精华内容
下载资源
问答
  • apt攻击
    万次阅读
    2022-04-02 15:13:47

    一、什么是APT攻击

    当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat高级持续性威胁)攻击
    APT攻击是一种以商业或者政治目的为前提的特定攻击,其通过一系列具有针对性的攻击行为以获取某个组织甚至国家的重要信息,特别是针对国家重要的基础设施和单位开展攻击,包括能源、电力、金融、国防等等。APT攻击常常采用多种攻击技术手段,包括一些最为先进的手段和社会工程学方法,并通过长时间持续性的网络渗透,一步步的获取内部网络权限,此后便长期潜伏在内部网络,不断地收集各种信息,直至窃取到重要情报。
    对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的,该定义给出了APT攻击的4个要素,具体如下。
    (1)攻击者:拥有高水平专业知识和丰富资源的敌对方。
    (2)攻击目的:破坏某组织的关键设施,或阻碍某项任务的正常进行。
    (3)攻击手段:利用多种攻击方式,通过在目标基础设施上建立并扩展立足点来获取信息。
    (4)攻击过程:在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。

    二、APT攻击过程

    一般APT攻击过程可概括为3个阶段:攻击前准备阶段、攻击入侵阶段和持续攻击阶段,又可细分为5个步骤:情报收集、防线突破、通道建立、横向渗透、信息收集及外传
    APT攻击过程

    1.情报收集

    在实施攻击之前,攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样,通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站,甚至通过某些渠道购买相关信息(如公司通讯录等)。攻击者通过对这些信息的分析,可以清晰地了解攻击目标所使用的应用、防御软件,组织内部架构和人员关系,核心资产存放情况等等。于是,攻击者针对特定目标(一般是内部员工)所使用的应用软件寻找漏洞,并结合特定目标所使用的杀毒软件、防火墙等设计特定木马/恶意代码以绕过防御。同时,攻击者搭建好入侵服务器,开展技术准备工作。

    2.防线突破

    攻击者在完成情报收集和技术准备后,开始采用木马/恶意代码攻击特定员工的个人电脑,攻击方法主要有:①社会工程学方法,如电子邮件攻击,攻击者窃取与特定员工有关系的人员(如领导、同事、朋友等)电子邮箱,冒充发件人给该员工发送带有恶意代码附件的邮件,一旦该员 工打开附件,员工电脑便感染了恶意软件。②远程漏洞攻击方法,如网站挂马攻击,攻击者在员工常访问的网站上放置木马,当员工再次访问该网站时,个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理,因此现有的杀毒软件和防火墙均无法察觉,攻击者便能逐渐获取个人电脑权限,最后直至控制个人电脑。

    3.通道建立

    攻击者在突破防线并控制员工电脑后,在员工电脑与入侵服务器之间开始建立命令控制通道。通常,命令控制通道采用HTTP/HTTPS等协议构建,以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立,攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀,并在恶意软件被安全软件检测到前,对恶意软件进行版本升级,以降低被发现的概率。

    4.横向渗透

    入侵和控制员工个人电脑并不是攻击者的最终目的,攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器,同时不断地提升自己的权限,以求控制更多的电脑和服务器,直至获得核心电脑和服务器的控制权。

    5.信息收集及外传

    攻击者常常长期潜伏,并不断实行网络内部横向渗透,通过端口扫描等方式获取服务器或设备上有价值的信息,针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器,然后通过整理、压缩、加密、打包的方式,利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后,攻击者会对这些信息数据进行分析识别,并做出最终的判断,甚至实施网络攻击破坏。

    三、APT攻击和传统攻击的区别

    APT攻击具有不同于传统网络攻击的5个显著特征:针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。
    1.针对性强
    APT攻击的目标明确,多数为拥有丰富数据/知识产权的目标,所获取的数据通常为商业机密、国家安全数据、知识产权等。
    相对于传统攻击的盗取个人信息,APT攻击只关注预先指定的目标,所有的攻击方法都只针对特定目标和特定系统,针对性较强。
    2.组织严密
    APT攻击成功可带来巨大的商业利益,因此攻击者通常以组织形式存在,由熟练黑客形成团体,分工协作,长期预谋策划后进行攻击。他们在经济和技术上都拥有充足的资源,具备长时间专注APT研究的条件和能力。
    3.持续时间长
    APT攻击具有较强的持续性,经过长期的准备与策划,攻击者通常在目标网络中潜伏几个月甚至几年,通过反复渗透,不断改进攻击路径和方法,发动持续攻击,如零日漏洞攻击等。
    4.高隐蔽性
    APT攻击根据目标的特点,能绕过目标所在网络的防御系统,极其隐藏地盗取数据或进行破坏。在信息收集阶段,攻击者常利用搜索引擎、高级爬虫和数据泄漏等持续渗透,使被攻击者很难察觉;在攻击阶段,基于对目标嗅探的结果,设计开发极具针对性的木马等恶意软件,绕过目标网络防御系统,隐蔽攻击。
    5.间接攻击
    APT攻击不同于传统网络攻击的直接攻击方式,通常利用第三方网站或服务器作跳板,布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中,可由攻击者在远端进行遥控攻击,也可由被攻击者无意触发启动攻击。

    对比内容传统攻击APT攻击
    攻击者特征个体或小组织网络犯罪分子全球性、有组织、有纪律的不法团体、公司、敌对者
    攻击目标随机性选择攻击,通常以个体为主,以达到获取金钱、盗窃身份、欺诈等特定攻击目标,通常针对国家安全信息、重要行业商业机密信息等
    攻击手段攻击手段比较单一,常基于已有的恶意软件展开攻击攻击手段复杂,形式多样,结合0day攻击、特种木马攻击、社会工程学等展开攻击
    攻击时间攻击时间较短,以一次性、大范围攻击为主攻击时间较长,长期潜伏、多次渗透攻击
    攻击痕迹攻击特性很强,容易在较短时间内被检测和捕获攻击特征弱,比较隐蔽,缺少样本数据,很难被检测和捕获

    四、如何防范APT攻击

    随着人们对APT攻击的研究不断深入,已经出现一些有效的防御技术来对抗APT攻击,其核心思想大多是针对APT“攻击链”的某一步骤展开防御。这些技术主要包括:沙箱技术、信誉技术、异常流量分析技术、大数据分析技术等等。

    1.沙箱技术

    沙箱,又叫做沙盘,被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境,同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离,以便在这个虚拟化环境中测试和观察文件、访问等运行行为。沙箱通过重定向技术,将测试过程中生成和修改的文件定向到特定文件夹中,避免了对真是注册表、本地核心数据等的修改。当APT攻击在改虚拟环境发生时,可以及时地观察并分析其特征码,进一步防御其深入攻击。

    2.信誉技术

    安全信誉是对互联网资源和服务相关实体安全可信性的评估和看法。信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术,通过建立信誉库,包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等,可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑,实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用,将进一步提高安全新品的安全防护能力。

    3.主机漏洞防护技术

    针对横向移动与内部资料进行挖掘和探测的防御,可采用主机漏洞防护技术,能侦测任何针对主机漏洞的攻击并加以拦截,进而保护未修补的主机。这类解决方案可实现档案 / 系统一致性监控,保护未套用修补程序的主机,防止已知和0day 漏洞攻击。

    4.异常流量分析技术

    这是一种流量检测及分析技术,其采用旁路接入方式提取流量信息,可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测,并基于时间、拓扑、节点等多种统计分析手段,建立流量行为轮廓和学习模型来识别流量异常情况,进而判断并识别0Day漏洞攻击等。

    5.数据防泄漏技术(DLP)

    针对资料外传的风险,一般可采用加密和资料外泄防护 (DLP)技术,将关键、敏感、机密的数据加密,是降低数据外泄风险的一种方法,DLP 可提供一层额外的防护来防止数据外泄。然而,这类工具通常很复杂,而且有些部署条件,例如:数据要分类,要定义政策和规则等。

    6、大数据分析技术

    APT攻击防御离不开大数据分析技术,无论是网络系统本身产生的大量日志数据,还是SOC安管平台产生的大量日志信息,均可以利用大数据分析技术进行大数据再分析,运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹,以弥补传统安全防御技术的不足。

    我们熟知的APT防御产品主要针对的都是APT攻击链上的某个环节来展开防御,目前来说这是远远不够的。APT攻击防御应该是覆盖APT攻击所有环节,未来发展的趋势,是需要构建基于APT攻击链的多层次、多维度、多角度的纵深防御体系,如态势感知平台等。


