一種多維數(shù)據(jù)融合的網(wǎng)絡(luò)威脅溯源迭代分析模型研究*

萬 抒，王 進，裴 華

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

近年來，隨著網(wǎng)絡(luò)威脅向廣域化、復雜化和組織化演進發(fā)展，網(wǎng)絡(luò)威脅已不再是局限于單區(qū)域的單一破壞行為，而是一系列惡意行為或步驟的復雜組合。從防御方的視角來看，難以預先、準確地知曉網(wǎng)絡(luò)威脅全生命周期的各個步驟及具體攻擊行為，如何尋找各類惡意行為或步驟之間的蛛絲馬跡，如何完整復盤網(wǎng)絡(luò)威脅全過程的實施步驟，一直是網(wǎng)絡(luò)安全領(lǐng)域的難點問題。本文提出了利用大數(shù)據(jù)分析技術(shù)，對多個維度的數(shù)據(jù)進行融合關(guān)聯(lián)，采用尋找“同一威脅在不同維度的相似性破壞現(xiàn)象和相似性動作行為”的方法，逐次迭代還原網(wǎng)絡(luò)威脅的整個過程。

1 相關(guān)工作

近年來，為了網(wǎng)絡(luò)攻擊行為以及各個步驟描述語義的同一性、標準化和結(jié)構(gòu)化，國內(nèi)外研究機構(gòu)提出了攻擊鏈模型，一般也稱為殺傷鏈模型（Cyber-Kill-Chain）。它是一種基于網(wǎng)絡(luò)攻擊全生命周期的模型[1]，最早是由洛克希德·馬丁公司的計算機事件響應小組提出，采用時間順序描述入侵者對攻擊目標系統(tǒng)實施攻擊所采取的路徑及手段的集合，將網(wǎng)絡(luò)攻擊劃分為“目標偵察—武器化—交付和投遞—外部利用—安裝—命令和控制—惡意活動”7個階段[2]。

上述經(jīng)典的攻擊鏈模型（Cyber-Kill-Chain）不能很好地適用于內(nèi)部網(wǎng)絡(luò)威脅，因此一些國內(nèi)外的學者提出了適用于內(nèi)部網(wǎng)絡(luò)威脅的攻擊鏈模型，包括LogRhythm的5階段模型、Lan-caster的3階段模型、SDAPT的8階段模型等[3]?？傮w來說，各個攻擊鏈模型均認為很多網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)威脅存在相對固定的生命周期和步驟[4]。

2 模型總體設(shè)計

為了解決針對廣域化、復雜化、組合網(wǎng)絡(luò)威脅的溯源復盤問題，本文提出了一種多維融合分析的網(wǎng)絡(luò)威脅溯源迭代分析模型，采用大數(shù)據(jù)分析技術(shù)，利用“尋找同一網(wǎng)絡(luò)威脅在不同維度的相似性破壞現(xiàn)象和動作行為”的思想，以資產(chǎn)作為關(guān)聯(lián)分析的主線，對多個維度的數(shù)據(jù)進行融合關(guān)聯(lián)，在資產(chǎn)損傷現(xiàn)象、資產(chǎn)運行現(xiàn)象、資產(chǎn)操作行為和資產(chǎn)網(wǎng)絡(luò)行為等方面形成安全數(shù)字矩陣，采用安全數(shù)字矩陣的“橫向相似關(guān)聯(lián)+縱向追蹤關(guān)聯(lián)”相結(jié)合的方法，構(gòu)建從“相似損傷特征”“相似運行特征”“相似操作行為”到“相似網(wǎng)絡(luò)行為”的逐級反向追蹤分析機制，逐段推導網(wǎng)絡(luò)威脅各個步驟的關(guān)聯(lián)關(guān)系和行為特征，以此為基礎(chǔ)實現(xiàn)整個網(wǎng)絡(luò)攻擊鏈的智能化分析和復盤。

參照殺傷鏈模型[5]，以時間為序，形成總體映射模型：“相似損傷特征”主要是針對惡意活動階段的外部特征：“相似運行特征”主要是針對安裝、命令和控制階段的外部特征：“相似操作行為”主要是針對交付和投遞、外部利用階段的行為特征分析：“相似網(wǎng)絡(luò)行為”主要是針對武器化、交付和投遞階段的行為特征分析?？傮w設(shè)計如圖1所示。

