脅：APT攻擊的攻擊成功率很高，造成的后果很嚴(yán)重，因此威脅非常大。

典型的APT攻擊過程如圖1所示：

如圖1所示，典型的APT攻擊過程可分為6個(gè)階段。第一階段是定向攻擊。攻擊者利用魚叉式釣魚攻擊、水坑式攻擊等針對(duì)有限目標(biāo)的攻擊方法，誘使用戶點(diǎn)擊受感染郵件或被植入惡意代碼的web網(wǎng)頁。一旦用戶打開郵件或點(diǎn)擊網(wǎng)頁，則可能發(fā)生后續(xù)的漏洞利用過程。第二階段是漏洞利用。攻擊者利用常見軟件的弱點(diǎn)（如office文檔、pdf文檔），執(zhí)行預(yù)設(shè)的惡意代碼，獲得系統(tǒng)的控制權(quán)限。整個(gè)過程在受害系統(tǒng)的內(nèi)存中發(fā)展，不涉及任何的文件磁盤操作，因此也就難以被傳統(tǒng)安全機(jī)制檢測出來。第三階段是控制系統(tǒng)。獲得受害系統(tǒng)的權(quán)限后，惡意代碼會(huì)繼續(xù)下載更完整的控制程序?？刂瞥绦驎?huì)偽裝成doc、jpg等非執(zhí)行程序，以逃避檢測。第四階段是連接C&C服務(wù)器?？刂瞥绦虺晒\(yùn)行后，將連接外部的命令和控制服務(wù)器（攻擊者操控受害主機(jī)的服務(wù)器）。一旦連接成功建立，攻擊者就建立了對(duì)受害主機(jī)的完整控制。第五階段是數(shù)據(jù)竊取。當(dāng)攻擊者完全控制受害主機(jī)后，就會(huì)試圖竊取主機(jī)中的敏感數(shù)據(jù)，如知識(shí)產(chǎn)權(quán)、用戶憑據(jù)和內(nèi)部文件等。第六階段是持續(xù)滲透。一般情況下，外部網(wǎng)絡(luò)可以直接訪問的主機(jī)存儲(chǔ)的機(jī)密數(shù)據(jù)是有限的，更多的數(shù)據(jù)存儲(chǔ)在內(nèi)部網(wǎng)絡(luò)的其它主機(jī)中。因此攻擊者會(huì)通過網(wǎng)絡(luò)來查找其它的內(nèi)部系統(tǒng)，包括IT管理員的操作主機(jī)（為獲取進(jìn)一步的內(nèi)部網(wǎng)絡(luò)權(quán)限）以及包含機(jī)密資料的重要服務(wù)器和數(shù)據(jù)庫等。

在以上6個(gè)階段中，大體上可以分為兩個(gè)關(guān)鍵部分。一個(gè)是從被定向攻擊到初始系統(tǒng)被完全控制，另一個(gè)是攻擊者在網(wǎng)絡(luò)內(nèi)部持續(xù)滲透，進(jìn)一步獲取更多的敏感數(shù)據(jù)。目前，關(guān)于APT攻擊防御的研究大多集中在第一部分，試圖在攻擊的最初階段就發(fā)現(xiàn)并遏制攻擊行為。從縱深防御的角度，不僅需要防御APT攻擊的“高級(jí)”部分，還要建立對(duì)“持續(xù)性滲透”的防御。本文主要研究應(yīng)對(duì)“持續(xù)性滲透”的防御機(jī)制。

2　基于可信業(yè)務(wù)流的未知威脅檢測方法

從企業(yè)的角度，其核心的數(shù)據(jù)是關(guān)鍵的業(yè)務(wù)數(shù)據(jù)。從攻擊者的角度，業(yè)務(wù)數(shù)據(jù)往往也是攻擊的主要目標(biāo)。業(yè)務(wù)數(shù)據(jù)通常存儲(chǔ)在生產(chǎn)網(wǎng)中，并與業(yè)務(wù)系統(tǒng)緊密關(guān)聯(lián)在一起。這些業(yè)務(wù)系統(tǒng)擁有清晰的業(yè)務(wù)邏輯，其業(yè)務(wù)訪問的發(fā)起方、應(yīng)答方、使用的協(xié)議、端口是已清晰定義的。在某些情況下，業(yè)務(wù)訪問的時(shí)間都是有規(guī)律的。這是本文檢測方法的現(xiàn)實(shí)基礎(chǔ)。

