基于多重檢測(cè)的關(guān)基終端安全防護(hù)技術(shù)研究

李海威 王文倩 李坤 公安部第一研究所

引言

網(wǎng)絡(luò)攻擊日益體現(xiàn)出規(guī)模化、精準(zhǔn)化、高維化的趨勢(shì)[1]，以多層次保護(hù)思路為代表的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)理念也在不斷地實(shí)踐與優(yōu)化[2]。隨著云、大、物、移、智的發(fā)展，原有的邊界被打破，攻擊突破口體現(xiàn)出更大的不確定性，已經(jīng)不再主要集中于網(wǎng)絡(luò)系統(tǒng)、重要服務(wù)器或數(shù)據(jù)庫(kù)等，而是越來(lái)越多地出現(xiàn)在終端。伴隨流量檢測(cè)能力逐漸受限，市場(chǎng)、政策、技術(shù)推動(dòng)國(guó)內(nèi)終端安全市場(chǎng)重啟，終端已成網(wǎng)絡(luò)安全的必爭(zhēng)之地，是關(guān)基保護(hù)中不可忽視的重要環(huán)節(jié)，也是《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T 39204-2022）中實(shí)現(xiàn)安全防護(hù)、主動(dòng)防御能力要求不可或缺的重要部分。同時(shí)，除傳統(tǒng)的臺(tái)式計(jì)算機(jī)、筆記本電腦外，移動(dòng)設(shè)備、IOT等類型設(shè)備也不斷加入網(wǎng)絡(luò)[3]，終端的形態(tài)與使用模式與以往相比更加復(fù)雜，而相應(yīng)的攻擊技術(shù)還在不斷變化，攻擊路徑的選擇更靈活，攻擊工具持續(xù)在迭代，導(dǎo)致安全威脅更加隱蔽，更加難以識(shí)別與發(fā)現(xiàn)，最終形成了當(dāng)前形勢(shì)下終端安全保護(hù)工作的重大挑戰(zhàn)。

一、終端安全形勢(shì)分析

終端作為用戶與關(guān)基系統(tǒng)交互的主要接口，同樣是很多敏感數(shù)據(jù)處理、傳輸、存儲(chǔ)的重要設(shè)備，在關(guān)基保護(hù)工作中十分重要，有問(wèn)題的終端，如感染病毒的終端接入關(guān)基系統(tǒng)后對(duì)整體安全的影響十分巨大[4]。目前的終端保護(hù)工作中，以弱口令、老舊漏洞為代表的傳統(tǒng)問(wèn)題仍然大量存在，APT攻擊、勒索病毒及其變種、新型后門攻擊等新手段層出不窮，人工智能也已經(jīng)被攻擊方利用來(lái)加速攻擊技術(shù)的迭代升級(jí)[5]，創(chuàng)建更復(fù)雜而高級(jí)的攻擊模式。

當(dāng)前關(guān)基系統(tǒng)終端安全面臨的形勢(shì)十分嚴(yán)峻，而針對(duì)終端的典型防御工作大多停留在原有的階段，包括以補(bǔ)丁修復(fù)、特征庫(kù)升級(jí)、安全策略優(yōu)化和安全管理完善等預(yù)防措施，還有特征分析、日志分析、資產(chǎn)管控、準(zhǔn)入控制等防御措施[6,7]。這些技術(shù)措施在以往的終端保護(hù)中起到了良好的作用，而在新形勢(shì)下的終端安全保護(hù)方面已經(jīng)越來(lái)越體現(xiàn)出不足。主要問(wèn)題體現(xiàn)在兩方面：（1）預(yù)防手段主要基于已知的威脅，必然會(huì)存在滯后性，只能起到緩解系統(tǒng)風(fēng)險(xiǎn)作用，無(wú)法從根本上解決問(wèn)題；（2）防御手段對(duì)網(wǎng)絡(luò)攻擊的分析僅限于表面層的靜態(tài)特征，對(duì)高級(jí)威脅的防護(hù)能力不足，特別是不具備檢測(cè)出在系統(tǒng)底層出現(xiàn)的惡意攻擊行為。

