劉科科，王丹輝，鄭學欣，郭 靜

(中國電子科學研究院，北京 100041)

0 引 言

APT(Advanced Persistent Threat，高級持續(xù)性威脅)，是指專門針對特定組織所作的復雜且多方位的高級滲透攻擊。它針對特定目標及其關聯(lián)組織，通過從不同途徑進行信息、資訊、消息的長期搜集和監(jiān)控，并根據(jù)目標的綜合防護能力進行有針對性的對抗和穿透研究，持續(xù)不斷的從不同層次實施立體式攻擊滲透，最終達成對特定目標的長期性秘密控制、情報竊取、目標摧毀等目的。高級持續(xù)性威脅潛伏期長、隱蔽性強，且涉及層面眾多、關聯(lián)關系錯綜復雜，針對傳統(tǒng)安全防御體系的新技術、新武器、新技戰(zhàn)法層出不窮，使得高級持續(xù)性威脅被感知和發(fā)現(xiàn)的難度極大[1]。因此，未來五到十年，開展APT攻擊行為的監(jiān)測預警將是我國網(wǎng)絡空間安全監(jiān)測預警的重點。

本文研究基于活動行為特征關聯(lián)分析的APT攻擊行為檢測方法，提出了一種APT攻擊行為檢測模型，將其應用于APT攻擊檢測系統(tǒng)設計并進行了有效性測試。

本文結(jié)構(gòu)如下，第一章對現(xiàn)有APT攻擊防御思路進行分析，第二章提出了一種基于活動行為特征關聯(lián)分析的APT攻擊行為檢測方法，第三章進行實驗設計與分析，第四章全文總結(jié)。

1 APT攻擊檢測方法現(xiàn)狀分析

從2009年的極光行動起，到近年來較為著名的超級工廠病毒攻擊(2010年)、夜龍攻擊(2011年)、蔓靈花行動(2016年)、MONSOON事件(2016年)等，APT攻擊事件不斷涌現(xiàn)。通過對各類APT攻擊案例的過程回放和分析，可以看到APT攻擊的主要特性是通過特種木馬長期潛伏在系統(tǒng)內(nèi)部，盜取系統(tǒng)核心數(shù)據(jù)，并在特定時刻對系統(tǒng)內(nèi)信息系統(tǒng)造成巨大破壞。概括來說，APT攻擊主要具備極強的隱蔽性和針對性、攻擊手段豐富、潛伏時間長、攻擊行為特征難以提取等特征[2-3]。

關于APT攻擊的檢測方法是目前網(wǎng)絡安全界的技術研究熱點之一。針對APT攻擊的特點，不同安全廠商、研究機構(gòu)提出了幾種防御思路[4]，其優(yōu)缺點具體如下：

(1)惡意代碼檢測類方案：該類方案主要覆蓋APT攻擊過程中的單點攻擊突破階段，用于檢測APT攻擊過程中的惡意代碼傳播過程。大多數(shù)APT攻擊都是通過惡意代碼來攻擊目標用戶的個人電腦，從而突破目標網(wǎng)絡和系統(tǒng)防御措施的，因此，惡意代碼檢測對于檢測和防御APT攻擊至關重要。該方案的最大不足之處在于經(jīng)過網(wǎng)絡的惡意代碼數(shù)量眾多，系統(tǒng)需要耗費大量的資源進行傳統(tǒng)病毒查殺分析，同時觸發(fā)的告警信息需要消耗過多運維人力來進行威脅分析。

(2)主機應用保護類方案：該類方案主要覆蓋APT攻擊過程中的單點攻擊突破和數(shù)據(jù)收集上傳階段。不管何種惡意代碼必須在用戶主機終端上執(zhí)行才能控制主機終端乃至整個網(wǎng)絡，因此，如果能夠加強系統(tǒng)內(nèi)各主機節(jié)點的安全措施，則可以有效防御APT攻擊。該方案需要針對不同主機進行安裝部署，由于防護產(chǎn)品還可能導致主機系統(tǒng)的一些應用異常，所以該方案的實用性還需要進一步探討。