圖1 模型總體設(shè)計

3 網(wǎng)絡(luò)威脅溯源分析機制

如圖2所示，以A、B、C、D、E、F共6個資產(chǎn)的應用場景為例，說明多個資產(chǎn)的網(wǎng)絡(luò)威脅溯源分析機制。本文提出模型的前提條件是對各類安全數(shù)據(jù)資源的語法語義實現(xiàn)了一致性、標準化的描述，即不同類別的安全數(shù)據(jù)資源已具備融合分析處理的能力。

圖2 網(wǎng)絡(luò)威脅溯源分析機制

3.1 資產(chǎn)受損相似性分析

依托于相應的安全檢測分析手段，對病毒木馬、網(wǎng)絡(luò)攻擊、系統(tǒng)竊權(quán)、數(shù)據(jù)泄露等資產(chǎn)破壞行為進行檢測，定期將基于發(fā)現(xiàn)的問題分別形成相應的資產(chǎn)受損特征鏈，如病毒木馬的資產(chǎn)受損鏈表示為：

式中，Event-Vir(ai)表示已發(fā)現(xiàn)的某一病毒木馬事件。以此類推，網(wǎng)絡(luò)攻擊的資產(chǎn)受損鏈表示為：

系統(tǒng)竊權(quán)的資產(chǎn)受損鏈表示為：

數(shù)據(jù)泄露的資產(chǎn)受損鏈表示為：

為了確保資產(chǎn)受損特征矩陣的標準化和一致性，將只選取各個資產(chǎn)受損特征鏈的前十項重要特征，以此整合各個資產(chǎn)受損特征鏈形成資產(chǎn)受損特征矩陣：

同理，定期形成資產(chǎn)B、C、D、E、F……的資產(chǎn)受損特征矩陣AdM(Bi),AdM(Ci),AdM(Di),AdM(Ei),AdM(Fi),…

對資產(chǎn)受損特征矩陣AdM(Bi),AdM(Ci),AdM(Di),AdM(Ei),AdM(Fi),…進行關(guān)聯(lián)對比分析，若發(fā)現(xiàn)特征矩陣存在2個以上相同的要素，則將其劃分為一組，假設(shè)A、B、C、D、E、F的資產(chǎn)受損特征矩陣存在2個以上的相同要素，將其劃分為“相似受損資產(chǎn)集”。

3.2 資產(chǎn)內(nèi)部威脅溯源機制

依托于相應的安全檢測和安全審計手段，對“相似受損資產(chǎn)集”中相關(guān)的資產(chǎn)一段時間內(nèi)的運行信息進行融合分析，包括系統(tǒng)策略、系統(tǒng)用戶、系統(tǒng)漏洞、系統(tǒng)進程等運行狀態(tài)信息，定期提取相關(guān)特征分別形成相應的資產(chǎn)運行特征鏈，如系統(tǒng)策略的資產(chǎn)運行特征鏈表示為：

系統(tǒng)用戶的資產(chǎn)運行特征鏈表示為：

系統(tǒng)漏洞的資產(chǎn)運行特征鏈表示為：

系統(tǒng)進程的資產(chǎn)運行特征鏈表示為：

為了確保資產(chǎn)運行特征矩陣的標準化和一致性，將只選取各個資產(chǎn)運行特征鏈的前10項重要特征，以此整合各個資產(chǎn)運行特征鏈形成資產(chǎn)運行特征矩陣：

同理，定期形成資產(chǎn)B、C、D、E、F……的資產(chǎn)受損特征矩陣AeM(Bi),AeM(Ci),AeM(Di),AeM(Ei),AeM(Fi)。

依托于相應的安全檢測和安全審計手段，對“相似受損資產(chǎn)集”中相關(guān)的資產(chǎn)一段時間內(nèi)的內(nèi)部操作行為進行融合分析，包括策略操作、外設(shè)操作、進程操作、數(shù)據(jù)操作等操作行為信息，定期提取相關(guān)特征，按照3.1節(jié)的模式分別形成相應的資產(chǎn)操作行為鏈，包括進程操作的資產(chǎn)操作行為鏈表示為AoC-Str(Ai)，外設(shè)操作的資產(chǎn)操作行為鏈表示為AoC-Dev(Ai)，進程操作的資產(chǎn)操作行為鏈表示為AoC-Pro(Ai)，數(shù)據(jù)操作的資產(chǎn)操作行為鏈表示為AoC-Dat(Ai)。

為了確保資產(chǎn)運行特征矩陣的標準化和一致性，將只選取各個資產(chǎn)網(wǎng)絡(luò)行為鏈的前10項重要特征，以此整合各個資產(chǎn)操作行為鏈形成資產(chǎn)操作行為矩陣：

