基于情报、威胁框架等方式追踪溯源方法研究

孙铭鸿 蔡蓓蓓

1.辽宁省互联网技术支撑中心；2.江苏省互联网行业管理服务中心

0 引言

随着网络安全的深入发展，网络安全已经成为关系国家安全的重大安全战略问题。传统的被动防御技术已经无法应对新兴的复杂网络攻击，因此，需要更具有针对性的主动防御技术。攻击溯源技术可以及时确定攻击源头或攻击的中间介质，及其相应的攻击路径，在通过隔离、关闭等手段最大程度上降低攻击损害的同时，还可制定更有针对性的防御与反制策略，实现主动防御。攻击溯源技术是网络空间防御体系从被动防御到主动防御转换的重要步骤，提高了主动防御的及时性和有效性。目前，攻击溯源技术处于发展阶段，还缺乏有效的工具和系统，因此，攻击溯源技术的研究和运用具有十分重要的意义，是维护国家网络安全、防范网络攻击有力的技术保障。

近年来，在大国博弈过程中，某国能够依托其分析溯源能力对我国进行网络攻击行为的指控，而我国由于不能依靠自身溯源能力进行舆论回击而处于被动的状态。同时，国际舆论也在大国影响力的作用下，有意识地提出对我国不利的论调，我国应该通过大力加强攻击溯源能力的建设来改变这样的现状。而攻击溯源技术可以对网络攻击过程进行记录，可为解决国家间网络空间安全争端提供取证支撑，以捍卫国家网络空间主权并威慑潜在的网络攻击。

1 基于威胁情报的智能化溯源

1.1 溯源技术分类及其概念界定

当前的攻击溯源技术主要分为两种：被动和主动技术。被动溯源技术包括针对潜在恶意行为警报进行取证调查和攻击假设测试。主动溯源技术依靠威胁情报，产生攻击假设，主动搜索潜在的威胁行为。情报是指被传递的知识或事实，最早源于军事情报领域，概念与技术成熟后被引入网络与信息安全领域，与网络安全态势密切相关。威胁情报是一种基于证据来描述威胁的知识信息，包括威胁相关的上下文环境信息，采用机制、指标、影响与行动建议等。这些用以描述已经存在或正在发生的攻击威胁的信息，可以被受害目标用来进行决策并对威胁进行响应。威胁情报多被用于例如蜜罐、SIEM（Security Information and Event Management，安全信息和事件管理）等网络安全防护设备的功能增强和攻击溯源手动分析的辅助，面对攻击溯源过程中产生的海量数据信息，人工处理复杂且耗时，利用威胁情报进行攻击溯源已成为业界共识。

1.2 威胁情报的分类及概念界定

目前主要被使用的威胁情报为技术威胁情报和战术威胁情报，其中技术威胁情报主要是失陷指标（IoC，Indicator of compromise），如文件哈希、IP、URL、域名、程序运行路径、注册表项、互斥量、发件人邮箱地址以及其它相关标签。IoC也是可机读的威胁情报的一种，还包括文件信誉和IP 情报。战术威胁情报关注于攻击者的TTP（Tactics、Techniques、Procedures，战术、技术、过程），其中战术是指对攻击行动的概括性要求，表达的是目的或行动原因，常用于攻击作业规划与过程追踪；技术是指通过什么动作执行来达成战术的目标，包含预期完成的行动，但不包括完成行动的规定性指导；过程是特定的案例化或参照化技术执行说明，是完成任务的具体详细的操作说明或指导，重点在于提供完整、详细、正确的任务步骤说明。所获取的特征信息通过关联分析和拓展线索，可输出大量与已知线索存在关联的新线索，将未知攻击与已存在的攻击者建立联系，并结合攻击者TTP，逐步追踪溯源攻击者。威胁情报相关指标的金字塔模型如图1 所示。

图1 痛苦金字塔

1.3 威胁平台建设现状

目前，国内外的大部分网络安全厂商均已建立了各自带有溯源分析功能的在线威胁情报平台。威胁情报平台是用来收集、关联实时数据，并对其分类、整合的一个平台，可优先支持防御行动。同时，还会对现有安全技术和流程进行整合并加以补充，满足了在多个利益相关个体和不同群体之间快速分享可机读威胁情报的需求。现有威胁情报平台可提供查询和分析服务，通过威胁情报中黑客及组织的特征信息进行关联实现攻击者识别。

国内网络安全厂商安天的威胁情报综合分析平台（Threat Intelligence Data，简称TID）具备一定的溯源能力。TID 基于安天海量流量侧和端点侧威胁感知能力和自动化样本采集分析体系，累积形成高质量的自有威胁情报库、知识库，结合外部情报，具备快速查询与获取威胁情报的能力。利用简便的交互式威胁关联与同源分析方法，全面揭示攻击者的攻击工具、攻击资源、攻击手段，形成威胁分析和追踪溯源能力，如图2所示。

