高级持续性威胁及其重构研究进展与挑战

张 博 崔佳巍 屈 肃 付安民

1(南京理工大学网络空间安全学院 江苏江阴 214443) 2(中国电子科技集团公司第五十四研究所 石家庄 050081)

高级持续威胁(advanced persistent threat, APT)攻击是一种由复杂且具有良好资源的攻击者发起，针对目标企业或政府等高价值目标的特定信息执行的网络攻击[1].相比一般的网络攻击，APT攻击往往会造成非常严重的损害，包括知识产权盗窃和关键基础设施被破坏等[2].此外也有一些攻击者面向金融机构发动攻击进行偷窃.例如，发生于2010年的Stuxnet攻击就是利用蠕虫病毒和零日漏洞对伊朗的核项目进行了破坏；2015年发生的摩诃草事件又利用文档型漏洞针对中国等亚洲国家窃取政府机构和科研教育领域敏感信息；2020年，又发现了利用新冠肺炎疫情相关题材作为诱饵文档的APT定向攻击.这样复杂而智能化的渗透式网络入侵，是目前网络安全的最大威胁之一[3].

尽管企业每年在网络安全方面花费巨大，但大多数组织都不断受到APT攻击的威胁，这种威胁可能持续几个月都不会被发现，并对企业造成有形的损害[4].目前，中国已经成为全球APT活动的首要地区性目标.中国的经济与科技发展，正在经受着前所未有的巨大考验.针对中国领先的科研机构、科技企业的网络窃密活动与网络破坏活动持续加剧[5].如图1所示，2020年，以政府机构为首的全球多个领域都遭受到了APT攻击[6].

图1 2020年APT攻击涉及行业分布图

基于这样的严峻形势，为了更好地检测和抵御APT攻击，许多研究人员专注于开发更加健壮、覆盖范围更广的威胁检测与攻击重构工具.本文在对这些成果进行研究的基础上：首先简要介绍了高级持续性威胁攻击，从攻击重构方案入手，介绍了依赖因果关系分析的攻击重构基本方案；然后将攻击重构与威胁检测系统进行联合分析，包括基于异常分析、基于启发式方法和基于图形分析方法，结合因果关系抽取的威胁检测与攻击重构方案，并对现有的方案进行了评估，分析了当前攻击重构系统面临的挑战；最后，对攻击重构未来的研究方向进行了讨论和展望.

1 APT攻击分析

APT攻击是近年来兴起并被恶意组织机构等不断发展应用的一种攻击策略.它常常是一种有预谋、有针对性的攻击，往往由掌握先进技术和工具的组织或人员发起.针对这些恶意组织，权威机构进行了许多调查并掌握了其攻击特点等信息.例如，如图2所示，来自越南的APT组织OceanLotus，从2013年至今长期活跃，针对东南亚国家包括政治在内的多个领域发动攻击[7].

图2 OceanLotus重大攻击事件图

APT攻击者在活动过程中可能实施各种各样的攻击手段，在分析APT攻击行为时，人们常常依照ATT&CK[8]中的总结，将其划分为初始访问、执行、持久化、特权提升、防御规避、凭证访问、披露、横向移动、收集、命令和控制、数据渗出、影响12个战术阶段.另外，为了更好地理解APT攻击，建模分析是一种很有效的手段.研究人员对APT攻击进行了许多种建模，包括生命周期模型、杀链模型和钻石模型[9-11]等等.其中应用最为广泛的是生命周期模型，攻击被划分为如图3所示的生命周期.从理论上来说，攻击有可能在任何一个阶段上被检测到.