二、多重檢測(cè)終端安全防護(hù)總體思路

（一）安全防護(hù)總體思路

建立新一代終端安全防護(hù)方案，通過(guò)輕量化客戶端、海量情報(bào)分析、智能分析，建立“端網(wǎng)”協(xié)同機(jī)制，實(shí)現(xiàn)終端威脅檢測(cè)、分析、取證、處置一體化能力。從攻擊面分析，需對(duì)終端文件、進(jìn)程、系統(tǒng)、內(nèi)存、網(wǎng)絡(luò)、CPU指令等層面信息進(jìn)行全方位探針，為了有效應(yīng)對(duì)無(wú)文件攻擊、APT攻擊等高級(jí)持續(xù)性攻擊，同時(shí)保障終端輕量化，需要將全量信息集中上報(bào)至“云端”，并引入動(dòng)態(tài)分析、智能分析、行為分析等新技術(shù)，實(shí)現(xiàn)對(duì)內(nèi)外網(wǎng)威脅全面發(fā)現(xiàn)的能力。結(jié)合海量情報(bào)分析實(shí)現(xiàn)聯(lián)防預(yù)警，整體框架如圖1所示。

（二）多重檢測(cè)技術(shù)路線

依據(jù)國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)提出的整體防護(hù)原則，需要對(duì)終端內(nèi)存層、系統(tǒng)層、應(yīng)用層、網(wǎng)絡(luò)層實(shí)現(xiàn)立體防護(hù)，研究?jī)?nèi)存監(jiān)控技術(shù)可實(shí)現(xiàn)二進(jìn)制攻擊檢測(cè)，研究行為分析技術(shù)可實(shí)現(xiàn)未知惡意代碼攻擊、腳本攻擊檢測(cè)能力，研究智能分析可對(duì)終端采集信息進(jìn)行學(xué)習(xí)，增強(qiáng)高級(jí)威脅發(fā)現(xiàn)能力，研究情報(bào)關(guān)聯(lián)分析技術(shù)，可實(shí)現(xiàn)非法外聯(lián)、APT攻擊發(fā)現(xiàn)能力，并實(shí)現(xiàn)情報(bào)共享。

三、多重檢測(cè)終端安全技術(shù)研究

（一）關(guān)鍵技術(shù)

1.內(nèi)存檢測(cè)技術(shù)

通過(guò)內(nèi)存行為分析技術(shù)可以實(shí)現(xiàn)以下二方面保護(hù)能力：（1）漏洞防御能力：通過(guò)細(xì)粒度的監(jiān)控內(nèi)存讀、寫(xiě)、執(zhí)行行為，可實(shí)時(shí)檢測(cè)內(nèi)存中存在ROP、堆噴、堆棧屬性攻擊、內(nèi)存Shellcode執(zhí)行等異常行為，結(jié)合攔截模塊進(jìn)行漏洞防御。（2）暫態(tài)數(shù)據(jù)保護(hù)：存儲(chǔ)在硬盤(pán)中數(shù)據(jù)可以稱為“靜態(tài)”數(shù)據(jù)，而在運(yùn)行中數(shù)據(jù)為“暫態(tài)”數(shù)據(jù)，且為明文狀態(tài)，基于內(nèi)存檢測(cè)技術(shù)可防止攻擊者Dump內(nèi)存中數(shù)據(jù)，從而實(shí)現(xiàn)保護(hù)作用。

2.行為分析技術(shù)

行為分析技術(shù)在國(guó)外又稱NGAV下一代殺毒技術(shù)，通過(guò)行為分析技術(shù)可有效應(yīng)對(duì)已知、未知威脅。病毒樣本可能有無(wú)數(shù)，并不斷衍生新的病毒程序，基于特征或簽名方式難以有效應(yīng)對(duì)，研究行為分析技術(shù)，核心識(shí)別病毒樣本惡意行為，攻擊者為了達(dá)成攻擊目的必然會(huì)執(zhí)行一系列惡意行為，而攻擊行為數(shù)量是收斂的（每種類型大概200～300種），通過(guò)行為分析技術(shù)可實(shí)現(xiàn)主動(dòng)防御，最終實(shí)現(xiàn)未知威脅檢測(cè)及防護(hù)能力。

3.情報(bào)關(guān)聯(lián)分析技術(shù)