(3)網(wǎng)絡入侵檢測類方案：該類方案主要覆蓋APT攻擊過程中的控制通道構(gòu)建階段，通過在網(wǎng)絡邊界處部署入侵檢測系統(tǒng)來檢測APT攻擊的命令和控制通道。雖然APT攻擊所使用的惡意代碼變種多且升級頻繁，但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化，因此可以采用傳統(tǒng)入侵檢測方法來檢測APT的命令控制通道。該方案的難點是如何及時獲取到各APT攻擊手法的命令控制通道的檢測特征。

(4)基于蜜罐的APT檢測方案：蜜罐監(jiān)測技術是一種古老同時又新穎的安全防御技術，隨著網(wǎng)絡虛擬化和服務器虛擬化技術的發(fā)展，利用虛擬化技術構(gòu)建高交互式蜜罐與低交互式相結(jié)合的蜜罐成為有效防御APT攻擊的一種方式。這種方案的優(yōu)勢在于能有效捕獲APT攻擊行為，但缺陷在于其對APT攻擊行為的分析和溯源定位還得依靠傳統(tǒng)的安全防御措施。

(5)大數(shù)據(jù)分析檢測類方案：該類方案并不重點檢測APT攻擊中的某個步驟，它覆蓋了整個APT攻擊過程。該類方案是一種網(wǎng)絡取證思路，通過全面采集和分析各網(wǎng)絡設備的原始流量以及各終端和服務器上的數(shù)據(jù)，來還原整個APT攻擊場景。利用大數(shù)據(jù)來防御APT攻擊被行業(yè)內(nèi)認為是一種創(chuàng)新的技術思路，但是如何具體利用大數(shù)據(jù)技術來進行安全分析目前還有待進一步探索研究。

2 基于活動行為特征關聯(lián)分析的APT攻擊行為檢測方法研究

2.1 基于活動行為特征關聯(lián)分析的APT攻擊行為檢測模型

基于幾種識別和防御APT攻擊方法的優(yōu)缺點，本文提出了一種基于活動行為特征關聯(lián)分析的APT攻擊行為檢測模型。該模型將流量還原技術、虛擬化技術、智能沙箱技術、惡意代碼檢測技術和關聯(lián)分析技術相結(jié)合，實現(xiàn)對APT攻擊行為的多層次監(jiān)測。該模型的技術實現(xiàn)流程如圖1所示。

圖1 技術實現(xiàn)流程圖

在APT攻擊的整個生命周期中，惡意攻擊程序控制通信交互和入侵的網(wǎng)絡訪問行為必然會在網(wǎng)絡中傳遞數(shù)據(jù)包，留下數(shù)據(jù)痕跡。因此，對APT攻擊行為的檢測可以從網(wǎng)絡流量入口分析入手，通過從網(wǎng)絡硬件接口緩存到應用層的直接零拷貝，實現(xiàn)對網(wǎng)絡流量信息的高速采集和還原；將還原后的流量數(shù)據(jù)進行活動行為特征的實時提取入庫，與此同時，從惡意行為代碼感知、軟件安全漏洞感知、典型攻擊行為感知、綜合關聯(lián)分析四個方面進行實時監(jiān)測，最終實現(xiàn)對APT攻擊行為的監(jiān)測預警。其中，對惡意代碼和軟件漏洞的深度檢測，主要實現(xiàn)對APT攻擊惡意代碼植入階段的分析預警；對典型滲透攻擊行為的感知，主要實現(xiàn)對APT攻擊惡意代碼潛伏和活躍階段的分析預警；基于規(guī)則庫和知識庫的綜合關聯(lián)分析，將通過對攻擊行為的規(guī)則關聯(lián)、模式匹配、統(tǒng)計分析，實現(xiàn)對APT攻擊行為的綜合分析研判。

2.2 APT攻擊中基于活動行為特征的未知木馬檢測方法

在基于活動行為特征關聯(lián)分析的APT攻擊行為檢測模型中，最為核心的也是難度最大的就是基于活動行為特征的未知木馬檢測方法研究。由于每一種木馬除去固有的特征字或關鍵字外，都會有修改系統(tǒng)注冊表、終止進程、修改圖標等一系列行為動作，通過對這些行為特征跟蹤、分析、提煉，能夠?qū)ふ页鲆欢ǖ囊?guī)律用于對未知木馬的檢測。木馬檢測的實質(zhì)是對被監(jiān)測的數(shù)據(jù)進行分類判斷分析，看其是合法程序或是木馬。在整個基于活動行為特征的木馬檢測過程中，最關鍵的是如何正確地劃分異常行為與正常行為。