    博客:http://xiejava.ishareread.com/

    更多相关内容
  • 安恒信息明御APT攻击预警平台配置手册产品白皮书
  • 安恒信息明御APT预警平台配置手册
  • 随着德国的“工业4.0”、美国的“再工业化”风潮、“中国制造2025”等国家战略的推出,以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合,工业控制系统由从原始的封闭独立走向开放、由...
  • 针对APT攻击过程中攻防双方意图、可行策略集随攻击阶段推进而演变的特点进行了研究,基于非合作博弈理论构建了多阶段APT攻防随机博弈模型AO-ADSG(APT-oriented attack-defense stochastic game)。针对APT攻防对抗...
  • APT攻击预警系统.docx

    2021-09-30 22:36:50
    APT攻击预警系统.docx
  • APT攻击行动研究

    2018-01-18 17:40:50
    :目前对 APT(Advanced Persistent Threats,高级持续威胁)攻击行动的组成要素、主要任务、重要活动以及交互关系等问题已有清晰的认识,但是缺乏统一的形式化描述,不能全面系统地表达 APT 攻击的全过程。...
  • APT攻击与防范

    2022-07-04 14:33:17
    当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为 APT(Advanced Persistent Threat高级持续性威胁)...APT攻击

    APT攻击的概念

    当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为 APT(Advanced Persistent Threat高级持续性威胁)攻击

    美国国家标准技术研究所(NIST)对APT的定义为:攻击装掌握先进的专业知识和有效的资源,通过多种攻击途径(如:网络、物理设施和欺骗等),在特定组织的信息技术基础设施建立并转移立足点,以窃取机密信息,破坏或阻碍任务、程序或组织的关键系统,或者驻留在组织内部网络,进行后续攻击。

    APT攻击是一种以商业或者政治目的为前提的特定攻击,其通过一系列具有针对性的攻击行为以获取某个组织甚至国家的重要信息,特别是针对国家重要的基础设施和单位开展攻击,包括能源、电力、金融、国防等等。APT攻击常常采用多种攻击技术手段,包括一些最为先进的手段和社会工程学方法,并通过长时间持续性的网络渗透,一步步的获取内部网络权限,此后便长期潜伏在内部网络,不断地收集各种信息,直至窃取到重要情报。

    对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的,该定义给出了APT攻击的4个要素,具体如下:

    (1)攻击者:拥有高水平专业知识和丰富资源的敌对方。
    (2)攻击目的:破坏某组织的关键设施,或阻碍某项任务的正常进行。
    (3)攻击手段:利用多种攻击方式,通过在目标基础设施上建立并扩展立足点来获取信息。
    (4)攻击过程:在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。

    APT攻击的原理相对其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集,在收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序漏洞,在这些漏洞的基础上形成攻击者所需的命令与攻击(C&C)网络,此种行为没有采取任何可能触发警报或者引起怀疑的行动,因此更接近于融入被攻击者的系统。

    大数据应用环境下,APT攻击的安全威胁更加凸显。首先,大数据应用对数据进行了逻辑或物理上的集中,相对于从分散的系统中收集有用的信息,集中的数据系统为APT攻击收集信息提供了"便利";其次,数据挖掘过程中可能会有多方合作的业务模式,外部系统对数据的访问增加了防止机密、隐私出现泄漏的途径。因此,大数据环境下,对APT攻击的检测与防范,是必须要考虑的问题。接下来在分析APT攻击特征与流程的基础上,研究APT攻击检测方法和防范策略。

    APT攻击特征

    APT攻击特征如下:

    ① 极强的隐蔽性

    APT攻击与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。

    ② 潜伏期长、持续性强

    APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境存在了一年以上,他们不断收集用户信息,直到收集到重要情报。他们往往不是为了在短时间内获利,而是把"被控主机"当成跳板,持续搜索,直到充分掌握了目标对象的使用行为。所以这种攻击模式,本质上是一种"恶意商业间谍威胁";因此具有很长的潜伏期和持续性。

    ③ 目标性强

    不同于以往的常规病毒,APT制作者掌握高级漏洞发掘和超强的网络攻击技术。发起APT攻击所需的技术壁垒和资源壁垒,要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户,而是拥有高价值敏感数据的高级用户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者。

    ④ 技术高级

    攻击者掌握先进的攻击技术,使用多种攻击途径,包括购买或自己开发的0day漏洞,而一般攻击者却不能使用这些资源。而且攻击过程复杂,攻击持续过程在攻击者能够动态调整攻击方式,从整体上掌握攻击进程。

    ⑤ 威胁性大

    APT攻击通常拥有雄厚的资金支持,由经验丰富的黑客团队发起,一般以破坏国家或大型企业的关键基础设施为目标,窃取内部核心机密信息,危及国家安全和社会稳定。

    APT攻击的一般流程

    APT攻击的流程一般包括如下步骤:

    ① 信息侦查

    在入侵之前,攻击者首先会使用技术和社会工程学手段对特定目标进行侦查。侦查内容主要包括两个方面:一是对目标网络用户的信息收集,例如:高层领导、系统管理员或者普通职员等员工资料、系统管理制度、系统业务流程和使用情况等信息;二是对目标网络脆弱点的信息收集,例如:软件版本、开放端口等。随后,攻击者针对目标系统的脆弱点,研究0day漏洞、定制木马程序、制定攻击计划,用于在下一阶段实施精确攻击。

    ② 持续渗透

    利用目标人员的疏忽、不执行安全规范,以及利用系统应用程序、网络服务或主机的漏洞,攻击者使用定制木马等手段,不断渗透以潜伏在目标系统,进一步地在避免用户觉察的条件下取得网络核心设备的控制权。

    例如:① 通过SQL注入等攻击手段突破面向外网的Web服务器,② 通过钓鱼攻击,发送欺诈邮件获取内网用户通信记录,并进一步入侵高管主机,采用发送带漏洞的Office文件诱骗用户将正常网址请求重定向恶意站点 ③ 社会工程学方法,如电子邮件攻击,攻击者窃取与特定员工有关系的人员(如领导、同事、朋友等)电子邮箱,冒充发件人给该员工发送带有恶意代码附件的邮件,一旦该员工打开附件,员工电脑便感染了恶意软件。

    由于这些恶意软件针对的是系统未知漏洞并被特殊处理,因此现有的杀毒软件和防火墙均无法察觉,攻击者便能逐渐获取个人电脑权限,最后直至控制个人电脑。

    ③ 长期潜伏

    为了获取有价值信息,攻击者一般会在目标网络长期潜伏,有的达数年之久。潜伏期间,攻击者还会在已控制的主机上安装各种木马、后门,不断提高恶意软件的复杂度。以增加攻击能力并避开安全检测。

    攻击者在突破防线并控制员工电脑后,在员工电脑与入侵服务器之间开始建立命令控制通道。通常,命令控制通道采用HTTP/HTTPS等协议构建,以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立,攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀,并在恶意软件被安全软件检测到前,对恶意软件进行版本升级,以降低被发现的概率。

    入侵和控制员工个人电脑并不是攻击者的最终目的,攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器,同时不断地提升自己的权限,以求控制更多的电脑和服务器,直至获得核心电脑和服务器的控制权。

    ④ 窃取信息

    攻击者常常长期潜伏,并不断实行网络内部横向渗透,通过端口扫描等方式获取服务器或设备上有价值的信息,针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器,然后通过整理、压缩、加密、打包的方式,利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后,攻击者会对这些信息数据进行分析识别,并做出最终的判断,甚至实施网络攻击破坏。
    目前绝大部分APT攻击的目标都是窃取目标组织的机密信息。攻击者一般采用SSL VPN连接的方式控制内网主机,对于窃取到的机密信息,攻击者通过将其加密存放在特定主机上,再选择合适的时间将其通过隐秘信道传输到攻击者控制的服务器。由于数据以密文方式存在,APT程序在获取重要数据后向外部发送时,利用了合法数据的传输通道和加密、压缩方式,难以辨别出其与正常流量的差别。

    APT攻击和传统攻击的区别

    APT攻击具有不同于传统网络攻击的5个显著特征:针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。

    1. 针对性强

    APT攻击的目标明确,多数为拥有丰富数据/知识产权的目标,所获取的数据通常为商业机密、国家安全数据、知识产权等。
    相对于传统攻击的盗取个人信息,APT攻击只关注预先指定的目标,所有的攻击方法都只针对特定目标和特定系统,针对性较强。