威脅情報(bào)可彌補(bǔ)攻防兩端信息不對(duì)稱問(wèn)題，已經(jīng)成為終端安全必選項(xiàng)，成為新的“驅(qū)動(dòng)力”。終端可發(fā)現(xiàn)組織內(nèi)部更詳細(xì)信息，而情報(bào)可更多挖掘APT攻擊，從情報(bào)類型上可不斷加強(qiáng)外聯(lián)情報(bào)、文件情報(bào)能力建設(shè)，終端對(duì)文件信息、行為信息、網(wǎng)絡(luò)信息進(jìn)行實(shí)時(shí)采集與云端情報(bào)聯(lián)動(dòng)分析，實(shí)現(xiàn)對(duì)告警事件準(zhǔn)確分析定位，通過(guò)終端威脅能力與云端情報(bào)結(jié)合，可形成內(nèi)生性，實(shí)現(xiàn)情報(bào)的“消費(fèi)”和“生產(chǎn)”不斷循環(huán)，最終通過(guò)聯(lián)動(dòng)分析實(shí)現(xiàn)一點(diǎn)被攻破，全網(wǎng)共免疫的效果。

4.灰文件鑒定技術(shù)

首先需對(duì)全網(wǎng)終端黑文件、白文件進(jìn)行識(shí)別，對(duì)系統(tǒng)中白文件聚合分析是重點(diǎn)，通過(guò)聚合分析技術(shù)實(shí)現(xiàn)對(duì)全網(wǎng)終端中系統(tǒng)白文件進(jìn)行精準(zhǔn)識(shí)別并歸類，例如：系統(tǒng)中某個(gè)文件，在系統(tǒng)升級(jí)后其文件特征信息會(huì)改變，需要將其進(jìn)行準(zhǔn)確識(shí)別并歸類至白名單中，再進(jìn)行全網(wǎng)分析統(tǒng)計(jì)，一旦發(fā)現(xiàn)白文件僅存在于某個(gè)終端，需要對(duì)其進(jìn)行重點(diǎn)分析，以確認(rèn)其是否遭受潛在攻擊。通過(guò)對(duì)黑白文件過(guò)濾、對(duì)全網(wǎng)“灰文件”可結(jié)合沙箱進(jìn)行聯(lián)動(dòng)分析，從而實(shí)現(xiàn)灰文件鑒定，最終建立黑、白、灰、準(zhǔn)白全息檔案。

5.智能分析技術(shù)

AI驅(qū)動(dòng)安全，在國(guó)內(nèi)外已經(jīng)成為新“聚焦點(diǎn)”，研究基于AI技術(shù)，可實(shí)現(xiàn)未知威脅檢測(cè)、合規(guī)自動(dòng)化檢查、高級(jí)威脅智能定級(jí)、威脅取證溯源分析、高級(jí)威脅影響分析、安全自動(dòng)化運(yùn)營(yíng)、AI防護(hù)等場(chǎng)景，將客戶端廣泛部署在客戶生產(chǎn)環(huán)境，數(shù)據(jù)上報(bào)至“云端”，可對(duì)數(shù)據(jù)進(jìn)行充分訓(xùn)練，通過(guò)大量威脅數(shù)據(jù)分析，可在威脅檢測(cè)能力、誤報(bào)率控制、檢測(cè)性能上與傳統(tǒng)檢測(cè)產(chǎn)品拉開(kāi)差距，提升對(duì)高級(jí)威脅行為的發(fā)現(xiàn)能力，同時(shí)提供描述性、診斷性、預(yù)測(cè)性以及指導(dǎo)性分析，以了解安全威脅并及時(shí)做出響應(yīng)。

（二）核心功能

1.文件/外聯(lián)全息建檔功能

針對(duì)組織內(nèi)部黑、白、“灰文件”及IP/域名實(shí)現(xiàn)全息檔案建設(shè)，精確衡量與跟蹤，在發(fā)現(xiàn)惡意程序后，分析人員可快速評(píng)估其嚴(yán)重程度、影響程度，快速查詢其是否存在其他計(jì)算機(jī)上，從而判斷其是否為系統(tǒng)性事件，了解入侵指標(biāo)，實(shí)現(xiàn)“威脅全網(wǎng)排查”。