基于活動行為特征的未知木馬檢測方法主要包括兩大組件，一是木馬活動行為特征庫及相對應的合法行為特征庫，二是木馬與合法程序區(qū)分器。通過對木馬活動行為的觀察、研究和總結(jié)，提取出木馬的共有行為形成木馬活動行為特征，對比合法程序的正常行為特征，即可定義木馬活動行為規(guī)則以及合法行為規(guī)則，構(gòu)建木馬活動行為特征庫和合法行為特征庫。

由于木馬活動行為特征庫中的這些行為在合法程序中比較罕見，通過設計合理的分類算法即可將木馬行為與合法程序進行分類，我們利用模式識別領域中的支持向量機分類算法來進行木馬與合法程序的區(qū)分。

2.2.1 相關理論

(1)互信息理論

互信息反映某一隨機變量所帶另一隨機變量的信息，通過特征及其所屬類別共同出現(xiàn)的頻率，度量特征和類別的相關性[5]。設兩個隨機變量x和y的概率密度分別為p(x)和p(y)，則y對x的互信息為：MI(x;y)=log(p(x|y)/p(x))。其中，p(x)為先驗概率，p(x|y)為在事件y發(fā)生的情況下，事件x發(fā)生的概率。

(2)核函數(shù)

核函數(shù)[6]是構(gòu)造木馬與合法程序區(qū)分器的重要基礎，它的作用是將線性不可分的輸入向量從低維輸入空間映射到一個高維特征空間，使得線性不可分的輸入向量在高維空間中實現(xiàn)線性可分。常用的核函數(shù)包括：

a)線性核函數(shù)：H(x,y)=d；

b)多項式核函數(shù)：H(x,y)=(+1)d；

c)高斯核函數(shù)：H(x,y)=e-|x-y|2/2δ2；

d)signoid核函數(shù)：H(x,y)=tanh(ρ+c)。

2.2.2 優(yōu)化木馬活動行為特征庫及相對應的合法行為特征庫

根據(jù)木馬的生存特點，其生命周期可分為木馬植入、潛伏、活躍三個階段，不同的階段具有不同的行為特征。依據(jù)異常行為檢測項得到木馬活動行為特征向量，以作為木馬活動行為特征庫的素材[7]。相對應地，統(tǒng)計合法程序在網(wǎng)絡通信、文件操作、注冊表操作等方面的活動行為特征，以作為與木馬活動行為對應的合法行為特征庫的素材。

為了提高木馬與合法程序區(qū)分器的區(qū)分效率，本文使用基于互信息的特征選擇算法篩選出對分類結(jié)果有效的特征，減少特征庫中特征向量的維數(shù)?；バ畔⑻卣鬟x擇法[8]使用互信息來衡量某個特征和特定類別的相關性，如果信息量越大，那么特征和這個類別的相關性越大，因此可以將每一個特征的互信息值從高到低排列，優(yōu)先選擇相關性較大的特征項[9,10]。

設t表示木馬或合法程序提取出來的特征，c1表示木馬程序類，c2表示合法程序類，則類別ci(i=1,2)對于特征t的互信息值為：

MI(t;ci)=log(p(t|ci)/p(t))=

log(p(t,ci)/(p(t)×p(ci))。

其中，p(t,ci)表示包含特征t且屬于類別ci的向量在特征庫中出現(xiàn)概率;p(t)表示包含特征t的向量在木馬特征庫和合法程序特征庫中出現(xiàn)的概率;p(c1)表示木馬特征庫和合法程序特征庫中的木馬特征向量出現(xiàn)的概率;p(c2)表示木馬特征庫和合法程序特征庫中的合法程序特征向量出現(xiàn)的概率。根據(jù)MI(t;ci)的公式可知，當特征t在類別c1中出現(xiàn)的概率高，而在類別c2中出現(xiàn)概率低時，MI(t;c1)的值高，即特征t和類別c1相關性大，MI(t;c2)的值低，即特征t和類別c2相關性小。當p(t|ci)>p(t)時，MI(t;ci)>0，特征t和類別ci成正相關，即當一個特征向量中出現(xiàn)特征t時，該向量有可能屬于類別ci。當p(t|ci)