图2 利用关联同源分析进行威胁追踪溯源

美国网络安全厂商赛门铁克的Deep Sight Intelligence 是一个云托管的网络威胁情报平台，该平台可以提供由赛门铁克通过终端和其它安全产品收集并通过其大数据仓库汇总的技术和攻击者情报，这些数据经过丰富、验证和分析，以提供溯源功能，将未知指标与已知攻击者联系起来。

1.4 AI 大数据溯源平台的建设现状

目前相关威胁事件数量日益增长，威胁数据正不断累积且数量巨大，仅靠人工分析溯源难以满足快速增长的防御需求，所以更好地利用大数据进行溯源是必要手段。威胁情报作为提供了海量多来源的安全大数据，除了需要例如Deep Sight Intelligence 威胁情报平台中利用云对安全大数据进行集成，还需利用人工智能（AI，Artificial Intelligence）技术进行快速处理分析大量数据，以实现自动化溯源，更好地发挥威胁情报在攻击溯源中的价值。尽管AI 的使用在攻击溯源的实现中尚不是主流，但其使用不断增加和实现功能也越来越复杂，部分网络安全厂商已成立了专门的网络安全AI 技术研究团队，例如美国网络安全公司Sophos 的Sophos AI，其致力于推动机器学习（ML，Machine Learning）以实现信息安全。

美国网络安全公司FireEye 为了解决现有溯源问题正在利用AI 开发相关工具。其根据自然语言处理和机器学习（ML）研究社区使用的既定方法，开发了一个建模框架，以评估不同组织之间的相似程度。该工具被称为ATOMICITY，用于自动化识别新发现攻击组织与已知组织的相似性，以确认其可归属于现有组织或是一个新组织，从而实现自动化溯源。相关示例如图3、图4 所示。

图3 使用“文档”的隐喻组织的摘要信息以进行相似性的机器学习分析的示例

图4 ATOMICITY 工具的整体模型流程，用于分析组织和集群的相似程度

2 基于威胁框架的体系化溯源

2.1 威胁框架概念界定

在攻防双方对抗态势下，如果依然以离散的方式去孤立地看待和处置每个威胁事件，就会陷入没有头绪、无从下手的窘境，难以有效分析威胁的前因后果，看不清真正的攻击者，无法理解真正的危害。当前对抗的严峻形势，就促成了威胁框架的提出与发展。威胁框架是一套科学的方法和工具体系，能够更深入地认知威胁，系统全面地分析其攻击意图、手法、过程与技术，从而帮助分析人员进行攻击溯源，进而达成增强防御有效性的目标。

2.2 ATT&CK 框架的产生背景及其概念界定

对APT组织来说，攻击行为通常有相对固定的生命周期。该生命周期分为6 个阶段：侦察跟踪阶段、武器构建阶段、载荷投递阶段、漏洞利用阶段、安装植入阶段、命令与控制阶段。网络杀伤链从攻击者视角更为清晰地理解攻击行动，通过上下文建立起事件之间的关联分析，从而更有效地理解攻击目标与攻击过程，也更有助于找到潜在对策与应对手段。为针对性解决威胁框架在战术技术层面上实践实用的问题，MITRE 在网络杀伤链框架基础上提出了ATT&CK 框架，如图5 所示。

图5 ATT&CK 框架的内容构成

ATT&CK 框架，是一套技术细节丰富、易于共享应用的攻击行为分析模型和知识库。ATT&CK 包含14 种战术，每一种又包含数十种技术，将攻击行为转化为结构化列表进行表示。

2.3 基于ATT&CK 框架的威胁溯源

攻击者是ATT&CK 框架的核心概念，对攻击行动的分析以及知识库的提炼积累，都是围绕TTP 而展开的。识别溯源的过程是新的模式和TTP 发现的过程，工具和技术揭示了新的恶意行为模式和攻击者的TTP，这是溯源周期的关键部分。TTP 使得防御系统摆脱或降低了对IoC 的依赖，将防御从检测机器层执行动作信息，提升到检测作业层行为信息。相比于恶意代码哈希值、IP 地址等IoC 指标，基于TTP 的行为特征是很难改变的，攻击者需要付出大量努力才能发现新的作业手法并实现防御规避的目的，其技术难度、时间周期和成本代价都是巨大的。因此，TTP 刻画了攻击者相对稳定的行为特征，使用基于TTP 的ATT&CK 框架能够将威胁情报结构化，进一步增强了利用威胁情报进行攻击溯源的有效能力。分析人员可通过攻击战术技术在矩阵中的映射状态，来分析攻击组织。由于不同攻击组织的作业方式各不相同，其所采用的战术技术集合也各不相同，并且具有相对稳定的特点，因此，基于矩阵映射状态的分析，可区别不同组织，跟踪特定组织的战术技术变化，为攻击溯源提供强有力的线索。