2.1可信業(yè)務(wù)流

首先給出可信業(yè)務(wù)流的定義：可信業(yè)務(wù)流是指在企業(yè)的網(wǎng)絡(luò)環(huán)境中，與業(yè)務(wù)系統(tǒng)運(yùn)行邏輯一致的，符合業(yè)務(wù)系統(tǒng)運(yùn)行規(guī)律的網(wǎng)絡(luò)流量模型。從定義可知，可信業(yè)務(wù)流包括兩層含義：

（1）與業(yè)務(wù)系統(tǒng)運(yùn)行邏輯一致

網(wǎng)絡(luò)流量符合業(yè)務(wù)系統(tǒng)預(yù)先定義的執(zhí)行邏輯，其源IP、目的IP、源端口、目的端口、協(xié)議等符合預(yù)先的定義。

（2）符合業(yè)務(wù)系統(tǒng)運(yùn)行規(guī)律

網(wǎng)絡(luò)流量符合業(yè)務(wù)系統(tǒng)運(yùn)行的規(guī)律，如流量出現(xiàn)的時(shí)間、高低峰值范圍等。

可信業(yè)務(wù)流是對(duì)企業(yè)信息系統(tǒng)正常運(yùn)轉(zhuǎn)情況下，對(duì)生產(chǎn)網(wǎng)絡(luò)中網(wǎng)絡(luò)流量的抽象。從網(wǎng)絡(luò)安全的角度，稱可信業(yè)務(wù)流是生產(chǎn)網(wǎng)絡(luò)中的流量基線。

2.2基于可信業(yè)務(wù)流的未知威脅檢測方法

以可信業(yè)務(wù)流為基礎(chǔ)，我們提出了一種未知威脅檢測方法。

如圖2所示，未知威脅檢測分為4個(gè)過程：

（1）建立基線模型。以生產(chǎn)網(wǎng)絡(luò)中的實(shí)際流量為基礎(chǔ)，通過流量自學(xué)習(xí)方法建立初步的可信業(yè)務(wù)流模型，并通過系統(tǒng)管理員對(duì)模型進(jìn)行修正，成為可用于檢測的基線模型。

（2）監(jiān)測流量偏差。對(duì)網(wǎng)絡(luò)中的流量進(jìn)行實(shí)時(shí)監(jiān)測，并將監(jiān)測到的數(shù)據(jù)與基線模型進(jìn)行對(duì)比。當(dāng)實(shí)際檢測數(shù)據(jù)與基線模型的偏差大于預(yù)先設(shè)定的閾值時(shí)，記錄一個(gè)異常事件。

（3）分析異常原因。系統(tǒng)管理員應(yīng)及時(shí)對(duì)告警的異常事件進(jìn)行分析。異常事件一般可以分為如下幾種情況：

非常態(tài)業(yè)務(wù)流。在業(yè)務(wù)系統(tǒng)運(yùn)行過程中，存在臨時(shí)的系統(tǒng)維護(hù)、數(shù)據(jù)錄入等操作，屬于非常態(tài)事件，可以通過工單、操作記錄等印證。確認(rèn)后可將此類事件忽略。

業(yè)務(wù)流狀態(tài)遷移。隨著業(yè)務(wù)的發(fā)展，可能存在新建、升級(jí)業(yè)務(wù)系統(tǒng)，業(yè)務(wù)運(yùn)行時(shí)間、流量大小改變等情況。在這種情況下，需要系統(tǒng)管理員根據(jù)監(jiān)測到的信息及時(shí)修正基線模型，防止誤檢漏檢發(fā)生。

灰色業(yè)務(wù)流。某些異常事件反映出的業(yè)務(wù)流，即沒有其它信息可以印證，也不屬于已知的業(yè)務(wù)系統(tǒng)自身變化，其性質(zhì)難以判斷。

（4）啟動(dòng)應(yīng)急響應(yīng)。當(dāng)發(fā)現(xiàn)灰色業(yè)務(wù)流后，需要在專業(yè)安全人員的協(xié)助下進(jìn)一步分析異常事件產(chǎn)生的原因。一旦判定為攻擊事件，及時(shí)更新安全防御策略，終止入侵事件的發(fā)生。

3　原型系統(tǒng)設(shè)計(jì)及實(shí)現(xiàn)

以基于可信業(yè)務(wù)流的檢測方法為基礎(chǔ)，我們建立了一個(gè)原型系統(tǒng)。

3.1原型系統(tǒng)架構(gòu)