定義特征項t在木馬特征庫和合法程序特征庫中的互信息值為MI(t)=MI+(t)-MI-(t)，其中

p(t|ci)>p(t)；

p(t|ci)

設木馬或合法程序Ai的行為特征向量為A1(t1,…,tn,cj),…,Am(t1,…,tn,cj)，其中j∈{1,2}。閾值為K?；诨バ畔⒌奶卣鬟x擇算法步驟如下。對i∈{1,2,…,n}的每一個i的取值，依次如下計算：

第一步，計算包含特征ti且屬于類別c1和(或)c2的特征向量在特征庫中出現(xiàn)的概率p(ti,c1)和(或)p(ti,c2)。計算包含特征ti的向量在木馬特征庫和合法程序特征庫中出現(xiàn)的概率p(ti)。計算木馬特征庫和合法程序特征庫中的木馬特征向量出現(xiàn)的概率p(c1)。計算木馬特征庫和合法程序特征庫中的合法程序特征向量出現(xiàn)的概率p(c2)。

第二步，計算特征ti在木馬特征庫和合法程序特征庫中的互信息值MI(ti)。

第三步，判斷MI(ti)的值是否超過設定的閾值K。如果MI(ti)≥，則特征向量保留特征項ti；否則如果MI(ti)

經(jīng)過基于互信息的特征選擇算法的處理，本方案獲得了更優(yōu)的木馬與合法程序活動行為特征庫，并作為木馬與合法程序區(qū)分器的輸入。

2.2.3 構(gòu)造木馬與合法程序區(qū)分器

對于可疑程序，由于其對計算機具有潛在的威脅，因此在提取其活動行為特征時要在虛擬環(huán)境中虛擬執(zhí)行，得出其活動行為特征向量作為木馬與合法程序區(qū)分器的輸入。木馬與合法程序區(qū)分器的構(gòu)造是通過模式識別領域中較為成熟的理論來解決，本研究通過構(gòu)建非線性支持向量機分類器來區(qū)分木馬與合法程序。

支持向量機分類算法[11]是一種基于統(tǒng)計學習理論的模式識別方法，能很好的解決小樣本、高維數(shù)、非線性和局部最小點等問題。支持向量機分類算法的核心思想是通過事先選擇的非線性映射算法(核函數(shù))把線性不可分的輸入向量從低維輸入空間映射到一個高維特征空間，使得線性不可分的輸入向量在高維空間中實現(xiàn)線性可分，并依據(jù)結(jié)構(gòu)風險最小化理論在這個高維特征空間中構(gòu)造最優(yōu)分類超平面。

利用支持向量機分類算法的基于活動行為特征的木馬檢測算法步驟如圖2所示。

圖2 基于活動行為特征的木馬 檢測算法步驟圖

第一步，在已建立的木馬活動行為特征庫和合法程序行為特征庫的基礎上，定義算法的輸入向量{(x1,y1),…,(xn,yn)}，其中xi(i=1,…,n)是特征項，表示木馬活動行為特征或者合法程序行為，yi∈{1,-1},(i=1,…,n)。如果xi是木馬活動行為特征庫中的特征項，則對應的yi取值為1，否則如果xi是合法行為特征庫中的特征項，則對應的yi取值為-1。

第二步，選取合適的核函數(shù)H(x,y)，構(gòu)造最優(yōu)分類超平面，得出最優(yōu)分類超平面參數(shù)α=(α1,…,αn)T和β。

2.3 基于活動行為特征的APT攻擊檢測系統(tǒng)設計

APT攻擊檢測系統(tǒng)包含CPU、內(nèi)存、硬盤、GE口等物理組件。其中包含8個GE口4個用于管理配置，4個用于接收鏡像的流量。APT攻擊檢測系統(tǒng)利用自己的鏡像口連接至交換機的鏡像端口，所處理的網(wǎng)絡高速流量來源于網(wǎng)絡中通過高性能路由器分流鏡像出的網(wǎng)絡流量。

APT攻擊檢測系統(tǒng)的從邏輯上分為采集子系統(tǒng)和分析子系統(tǒng)，其中采集子系統(tǒng)主要負責流量采集、協(xié)議過濾、會話還原、特征匹配等功能；分析子系統(tǒng)主要負責原始事件寫入數(shù)據(jù)庫、安全事件判定、生成告警事件、告警事件寫入數(shù)據(jù)庫等功能。

