基于APT入侵的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)模型及其關(guān)鍵技術(shù)研究

時(shí)間：2013-12-11 19:16:06

關(guān)鍵字：網(wǎng)絡(luò)安全防護(hù) 系統(tǒng)模型模型

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]介紹了高級(jí)持續(xù)性威脅（APT）的攻擊原理、特點(diǎn)和對(duì)傳統(tǒng)入侵檢測(cè)技術(shù)的挑戰(zhàn)。依據(jù)APT攻擊的方法和模式建立一種基于靜態(tài)檢測(cè)和動(dòng)態(tài)分析審計(jì)相結(jié)合的訪問控制多維度網(wǎng)絡(luò)安全防護(hù)模型，并對(duì)防護(hù)模型的關(guān)鍵技術(shù)作了一定的研究和分析。

0 引言

APT 攻擊，即高級(jí)持續(xù)性威脅(Advanced PersistentThreat,APT)，指組織或者小團(tuán)體，利用先進(jìn)的復(fù)合式攻擊手段對(duì)特定的數(shù)據(jù)目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT是竊取核心資料為目的所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為，其攻擊方式比其他攻擊方式更為隱蔽，在發(fā)動(dòng)APT攻擊前，會(huì)對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)進(jìn)行精確的收集，挖掘攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞。攻擊者會(huì)針對(duì)性的進(jìn)行潛心準(zhǔn)備，熟悉被攻擊者應(yīng)用程序和業(yè)務(wù)流程的安全隱患，定位關(guān)鍵信息的存儲(chǔ)方式與通信方式，使整個(gè)攻擊形成有目的、有組織、有預(yù)謀的攻擊行為。因此傳統(tǒng)的入侵檢測(cè)技術(shù)難以應(yīng)對(duì)。

1 APT攻擊技術(shù)特點(diǎn)及對(duì)傳統(tǒng)入侵檢測(cè)技術(shù)的挑戰(zhàn)

APT攻擊是結(jié)合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊等多種攻擊的高端攻擊模式，整個(gè)攻擊過程利用包括零日漏洞、網(wǎng)絡(luò)釣魚、掛馬等多種先進(jìn)攻擊技術(shù)和社會(huì)工程學(xué)的方法，一步一步地獲取進(jìn)入組織內(nèi)部的權(quán)限。原來的APT攻擊主要是以軍事、政府和比較關(guān)鍵性的基礎(chǔ)設(shè)施為目標(biāo)，而現(xiàn)在已經(jīng)更多的轉(zhuǎn)向商用和民用領(lǐng)域的攻擊。從近兩年的幾起安全事件來看，Yahoo、Google、RSA、Comodo等大型企業(yè)都成為APT攻擊的受害者。在2012年5月被俄羅斯安全機(jī)構(gòu)發(fā)現(xiàn)的“火焰”病毒就是APT的最新發(fā)展模式，據(jù)國(guó)內(nèi)相關(guān)安全機(jī)構(gòu)通報(bào)，該病毒已于2012年6月入侵我國(guó)網(wǎng)絡(luò)。

1.1 APT攻擊的技術(shù)特點(diǎn)

APT攻擊就攻擊方法和模式而言，攻擊者主要利用各種方法特別是社會(huì)工程學(xué)的方法來收集目標(biāo)信息。

其攻擊主要有基于互聯(lián)網(wǎng)惡意軟件的感染、物理惡意軟件的感染和外部入侵等三個(gè)入侵途徑，其典型流程圖如圖1 所示。就以2010 年影響范圍最廣的GoogleAurora(極光)APT攻擊，攻擊者利用就是利用社交網(wǎng)站，按照社會(huì)工程學(xué)的方法來收集到目標(biāo)信息，對(duì)目標(biāo)信息制定特定性的攻擊滲透策略，利用即時(shí)信息感染Google的一名目標(biāo)雇員的主機(jī)，通過主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，造成了Google公司多種系統(tǒng)數(shù)據(jù)被竊取的嚴(yán)重后果。

從APT典型的攻擊步驟和幾個(gè)案例來看，APT不再像傳統(tǒng)的攻擊方式找企業(yè)的漏洞，而是從人開始找薄弱點(diǎn)，大量結(jié)合社會(huì)工程學(xué)手段，采用多種途徑來收集情報(bào)，針對(duì)一些高價(jià)值的信息，利用所有的網(wǎng)絡(luò)漏洞進(jìn)行攻擊，持續(xù)瞄準(zhǔn)目標(biāo)以達(dá)到目的，建立一種類似僵尸網(wǎng)絡(luò)的遠(yuǎn)程控制架構(gòu)，并且通過多信道、多科學(xué)、多級(jí)別的的團(tuán)隊(duì)持續(xù)滲透的方式對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)通信進(jìn)行監(jiān)視，將潛在價(jià)值文件的副本傳遞給命令控制服務(wù)器審查，將過濾的敏感機(jī)密信息采用加密的方式進(jìn)行外傳[3].