    2. 组织严密

    APT攻击成功可带来巨大的商业利益,因此攻击者通常以组织形式存在,由熟练黑客形成团体,分工协作,长期预谋策划后进行攻击。他们在经济和技术上都拥有充足的资源,具备长时间专注APT研究的条件和能力。

    3. 持续时间长

    APT攻击具有较强的持续性,经过长期的准备与策划,攻击者通常在目标网络中潜伏几个月甚至几年,通过反复渗透,不断改进攻击路径和方法,发动持续攻击,如零日漏洞攻击等。

    4. 高隐蔽性

    APT攻击根据目标的特点,能绕过目标所在网络的防御系统,极其隐藏地盗取数据或进行破坏。在信息收集阶段,攻击者常利用搜索引擎、高级爬虫和数据泄漏等持续渗透,使被攻击者很难察觉;在攻击阶段,基于对目标嗅探的结果,设计开发极具针对性的木马等恶意软件,绕过目标网络防御系统,隐蔽攻击。

    5. 间接攻击

    APT攻击不同于传统网络攻击的直接攻击方式,通常利用第三方网站或服务器作跳板,布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中,可由攻击者在远端进行遥控攻击,也可由被攻击者无意触发启动攻击。

    APT攻击检测

    从APT攻击的过程可以看出,整个攻击循环包括了多个步骤,这就为检测和防护提供了多个契机。当前APT检测方案主要有以下几种:

    ① 沙箱方案

    沙箱,又叫做沙盘,被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境,同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离,以便在这个虚拟化环境中测试和观察文件、访问等运行行为。

    针对APT攻击,攻击者往往使用了0day的方法,导致特征匹配不能成功,因此需要采用非特征匹配的方式来识别,智能沙箱技术就可以用来识别0day攻击与异常行为。智能沙箱技术最大的难点在于客户端的多样性,智能沙箱技术对操作系统类型、浏览的版本、浏览器安装的插件版本都有关系,在某种环境当中检测不到恶意代码,或许另外一个就能检测到。

    沙箱通过重定向技术,将测试过程中生成和修改的文件定向到特定文件夹中,避免了对真是注册表、本地核心数据等的修改。当APT攻击在改虚拟环境发生时,可以及时地观察并分析其特征码,进一步防御其深入攻击。

    ② 异常检测

    异常检测的核心思想是流量建模识别异常。异常检测的核心技术是元数据提取技术、基于连接特征的恶意代码检测规则,以及基于行为模式的异常检测算法。其中,元数据提取技术是指利用少了的元数据信息,检测整体网络流量的异常。

    基于连接特征的恶意代码检测规则是检测已知僵尸网络、木马通信的行为。而基于行为模式的异常检测算法包括检测隧道通信、可疑加密文件传输等。

    信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术,通过建立信誉库,包括WEB URL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等,可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑,实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用,将进一步提高安全新品的安全防护能力。

    ③ 全流量审计

    全流量审计的核心思想是通过对全流量进行应用识别和还原,检测异常行为。核心技术包括大数据存储及处理、应用识别、文件还原等。如果做全流量分析,面临的问题是数据处理量非常大。

    全流量审计与现有的检测产品和平台相辅相成,互为补充,构成完整防护体系。在整体防护体系中,传统检测设备的作用类似于"触发器",检测到APT行为的蛛丝马迹,再利用全流量信息进行回溯和深度分析,可用一个简单的公司说明,全流量审计+传统检测技术=基于记忆的检测系统。

    ④ 基于深层协议解析的异常识别

    基于深层协议解析的异常识别是一种流量检测及分析技术,其采用旁路接入方式提取流量信息,可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测,并基于时间、拓扑、节点等多种统计分析手段,建立流量行为轮廓和学习模型来识别流量异常情况,进而判断并识别0Day漏洞攻击等。

    基于深层协议解析的异常识别,可以细细查看并一步步发现是哪个协议,如:一个数据查询,有什么地方出现了异常,直到发现异常点为止。

    ⑤ 攻击溯源(root cause explorer)

    通过已经提取出来的网络对象,可以重建一个时间区间内可疑的Web Session、Email、对话信息。通过将这些事件自动排列,可以帮助分析人员凯苏发现攻击源。

    在APT攻击检测中,存在的问题包括:

    • 攻击过程包括路径和时序;
    • 攻击过程的大部分貌似正常操作;
    • 不是所有的异常操作都能立即被检测;
    • 不能保证被检测到的异常在APT过程中的开始或早期。

    基于记录的检测可以有效缓解上述问题。现在对抗APT的思路是以时间对抗时间。既然APT是在很长时间发生的,我们的对抗也要在一个时间窗来进行对抗,对长时间、全流量数据进行深度分析。针对A问题,可以采用沙箱方式、异常检测模式来解决特征匹配的不足;针对P问题,可将传统基于实时时间点的检测,转变为基于历史时间窗的检测,通过流量的回溯和关联分析发现APT模式。而流量存储与现有的检测技术相结合,构成了新一代基于记忆的智能检测系统。此外,还需要利用大数据分析的关键技术。

    ⑥ 主机漏洞防护技术

    针对横向移动与内部资料进行挖掘和探测的防御,可采用主机漏洞防护技术,能侦测任何针对主机漏洞的攻击并加以拦截,进而保护未修补的主机。这类解决方案可实现档案 / 系统一致性监控,保护未套用修补程序的主机,防止已知和0day 漏洞攻击。

    ⑦ 数据防泄漏技术(DLP)

    针对资料外传的风险,一般可采用加密和资料外泄防护 (DLP)技术,将关键、敏感、机密的数据加密,是降低数据外泄风险的一种方法,DLP 可提供一层额外的防护来防止数据外泄。然而,这类工具通常很复杂,而且有些部署条件,例如:数据要分类,要定义政策和规则等。

    ⑧ 大数据分析技术
    APT攻击防御离不开大数据分析技术,无论是网络系统本身产生的大量日志数据,还是SOC安管平台产生的大量日志信息,均可以利用大数据分析技术进行大数据再分析,运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹,以弥补传统安全防御技术的不足。

    我们熟知的APT防御产品主要针对的都是APT攻击链上的某个环节来展开防御,目前来说这是远远不够的。APT攻击防御应该是覆盖APT攻击所有环节,未来发展的趋势,是需要构建基于APT攻击链的多层次、多维度、多角度的纵深防御体系,如态势感知平台等。

    APT攻击的防范策略

    目前的防御技术、防御体系很难有效应对APT攻击,导致很多攻击直到很长时间后才被发现,甚至可能还有很多APT攻击未被发现。通过前面APT攻击背景以及攻击特点、攻击流程的分析,现阶段需要一种新的安全思维,即放弃保护所有数据的观念,转而重点保护关键数据资产,同时在传统的纵深防御的网络安全防护基础上,在各个可能的环节上部署检测和防护手段,建立一种新的安全防御体系。

    ① 防社会工程

    木马入侵、社会工程是APT攻击的第一个步骤,防范社会工程需要一套综合性措施,既要根据实际情况,完善信息安全管理策略,如:禁止员工在个人微博上公布于工作相关信息,禁止在社交网站上公布私人身份和联络信息等;又要采用新型的检测技术,提高识别恶意程序的准确性。社会工程是利用人性的弱点针对人员进行的渗透过程。因此提高人员的信息安全意识,是防止社会攻击的最基本的方法。传统的办法是通过宣讲培训的方式来提高安全意识,但是往往效果不好,不容易对听众产生触动;而比较好的方法是社会工程测试,这种方法已经是被业界普遍接受的方式,有些大型企业都会授权专业公司定期在内部进行测试。

    绝大部分社工攻击是通过电子邮件或即时消息进行的。上网行为管理设备应该做到阻止内部主机对恶意URL的访问。垃圾邮件的彻底检查,对可疑邮件中URL链接和附件应该做到细致认真的检测。有些附件表面上看起来就是一个普通的数据文件,如PDF或Excel格式的文档等,恶意程序嵌入在文件中,且利用的漏洞都是未经公开的。通常仅通过特征扫描的方式,往往不能准确识别出来的。比较有效的方法是沙箱模拟真实环境访问邮件中的URL或打开附件,观察沙箱主机的行为变化,可以有效检测出恶意程序。

