引用格式:趙云龍,,楊繼,,于運濤,等.基于威脅情報關聯(lián)的APT攻擊識別與溯源技術[J].網(wǎng)絡安全與數(shù)據(jù)治理,2024,,43(8):15-21,,27.
引言
隨著網(wǎng)絡空間對抗愈演愈烈,網(wǎng)絡攻擊行為也不斷升級,,已經(jīng)不再局限于使用傳統(tǒng)的病毒,、遠控程序,正逐步向0-day漏洞利用,、嵌套式攻擊,、木馬潛伏植入、隱蔽加密通信等更加復雜的攻擊形態(tài)演化,。這些攻擊目標,、攻擊目的高度確定的黑客行為,摻雜了人工智能,、躲避逃逸,、情報收集、社會工程、地緣政治等多種因素,,無疑帶來了極大的危害,。為了應對網(wǎng)絡安全日益嚴峻的形勢,各單位紛紛在安全合規(guī)監(jiān)管制度要求下采用隔離,、阻斷,、加密、身份認證,、訪問控制,、備份等手段來保護自身業(yè)務信息系統(tǒng)的安全。但是這種被動防守并不能及時發(fā)現(xiàn)網(wǎng)絡中存在的安全威脅,,尤其在面對手段多變,、更新速度快、復雜度高的定向攻擊時顯得捉襟見肘,。
威脅情報是從各類安全信息來源獲取的,,用于對資產(chǎn)相關主體面對威脅或危害進行響應或處理決策提供支持。威脅情報數(shù)據(jù)不僅包括漏洞庫,、惡意 IP/DNS/URL/郵箱等入侵威脅指標(Indicator Of Compromise,,IOC)信息,還包括安全攻擊事件等信息,,目前最主要的威脅情報IOC應用是識別受控主機C&C終端連接行為,,或者通過人工經(jīng)驗進行IOC關聯(lián)和拓線,實現(xiàn)對安全事件的黑客組織背景追溯[1],。其迭代層次多且過程繁瑣,,并且對及時性和準確性有著非常高的要求。因為一旦高級持續(xù)性威脅(Advanced Persistent Threat,,APT)組織的攻擊活動被披露,,舊的攻擊基礎設施就會被棄用,這就導致發(fā)現(xiàn)新攻擊線索的能力大幅降低[2],。為了解決以上問題,本文在實現(xiàn)全流量存儲,、回溯和全球APT情報監(jiān)測的能力基礎上提出了基于拓展型入侵失陷指標(即IOC 拓展指標)和動態(tài)化攻擊模式規(guī)則,、模型的APT攻擊識別和背景溯源方案,以達到精準識別和取證的目的,。
本文主要貢獻如下:
(1) 提出基于圖的疑似線索遍歷和回溯算法,,實現(xiàn)了IOC多維度智能關聯(lián)和拓展,獲得更多未被披露線索,。利用更加豐富的高可信IOC資源,,提高情報檢測的成功率。
(2) 將適合作為流量檢測的TTP(Tactics Techniques & Procedures)特征,轉(zhuǎn)換為TTP規(guī)則和TTP模型兩部分,,TTP規(guī)則用于可疑通信會話的初篩,,TTP模型用于可疑會話的全量存儲數(shù)據(jù)報文的復雜計算分析,從而實現(xiàn)對APT攻擊行為流量的精準檢測,,提高發(fā)現(xiàn)未知威脅的能力,。
(3) 在充分發(fā)揮IOC在溯源方面價值的基礎上,基于安全事件TTP特征的關聯(lián)和利用,,通過統(tǒng)計和機器學習等方法實現(xiàn)線索閉合性加權評估,,更加精準地實現(xiàn)針對APT攻擊行為的溯源、評估,。
本文詳細內(nèi)容請下載:
http://forexkbc.com/resource/share/2000006100
作者信息:
趙云龍,,楊繼,于運濤,,王紹杰
(中國電子信息產(chǎn)業(yè)集團有限公司第六研究所,,北京 100083)