1.2 APT攻擊對(duì)傳統(tǒng)檢測(cè)技術(shù)的挑戰(zhàn)

目前，APT 攻擊給傳統(tǒng)入侵檢測(cè)技術(shù)帶來了兩大挑戰(zhàn)：

(1)高級(jí)入侵手段帶來的挑戰(zhàn)。APT攻擊將被攻擊對(duì)象的可信程序漏洞與業(yè)務(wù)系統(tǒng)漏洞進(jìn)行了融合，由于其攻擊的時(shí)間空間和攻擊渠道不能確定的因素，因此在攻擊模式上帶來了大量的不確定因素，使得傳統(tǒng)的入侵防御手段難以應(yīng)對(duì)APT入侵手段。

(2)持續(xù)性攻擊方式帶來的挑戰(zhàn)。APT是一種很有耐心的攻擊形式，攻擊和威脅可能在用戶環(huán)境中存在很長(zhǎng)的時(shí)間，一旦入侵成功則會(huì)長(zhǎng)期潛伏在被攻擊者的網(wǎng)絡(luò)環(huán)境中，在此過程中會(huì)不斷收集用戶的信息，找出系統(tǒng)存在的漏洞，采用低頻攻擊的方式將過濾后的敏感信息利用數(shù)據(jù)加密的方式進(jìn)行外傳。因此在單個(gè)時(shí)間段上APT網(wǎng)絡(luò)行為不會(huì)產(chǎn)生異?，F(xiàn)象，而傳統(tǒng)的實(shí)時(shí)入侵檢測(cè)技術(shù)難以發(fā)現(xiàn)其隱蔽的攻擊行為。

2 安全防護(hù)技術(shù)模型研究

由于APT攻擊方式是多變的，以往的APT攻擊模式和案例并不具有具體的參考性，但是從多起APT攻擊案例的特點(diǎn)中分析來看，其攻擊目的可以分為兩方面：一是竊密信息，即竊取被攻擊者的敏感機(jī)密信息;二是干擾用戶行為兩方面，即干擾被攻擊者的正常行為。就APT攻擊過程而言，最終的節(jié)點(diǎn)都是在被攻擊終端。因此防護(hù)的最主要的目標(biāo)就是敏感機(jī)密信息不能被非授權(quán)用戶訪問和控制。針對(duì)APT攻擊行為，文中設(shè)計(jì)建立了一種基于靜態(tài)檢測(cè)和動(dòng)態(tài)分析審計(jì)相結(jié)合的訪問控制多維度防護(hù)模型，按照用戶終端層、網(wǎng)絡(luò)建模層和安全應(yīng)用層自下而上地構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系，如圖2所示。

[!--empirenews.page--]

2.1 安全防護(hù)模型技術(shù)

整個(gè)安全防護(hù)服務(wù)模型采用靜態(tài)檢測(cè)和動(dòng)態(tài)分析的技術(shù)手段實(shí)時(shí)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包全流量監(jiān)控。靜態(tài)檢測(cè)主要是檢測(cè)APT攻擊的模式及其行為，審計(jì)網(wǎng)絡(luò)帶寬流量及使用情況，對(duì)實(shí)時(shí)獲取的攻擊樣本進(jìn)行逆向操作，對(duì)攻擊行為進(jìn)行溯源并提取其功能特征。動(dòng)態(tài)分析主要是利用所構(gòu)建的沙箱模型對(duì)網(wǎng)絡(luò)傳輸文件進(jìn)行關(guān)鍵字檢測(cè)，對(duì)Rootkit、Anti-AV等惡意程序?qū)嵤┰诰€攔截，對(duì)郵件、數(shù)據(jù)包和URL中的可疑代碼實(shí)施在線分析，利用混合型神經(jīng)網(wǎng)絡(luò)和遺傳算法等檢測(cè)技術(shù)對(duì)全流量數(shù)據(jù)包進(jìn)行深度檢測(cè)，結(jié)合入侵檢測(cè)系統(tǒng)審核文件體，分析系統(tǒng)環(huán)境及其文件中異常結(jié)構(gòu)，掃描系統(tǒng)內(nèi)存和CPU的異常調(diào)用。在關(guān)鍵位置上檢測(cè)各類API鉤子和各類可能注入的代碼片段。