图3 APT生命周期模型

APT攻击一般分多个阶段进行，尽管人们可能在任何阶段检测到入侵，但检测本身只能揭示单一的独立攻击痕迹，系统常常发出大量对应单个系统事件的警报.此外还有很大一部分的攻击痕迹不会引起警报.因此，为了从独立的警报中获取多阶段攻击的完整信息，系统管理员必须对检测到的攻击有一个完整而正确的理解.这是从网络攻击中安全恢复系统的第1步[12].要做到这一点，分析人员需要对对手的操作过程有清晰的了解，即从确定对手获得系统访问权限的方法开始，到了解攻击者到达目标位置的完整路径，最后确定攻击对系统造成的后果，包括信息泄露、文件受损和安装后门等等.这正是攻击重构系统亟待解决的问题.

2 APT攻击重构

当前，APT攻击正在迅速升级，企业也越来越依赖包括像IDS、安全信息和事件管理工具这样的防御工具.这些工具虽然能够高精度地进行攻击检测，但它们也具有很高的误报率，并且会生成大量信息，使得分析人员很难将真正重要的攻击与正常的系统行为进行区分.因此，许多攻击信息会在长达几周甚至几个月的时间里被忽视[13].

在与攻击者对抗的过程中，人们不断尝试设计更加健壮和通用的检测机制.美国国防部高级研究计划局启动了一个名为“Transparent Computing”[14]的项目，试图找到一种高度保真并且具有可见性的方法来抽象系统中不透明的组件之间的相互作用.研究人员发现，基于因果分析技术生成的起源图可能是一种很有前途的工具，它具有很强的抽象表达能力和相对较高的效率.

因果关系分析技术的一般思路如下：首先构建因果关系模型，然后基于关系模型解析相关的系统日志等文件，挖掘系统行为之间的依赖关系，从而将与攻击相关的信息关联到一起构建溯源图，以实现攻击溯源的功能.基于这样的技术，可以将跨越多个应用程序或主机、并且持续很长时间的攻击活动片段拼凑在一起，将单步攻击或攻击片段按照一定的逻辑关系进行关联，从而形成多阶段攻击的整体轨迹图[15]，进行攻击场景重构.如图4所示，经过重构呈现出的攻击场景，可以直观地显示攻击者攻击渗透过程的“画面”，通过“画面”能够获悉攻击者发动攻击的起点、各个攻击步骤之间的关系以及攻击者的攻击动机和攻击目标等信息[16].

图4 攻击场景示例图

King等人[17]提出的BackTracker方案是依赖因果关系抽取的攻击场景重构经典方案.系统从1个单独的异常事件开始运行，识别可能被异常事件影响的文件和进程，并在依赖图中显示事件链，识别入侵中潜在的步骤序列，帮助网络分析人员理解攻击事件.Liu等人[18]进一步提出了PrioTracker方案，将时间窗口视为一个关键因素，旨在跟踪更多的在一定时间限制内具有更高潜在影响的异常行为.该方案参考了系统事件在因果图中的稀疏性和拓扑特性来评估系统事件的优先级，通过优先处理异常事件来加快追踪速度，实现了实时分析，也使用了更加准确有效的减少错误依赖的方法.该方案在保证运行效率的同时，提高了准确性和时效性.

目前看来，因果分析技术在攻击重构领域是十分有前景的一种方案.在进行分析时，准确性与普适性是系统首要的追求目标[19].当前大多数因果分析系统主要将各种系统日志作为信息来源，未来我们可以尝试着将消息、共享内存和信号量等也视为文件纳入检测的信息来源中，实现更为全面和详细的攻击检测与重构.另外，回溯入侵方法是因果分析方案中比较重要的一项技术，但现在的观点认为回溯入侵方法会带来巨大的负载，有许多方案对其进行改进，但依然存在着很大的优化空间.

图5 威胁检测与攻击重构系统典型架构图

3 威胁检测与攻击重构方案

Symantec互联网安全威胁报告[20]显示，越来越多的组织表现出对可被他们操作的计算机系统实施危害活动的兴趣.虽然攻击场景重构技术可以帮助网络分析人员了解攻击过程，但是仅仅在信息泄露甚至破坏性行动已经发生后重现攻击场景，显然没有太大意义.因此，基于威胁检测与攻击场景重构的工作流程在某种程度上有一定重合的特点，产生了一种实际而有效的想法：将威胁检测与攻击场景重构进行结合，实现“实时监测，同步分析”.典型的威胁检测与攻击重构系统架构如图5所示.

