APT攻击防御框架研究

邬 娜，谭振江

(吉林师范大学数学与计算机学院，吉林 四平 136000)

美国国家标准与技术研究所(NIST)从攻击者、攻击目的、攻击手段和攻击过程4个维度，以要素方式定义了APT攻击[1]。付钰等[2]从APT攻击具有特定攻击对象的性质角度补充了NIST的定义，认为APT攻击本质是隐蔽的网络攻击。张瑜等[3]强调高级、持续、威胁的本质，认为APT攻击是有组织、有目的、有预谋、隐蔽性强、持续时间长、破坏力大的群体式定向攻击。

APT攻击是一个漫长而隐蔽的过程，如图1，整个生命周期可以分为6个阶段，即侦察阶段、武器制作与投递阶段、漏洞利用阶段、安装与持久化阶段、命令与控制阶段及收益阶段。

图1 APT攻击生命周期Fig.1 APT attack life cycle

1 APT攻击的防御方法

1.1 恶意代码检测技术

恶意代码是指在目标主机中具有破坏或非授权获取隐蔽信息行为的代码段，主要包括木马、计算机病毒、蠕虫等。恶意代码检测技术是检测非法写入系统的恶意代码的技术，是一种传统且有效的检测方法。Longkang Shang[4]等提出基于神经网络挖掘共享特征发现未知高级持续威胁C&C信道的框架，提出手动特征提取和基于神经网络特征提取两种方式，但手动提取特征只有10个维度，而基于神经网络特征提取采用卷积神经网络进行两轮卷积和池操作，可得到30维特征，提取出流级统计数据特征，PCA降维后，通过梯度提升下降树对恶意软件流量和正常流量进行分类，找出恶意软件与C&C服务器之间通信的恶意流量，进而发现APT攻击。刘科科[5]等提出基于活动行为特征关联分析的APT攻击行为检测模型，由前端采集探针实现零拷贝数据采集，协议深度解析还原，在后端分析监测模块，从恶意行为代码感知、软件安全漏洞感知、典型攻击行为感知、综合关联分析4个方面进行实时监测，实现对APT攻击行为的预警。

恶意代码检测技术一般用于网络入口或内网环境，对传统攻击的检测有很高的成功率，是APT攻击检测中必不可少的一道防线，但APT攻击隐蔽性强且时间跨度大，仅凭借恶意代码检测很难做到高拦截、低误报。

1.2 基于网络流量的检测技术

基于网络流量的检测技术是通过机器学习相关算法对网络中流量进行检测，分析可能存在的恶意行为。从网络层分析，检测技术重点在于网络连接特征检测和可疑地址追踪；从应用层分析，重点是协议数据监测和C&C流量分析。董刚[6]等提出基于网络连接特征属性的入侵检测模型识别APT攻击，对采集的数据流量样本进行多维度特征提取，与正常的多维度属性特征值相比较，对得到的异常可疑流量进行实时报警。王晓琪[7]等提出一种基于隐蔽可疑DNS行为检测的协助检测APT攻击框架APDD，利用CAA算法进行变化向量分析和滑动时间窗口分析，得出待检测域名访问记录与标准APT攻击中DNS访问记录的相似度，通过基于特征维度的信誉评分系统打分，判断APT攻击行为。张家伟[8]等提出一种抗APT攻击的可信软件基体系，从硬件角度出发，实现了APT攻击内核级防范，但体系整体核心在于完善完整性度量组件，对于白名单组件安全性略有欠缺。

基于网络流量的检测技术优势在于可形成事件时空关联，进行事件联合分析，而过宽的时间域会在一定程度上影响检测效率，且这种检测方式一般发生在攻击之后，对数据回传行为做判定，也能作为防范APT攻击的一道防线。

1.3 大数据分析检测技术

大数据分析检测技术可以从两个维度分析：一是在来源多样、体积巨大的数据基础上，运用特定算法做检测；二是通过数据挖掘算法形成多设备上下文关联进行检测。王小英[9]等提出面向APT攻击网络安全威胁隐蔽目标识别方法，利用数据挖掘领域的关联规则构建APT攻击隐蔽目标识别的总体框架，整合数据链路层、网络层及应用层所产生的日志形成上文，利用检测算法，匹配数据库，计算可信度，进而识别APT攻击。黄永洪[10]等引入攻击图理论，提出了针对APT攻击的风险属性攻击图(RAAG)模型，利用系统脆弱性节点判断算法评估系统中存在的APT攻击风险。