2.2 安全防護(hù)模型結(jié)構(gòu)

用戶終端層是整個(gè)模型的基礎(chǔ)設(shè)施層，它主要由用戶身份識(shí)別，利用基于用戶行為的訪問控制技術(shù)對(duì)用戶的訪問實(shí)施驗(yàn)證和控制，結(jié)合用戶池和權(quán)限池技術(shù)，訪問控制系統(tǒng)可以精確地控制管理用戶訪問的資源和權(quán)限，同時(shí)訪問者根據(jù)授權(quán)和訪問控制原則訪問權(quán)限范圍內(nèi)的信息資源。

網(wǎng)絡(luò)建模層是整個(gè)安全防護(hù)模型的核心。由內(nèi)網(wǎng)資源表示模型和多種安全訪問控制服務(wù)模型共同構(gòu)成。

采用對(duì)內(nèi)部資源形式化描述和分類的內(nèi)網(wǎng)資源表示模型為其他安全子模型提供了基礎(chǔ)的操作平臺(tái)。結(jié)合安全存儲(chǔ)、信息加密、網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)控回放、操作系統(tǒng)安全、入侵檢測(cè)和信息蜜罐防御，以整個(gè)內(nèi)網(wǎng)資源為處理目標(biāo)，建立基于訪問控制技術(shù)的多維度安全防御保障體系。

安全應(yīng)用層是整個(gè)安全防護(hù)模型的最高層，包括操作審計(jì)、日志審查、病毒防御、識(shí)別認(rèn)證、系統(tǒng)和網(wǎng)絡(luò)管理等相關(guān)應(yīng)用擴(kuò)展模塊。在用戶終端層和網(wǎng)絡(luò)建模層的基礎(chǔ)上構(gòu)建整個(gè)安全防護(hù)系統(tǒng)的安全防護(hù)服務(wù)。

基于APT入侵建立安全防護(hù)模型，最關(guān)鍵的就是在現(xiàn)有安全模型上建立用戶身份識(shí)別，用戶行為管控和網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)控的機(jī)制，建立安全防護(hù)模型的協(xié)議和標(biāo)準(zhǔn)的安全防御體系，并為整個(gè)安全解決方案和網(wǎng)絡(luò)資源安全實(shí)現(xiàn)原型。

3 網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵技術(shù)

3.1 基于網(wǎng)絡(luò)全流量模塊級(jí)異域沙箱檢測(cè)技術(shù)

原理是將整個(gè)網(wǎng)絡(luò)實(shí)時(shí)流量引入沙箱模型，通過沙箱模型模擬網(wǎng)絡(luò)中重要數(shù)據(jù)終端的類型和安全結(jié)構(gòu)模式，實(shí)時(shí)對(duì)沙箱系統(tǒng)的文件特征、系統(tǒng)進(jìn)程和網(wǎng)絡(luò)行為實(shí)現(xiàn)整體監(jiān)控，審計(jì)各種進(jìn)程的網(wǎng)絡(luò)流量，通過代碼檢查器掃描威脅代碼，根據(jù)其危險(xiǎn)度來動(dòng)態(tài)綁定監(jiān)控策略。利用動(dòng)態(tài)監(jiān)控對(duì)跨域調(diào)用特別是系統(tǒng)調(diào)用以及寄存器跳轉(zhuǎn)執(zhí)行進(jìn)行監(jiān)控和限制，避免由于威脅代碼或程序段躲過靜態(tài)代碼檢查引起的安全威脅。但整個(gè)模型的難點(diǎn)在于模擬的客戶端類型是否全面，如果缺乏合適的運(yùn)行環(huán)境，會(huì)導(dǎo)致流量中的惡意代碼在檢測(cè)環(huán)境中無法觸發(fā)，造成漏報(bào)。

3.2 基于身份的行為分析技術(shù)