同理，定期形成資產(chǎn)B、C、D、E、F……的資產(chǎn)受損特征矩陣AoM(Bi),AoM(Ci),AoM(Di),AoM(Ei),AoM(Fi)。

基于安全大數(shù)據(jù)分析技術(shù)，通過發(fā)現(xiàn)同一網(wǎng)絡(luò)威脅在不同資產(chǎn)的受損特征、運行特征和操作行為等方面的相似性，逐步追溯還原網(wǎng)絡(luò)威脅在不同階段的外在特征，資產(chǎn)A、B、C、D、E、F已形成一個“相似受損資產(chǎn)集”，以此為例實施后續(xù)相關(guān)數(shù)據(jù)分析。

以“相似受損資產(chǎn)集”中的時刻為起點，反向追蹤分析集合中A、B、C、D、E、F在一段時間內(nèi)所有的資產(chǎn)運行特征矩陣，如反向追蹤資產(chǎn)A、B、C、D、E、F在過去24個時間間隔內(nèi)的資產(chǎn)運行特征矩陣，即對{(AeM(Ai),AeM(Ai-1),…,AeM(Ai-23)},{(AeM(Bi),AeM(Bi-1),…,AeM(Bi-23)}，{(AeM(Ci),AeM(Ci-1),…,AeM(Ci-23)}，{(AeM(Di),AeM(Di-1),…,AeM(Di-23)},{(AeM(Ei),AeM(Ei-1),…,AeM(Ei-23)},{(AeM(Fi),AeM(Fi-1),…,AeM(Fi-23)}進行對比關(guān)聯(lián)分析，發(fā)現(xiàn)資產(chǎn)A、B、C、D存在相同的運行特征要素，將其劃分為“相似運行特征資產(chǎn)集”，并形成“相似資產(chǎn)運行特征矩陣集”。

同理，以“相似受損資產(chǎn)集”中的時刻為起點，反向追蹤分析集合中A、B、C、D、E、F在一段時間內(nèi)所有的資產(chǎn)操作行為矩陣，反向追蹤資產(chǎn)A、B、C、D、E、F在過去24個時間間隔內(nèi)的資產(chǎn)運行特征矩陣，發(fā)現(xiàn)資產(chǎn)B、C、D、E存在相同的運行特征要素，將其劃分為“相似操作行為資產(chǎn)集”，并形成“相似資產(chǎn)操作行為矩陣集”。

取“相似運行特征資產(chǎn)集”和“相似操作行為資產(chǎn)集”的并集，形成“相似威脅特征資產(chǎn)集”，即資產(chǎn)A、B、C、D、E組合形成“相似威脅特征資產(chǎn)集”，之后，基于相同的資產(chǎn)受損特征要素，提取形成資產(chǎn)受損特征AdF(t)；基于相同的資產(chǎn)運行特征要素，提取形成資產(chǎn)運行特征AeF(t)；基于相同的資產(chǎn)操作行為要素，提取形成資產(chǎn)內(nèi)部行為特征AoF(t)；以此作為資產(chǎn)內(nèi)部某一威脅的相關(guān)步驟特征，并以此組合形成資產(chǎn)內(nèi)部威脅鏈：

3.3 資產(chǎn)外部威脅溯源機制

依托于相應的安全檢測和安全審計手段，對“相似威脅特征資產(chǎn)集”中相關(guān)的資產(chǎn)一段時間內(nèi)的網(wǎng)絡(luò)操作行為進行融合分析，包括文件傳送、遠程登陸、應用訪問、數(shù)據(jù)獲取等操作行為信息，定期提取相關(guān)特征分別形成相應的資產(chǎn)網(wǎng)絡(luò)行為鏈，包括文件傳輸?shù)馁Y產(chǎn)網(wǎng)絡(luò)行為鏈AnC-Fil(Ai)，遠程登陸的資產(chǎn)網(wǎng)絡(luò)行為鏈AnC-Log(Ai)，應用訪問的資產(chǎn)網(wǎng)絡(luò)行為鏈AnC-App(Ai),數(shù)據(jù)獲取的資產(chǎn)網(wǎng)絡(luò)行為鏈AnC-Dta(Ai)。為了確保資產(chǎn)運行特征矩陣的標準化和一致性，將只選取各個資產(chǎn)網(wǎng)絡(luò)行為鏈的前10項重要特征，如果存在要素不夠的情況，以數(shù)字0補齊，以此整合各個資產(chǎn)網(wǎng)絡(luò)行為鏈形成資產(chǎn)網(wǎng)絡(luò)行為矩陣AnM(Ai)、AnM(Bi)、AnM(Ci)、AnM(Di)。