2.情報(bào)聯(lián)動(dòng)分析功能

解決流量設(shè)備發(fā)現(xiàn)威脅告警后證據(jù)鏈不完整問(wèn)題，全面提升威脅發(fā)現(xiàn)及溯源能力，同時(shí)終端采集IP、域名、文件MD5等信息，可與情報(bào)進(jìn)行聯(lián)動(dòng)分析，實(shí)現(xiàn)問(wèn)題“精準(zhǔn)定位”。

3.黑灰產(chǎn)外聯(lián)檢測(cè)功能

終端基于DNS的監(jiān)測(cè)分析，與網(wǎng)絡(luò)威脅情報(bào)聯(lián)防處置平臺(tái)（K01）實(shí)現(xiàn)聯(lián)動(dòng)，針對(duì)IP、域名發(fā)現(xiàn)黑灰產(chǎn)外聯(lián)，實(shí)現(xiàn)“外聯(lián)檢測(cè)”。

4.威脅線索自動(dòng)分析取證

發(fā)現(xiàn)攻擊威脅后，需要能夠?qū)Ξ?dāng)時(shí)發(fā)生攻擊事件相關(guān)信息進(jìn)行實(shí)時(shí)取證，高級(jí)攻擊樣本具備自刪除能力、非法外聯(lián)請(qǐng)求具有時(shí)效性，事后檢測(cè)方式即使發(fā)現(xiàn)告警，由于丟失威脅發(fā)生時(shí)的關(guān)鍵證據(jù)，難以定性。通過(guò)對(duì)終端病毒樣本、進(jìn)程鏈信息、內(nèi)存Dump等類型信息進(jìn)行實(shí)時(shí)取證，可解決關(guān)鍵固證信息不完整，難以分析定位問(wèn)題。

5.新型/未知威脅檢測(cè)

內(nèi)存攻擊具有難檢測(cè)、難分析、難取證的問(wèn)題，通過(guò)內(nèi)存行為監(jiān)控技術(shù)實(shí)現(xiàn)內(nèi)存威脅發(fā)現(xiàn)能力，解決內(nèi)存威脅防護(hù)不足問(wèn)題。深入腳本解釋器，監(jiān)控程序內(nèi)部執(zhí)行行為，從而可以有效發(fā)現(xiàn)腳本攻擊。通過(guò)行為分析技術(shù)，防范未知惡意代碼攻擊。

6.APT攻擊檢測(cè)

通過(guò)終端文件特征分析及行為分析，實(shí)現(xiàn)對(duì)疑似APT組織線索發(fā)現(xiàn)，結(jié)合威脅樣本行為分析系統(tǒng)、情報(bào)系統(tǒng)實(shí)現(xiàn)“APT檢測(cè)”。

7.清除頑固病毒

針對(duì)普通病毒木馬程序，通過(guò)殺毒軟件快速查殺即可，而當(dāng)前筆者發(fā)現(xiàn)終端出現(xiàn)重新啟動(dòng)后病毒再次運(yùn)行的情況，難以徹底根除。研究Antirootkit病毒處置工具，對(duì)進(jìn)程、文件、啟動(dòng)項(xiàng)等清除，實(shí)現(xiàn)病毒“徹底根除”。

