鄔 娜，譚振江

(吉林師范大學(xué)數(shù)學(xué)與計算機學(xué)院，吉林 四平 136000)

美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)從攻擊者、攻擊目的、攻擊手段和攻擊過程4個維度，以要素方式定義了APT攻擊[1]。付鈺等[2]從APT攻擊具有特定攻擊對象的性質(zhì)角度補充了NIST的定義，認為APT攻擊本質(zhì)是隱蔽的網(wǎng)絡(luò)攻擊。張瑜等[3]強調(diào)高級、持續(xù)、威脅的本質(zhì)，認為APT攻擊是有組織、有目的、有預(yù)謀、隱蔽性強、持續(xù)時間長、破壞力大的群體式定向攻擊。

APT攻擊是一個漫長而隱蔽的過程，如圖1，整個生命周期可以分為6個階段，即偵察階段、武器制作與投遞階段、漏洞利用階段、安裝與持久化階段、命令與控制階段及收益階段。

圖1 APT攻擊生命周期Fig.1 APT attack life cycle

1 APT攻擊的防御方法

1.1 惡意代碼檢測技術(shù)

惡意代碼是指在目標(biāo)主機中具有破壞或非授權(quán)獲取隱蔽信息行為的代碼段，主要包括木馬、計算機病毒、蠕蟲等。惡意代碼檢測技術(shù)是檢測非法寫入系統(tǒng)的惡意代碼的技術(shù)，是一種傳統(tǒng)且有效的檢測方法。Longkang Shang[4]等提出基于神經(jīng)網(wǎng)絡(luò)挖掘共享特征發(fā)現(xiàn)未知高級持續(xù)威脅C&C信道的框架，提出手動特征提取和基于神經(jīng)網(wǎng)絡(luò)特征提取兩種方式，但手動提取特征只有10個維度，而基于神經(jīng)網(wǎng)絡(luò)特征提取采用卷積神經(jīng)網(wǎng)絡(luò)進行兩輪卷積和池操作，可得到30維特征，提取出流級統(tǒng)計數(shù)據(jù)特征，PCA降維后，通過梯度提升下降樹對惡意軟件流量和正常流量進行分類，找出惡意軟件與C&C服務(wù)器之間通信的惡意流量，進而發(fā)現(xiàn)APT攻擊。劉科科[5]等提出基于活動行為特征關(guān)聯(lián)分析的APT攻擊行為檢測模型，由前端采集探針實現(xiàn)零拷貝數(shù)據(jù)采集，協(xié)議深度解析還原，在后端分析監(jiān)測模塊，從惡意行為代碼感知、軟件安全漏洞感知、典型攻擊行為感知、綜合關(guān)聯(lián)分析4個方面進行實時監(jiān)測，實現(xiàn)對APT攻擊行為的預(yù)警。

惡意代碼檢測技術(shù)一般用于網(wǎng)絡(luò)入口或內(nèi)網(wǎng)環(huán)境，對傳統(tǒng)攻擊的檢測有很高的成功率，是APT攻擊檢測中必不可少的一道防線，但APT攻擊隱蔽性強且時間跨度大，僅憑借惡意代碼檢測很難做到高攔截、低誤報。

1.2 基于網(wǎng)絡(luò)流量的檢測技術(shù)

基于網(wǎng)絡(luò)流量的檢測技術(shù)是通過機器學(xué)習(xí)相關(guān)算法對網(wǎng)絡(luò)中流量進行檢測，分析可能存在的惡意行為。從網(wǎng)絡(luò)層分析，檢測技術(shù)重點在于網(wǎng)絡(luò)連接特征檢測和可疑地址追蹤；從應(yīng)用層分析，重點是協(xié)議數(shù)據(jù)監(jiān)測和C&C流量分析。董剛[6]等提出基于網(wǎng)絡(luò)連接特征屬性的入侵檢測模型識別APT攻擊，對采集的數(shù)據(jù)流量樣本進行多維度特征提取，與正常的多維度屬性特征值相比較，對得到的異常可疑流量進行實時報警。王曉琪[7]等提出一種基于隱蔽可疑DNS行為檢測的協(xié)助檢測APT攻擊框架APDD，利用CAA算法進行變化向量分析和滑動時間窗口分析，得出待檢測域名訪問記錄與標(biāo)準(zhǔn)APT攻擊中DNS訪問記錄的相似度，通過基于特征維度的信譽評分系統(tǒng)打分，判斷APT攻擊行為。張家偉[8]等提出一種抗APT攻擊的可信軟件基體系，從硬件角度出發(fā)，實現(xiàn)了APT攻擊內(nèi)核級防范，但體系整體核心在于完善完整性度量組件，對于白名單組件安全性略有欠缺。