大数据分析技术包含了恶意代码检测技术和基于网络流量检测技术，由于产生数据的位置不同，对应的防护重点也不同，因此应贯穿于攻击的整个生命周期。

1.4 博弈论观点

博弈论通过量化攻击要素、分析节点、求取均衡来防范APT攻击。张为[11]等提出基于节点博弈而改进的OAPG(Attack path prediction model Oriented to APT)模型，通过漏洞风险分析算法计算可疑行为的风险系数，进而对APT攻击路径进行建模，计算攻防双方的最大收益，分析均衡策略找到最优防御方案。李静轩[12]等从决策角度出发，研究APT攻防对抗过程中博弈双方过程性目标与多阶段策略对峙过程中可行策略集的动态、随机变化等问题，整合和扩展矩阵型攻防博弈和Markov决策过程，提出APT攻防随机博弈模型AO-ADSG。以上研究将博弈论观点引入APT攻防对抗中，通过刻画多阶段攻防场景，从攻防双方收益的角度分析APT攻击，以此防范攻击。

2 综合防御框架

APT攻击生命周期很长，仅依靠单一的防御方法很难有效防范攻击。因此，综合性防御框架能够更好地针对攻击。孙文君[13]等以2010年Kordy[14]等提出的基于攻防树的网络安全分析模型为理论依据，提出一种基于攻防树的APT风险评估方法。杜镇宇[15]等提出基于Petri网的APT攻击模型，以改进的入侵杀伤链IKC(intrusion kill chain)模型为基础，分析九元组 APTPN生成算法结果，通过触发变迁完成库所状态的转换，由矩阵向量分析得到APT攻击的Petri网模型图，更加直观清晰地表达APT攻击威胁级别，但模型生成算法普适性较弱。杨豪璞[16]等通过分析APT攻击A特性(先进性)和P特性(持续性)，提出基于阶段特性的APT攻击行为分类框架，对APT攻击行为的划分细粒度较高，但分类算法对预设攻击情景针对性过强，普遍适用性较弱。戴震[17]等提出基于通信特征的APT攻击检测架构，采用Heiritrix框架爬网得到相关文件，匹配文件关键词，提取特征，再由人工筛选特征，使用的双层特征匹配算法，在准确率和误报率上要优于单次特征匹配，但一定程度上增加了时间复杂度。陈瑞东[18]等在动态变形攻击模型与检测机制中提出基于金字塔的展开模型，用来预测可能的攻击路径。潘亚峰[19]等设计并构建了一种基于ATT&CK的APT攻击语义规则模型框架。

多数文献对APT攻击的防御方式集中在恶意代码检测技术、大数据分析检测技术、网络流量和网络连接特征检测技术，将机器学习等算法应用于APT攻击防范是未来研究的热点。

3 非传统网络环境的APT攻击防御方法

APT攻击对传统网络拓扑环境造成了很大的威胁，近年来，云计算、工业网络、移动终端等也面临着APT攻击。胡晴[20]等从非合作博弈的角度研究了云计算系统的APT攻击，提出了基于专家系统的APT攻击云端检测博弈模型，设置了APT攻击者和APT防御者两个参与人，考虑虚警率和漏报率两个重要指标，建立了混合策略ES-APT检测博弈静态模型和基于WoLF-PHC的动态ES-APT检测模型。张浩[21]等提出了参考性的云平台下的APT攻击防护框架，阐述了在云环境中对APT攻击的检测、监控与溯源方法。XiaoyingWang[22]等提出基于时空关联分析的工业互联网APT攻击发现算法，对原始数据进行整合清理与标准化，通过符号化方法将每个特征简化为一个唯一的符号，用于规则挖掘；采用FP-Growth关联规则挖掘算法经常同时出现的时间特征、空间特征和类别特征，以最小支持度作为度量，过滤掉低于最小支持度的项集，最终形成关联规则，在数据检索方面，使用改进的Bloom-fliter算法检索历史数据，发现可疑IP地址，降低了空间复杂度，但增加了时间复杂度。胡彬[23]等提出了集终端状态监控与转发、日志数据预处理、特征提取、模型训练及预测、告警监控及配置于一体的移动端APT检测模型，对移动端的APT攻击有很强的针对性，采用静态分析和动态分析相结合的方式，有效地将移动端恶意攻击行为量化。

面对非传统网络环境下的APT攻击，防御方法和普通APT攻击有很大的相似性，其难点在于如何将云计算、工控系统、移动终端等环境的技术特点与高效的防护手段相结合。

4 结语

APT攻击防护的难点在于攻防双方信息的不对称性，攻击方式和渠道多元化，而防守偏被动，因此应贯彻纵深防御思想，提高安全意识，将多种防御技术手段相结合，以对抗APT攻击。