四、應(yīng)用效果與驗(yàn)證

終端安全問(wèn)題是關(guān)鍵信息基礎(chǔ)設(shè)施的主要隱患。針對(duì)終端安全防護(hù)問(wèn)題，基于本文思想與核心技術(shù)設(shè)計(jì)實(shí)現(xiàn)的終端安全防護(hù)系統(tǒng)（網(wǎng)鑒V01），具備終端威脅檢測(cè)、分析取證、威脅處置、場(chǎng)景化防護(hù)一體化運(yùn)營(yíng)能力。通過(guò)聯(lián)動(dòng)能力建立終端聯(lián)防聯(lián)控體系，探針采集終端文件、進(jìn)程、內(nèi)存、指令、網(wǎng)絡(luò)等不同層面數(shù)據(jù)上報(bào)云端，強(qiáng)化AI未知威脅檢測(cè)效果，實(shí)現(xiàn)針對(duì)終端的新威脅、未知威脅的發(fā)現(xiàn)能力。系統(tǒng)適用于政府、金融和互聯(lián)網(wǎng)等大型企事業(yè)單位VDI環(huán)境和辦公終端的安全防護(hù)，致力于終端威脅閉環(huán)管理，結(jié)合聯(lián)動(dòng)能力提供集權(quán)系統(tǒng)一體化防護(hù)、社工釣魚(yú)場(chǎng)景防護(hù)，能夠有效應(yīng)對(duì)終端僵木蠕及未知惡意代碼防范，輔助關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位抵抗APT組織攻擊，緩解0day漏洞攻擊，全面提升企業(yè)辦公終端安全管理的水平。以某省大型國(guó)有能源企業(yè)應(yīng)用為實(shí)例驗(yàn)證實(shí)踐效果。

（一）系統(tǒng)部署方案

網(wǎng)鑒V01管理中心采用集群部署模式，部署在IDC區(qū)，采用B/S結(jié)構(gòu)，通過(guò)瀏覽器即可實(shí)現(xiàn)對(duì)全網(wǎng)終端的安全管理與監(jiān)控，探針部署在全網(wǎng)辦公終端環(huán)境，包括主流Windows操作系統(tǒng)、VDI環(huán)境。部署終端3000點(diǎn)，實(shí)現(xiàn)文件全息建檔，通過(guò)情報(bào)、沙箱聯(lián)動(dòng)等檢測(cè)手段，全面覆蓋已知、未知威脅。詳細(xì)部署架構(gòu)如圖3所示。

（二）實(shí)踐效果驗(yàn)證

系統(tǒng)部署后，7日內(nèi)共計(jì)檢測(cè)發(fā)現(xiàn)并建立白文件檔案452130條，建立準(zhǔn)白文件檔案162850個(gè)，黑文件發(fā)現(xiàn)1230條，灰文件發(fā)現(xiàn)663個(gè)，威脅文件線索發(fā)現(xiàn)12135條，有效攔截率達(dá)99%。詳細(xì)威脅分類見(jiàn)表1。

針對(duì)惡意文件線索的分析過(guò)程中發(fā)現(xiàn)，發(fā)現(xiàn)365臺(tái)終端上存在未及時(shí)清理的惡意程序；在對(duì)文件的具體特征分析過(guò)程中發(fā)現(xiàn)內(nèi)網(wǎng)存在蠕蟲(chóng)、后門軟件病毒等惡意代碼。通過(guò)內(nèi)存攻擊行為檢測(cè)，發(fā)現(xiàn)在該企業(yè)內(nèi)部存在大量具有高危行為的程序，協(xié)助該企業(yè)用戶對(duì)高危行為的軟件進(jìn)行了摸底排查及應(yīng)急處置。

五、總結(jié)與展望

為強(qiáng)化落實(shí)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》，有效防護(hù)終端安全，做好關(guān)鍵信息基礎(chǔ)設(shè)施安全的最后一道屏障，有針對(duì)性地提升關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)、監(jiān)測(cè)預(yù)警和主動(dòng)防御能力，基于多重檢測(cè)的終端安全防護(hù)技術(shù)，結(jié)合AI驅(qū)動(dòng)安全理念，將人工智能算法用于預(yù)測(cè)、鑒定、組織惡意程序，結(jié)合行為分析自動(dòng)化檢測(cè)組織異常行為，緩解零日攻擊造成的破壞，有效提升我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施終端安全防護(hù)水平。研究基于內(nèi)存安全檢測(cè)技術(shù)、未知威脅檢測(cè)技術(shù)、關(guān)聯(lián)分析技術(shù)、威脅情報(bào)聯(lián)動(dòng)分析等關(guān)鍵技術(shù)，捕獲發(fā)生在終端內(nèi)存、內(nèi)核、文件、進(jìn)程等不同層面中的異常行為，加強(qiáng)云端分析能力、聯(lián)動(dòng)分析能力，及時(shí)發(fā)現(xiàn)和攔截未知威脅，是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位未來(lái)網(wǎng)絡(luò)安全建設(shè)的重點(diǎn)方向。