采集子系統(tǒng)收到鏡像流量后，先進行二層過濾、三層過濾、分片重組，然后進行協(xié)議識別、會話還原，接著進行特征匹配、虛擬執(zhí)行等功能，生成原始文件，具體流程如圖3所示。

圖3 采集子系統(tǒng)處理流程圖

分析子系統(tǒng)收到TCP連接請求后，接收原始文件、解析消息內(nèi)容、判定消息是否合法，之后執(zhí)行事件標準化，包括將合法消息入庫，進行事件判定、歸并、分類，最后關聯(lián)分析。

圖4 分析子系統(tǒng)處理流程圖

3 試驗驗證與分析

本研究以Clean MX 數(shù)據(jù)庫和國內(nèi)安全廠商提供的病毒庫為基礎，并根據(jù)長期研究經(jīng)驗抽取測試木馬樣本集，結(jié)合正常程序構(gòu)建特征庫，進行漏報率及誤報率檢測實驗。

3.1 基于特征庫檢測的漏報率測試

通常要求APT攻擊檢測設備漏報率檢測不高于5%，具體實驗步驟如下：

(1)在某臺終端上安裝發(fā)送PCAP格式包的軟件(例如Tcpreplay)，作為發(fā)包機；

(2)利用Tcprelay分別構(gòu)造含有100個、200個、300個、400個、500個、600個、700個、800個、900個、1000個真實木馬樣本的異常流量；

(3)使用發(fā)包機將第2步構(gòu)造的10個網(wǎng)絡流量包，分10次向APT攻擊檢測設備進行持續(xù)發(fā)送；

(4)每一次發(fā)送流量完畢后，在設備管理端登錄APT攻擊檢測設備管理界面，查看告警事件個數(shù)；

(5)將發(fā)送10次的告警事件個數(shù)之和與木馬數(shù)量之和對比，計算漏報告警事件的個數(shù)；

(6)計算漏報率，漏報率=漏報的告警事件數(shù)之和/木馬程序數(shù)量之和。

圖5 平均漏報數(shù)量實驗曲線圖

多次進行實驗以保證數(shù)據(jù)有效性，同一木馬樣本數(shù)量下的平均漏報數(shù)量實驗曲線如圖5所示，多次實驗后計算出的平均漏報率為1.3%，因此，基于特征庫檢測的漏報率低于5%性能測試合格。

3.2 基于特征庫檢測的誤報率測試

通常要求APT攻擊檢測設備誤報率檢測不高于10%，實驗過程與第3.1節(jié)類似，在某臺終端上安裝發(fā)送PCAP格式包的軟件作為發(fā)報機，通過向APT攻擊檢測設備發(fā)送含有100個、200個、300個、400個、500個、600個、700個、800個、900個、1 000個的木馬樣本的網(wǎng)絡流量，設定流量程序總數(shù)為10 000個。檢測合法程序被誤報為木馬程序的數(shù)量即為誤報事件，誤報率=誤報的事件數(shù)量之和/合法程序數(shù)量之和，驗證APT攻擊檢測設備的誤報率是否低于10%。

圖6 平均誤報數(shù)量實驗曲線圖

多次進行實驗以保證數(shù)據(jù)有效性，同一合法程序數(shù)量下的平均誤報數(shù)量實驗曲線如圖6所示，多次實驗后計算出的平均誤報率為0.54%，因此，基于特征庫檢測的誤報率低于10%性能測試合格。

4 結(jié) 語

世界上沒有絕對的安全，也沒有攻不破的堡壘。正所謂道高一尺，魔高一丈。APT攻擊行為的特點決定了對APT攻擊行為的防御也是不斷變化長期持續(xù)發(fā)展的。本文從APT攻擊行為的特點和防御技術的發(fā)展現(xiàn)狀出發(fā)，提出了一種基于活動行為特征關聯(lián)分析的APT攻擊行為檢測方法，通過優(yōu)化行為特征庫并構(gòu)造木馬與合法程序的區(qū)分器來實現(xiàn)對APT攻擊行為的檢測和預警，將其應用于檢測系統(tǒng)并進行了有效性試驗，其研究成果可有力促進APT攻擊行為檢測與預警產(chǎn)品的研發(fā)。