原型系統(tǒng)架構(gòu)如圖3所示：

如圖3所示，系統(tǒng)由網(wǎng)絡(luò)流量探針、流量探針管理引擎、業(yè)務(wù)流分析引擎、可信業(yè)務(wù)流基線數(shù)據(jù)、異常事件告警數(shù)據(jù)、異常事件管理和系統(tǒng)管理等模塊組成。其中，網(wǎng)絡(luò)流量探針視網(wǎng)絡(luò)結(jié)構(gòu)可部署多個(gè)，保證所有納入管理范圍的業(yè)務(wù)流量都被探測到。流量探針管理引擎多網(wǎng)絡(luò)流量探針實(shí)施統(tǒng)一管理，并將探測到的網(wǎng)絡(luò)流量數(shù)據(jù)整理后送入業(yè)務(wù)流分析引擎。業(yè)務(wù)流分析引擎的功能主要有兩部分：第一部分是在系統(tǒng)部署前期，根據(jù)網(wǎng)絡(luò)業(yè)務(wù)流量數(shù)據(jù)并結(jié)合業(yè)務(wù)系統(tǒng)信息在系統(tǒng)管理員的參與下建立可信業(yè)務(wù)流模型并生成基線數(shù)據(jù)。第二部分是在建立基線后，將探測到的網(wǎng)絡(luò)業(yè)務(wù)流量數(shù)據(jù)與基線數(shù)據(jù)進(jìn)行對(duì)比分析，當(dāng)偏差超過閾值后將其標(biāo)記為異常事件，記錄并及時(shí)告警。異常事件管理模塊主要支持對(duì)告警的異常事件處理，實(shí)現(xiàn)對(duì)異常事件告警數(shù)據(jù)的管理。系統(tǒng)管理模塊是系統(tǒng)管理員對(duì)原型系統(tǒng)實(shí)施管理的接口，實(shí)現(xiàn)對(duì)其它模塊的統(tǒng)一管理。

4　結(jié)束語

基于可信業(yè)務(wù)流的未知威脅檢測方法，實(shí)現(xiàn)了網(wǎng)絡(luò)業(yè)務(wù)流量的可視化，更加貼近實(shí)際運(yùn)行的業(yè)務(wù)系統(tǒng)，也使得系統(tǒng)管理員更容易基于業(yè)務(wù)邏輯判斷網(wǎng)絡(luò)是否存在可能的未知威脅攻擊行為。通過目前原型系統(tǒng)在部分單位的試點(diǎn)結(jié)果分析，這種方法是可行的。

參考文獻(xiàn)

[1] Lee C, Park T L & H.The characteristics of APT attacks and strategies of countermeasure[J]. Future Information Engineering,2014.

[2] Yang Yang.On the Density and Subsequent Utility of Attack Graphs in Realistic Environments[D].Iowa State University, 2013.

圖3　

摘要：在APT攻擊過程中，突破目標(biāo)系統(tǒng)的防御機(jī)制后，下一步是在目標(biāo)系統(tǒng)網(wǎng)絡(luò)內(nèi)部持續(xù)滲透，控制更多的主機(jī)并搜集有價(jià)值的數(shù)據(jù)。通常情況下，持續(xù)滲透階段在網(wǎng)絡(luò)內(nèi)傳播的未知惡意攻擊檢測是困難的。本文以生產(chǎn)網(wǎng)為研究對(duì)象，利用生產(chǎn)網(wǎng)流量相對(duì)可控的特點(diǎn)，提出了一種未知威脅檢測方法。該方法基于業(yè)務(wù)歸并網(wǎng)絡(luò)流量，通過將流量分為可信流量和非可信流量，不斷縮小攻擊流量的范圍并最終實(shí)現(xiàn)未知惡意攻擊識(shí)別。通過原型系統(tǒng)在生產(chǎn)環(huán)境的測試表明該方法是可行的。

關(guān)鍵詞：APT; 可信業(yè)務(wù)流;檢測方法

國家電網(wǎng)公司科技項(xiàng)目資助（合同號(hào)：524681140011）

An unknown threat detection method based on trusted business flow

Yang Dalu1,Fan Wei2,Nan Shujun1,Su Yating1

（1.Beijing Guodian Network Technology Co.,Ltd.Beijing,100070 2.State Grid Electric Power Research Institute of Liaoning Province Electric Power Company Limited Liaoning,110006)

Abstract：In the process of APT attack,the first step is bypassing the defense mechanisms of the target system.And the second step is spreading in the network,controlling more hosts and getting more valuable data.Usually,the second step is hard to be detected.But in the production network,networktrafficsare relatively controllable. Based on the production network,a new method is proposed to detecting unknown threats. The main idea of the method is sorting network traffics by business.By sorting the network traffic into trusted and untrusted,the scope of attack traffic is narrowed.Finally,the unknown attacks can be detected.The field test indicates the method is feasible.

Keywords：APT; trusted business flow; detection method