    ② 全面采集行为记录,避免内部监控盲点

    对IT系统行为记录的收集是异常行为检测的基础和前提,大部分IT系统行为可以分为主机行为和网络行为两个方面,更全面的行为采集还包括物理访问行为记录采集。

    1. 主机行为采集:主机行为采集一般是通过允许在主机上的行为监控程序完成。有些行为记录可以通过操作系统自带的日志功能实现输出。为了实现对进程行为的监控,行为监控程序通常工作在操作系统的驱动层,如果在实现上有错误,很容易引起底层崩溃。为了避免被恶意程序探测到监控程序的存在,行为监控程序应尽量工作在驱动层的底部,但是越靠近底部,稳定性风险就越高。
    2. 网络行为采集:网络行为采集一般是通过镜像网络流量,将流量数据转换成流量日志。以Netflow记录为代表的早期流量日志只包含网络层的信息。近年来的异常行为大都几种在应用层,仅凭网络层的信息难以分析出有价值的信息。应用层流量日志的输出,关键在于应用的分类和建模。

    ③ IT系统异常行为检测

    从前述APT攻击过程可以看出,异常行为包括对内部网络的扫描探测、内部的非授权访问、非法外联。非法外联,即目标主机与外网的通信行为,可分为以下3类:

    1. 下载恶意程序到目标主机,这些下载行为不仅在感染初期发生,在后续恶意程序升级时还会出现。
    2. 目标主机与外网的C&C服务器进行联络。
    3. 内部主机向C&C服务器传送数据,其中外传数据的行为是最多样、最隐蔽也是最终实质性危害的行为。

    (远程命令和控制服务器,目标机器可以接收来自服务器的命令,从而达到服务器控制目标机器的目的。该方法常用于病毒木马控制被感染的机器。)

    展开全文
  • APT攻击与防御

    2021-03-25 18:33:44
    APT攻击与防御
  • 云计算以其快速部署、弹性配置等特性吸引了大量的组织和机构使用,然而近期出现的高级可持续性威胁(Advanced Persistent Threat,APT)相比传统的网络攻击具有攻击持续性、高隐蔽性、...
  • 在享受着网络技术带来的便利的同时,潜在的威胁在...因此,基于动态监测APT病毒的目的,笔者采用了行为分析的检测方法,结合MAPREDUCE编程方式和支持向量机算法,得出了一种新的APT检测模型并测算出了分析权重数据。
  • 新型APT攻击方式解析

    2018-11-22 11:01:06
    新型APT攻击方式解析
  • 再谈APT攻击

    千次阅读 2022-04-07 12:09:46
    APT(Advanced Persistent ...对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的,该定义给出了APT攻击的4个要素,具体如下。 (1)攻击者:拥有高水平专业知识和丰富资源的敌对方。 (2)攻击目的:破坏.

    在这里插入图片描述
    APT(Advanced Persistent Threat)攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

    一、概念

    (一)定义

    对于APT攻击比较权威的定义是由美国国家标准与技术研究所( NIST)提出的,该定义给出了APT攻击的4个要素,具体如下。
    (1)攻击者:拥有高水平专业知识和丰富资源的敌对方。
    (2)攻击目的:破坏某组织的关键设施,或阻碍某项任务的正常进行
    (3)攻击手段:利用多种攻击方式,通过在目标基础设施上建立并扩展立足点来获取信息。
    (4)攻击过程:在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。

    An adversary that possesses sophisticated levels of expertise and significant resources which allow it to create opportunities to achieve its objectives by using multiple attack vectors (e.g., cyber, physical, and deception). These objectives typically include establishing and extending footholds within the information technology infrastructure of the targeted organizations for purposes of exfiltrating information, undermining or impeding critical aspects of a mission, program, or organization; or positioning itself to carry out these objectives in the future. The advanced persistent threat: (i) pursues its objectives repeatedly over an extended period of time; (ii) adapts to defenders’ efforts to resist it; and (iii) is determined to maintain the level of interaction needed to execute its objectives.

    (二)Apt攻击过程

    整个apt攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等步骤:

    1. 定向情报收集

    在实施攻击之前,攻击者会针对特定组织的网络系统和相关员工展开大量的信息搜集。信息搜集方法多种多样,通常包括搜索引擎、爬网系统、网络隐蔽扫描、社会工程学方法等方式。信息来源包括相关员工的微博、博客、社交网站、公司网站,甚至通过某些渠道购买相关信息(如公司通讯录等)。攻击者通过对这些信息的分析,可以清晰地了解攻击目标所使用的应用、防御软件,组织内部架构和人员关系,核心资产存放情况等等。于是,攻击者针对特定目标(一般是内部员工)所使用的应用软件寻找漏洞,并结合特定目标所使用的杀毒软件、防火墙等设计特定木马/恶意代码以绕过防御。同时,攻击者搭建好入侵服务器,开展技术准备工作。

    2. 单点攻击突破

    攻击者在完成情报收集和技术准备后,开始采用木马/恶意代码攻击特定员工的个人电脑,攻击方法主要有:
    ①社会工程学方法,如电子邮件攻击,攻击者窃取与特定员工有关系的人员(如领导、同事、朋友等)电子邮箱,冒充发件人给该员工发送带有恶意代码附件的邮件,一旦该员工打开附件,员工电脑便感染了恶意软件。
    ②远程漏洞攻击方法,如网站挂马攻击,攻击者在员工常访问的网站上放置木马,当员工再次访问该网站时,个人电脑便受到网页代码攻击。由于这些恶意软件针对的是系统未知漏洞并被特殊处理,因此现有的杀毒软件和防火墙均无法察觉,攻击者便能逐渐获取个人电脑权限,最后直至控制个人电脑。

    3. 控制通道构建

    攻击者在突破防线并控制员工电脑后,在员工电脑与入侵服务器之间开始建立命令控制通道。通常,命令控制通道采用HTTP/HTTPS等协议构建,以突破电脑系统防火墙等安全设备。一旦攻击者完成通道建立,攻击者通过发送控制命令检查植入的恶意软件是否遭受查杀,并在恶意软件被安全软件检测到前,对恶意软件进行版本升级,以降低被发现的概率。

    4. 内部横向渗透

    入侵和控制员工个人电脑并不是攻击者的最终目的,攻击者会采用口令窃听、漏洞攻击等多种渗透方法尝试进一步入侵组织内部更多的个人电脑和服务器,同时不断地提升自己的权限,以求控制更多的电脑和服务器,直至获得核心电脑和服务器的控制权。

    5. 数据收集上传

    攻击者常常长期潜伏,并不断实行网络内部横向渗透,通过端口扫描等方式获取服务器或设备上有价值的信息,针对个人电脑通过列表命令等方式获取文档列表信息等。攻击者会将内部某个服务器作为资料暂存的服务器,然后通过整理、压缩、加密、打包的方式,利用建立的隐蔽通信通道将信息进行外传。在获取这些信息后,攻击者会对这些信息数据进行分析识剔,并做出最终的判断,甚至实施网络攻击破坏。

    卡巴斯基对此有不同的阶段定义(链接):

    • Stage One: Gain Access(获取访问权)
    • Stage Two: Establish a Foothold(基地建立)
    • Stage Three: Deepen Access(深入渗透)
    • Stage Four: Move Laterally(横向移动)
    • Stage Five: Look, Learn, and Remain(探索、学习与生存)

    二、入侵方式

    APT入侵客户的途径多种多样,主要包括以下几个方面。

    (一)移动设备

    以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。

    (二)社会工程学

    恶意邮件是许多APT攻击成功的关键因素之一,随着社交工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。

    (三)漏洞(系统设计缺陷)

    利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。
    总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间地潜伏在系统中,让传统防御体系难以侦测。

    三、主要特征

    APT攻击具有不同于传统网络攻击的5个显著特征:针对性强、组织严密、持续时间长、高隐蔽性和间接攻击。

    (一)针对性强

    APT攻击的目标明确,多数为拥有丰富数据/知识产权的目标,所获取的数据通常为商业机密、国家安全数据、知识产权等。
    相对于传统攻击的盗取个人信息,APT攻击只关注预先指定的目标,所有的攻击方法都只针对特定目标和特定系统,针对性较强。

    (二)组织严密

    APT攻击成功可带来巨大的商业利益,因此攻击者通常以组织形式存在,由熟练黑客形成团体,分工协作,长期预谋策划后进行攻击。他们在经济和技术上都拥有充足的资源,具备长时间专注APT研究的条件和能力。

