引用格式:趙云龍,楊繼,于運濤,等.基于威脅情報關聯的APT攻擊識別與溯源技術[J].網絡安全與數據治理,2024,43(8):15-21,27.
引言
隨著網絡空間對抗愈演愈烈,網絡攻擊行為也不斷升級,已經不再局限于使用傳統的病毒、遠控程序,正逐步向0-day漏洞利用、嵌套式攻擊、木馬潛伏植入、隱蔽加密通信等更加復雜的攻擊形態演化。這些攻擊目標、攻擊目的高度確定的黑客行為,摻雜了人工智能、躲避逃逸、情報收集、社會工程、地緣政治等多種因素,無疑帶來了極大的危害。為了應對網絡安全日益嚴峻的形勢,各單位紛紛在安全合規監管制度要求下采用隔離、阻斷、加密、身份認證、訪問控制、備份等手段來保護自身業務信息系統的安全。但是這種被動防守并不能及時發現網絡中存在的安全威脅,尤其在面對手段多變、更新速度快、復雜度高的定向攻擊時顯得捉襟見肘。
威脅情報是從各類安全信息來源獲取的,用于對資產相關主體面對威脅或危害進行響應或處理決策提供支持。威脅情報數據不僅包括漏洞庫、惡意 IP/DNS/URL/郵箱等入侵威脅指標(Indicator Of Compromise,IOC)信息,還包括安全攻擊事件等信息,目前最主要的威脅情報IOC應用是識別受控主機C&C終端連接行為,或者通過人工經驗進行IOC關聯和拓線,實現對安全事件的黑客組織背景追溯[1]。其迭代層次多且過程繁瑣,并且對及時性和準確性有著非常高的要求。因為一旦高級持續性威脅(Advanced Persistent Threat,APT)組織的攻擊活動被披露,舊的攻擊基礎設施就會被棄用,這就導致發現新攻擊線索的能力大幅降低[2]。為了解決以上問題,本文在實現全流量存儲、回溯和全球APT情報監測的能力基礎上提出了基于拓展型入侵失陷指標(即IOC 拓展指標)和動態化攻擊模式規則、模型的APT攻擊識別和背景溯源方案,以達到精準識別和取證的目的。
本文主要貢獻如下:
(1) 提出基于圖的疑似線索遍歷和回溯算法,實現了IOC多維度智能關聯和拓展,獲得更多未被披露線索。利用更加豐富的高可信IOC資源,提高情報檢測的成功率。
(2) 將適合作為流量檢測的TTP(Tactics Techniques & Procedures)特征,轉換為TTP規則和TTP模型兩部分,TTP規則用于可疑通信會話的初篩,TTP模型用于可疑會話的全量存儲數據報文的復雜計算分析,從而實現對APT攻擊行為流量的精準檢測,提高發現未知威脅的能力。
(3) 在充分發揮IOC在溯源方面價值的基礎上,基于安全事件TTP特征的關聯和利用,通過統計和機器學習等方法實現線索閉合性加權評估,更加精準地實現針對APT攻擊行為的溯源、評估。
本文詳細內容請下載:
http://m.jysgc.com/resource/share/2000006100
作者信息:
趙云龍,楊繼,于運濤,王紹杰
(中國電子信息產業集團有限公司第六研究所,北京 100083)