ATT&CK 框架业务已获得业界的广泛支持，其积极作用得到了普遍认可，框架内容也在不断扩展与细化。ATT&CK框架包括大量的工具和资源，可以补充任何安全策略。目前其已被应用到多种安全产品中，例如端点产品，根据现有攻击者行为，为其编写检测规则，更好地检测和防御攻击，同时在检测到的威胁行为所产生的警报中显示归属于ATT&CK 框架中的技术点，可据此发现相关联的组织，并进行进一步分析溯源。

3 溯源技术发展趋势及相关建议

根据上述的研究背景、意义，以及溯源方式的产生背景、概念界定及其优势介绍，可得出如下的溯源技术发展趋势结论：在应对相关挑战的同时，溯源技术的研究与分析工作将得到系统化推动，在攻防双方的博弈中得到不断发展。因此可以说溯源技术的发展将呈波浪式上升的趋势。网络攻击溯源技术还有着巨大的发展空间，如何追溯到更多的有用数据，如何多维度地对得到的数据进行分析，以及如何提高攻击溯源技术的有效性等方面依旧任重而道远。对于后续发展，本文也针对溯源技术提供厂商方面提出了一些不太成熟的建议，供大家参考。

3.1 构建自动化溯源技术

人工智能是一种先进的方法，凭借强大的智能驱动能力以及大规模运算能力，有潜力通过分析大量攻击线索实现自动化挖掘攻击者身份，并发现分析人员看不见的模式来提高溯源的准确性。智能溯源技术需要对网络攻击进行全面深入地了解，结合通过各种防御技术积累安全数据后，在利用人工智能增强安全防御能力的同时，使用机器学习等算法分析攻击行为，发现攻击并自动化溯源攻击，从而达到高成熟度攻击溯源水平。目前，人工智能已被用于开展针对攻击溯源的研究和应用，部分国外安全厂商建立专项研究团队，已经从使用简单的线性回归到使用深度学习，并取得了阶段性成果，而国内使用人工智能进行溯源的相关实现还与国外存在一定差距，但构建有效的自动化溯源技术和体系将是今后发展的一个必然选择。因此，需要加强与加快人工智能与机器学习的研究，逐步实现从手动溯源的方式转变为半自动甚至完全自动化的溯源方式。

3.2 完善主动溯源技术

虽然基于低维经验特征的溯源分析还将持续，人工分析在相当一段时间内依然是溯源分析的主要手段，但目前主动溯源技术已经展现初步的成果，例如基于网络欺骗技术和基于威胁情报的主动溯源技术，已能够在溯源过程中为分析人员提供一定程度的支持，所以完善主动溯源技术将是近期溯源技术发展的主要方向。对于网络欺骗技术的应用而言，需要构建面向追踪溯源的网络欺骗环境，包括构建虚拟化的基础网络环境，部署高仿真虚拟主机和服务，施放多重蜜饵资源，以及提升欺骗环境本身的可靠性。对于威胁情报的应用而言，加强威胁情报库的建设是重要基础，同时对其它产品提供安全大数据支撑。网络安全公司、政企单位等各方需要有效地加强合作建设与资源共享。除了目前已有的威胁数据之外，来自暗网和攻击第一现场的最新威胁情报、最新恶意软件样本、最新漏洞攻击样本以及代码静态和行为特征，都是威胁情报库建设的重要内容。开源软件平台、典型网络攻击平台和框架的公开资源也是网络威胁情报库构建时的重要来源。除了对现有主动溯源技术进行深入研究外，也要对新技术新策略进行探索发现。

3.3 对抗逃避溯源技术

基于现有溯源技术的发展与不断成熟，攻击者也在相应地使用匿名网络、网络跳板、隐蔽通信、隐写术等技术和虚假线索混淆视听等方法积极对抗溯源。虚假线索对于攻击者来说容易植入，对于分析人员来说是溯源过程中的难点，所以识别身份仿冒将是溯源工作的重要需求。目前来看，需要将特征行为进行细粒度的分解，因为基于TTP 的行为特征很难改变，所以依靠基于TTP 的威胁框架是对抗身份仿冒的一种必要手段。此外，可以利用人工智能技术，实现对身份伪装线索的智能识别。

4 结束语

近年来，攻击溯源技术逐渐朝着智能化、体系化的方向发展。虽然目前尚处于发展阶段，缺乏有效的工具，但是溯源体系已见雏形，未来必定会以更快的速度向前发展。攻击溯源技术作为网络空间防御体系从被动防御到主动防御转换的重要步骤，是维护国家网络安全、防范网络攻击的技术保障。为了捍卫国家网络空间主权，建设网络强国，提升攻击溯源能力刻不容缓。