    (三)持续时间长

    APT攻击具有较强的持续性,经过长期的准备与策划,攻击者通常在目标网络中潜伏几个月甚至几年,通过反复渗透,不断改进攻击路径和方法,发动持续攻击,如零日漏洞攻击等。

    (四)高隐蔽性

    APT攻击根据目标的特点,能绕过目标所在网络的防御系统,极其隐藏地盗取数据或进行破坏。在信息收集阶段,攻击者常利用搜索引擎、高级爬虫和数据泄漏等持续渗透,使被攻击者很难察觉;在攻击阶段,基于对目标嗅探的结果,设计开发极具针对性的木马等恶意软件,绕过目标网络防御系统,隐蔽攻击。

    (五)间接攻击

    APT攻击不同于传统网络攻击的直接攻击方式,通常利用第三方网站或服务器作跳板,布设恶意程序或木马向目标进行渗透攻击。恶意程序或木马潜伏于目标网络中,可由攻击者在远端进行遥控攻击,也可由被攻击者无意触发启动攻击。

    APT攻击与传统攻击相比存在较大区别,如下表所示。与传统攻击相比, APT攻击具有更强的组织性,其攻击目标更加明确、攻击手段更加复杂,造成的危害也更大。

    对比方向传统攻击APT攻击
    攻击者特征个体或小组织网络犯罪分子全球性、有组织、有纪律的不法团体、公司、敌对者
    攻击目标随机性选择攻击,通常以个体为主,以达到获取金钱、盗窃身份、欺诈等特定目标攻击,通常针对国家安全信息、重要行业商业机密信息等
    攻击手段攻击手段较单一,常基于已有的恶意软件展开攻击攻击手段复杂,形式多样,结合0day攻击、特种木马攻击、社会工程学等展开攻击
    攻击时间攻击事件较短,以一次性、大范围攻击为主攻击时间较长,长期潜伏、多次渗透攻击
    攻击痕迹攻击特征很强,容易在较短时间内被检测和捕获攻击特征弱,比较隐蔽,缺少样本数据,很难被检测和捕获

    四、检测难点

    与传统网络攻击相比,APT攻击的检测难度主要表现在以下几方面:

    (一)先进的攻击方法。

    攻击者能适应防御者的入侵检测能力,不断更换和改进入侵方法,具有较强的隐藏能力,攻击入口、途径、时间都是不确定和不可预见的,使得基于特征匹配的传统检测防御技术很难有效检测出攻击。

    (二)持续性攻击与隐藏。

    APT通过长时间攻击成功进入目标系统后,通常采取隐藏策略进入休眠状态;待时机成熟时,才利用时间间隙与外部服务器交流。在系统中其并无明显异常,使得基于单点时间或短时间窗口的实时检测技术和会话频繁检测技术也难以成功检测出异常攻击。

    (三)长期驻留目标系统,保持系统的访问权限。

    攻击者一旦侵入目标系统便会积极争取目标系统或网络的最高权限,实现程序的自启功能。同时,攻击者会在目标网络中基于已控制的网络主机实现横向转移和信息收集,规避安全检测,扩大被入侵网络的覆盖面,寻找新的攻击目标。一旦其找到了想要攻击的最终目标和适当传送信息的机会,攻击者便会通过事先准备好的隐藏通道获取信息、窃取数据或执行破坏活动,且不留任何被入侵的痕迹。

    五、APT检测与防御

    纵观整个apt攻击过程发现,有几个步骤是apt攻击实施的关键,包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、通过构建的控制通道获取攻击者指令,以及最后的敏感数据外传等过程。当前的apt攻击检测和防御方案其实都是围绕这些步骤展开:

    (一)恶意代码检测

    该类方案主要覆盖apt攻击过程中的单点攻击突破阶段,它是检测apt攻击过程中的恶意代码传播过程。大多数apt攻击都是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施的,因此,恶意代码检测对于检测和防御apt攻击至关重要。

    (二)主机应用保护

    该类方案主要覆盖apt攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,如果能够加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以有效防御apt攻击。

    (三)网络入侵检测

    该类方案主要覆盖apt攻击过程中的控制通道构建阶段,通过在网络边界处部署入侵检测系统来检测apt攻击的命令和控制通道。安全分析人员发现,虽然apt攻击所使用的恶意代码变种多且升级频繁,但恶意代码所构建的命令控制通道通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测apt的命令控制通道。该类方案成功的关键是如何及时获取到各apt攻击手法的命令控制通道的检测特征。

    (四)大数据分析检测

    该类方案并不重点检测apt攻击中的某个步骤,它覆盖了整个apt攻击过程。该类方案是一种网络取证思路,它全面采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据存储和深入分析,它可在发现apt攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个apt攻击场景。大数据分析检测方案因为涉及海量数据处理,因此需要构建大数据存储和分析平台,比较典型的大数据分析平台有hadoop

    展开全文
  • APT 攻击指南基本思路+网络攻击与防御图谱+渗透学思维到构图,Red Teaming Mind Map。Windows常见持久控制真解
  • APT攻击行为的复杂多样性增加了攻击检测的难度,这也正是当前APT攻击研究的难点之一。基于现有研究,提出基于阶段特性的APT攻击行为分类与评估方法。通过学习理解APT攻击的概念,对APT攻击的阶段特征进行总结;以各...
  • 专注 APT 攻击与防御 - Micro8 系列教程
  • 针对手机的APT攻击方式的研究
  • 《娜璋带你读论文》系列主要是督促自己...这篇文章将详细介绍和总结基于溯源图的APT攻击检测安全顶会内容,花了作者一个多月时间。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!

    《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正,非常欢迎大家给我留言评论,学术路上期待与您前行,加油。

    在这里插入图片描述

    前一篇文章分享了S&P2019《HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows》,基于可疑信息流的实时APT检测。这篇文章将详细介绍和总结基于溯源图的APT攻击检测安全顶会内容,花了作者一个多月时间。希望这篇文章对您有所帮助,这些大佬是真的值得我们去学习,献上小弟的膝盖~fighting!

    本次分享主要是作者对APT攻击部分顶会论文阅读的阶段性总结,将从以下四个方面开展,包括APT攻击背景知识、APT攻击检测研究、基于溯源图的APT攻击检测方法对比、下一步工作及讨论。其重点是对基于溯源图的APT攻击检测进行总结。同时,由于作者科研能力和英文还较弱,写得不好或理解不到位的地方,还请各位老师和博友指正和批评,谢谢!

    在这里插入图片描述

    在这里插入图片描述

    前文赏析:


    一.背景知识

    1.什么是APT攻击?
    APT攻击(Advanced Persistent Threat,高级持续性威胁) 是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

    在这里插入图片描述

    2.APT攻击的特点
    上图的表格展示了APT攻击和普通攻击的区别。可以简单地将APT攻击特点总结为:

    • 隐蔽性
      0-day漏洞、needle in a haystack(通常不到0.01%)、无文件攻击、加密流量
    • 持续性
      low-and-slow(潜伏时间长)、攻击时间跨度大
    • 针对性
      Stuxnet、SolarWinds
    • 模块化(自适应)
      Stuxnet、WannaCry

    3.APT攻击检测存在的困难
    下图展示了2016到2020年,亚太地区AP攻击事件的停留时间,可以看到其潜伏期很长,想要发现一起APT攻击极为困难。同时,传统APT攻击检测存在一定的缺陷,包括:

    • 无法捕获长期运行的系统行为
    • 0-day漏洞导致攻击艰难检测
    • 实时攻击检测、真实场景检测效果不佳
    • 容易遭受投毒攻击
      注意,这里的投毒攻击是指因APT攻击持续时间长,导致ML模型学习攻击特征时,会将恶意行为逐渐训练学习为正常行为

    在这里插入图片描述

    接着补充下两个辅助APT攻击的经典知识框架,它们分别是 kill-chain ModelATT&CK Model。它们既能帮助我们理解、检测和溯源APT攻击流程,又在论文中作了相应的贡献,现已被广泛用于APT攻击检测领域研究,后面会详细介绍。

    • kill-chain Model
      洛克希德·马丁公司开发的“网络杀伤链”模型描述了网络攻击的各阶段流程,具体包括七个阶段,即目标侦查、武器构建、载荷投递、漏洞利用、安装植入、命令与控制、任务执行。