以“相似威脅特征資產(chǎn)集”中的時刻為起點，反向追蹤分析集合中A、B、C、D、E在一段時間內(nèi)所有的資產(chǎn)網(wǎng)絡(luò)行為矩陣，以1個小時為時間間隔，反向追蹤資產(chǎn)A、B、C、D、E、F在過去24個時間間隔內(nèi)的資產(chǎn)運行特征矩陣，發(fā)現(xiàn)資產(chǎn)A、B、D、E存在相同的網(wǎng)絡(luò)行為要素，將其劃分為“相似網(wǎng)絡(luò)行為資產(chǎn)集”，并形成“相似網(wǎng)絡(luò)行為資產(chǎn)集”為：

基于“相似網(wǎng)絡(luò)行為資產(chǎn)集”相同特征要素和“資產(chǎn)內(nèi)部威脅鏈”進行相關(guān)性分析，若存在強相關(guān)行為，則提取相關(guān)特征作為資產(chǎn)網(wǎng)絡(luò)威脅特征AnF(t)，以此組合形成網(wǎng)絡(luò)威脅鏈：

4 模型迭代驗證機制

基于網(wǎng)絡(luò)威脅鏈AtC(t)的網(wǎng)絡(luò)行為關(guān)系進行回溯定位分析，將網(wǎng)絡(luò)威脅源頭的資產(chǎn)作為可疑資產(chǎn)，之后將網(wǎng)絡(luò)威脅鏈和相關(guān)可疑終端作為網(wǎng)絡(luò)威脅情報，實現(xiàn)全網(wǎng)發(fā)布和共享，如圖3所示。

后續(xù)的網(wǎng)絡(luò)威脅溯源分析過程中，可利用網(wǎng)絡(luò)威脅鏈AtC(t)和可疑資產(chǎn)作為威脅情報輔助進行分析，同時，持續(xù)利用后續(xù)更多的數(shù)據(jù)樣本，持續(xù)驗證網(wǎng)絡(luò)威脅鏈的特征是否準確且全面，可疑終端是否再次發(fā)生類似威脅行為，基于相關(guān)驗證數(shù)據(jù)迭代修正上述威脅情報，持續(xù)提升其準確性。

圖3 模型迭代驗證流程

5 實例分析

本文在某試驗網(wǎng)絡(luò)中選擇2 000個終端/服務器進行測試，終端/服務器上部署主機安全軟件，能夠?qū)崟r采集上報各類威脅告警信息、安全事件信息、運行狀態(tài)信息、用戶操作信息、網(wǎng)絡(luò)通信信息等，匯總到后臺的安全大數(shù)據(jù)平臺，安全大數(shù)據(jù)平臺具備多維度多層次的融合分析能力；同時，在后臺構(gòu)建一個網(wǎng)絡(luò)威脅情報系統(tǒng)，能夠基于安全大數(shù)據(jù)平臺的分析數(shù)據(jù)形成新的威脅情報，或修正相關(guān)威脅情報。

經(jīng)過10天的驗證，采用該模型進行溯源迭代分析，已回溯了2個網(wǎng)絡(luò)威脅鏈，結(jié)合安全專家的進一步分析，成功定位到威脅源資產(chǎn)以及相應的威脅動作。

6 結(jié)語

多維融合分析的網(wǎng)絡(luò)威脅溯源迭代分析模型主要是針對廣域化、復雜化和組織化的網(wǎng)絡(luò)威脅，采用安全大數(shù)據(jù)分析技術(shù)，基于“尋找同一威脅在不同維度的相似性破壞現(xiàn)象和相似性動作行為”的方法，逐步溯源、復盤網(wǎng)絡(luò)威脅的整個過程以及相關(guān)步驟，經(jīng)過驗證，在一定程度上能夠較好地實現(xiàn)網(wǎng)絡(luò)威脅全程溯源問題。

但是，由于目前安全領(lǐng)域的關(guān)聯(lián)分析模型尚處于發(fā)展階段，不同維度、不同表象網(wǎng)絡(luò)威脅的基礎(chǔ)關(guān)聯(lián)分析模型較少，導致本文提出的模型在實際應用過程中，某些步驟還需要安全專家人工參與和判斷，如何實現(xiàn)網(wǎng)絡(luò)威脅全過程的智能分析和溯源，是該模型后續(xù)需要研究的問題。