在实时检测与重构的系统中，数据收集模块从部署好的收集器中获取日志信息并进行解析，产生完整的流式或依赖图等信息，由威胁检测与攻击重构模块进行分析.这样的方案能够及时地发现系统中的异常行为，但是系统在分析每一个新事件时都需要联合过往与其有因果关系的全部事件，这对系统存储、查找和处理信息的能力提出了很高要求.

而在离线检测与重构系统中，数据收集模块产生的信息则全部发送到数据处理模块进行处理，再由威胁检测和攻击重构模块进行分析.常用的数据简化算法包括保留因果关系、保留依赖关系等.一般情况下，离线的检测与重构方案在分析时对计算机造成的负载较小，分析结果也比较精准.但是，这样的方案可能无法及时地发现攻击的存在，同时原始信息的存储是一个比较艰难的问题.

本节的以下内容详细介绍了3种结合威胁检测与攻击重构的方案，分别是基于异常的方案、基于启发式的方案和基于图形分析的方案.

3.1 基于异常的方案

基于异常的检测是威胁检测领域中一种比较传统和经典的思路，通过从系统中收集数据或收集历史数据来建立正常模型，尝试识别异常节点之间的交互.基于异常分数的检测通常有较少的参数调优，更容易实现和部署，数据库访问速度通常较快，另外还可以提供一定的打击威胁警报疲劳的能力.但是，如何检测更多种类的攻击、如何解决大量假阳性的现象和如何减小时间开销是基于异常的检测方案需要克服的难点问题.

Hassan等人[21]提出的NODOZE，使用自创造的异常分数传播算法对底层入侵检测系统发出的警报进行分析，生成被系统判断为真实攻击的因果关系子图，不但可以成功地进行攻击重构，而且有效地打击了威胁警报疲劳.NODOZE方案的创新之处在于将分数分配、网络扩散与分数聚合相联合，基于整个路径来计算异常分数.该方案可以有效地减少错误警报，但在系统开始进行检测前必须保证网络处于纯净状态，否则攻击者蓄意发起恶意行为就有可能使系统发生混淆，将异常事件误分类为正常事件.另外，NODOZE的分析不是实时的，它可能无法在APT攻击的前期察觉到威胁.

Hossain等人[13]提出了一个可以实时地进行威胁检测和攻击重构方案SLEUTH，向系统内引入了溯源图和双标签传播的技术，具有代价较小、反应迅速的优点.该方案中引入双标签策略，标签能够沿着相关路径引导搜索，并远离不太可能的路径.这样系统可以将分析重点放在较少的可疑事件上，无需遍历整个图形即可完成搜索.因此，SLEUTH系统可以在攻击发生几秒钟或几分钟内向网络分析人员提供紧凑、直观的活动摘要，有助于在受害企业遭受巨大损失之前及时作出反应，也在一定程度上克服了传统方法依赖爆炸的问题.不过该方案在开始对计算机系统进行监控时，无法确定之前攻击者是否在主机上植入了持续的恶意软件.

3.2 基于启发式的方案

基于启发式的攻击重构方案，即根据事先归纳总结的典型攻击模型，将系统活动与之进行对比来进行威胁检测和攻击重构，通过将系统事件与已知的敌对行为进行匹配来提供对复杂入侵的可见性.

当前比较权威的APT攻击模型是ATT&CK知识库的TTPs(tactics,techniques and procedures)，TTPs来自专家知识，提供了低级审计事件到高级APT步骤之间的映射，全面地描述了各种可能与攻击活动步骤相关的程序.但正是由于TTPs的全面性，使得这种方案的误报率往往比较高.若仅仅进行规则匹配，会造成威胁警报疲劳相关的问题，即系统不但会生成大量的假警报，也会使真正由攻击行为产生的攻击警报淹没在噪声中.因此，如何减少噪声是基于启发式方案需要解决的重要问题.