    在这里插入图片描述

    • ATT&CK Model
      ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge )是一个攻击行为知识库和模型,主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。网址:https://attack.mitre.org/

    在这里插入图片描述

    最后展示了常见APT组织。

    在这里插入图片描述


    二.APT攻击检测研究

    该部分从APT攻击检测相关研究、基于异常检测的方法和基于溯源图的方法三个方面介绍,重点以基于溯源图的方法为主。

    1.APT攻击检测相关研究

    APT攻击检测研究方法的分类很多,作者这里仅将其分成了两大块(不一定合适),主要和作者阅读的论文相关,也欢迎大家交流分类方法。即:

    • Anomaly-based detectors for APTs
      – 主机日志(审计日志)
      – 系统调用
      – 网络流量 | 警报信息
      – 恶意行为
    • Provenance graph-based detectors for APTs
      – 溯源图
      – +引入外部知识
      – +融合ATT&CK框架
      – 因果关系图+NLP

    在这里插入图片描述

    我们先看看图中下半部分基于 溯源图(Provenance Graph) 的APT检测方法。主要包括:

    • 伊利诺伊大学芝加哥分校团队
      首先,USENIX’17提出的 SLEUTH,将溯源图应用于APT攻击检测领域。然后,该团队紧接着在2019年CCS会议上提出 Poirot,在S&P’19上提出 Holmes,该方法融合了Kill Chain和ATT&CK框架。此外,在2021年EurS&P提出 Extrator,并引入外部知识。

    • 伊利诺伊大学香槟分校团队
      另一个研究溯源图的团队来自伊利诺伊大学香槟分校,他们分别在NDSS’20提出了 UNICORNProvDetector,同时在2020年的S&P上提出 RapSheet,它融合了ATT&CK框架。

    • 普渡大学团队
      第三个团队是来自普渡大学,当然各团队之间有很多合作团队。他们的核心成果包括NDSS’13提出的 BEEP,NDSS’16提出的 ProTracer 和USENIX’21提出的 ATLAS

    整个基于溯源图的APT检测方法是在Baseline的基础上不断优化,包括溯源图+引入外部知识、溯源图+融合ATT&CK框架、因果关系图+NLP等。后面的论文和框架图作者会更详细的介绍,从而梳理出溯源图方法的研究路线。另外,基于异常检测的方法图中也列举了部分方法。


    2.基于异常检测的方法

    基于异常检测的方法这里简单例举了利用C&C域名、数学模型、恶意流量和恶意行为实现APT攻击检测的框架图,如下图所示。

    在这里插入图片描述

    上述传统APT攻击检测方法主要存在的缺陷包括:

    • APT攻击时间跨度长,缺乏方法或工具有效将信息进行关联,还原攻击链
    • 实时检测困难,较难高效地从百万条日志中筛选数据,并检测出最可能的攻击行为
    • 较难让分析人员通过数据有效地进行推理,从而检测未知攻击
    • 缺乏对真实场景的APT攻击进行检测,并且IDS和SIEM会产生大量的信息,传统方法识别真实的攻击更加困难
    • 无法有效解决投毒攻击,即由于APT攻击时间跨度较长,深度学习会将恶意特征训练为正常特征

    结合上述原因,产生了改进方法,即:

    • 基于溯源图的APT攻击检测(Provenance graph-based detector for APTs)

    接下来开始详细介绍基于溯源图的APT攻击检测方法。


    3.基于溯源图的方法

    SLEUTH [USENIX’17]

    第一篇论文是USENIX’17的 SLEUTH

    Md Nahid Hossain, et al. SLEUTH: Real-time Attack Scenario Reconstruction from COTS Audit Data. USENIX’17

    这篇文章的主要贡献如下:

    • 首次利用溯源图重构APT攻击,即利用因果关系跟踪和溯源图构造模型
    • 提出一种可以在企业主机上实时重构攻击场景的方法和系统
    • 开发一种平台无关、基于主存的审计日志数据依赖图抽象

    整个SLEUTH的框架图如下图所示,核心内容如下:

    • (1) 输入的是Linux、Windows和FreeBSD平台的审计日志信息
    • (2) 构建并标记依赖关系图,标签将提供重要的上下文信息,对应论文中良性可信、良性和未知三种类型
    • (3) 实现基于标签和策略的攻击检测,并定制的策略,根据审计日志的秘密性分为公开、隐私、敏感和秘密,通过引入标签和策略实现对依赖关系图赋予不同的权重
    • (4) 经过依赖图反复构建后,会到达警报计算阶段,通过定义规则来匹配更高的威胁攻击,生成对应的分数,基于标签的分析后会生成并还原场景图(Scenario Graph)

    同时,依赖关系图中的节点和关系表示如下:

    • 节点:表示subjects(进程)和objects(文件、sockets)
    • 关系:表示审计事件(读、写、执行、连接等操作)

    在这里插入图片描述

    接着介绍它的警报(Alarms)计算策略,以下四个会引发警报,包括:

    • 不受信任的代码执行:高等级标签去执行低等级时触发
    • 被低等级标签修改:修改文件权限时产生
    • 秘密文件泄露:不可信对象执行写的操作
    • 执行不可信的数据:比如执行command等指令操作

    下图是攻击场景的重构,它是对FireFox浏览器漏洞的场景还原。

    • 审计数据还原fireFox后门攻击场景
      – Backdoor insertion
      – Clean-up

    整个场景还原如下:它的入口点是在firefox.exe位置,首先它会去接收IP地址,然后fork下载器(dropper),接着它会发送请求到443端口;接下来会多次调用cmd执行命令,如whoami、netstat、hostname等,并将数据写入到指定路径的thumbs.db文件中;然后执行git.exe实现数据过滤操作;最后执行burnout.bat批处理文件清除场景的痕迹。

    在这里插入图片描述

    整个实验采用 DARPA TC 数据集实验,它有8个攻击场景重构及攻击阶段映射,该论文对每个场景进行了图还原,涉及阶段如下图所示:

    在这里插入图片描述

    实验统计了APT攻击场景每个阶段的实体数量:关键文件、网络连接、执行程序等,如下图所示。

    在这里插入图片描述

    其他实验效果如下,建议读者阅读原文。

    在这里插入图片描述

    最后,简单总结SLEUTH与传统方法的区别:

    • Sleuth方法
      Sleuth实时检测、运行效率更高
      Sleuth基于标签的检测方法更精确(规则+策略+警报)
    • 传统方法,如Bactracker [SOSP’03]
      – 无法实时且效率低
      – Bactracker依赖外部工具生成警报,无法剪枝和溯源

    补充:DARPA TC是经典的APT攻击检测数据集
    美国国防高级研究计划局(Defense Advanced Research Projects Agency, DARPA)运营了多个重量级的网络空间安全研究项目,召集了诸多美国顶级研究机构参与,可谓是集中力量办大事。其中,透明计算(Transparent Computing, TC)项目正是期望通过基于终端数据的采集与分析增强终端上系统细粒度行为的可视能力,以实现企业级网络空间APT检测、取证等关键任务。

    现代操作系统的功能逻辑越来越复杂,计算系统的低透明度成为精细化记录、分析、预测系统级别行为的重要限制,而封闭的系统黑盒为具有高隐蔽性、高对抗性的APT攻击者提供了绝佳的潜伏场所。为了打开系统行为黑盒,实现在较低开销下提供系统各层级软件模块行为可见性,DAPRA组织了Transparent Computing项目。该项目的目标技术及系统需实现:

    • 采集、保存系统组件(输入、软件模块、进程等)的溯源数据;
    • 动态追踪网路系统组件的交互与因果依赖关系;
    • 整合数据依赖,测绘端到端的系统行为;
    • 从取证和实时检测的角度,实现对系统行为的推理。

    基于以上能力的实现,TC项目旨在完成细粒度系统级行为的关联,实现在大规模行为中识别异常与恶意意图,发现潜在的APT或其他高级威胁,并提供完整的溯源分析与相关损失评估。同时,TC项目能够实现网络推理能力与企业规模网络监控和管控系统的整合,以增强关键节点的安全策略有效性。

    从2016年10月到2019年5月,DARPA TC项目共组织了5次较大规模的红蓝对抗交战演习(Engagement)。在每次对抗中,TC总共划分为5个技术域(Technical Areas, TAs),其时间跨度超过20天。TA5.1实现了包括Carbanak、Uroburos、DustySky、OceanLotus、njRAT、HawkEye、DeputyDog等多种恶意软件在攻防平台中的投放。DARPA TC的攻击模拟展现了参与团队在APT技战术的深厚积累。