基于網(wǎng)絡(luò)流量的檢測技術(shù)優(yōu)勢在于可形成事件時空關(guān)聯(lián)，進行事件聯(lián)合分析，而過寬的時間域會在一定程度上影響檢測效率，且這種檢測方式一般發(fā)生在攻擊之后，對數(shù)據(jù)回傳行為做判定，也能作為防范APT攻擊的一道防線。

1.3 大數(shù)據(jù)分析檢測技術(shù)

大數(shù)據(jù)分析檢測技術(shù)可以從兩個維度分析：一是在來源多樣、體積巨大的數(shù)據(jù)基礎(chǔ)上，運用特定算法做檢測；二是通過數(shù)據(jù)挖掘算法形成多設(shè)備上下文關(guān)聯(lián)進行檢測。王小英[9]等提出面向APT攻擊網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識別方法，利用數(shù)據(jù)挖掘領(lǐng)域的關(guān)聯(lián)規(guī)則構(gòu)建APT攻擊隱蔽目標(biāo)識別的總體框架，整合數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層及應(yīng)用層所產(chǎn)生的日志形成上文，利用檢測算法，匹配數(shù)據(jù)庫，計算可信度，進而識別APT攻擊。黃永洪[10]等引入攻擊圖理論，提出了針對APT攻擊的風(fēng)險屬性攻擊圖(RAAG)模型，利用系統(tǒng)脆弱性節(jié)點判斷算法評估系統(tǒng)中存在的APT攻擊風(fēng)險。

大數(shù)據(jù)分析技術(shù)包含了惡意代碼檢測技術(shù)和基于網(wǎng)絡(luò)流量檢測技術(shù)，由于產(chǎn)生數(shù)據(jù)的位置不同，對應(yīng)的防護重點也不同，因此應(yīng)貫穿于攻擊的整個生命周期。

1.4 博弈論觀點

博弈論通過量化攻擊要素、分析節(jié)點、求取均衡來防范APT攻擊。張為[11]等提出基于節(jié)點博弈而改進的OAPG(Attack path prediction model Oriented to APT)模型，通過漏洞風(fēng)險分析算法計算可疑行為的風(fēng)險系數(shù)，進而對APT攻擊路徑進行建模，計算攻防雙方的最大收益，分析均衡策略找到最優(yōu)防御方案。李靜軒[12]等從決策角度出發(fā)，研究APT攻防對抗過程中博弈雙方過程性目標(biāo)與多階段策略對峙過程中可行策略集的動態(tài)、隨機變化等問題，整合和擴展矩陣型攻防博弈和Markov決策過程，提出APT攻防隨機博弈模型AO-ADSG。以上研究將博弈論觀點引入APT攻防對抗中，通過刻畫多階段攻防場景，從攻防雙方收益的角度分析APT攻擊，以此防范攻擊。