Milajerdi等人[22]提出的HOLMES方案，根据TTPs中描述的近200种行为模式定义了一系列TTP规则，从某个异常事件开始，将底层事件流与TTP规则进行匹配并检测攻击步骤间相关性.该方案利用在攻击活动中出现的可疑信息流之间的相关性，可以实时地检测正在进行的APT攻击，并生成一个高级场景图来总结攻击者的活动，从而帮助网络分析人员发起有效的网络响应活动.

Hassan等人[23]提出的RapSheet方案，则将数据溯源思想应用到端点检测与响应(endpoint detection and response, EDR)工具上，提供了一种可变化的应用战术起源分析和EDR工具的威胁检测和攻击重构思路.该方案基于单个威胁警报间的时间顺序来评估风险，进而解决了EDR的误报问题.另外，该方案中所使用的一种日志缩减技术，使得系统只需维护一个最低限度的框架图并提供现有和未来威胁警报的可链接性.不过该方案无法检测跨主机的攻击，另外系统无法实时进行威胁检测和攻击重构.

3.3 基于图形分析的方案

近年来，随着计算机存储和计算性能的不断提高，基于图形分析的处理方法逐渐引起了人们的注意，即使用图形处理相关技术，包括图匹配、图聚类等，直接使用图形中的信息进行威胁检测与攻击重构.从图形的结构特征入手进行分析与判别可以保留完整的系统行为特征信息，避免特征的丢失，精度高.但也会为存储和分析带来很大挑战.

Pei等人[24]提出的HERCULE方案，将多阶段入侵分析建模为社区发现问题，通过关联多个轻量级日志条目进行因果关系分析来构建多维加权溯源图.该方案创新性地收集多个不同主机中的系统日志进行了联合分析.不过，该方案提出的检测框架不是实时的，需要网络分析人员收集各个主机上的系统日志，输入系统内进行检测，这几乎相当于进行了离线的检测.基于HERCULE方案中开销小的优势，可以将这样的检测方案进一步发展，实现实时收集、实时分析.

Milajerdi等人[25]提出的Poriot方案是一种基于图匹配的方法，对起源图和根据妥协指标(IOC)关系构建的攻击行为查询图进行图匹配来完成威胁检测和攻击重构功能.该方案的优点在于设计和实现了一种高效率、低误报的图匹配检测方式.基于图的处理方式是一种很不错的威胁检测与攻击重构思路，因为图形中存在着许多难以被特征抽取的特征.该方案的缺点在于查询图需要人工构建，前期工作量大，并且无法检测新的恶意手段.

3.4 对比分析

我们对上述8种方案进行了对比分析，生成如表1所示的方案对比.从表1可以直观地看出，现有方案中所使用的数据收集器基本上是粗粒度的，即收集系统级的信息流.客观来说，细粒度的收集器收集到的信息较粗粒度的收集器更为细致，但由于计算机系统运行产生的数据量过于庞大，因此为了平衡系统负载，切合计算机的处理能力，目前人们大多只能选择粗粒度的收集器来收集信息.

表1 8种方案对比

在数据存储方面，较早的系统常常采用保留缓存图的存储方式，即保留日志中全部的信息.而在人们发现系统受到依赖爆炸问题的威胁后，开始思考对收据存储进行某些改进，例如PrioTracking和NODOZE系统选择建立以事件向量为中心的数据库来保留关键信息，而SLEUTH等系统则对缓存图进行处理生成流式信息图来进行数据存储.