    Poirot [CCS’19]

    第二篇论文是来自CCS’19的 Poirot

    Sadegh M, et al. Poirot: Aligning Attack Behavior with Kernel Audit Records for Cyber Threat Hunting. CCS’19

    这篇文章的主要贡献如下:

    • 利用网络威胁情报(CTI)关联性检测APT攻击
    • 使用审计日志,将威胁检测建模为一个非精确的图模式匹配(Graph Pattern Matching, GPM)问题
      – 在大图中搜索与某个特定图相匹配的子图
    • 相似性度量,攻击行为与内核审计日志对齐
      – 内核审计日志构建溯源图(provenance graph)
      – CTI关联构建查询图(query graph)

    整个Poirot的框架图如下图所示,核心内容如下:

    • (1) 该图右边部分是上篇论文的基本流程,即从三个操作系统(BSD、Linux、Windows)审计日志信息中构建 溯源图(Provenance Graph),然后还原攻击场景
    • (2) 左边引入了外部IOC关系信息,提取并构建攻击行为的查询图(Query Graph),这里引入了图对齐或图匹配
    • (3) 最后通过对齐和阈值计算算法生成对应的分数,实现最终的分析取证并生成警报
      – 图中顶点表示实体,边表示信息流和因果关系

    在这里插入图片描述

    接下来补充查询图(Query Graph)构建的过程。相当于给你一篇APT分析报告,它会自动生成对应的查询图,如下图所示,A执行B的exe程序,并写入C,然后写入D注册表,再想E发送请求。

    • 椭圆-进程
    • 菱形-套接字
    • 矩形-文件
    • 五边形-注册表

    在这里插入图片描述

    对应的匹配过程如下图所示,Gq表示查询图,Gp表示溯源图。个人理解,DARPA TC数据会生成溯源图,然后和查询图匹配出来两个对应的结果子图,如最右边所示。从而更好地发现那部分子图是在实施APT攻击。

    在这里插入图片描述

    该方法还包括两种类型的对齐:node alignment和graph alignment。

    由于作者能力有限且理解不够,一些细节未能很好地表达,还请见谅。建议大家去阅读原文,这些公式及算法非常重要,当然我也会继续努力提升自己的阅读能力,多向这些大佬学习并力争撰写好的论文,共勉。

    在这里插入图片描述

    实验结果如下图所示,比如不同恶意软件(如海莲花OcenLotus)对应的查询图以及对其过程。

    在这里插入图片描述

    在这里插入图片描述

    其他的实验结果如下,比如选择阈值的对比结果,这也将决定对齐算法的分数。

    在这里插入图片描述

    实验结果表明:

    • CTI相关性可用于威胁猎杀,并且具有较好的鲁棒性和可靠性
    • Poirot方法能有效从溯源图中实现APT组织查询图(攻击链)匹配及对齐

    本文方法与传统方法对比如下:

    • 不同于基于符号执行的方法,Poirot不依赖于符号表达式,而是寻找系统的相关性和信息流
    • 传统方法的网络威胁情报相关性被完全忽视,未被用于威胁检测
    • 本文方法引入图匹配算法,这与之前的方法不同

    HOLMES [S&P’19]

    第三篇论文是S&P’19经典的 HOLMES

    Sadegh M. Milajerdi, et al. HOLMES: Real-time APT Detection through Correlation of Suspicious Information Flows. S&P’19

    这篇文章的主要贡献如下:

    • 构建一种可以实时检测APT攻击的系统,有效利用攻击活动可疑信息流的相关性
    • 将APT活动信息映射到杀伤链,设计高级场景图(high-level scenario graph,HSG)实现低层次(日志、警报)信息到高层次的映射(语义鸿沟),从而使得HOLMES能有检测良性或攻击场景
    • 系统和实验完整性:虚假依赖关系剪枝、降噪处理(紧密性)、HSG排序

    其框架图如下所示,前面基本类似,但右端增加了一个高级场景图(high-level scenario graph,HSG),从而实现低层次(日志、警报)信息到高层次的映射,解决论文中提到的语义鸿沟。该方法能够实时检测系统,产生APT报警;并能实时产生高级别的攻击图来描述攻击者的行为,协助防御者进行实时地安全响应。

    在这里插入图片描述

    HSG对应如下图所示,传统比如是审计日志信息,直接到上层的APT攻击阶段(杀伤链)会存在语义损失,即:低级别审计数据与攻击目标意图与高级杀伤链(kill-chain)视角之间存在巨大的语义差距。因此引入TTPs和HSG,通过ATT&CK框架映射的中间层来提升实验效果。

    在这里插入图片描述

    APT攻击检测存在的难点可以概括如下三点,该方法能有效解决这些困难。

    • 攻击隐蔽(Stealthy Attacks)
    • 大海捞针(Needle in a haystack)
    • 实时检测(Real-time detection)

    下面简单介绍一个运行时APT攻击溯源图(Provenance Graph)示例。如下图所示,可以看到攻击行为是从初始入侵到C&C通信,再到内部侦查、数据读取、权限提升,以及内部侦查、清除痕迹、窃取信息等。这其实就是一个溯源图,通过数据之间的因果关系生成这样的图,比如C&C通讯、提权、文件操作等进行关联。而上面是正常操作行为。

    • 椭圆、菱形、 矩形、五边形、七边形、圆柱

    在这里插入图片描述

    实验结果表明,HOLMES能有效区分良性场景和攻击场景。下图是攻击场景所涉及流程(七维对应杀伤链)及阈值分数,能有效识别APT攻击。

    在这里插入图片描述

    下图展示了APT攻击和良性事件的有效区分。

    在这里插入图片描述

    传统方法存在的缺点如下:

    • 基于统计特征的方法对时间跨度长、执行缓慢攻击的检测不佳
    • 基于系统调用日志的方法对实时攻击检测效果不佳
    • 对比方法:ProTracer[NDSS’16]、MPI[USENIX’17]、SLEUTH [USENIX’17]、PrioTracker[NDSS’18]

    本文HOLMES的优点如下:

    • 攻击粒度更细
    • 从溯源图到攻击链的映射引入了HSG解决语义鸿沟问题
    • 能有效检测长期潜伏实时的APT攻击
    • 通过引入降噪算法解决HSG紧密性问题

    正是综合各种优点,论文的故事叙述非常棒,并结合之前的成果,所以他们能发到S&P,非常值得我学习。


    Extrator [EurS&P’21]

    第四篇论文是EurS&P’21的 Extrator

    Kiavash Satvat, et al. EXTRACTOR: Extracting Attack Behavior from Threat Reports. EurS&P’21

    由于CTI报告海量且非结构化,安全人员很难从文本中提取出真正有效的信息,本文提出了融合自然语言处理的Extrator方法。其主要贡献如下:

    • 提出一个自动化工具Extrator,用于自动从网络威胁情报(CTI)报告中提取出攻击行为信息
    • 利用自然语言处理(NLP)从CTI报告中精确地提取攻击行为
    • 使用语义角色标注(SRL)进行语义分析,理解攻击行为关系,并将非结构化文本转化为溯源图

    其框架图如下图所示,包括:

    • 标准化
      拆分、同义词、主动语态
    • 消歧
      主语省略句消除或补齐、带刺消除、同义词消除
    • 文本归纳
      ​去除语句冗余、去掉单词冗余
    • 溯源图构建
      语义角色标注、溯源图构建

    在这里插入图片描述

    实体识别和实体消歧示例如下图所示:

    在这里插入图片描述

    实验表明Extrator可以有效提取CTI报告的攻击信息,并以溯源图形式展现。同时,生成的溯源图与人工生成的溯源图能够进行匹配,验证了方法的有效性,并且溯源图可以进一步作为威胁情报检测系统的输入。下图展示了不同攻击场景的精确率、召回率和F1值。

    在这里插入图片描述

    方法对比:

    • 与iACE等方法不同,本文专注于提取攻击行为,并以溯源图的形式捕获系统级因果关系

    本文仍然存在一些缺陷。

    • 由于NLP复杂性,提取精度会损失,某些未知实体无法有效识别
    • 受到CTI报告作者的风格影响,需要专家协作
    • 审计日志提取的信息限制了细粒度攻击建模