其原理是通過發(fā)現(xiàn)系統(tǒng)中行為模式的異常來檢測(cè)到入侵行為。依據(jù)正常的行為進(jìn)行建模，通過當(dāng)前主機(jī)和用戶的行為描述與正常行為模型進(jìn)行比對(duì)，根據(jù)差異是否超過預(yù)先設(shè)置的閥值來判定當(dāng)前行為是否為入侵行為，從而達(dá)到判定行為是否異常的目的。其核心技術(shù)是元數(shù)據(jù)提取、當(dāng)前行為的分析，正常行為的建模和異常行為檢測(cè)的比對(duì)算法，但由于其檢測(cè)行為基于背景流量中的正常業(yè)務(wù)行為，因而其閥值的選擇不當(dāng)或者業(yè)務(wù)模式發(fā)生偏差可能會(huì)導(dǎo)致誤報(bào)。

3.3 基于網(wǎng)絡(luò)流量檢測(cè)審計(jì)技術(shù)

原理是在傳統(tǒng)的入侵檢測(cè)機(jī)制上對(duì)整個(gè)網(wǎng)絡(luò)流量進(jìn)行深層次的協(xié)議解析和數(shù)據(jù)還原。識(shí)別用于標(biāo)識(shí)傳輸層定義的傳輸協(xié)議類型，解析提取分組中所包含的端口字段值，深度解析網(wǎng)絡(luò)應(yīng)用層協(xié)議信息，尋找符合特定的特征簽名代碼串。利用網(wǎng)絡(luò)數(shù)據(jù)層流量中交互信息的傳輸規(guī)律，匹配識(shí)別未知協(xié)議，從而達(dá)到對(duì)整個(gè)網(wǎng)絡(luò)流量的數(shù)據(jù)檢測(cè)和審計(jì)。利用傳統(tǒng)的入侵檢測(cè)系統(tǒng)檢測(cè)到入侵攻擊引起的策略觸發(fā)，結(jié)合全流量審計(jì)和深度分析還原APT攻擊場(chǎng)景，展現(xiàn)整個(gè)入侵行為的攻擊細(xì)節(jié)和進(jìn)展程度。

3.4 基于網(wǎng)絡(luò)監(jiān)控回放技術(shù)

原理是利用云存儲(chǔ)強(qiáng)大的數(shù)據(jù)存儲(chǔ)能力對(duì)整個(gè)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行在線存儲(chǔ)，當(dāng)檢測(cè)到發(fā)生可疑的網(wǎng)絡(luò)攻擊行為，可以利用數(shù)據(jù)流量回放功能解析可疑攻擊行為，使整個(gè)基于時(shí)間窗的網(wǎng)絡(luò)流量監(jiān)控回放技術(shù)形成具有記憶功能的入侵檢測(cè)機(jī)制，利用其檢測(cè)機(jī)制確認(rèn)APT攻擊的全過程。比如可以對(duì)網(wǎng)絡(luò)傳輸中的郵件、可疑程序、URL中的異常代碼段實(shí)施檢測(cè)分析，監(jiān)控整個(gè)網(wǎng)絡(luò)中異常加密數(shù)據(jù)傳輸，從而更快地發(fā)現(xiàn)APT攻擊行為。

若發(fā)生可疑行為攻擊漏報(bào)時(shí)，可以依據(jù)歷史流量進(jìn)行多次分析和數(shù)據(jù)安全檢測(cè)，形成更強(qiáng)的入侵檢測(cè)能力。由于采用全流量的數(shù)據(jù)存儲(chǔ)，會(huì)顯著影響高速的數(shù)據(jù)交換入侵檢測(cè)中其系統(tǒng)的檢測(cè)處理和分析能力，在這方面可能還存在一定的技術(shù)差距。

4 結(jié)語

用傳統(tǒng)的入侵檢測(cè)手段很難檢測(cè)到APT攻擊。因此檢測(cè)的策略是要在大量網(wǎng)絡(luò)數(shù)據(jù)中發(fā)現(xiàn)APT攻擊的蛛絲馬跡，通過沙箱模型、網(wǎng)絡(luò)流量檢測(cè)審計(jì)和網(wǎng)絡(luò)監(jiān)控回放技術(shù)結(jié)合入侵檢測(cè)系統(tǒng)和信息蜜罐技術(shù)，形成基于記憶的智能檢測(cè)系統(tǒng)，利用網(wǎng)絡(luò)流量對(duì)攻擊行為進(jìn)行溯源操作，結(jié)合工作流程對(duì)相關(guān)數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析，提高對(duì)APT攻擊的檢測(cè)能力，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的APT 攻擊威脅。在下一步工作中，要結(jié)合當(dāng)前云技術(shù)，在企業(yè)內(nèi)部搭建專屬的私有安全網(wǎng)絡(luò)，建立可信程序基因庫(kù)，完善私有云在防范APT攻擊的應(yīng)用。