对比这8种方案的实验效果，我们发现，启发式的方案可以覆盖较大的检测范围，并且可以实现对特定攻击的检测与分析，检测时间一般也比较短；基于图形分析的方案，处理时不仅可以覆盖较大的检测范围，而且检测的精度往往也比较高；而基于异常分析的处理方案，分析效果受预训练环境影响较大，但对系统造成的负载较小.

4 挑战与展望

当前威胁检测与攻击重构领域仍然面临着这样的一些挑战；

首先，研究人员缺乏近期的基准数据集.这也是人们在对APT攻击进行研究时常常面临的困难.目前广泛使用的真实环境数据集是来自DARPA的数据集，缺少一些新兴攻击的数据.而使用模拟数据进行训练和评估会带来准确度降低的风险.

第二是系统信息的收集问题.目前绝大多数系统的信息来源是系统日志，收集器根据信息来源不同可以分成粗粒度和细粒度2种.粗粒度的收集器只对系统级对象进行跟踪，基本可以满足检测需求，但无法提供应用内部更细节的信息流；细粒度的收集器虽然可以保留更多细节，但是会对系统造成大量开销，也有带来依赖爆炸问题的风险.

第三是如何自动准确地进行特征提取.如Poirot这样的方案，其准确性严重依赖于特征提取.一方面，目前人们缺乏对现实世界的攻击图数据的良好整理；另一方面，难以提取典型的攻击模式和相应的语义.

最后，随着机器学习相关技术的不断发展，目前越来越多的研究方案展现出了希望在威胁检测与攻击重构中应用机器学习技术的意愿，但APT攻击所呈现出的复杂性、针对性使得攻击者可能采取各种行为规避系统的检测.

总体来说，高级持续威胁的威胁检测与攻击重构依然是一个值得发展的领域，未来存在着很大的发展空间，需要继续深入研究.对于未来的研究与发展方向，主要有以下几个方面：

1) 随着近年来存储技术的进步和许多数据压缩存储、缓解依赖爆炸等方案的出现，细粒度的来源收集器的使用开始回到了人们的视野中.这样的收集器能够将威胁检测从当前的系统级深入到应用级，产生更高的精度和更低的误判率.

2) 机器学习技术在攻击重构领域也得到了一些应用.机器学习相关算法分析和预测的总体误差小，可以尝试在某些模块或功能上使用机器学习相关技术作为辅助工具，帮助系统达到更好的效果.例如Luo等人[26]引入长短期记忆人工神经网络方法进行了增量学习.

3) 图形结构的数据所保有的丰富全局特征和较强的灵活性、可扩展性可以帮助威胁检测与攻击重构系统作出更加精准的判断，结合图卷积技术也取得了不错的效果[27].不过这样的方案会带来比较高的性能要求和较大的系统开销，如何克服这样的问题仍需不断进行探索.

4) 针对APT攻击的威胁检测与攻击重构系统需要对一段时间内的数据进行存储、计算和分析来保证检测的准确率.但计算机系统每天可能产生几千兆甚至几十千兆的数据，如何在保证长期记录信息的基础上，平衡存储与计算的代价，依然是攻击重构领域取得较大进展的一个重要前提.

5 结 论

在APT攻击中，攻击者常常在网络内缓慢地进行侦察和横向移动，最后发起攻击.这种多阶段攻击模式留下的痕迹散落在网络内不同主机上的许多独立日志中.因此，从分散的细微痕迹中拼凑出攻击的完整上下文信息仍然需要网络调查人员付出巨大的努力，这既是攻击重构主要针对的目标，也是攻击重构方案急需发展的一个重要原因.许多方案中同时集成攻击重构与威胁检测这2种模块功能，既达到了更好的效果，也在一定程度上节约了开销.本文在对国内外APT的攻击重构方案进行了调研和分析，梳理当前威胁检测和攻击重构的基本思路，主要介绍了基于因果关系分析的攻击重构基本方案和3种结合威胁检测的攻击重构方案.最后阐述了目前研究中存在的问题和挑战，并对未来的研究与发展方向进行了展望.