2 綜合防御框架

APT攻擊生命周期很長，僅依靠單一的防御方法很難有效防范攻擊。因此，綜合性防御框架能夠更好地針對攻擊。孫文君[13]等以2010年Kordy[14]等提出的基于攻防樹的網(wǎng)絡(luò)安全分析模型為理論依據(jù)，提出一種基于攻防樹的APT風(fēng)險評估方法。杜鎮(zhèn)宇[15]等提出基于Petri網(wǎng)的APT攻擊模型，以改進的入侵殺傷鏈IKC(intrusion kill chain)模型為基礎(chǔ)，分析九元組 APTPN生成算法結(jié)果，通過觸發(fā)變遷完成庫所狀態(tài)的轉(zhuǎn)換，由矩陣向量分析得到APT攻擊的Petri網(wǎng)模型圖，更加直觀清晰地表達APT攻擊威脅級別，但模型生成算法普適性較弱。楊豪璞[16]等通過分析APT攻擊A特性(先進性)和P特性(持續(xù)性)，提出基于階段特性的APT攻擊行為分類框架，對APT攻擊行為的劃分細粒度較高，但分類算法對預(yù)設(shè)攻擊情景針對性過強，普遍適用性較弱。戴震[17]等提出基于通信特征的APT攻擊檢測架構(gòu)，采用Heiritrix框架爬網(wǎng)得到相關(guān)文件，匹配文件關(guān)鍵詞，提取特征，再由人工篩選特征，使用的雙層特征匹配算法，在準(zhǔn)確率和誤報率上要優(yōu)于單次特征匹配，但一定程度上增加了時間復(fù)雜度。陳瑞東[18]等在動態(tài)變形攻擊模型與檢測機制中提出基于金字塔的展開模型，用來預(yù)測可能的攻擊路徑。潘亞峰[19]等設(shè)計并構(gòu)建了一種基于ATT&CK的APT攻擊語義規(guī)則模型框架。

多數(shù)文獻對APT攻擊的防御方式集中在惡意代碼檢測技術(shù)、大數(shù)據(jù)分析檢測技術(shù)、網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接特征檢測技術(shù)，將機器學(xué)習(xí)等算法應(yīng)用于APT攻擊防范是未來研究的熱點。

3 非傳統(tǒng)網(wǎng)絡(luò)環(huán)境的APT攻擊防御方法

APT攻擊對傳統(tǒng)網(wǎng)絡(luò)拓撲環(huán)境造成了很大的威脅，近年來，云計算、工業(yè)網(wǎng)絡(luò)、移動終端等也面臨著APT攻擊。胡晴[20]等從非合作博弈的角度研究了云計算系統(tǒng)的APT攻擊，提出了基于專家系統(tǒng)的APT攻擊云端檢測博弈模型，設(shè)置了APT攻擊者和APT防御者兩個參與人，考慮虛警率和漏報率兩個重要指標(biāo)，建立了混合策略ES-APT檢測博弈靜態(tài)模型和基于WoLF-PHC的動態(tài)ES-APT檢測模型。張浩[21]等提出了參考性的云平臺下的APT攻擊防護框架，闡述了在云環(huán)境中對APT攻擊的檢測、監(jiān)控與溯源方法。XiaoyingWang[22]等提出基于時空關(guān)聯(lián)分析的工業(yè)互聯(lián)網(wǎng)APT攻擊發(fā)現(xiàn)算法，對原始數(shù)據(jù)進行整合清理與標(biāo)準(zhǔn)化，通過符號化方法將每個特征簡化為一個唯一的符號，用于規(guī)則挖掘；采用FP-Growth關(guān)聯(lián)規(guī)則挖掘算法經(jīng)常同時出現(xiàn)的時間特征、空間特征和類別特征，以最小支持度作為度量，過濾掉低于最小支持度的項集，最終形成關(guān)聯(lián)規(guī)則，在數(shù)據(jù)檢索方面，使用改進的Bloom-fliter算法檢索歷史數(shù)據(jù)，發(fā)現(xiàn)可疑IP地址，降低了空間復(fù)雜度，但增加了時間復(fù)雜度。胡彬[23]等提出了集終端狀態(tài)監(jiān)控與轉(zhuǎn)發(fā)、日志數(shù)據(jù)預(yù)處理、特征提取、模型訓(xùn)練及預(yù)測、告警監(jiān)控及配置于一體的移動端APT檢測模型，對移動端的APT攻擊有很強的針對性，采用靜態(tài)分析和動態(tài)分析相結(jié)合的方式，有效地將移動端惡意攻擊行為量化。

面對非傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的APT攻擊，防御方法和普通APT攻擊有很大的相似性，其難點在于如何將云計算、工控系統(tǒng)、移動終端等環(huán)境的技術(shù)特點與高效的防護手段相結(jié)合。

4 結(jié)語

APT攻擊防護的難點在于攻防雙方信息的不對稱性，攻擊方式和渠道多元化，而防守偏被動，因此應(yīng)貫徹縱深防御思想，提高安全意識，將多種防御技術(shù)手段相結(jié)合，以對抗APT攻擊。