    简单总结
    写到这里,作者简单总结下伊利诺伊大学芝加哥分校的五个工作,可以很好地看到他们逐年的优化和改进。分别对应:SLEUTH[USENIX’17]、NODOZE[NDSS’19]、Poirot[CCS’19]、HOLMES[S&P’19]、Extrator[EurS&P’21]。

    • SLEUTH[USENIX’17]
      引入溯源图检测APT攻击
    • NODOZE[NDSS’19]
      增加了威胁检测和异构图构建
    • Poirot[CCS’19]
      融合IOC信息,增加了查询图和溯源图的对齐算法
    • HOLMES[S&P’19]
      融合HSG和ATT&CK框架解决语义损失问题,增加去噪剪枝等操作
    • Extrator[EurS&P’21]
      结合NLP方法(消歧)和外部APT分析报告抽取知识,并构建溯源图

    在这里插入图片描述

    欢迎大家继续补充作者写得的不足,因为阅读有限,也可能漏掉一些重要论文和方法。这里简单补充几个作者分享不足之处和疑惑。

    • 问题1:实验怎么评价它的精确率、召回率和F1值呢?是算APT攻击正确识别数量,还是实体识别数量,还是溯源图中子图匹配数量呢?
    • 问题2:如何去鉴别一个APT攻击,这点也非常重要。是将进程、文件、通信等不同对象标注成不同类别,构建相互之间的关联呢?
    • 问题3:如何生成溯源图,并且代码细节如何实现呢?
    • 问题4:论文中算法核心实现过程需要秀璋进一步精读和理解,有机会复现文中的论文。
    • 问题5:DARPA TC数据集是否开源,我们能否继续优化方法。

    PS:下面的论文由于阅读还存在一些疑惑,作者就进行简单介绍,还请读者见谅。


    HINTI [RAID’20]

    第五篇论文是RAID’20的 HINTI

    Jun Zhao, et al. Cyber Threat Intelligence Modeling Based on Heterogeneous Graph Convolutional Network. RAID’20

    这篇文章的主要贡献如下:

    • 提出一种基于异构图卷积网络的威胁情报模型,建模IOC之间的依赖关系
    • 从非结构化威胁描述中自动提取网络威胁对象,多粒度注意力机制学习特征的重要性
    • 攻击偏好建模:将具有相同偏好的攻击聚集(DBSCAN算法)

    在这里插入图片描述

    与现有的CTI框架不同,HINTI旨在实现一个CTI计算框架,它不仅可以有效提取IOC,而且还可以建模和量化它们之间的关系。下表展示了17种元路径关系。

    在这里插入图片描述

    HINTI能有效挖掘隐藏在IOCs之间相互依赖关系和安全知识,并应用于威胁模型,其核心四个步骤如下。

    • (1) 首先,通过B-I-O序列标注方法对安全相关帖子进行标注,用于构建IOC提取模型。
    • (2) 然后将标记的训练样本输入我们提出的神经网络,以训练提出的IOC提取模型。
    • (3) HINTI利用句法依赖性解析器(e.g.,主-谓-宾,定语从句等)提取IOC之间的关联关系,每个关系都表示为三元组。
    • (4) 最后,HINTI集成了基于异构图卷积网络的CTI计算框架,以有效量化IOC之间的关系并进行知识发现。

    在这里插入图片描述

    在这里插入图片描述

    本文提取的13种主要的IOC性能如表3所示。总的来说,我们的IOC提取方法在精确率、召回率、平均F1值都表现出了优异的性能。然而,我们观察到在识别软件和恶意软件时的性能下降,这是因为大多数软件和恶意软件是由随机字符串命名,如md5。

    在这里插入图片描述

    图8显示了不同类型元路径下的前3个聚类结果,其中元路径 AVDPDTVTAT(P17) 在紧凑和分离良好的集群中性能最好,这表明它比其他元路径在描述攻击偏好方面具有更丰富的语义关系。

    在这里插入图片描述

    在这里插入图片描述

    与之前的方法对比,本文也存在一些缺陷:

    • 未在真实攻击场景实现
    • 未实现对未知攻击的预测(知识推理)
    • 未实现运行时检测及长期潜伏的APT攻击检测
    • 没有和主流的知识框架融合

    UNICORN [NDSS’20]

    第六篇论文是NDSS’20的 UNICORN

    Xueyuan Han, et al. Unicorn: Runtime Provenance-Based Detector for Advanced Persistent Threats. NDSS’20

    这篇文章的主要贡献如下:

    • 针对APT特性设计一种基于溯源图(Provenance Graph)的运行时APT检测方法(直方图和概要图
    • UNICORN能在没有先验攻击知识的前提下实现APT攻击检测,且准确率高和误报率低
    • 第一个对本地完整系统进行运行分析的APT入侵检测系统,概要图能对抗长时间潜伏的投毒攻击

    其框架如下图所示,包括四个核心步骤:

    • ①构建溯源图
    • ②建立运行时直方图
    • ③计算概要图
    • ④聚类

    在这里插入图片描述

    直方图生成算法如下,建议读者精读原文。

    在这里插入图片描述

    实验结果如下图所示:

    在这里插入图片描述

    在这里插入图片描述

    同时包括一些详细的性能对比。

    在这里插入图片描述

    UNICORN与之前的方法对比结果如下:

    • Holmes[S&P’19]和Poirot[CCS’19]:需要先验专家知识(先决条件-结果模式)
    • 基于系统调用和日志事件的检测方法:由于数据过于密集,难以对长时间的攻击行为进行建模
    • 由于APT潜伏时间长且持久化,攻击行为会缓慢改变传统模型以逃避检测系统(投毒攻击)

    UNICORN的局限性和改进如下:

    • 需要定期重新训练
    • 正常行为改变可能会产生误报
    • 未考虑异质性行为
    • 更大的实验评估(IDS数据集)

    ProvDetector NDSS’20

    第七篇论文是NDSS’20的 ProvDetector

    Qi Wang, et al. You Are What You Do: Hunting Stealthy Malware via Data Provenance Analysis. NDSS’20

    首先,我们先介绍下离地攻击

    • 只使用预安装的软件并且攻击者没有在系统上安装额外的二进制可执行文件。带有宏、VB脚本、Powershell脚本或者使用系统命令(如netsh命令)的文档属于离地攻击的范围。

    由于现有反病毒软件和方法很难检测到该类攻击,本文提出一种ProvDetector方法,它需要依赖内核级的溯源监控来捕获目标程序的动态行为。

    在这里插入图片描述

    这篇文章的主要贡献如下:

    • 提出一种基于溯源图的系统,用于检测伪装技术的隐蔽恶意软件(离地攻击 | 无文件攻击)
    • 提出一种新的路径选择算法来识别溯源图中潜在的恶意部分(恶意行为与底层操作系统交互)
    • 设计一个新的神经嵌入和机器学习管道,自动为每个程序建立一个轮廓并识别异常进程

    ProvDetector的核心ProvDetector分为四部分:图构建、特征提取、嵌入和异常检测。部署监控代理,按照定义收集系统数据放入数据库。定期扫描数据库检查是否有新添加的进程被劫持。对于每个进程,先构建起起源图(图构建)。然后从源点图中选择路径子集(特征提取)并将路径转换为数值向量(嵌入)使用一个新颖的检测器来获得嵌入向量的预测并报告最终决定(异常检测)。

    在这里插入图片描述

    实验结果如下图所示:

    在这里插入图片描述

    在这里插入图片描述

    你可能会疑惑为什么分享这篇文章呢?一方面由于它也用到了溯源图概念,另一方面同样来自于伊利诺伊大学香槟分校团队(同UNICORN),并且将溯源图应用于其他领域,即检测伪装技术的隐蔽恶意软件。这也是我们探索论文idea的一个思路,可能其他领域或方法也会给我们带来灵感喔。当然,目前作者科研能力太弱,需要不断提升,学习嘛,一辈子的事情。加油!


    RapSheet [S&P’20]

    第八篇论文是S&P’20的 RapSheet

    Wajih Ul Hassan, et al. Tactical Provenance Analysis for Endpoint Detection and Response Systems. S&P’20

    本文首先指出已有的EDR(端点检测和响应)工具存在的三个主要弊端:

    • (1) EDR工具会产生大量的虚假警报,从而为分析人员积压了调查任务;
    • (2) 确定这些威胁警报的准确性需要大量的低级系统日志,人工任务繁琐;
    • (3) 由于日志占用巨大资源,系统日志通常在进行调查之前就被删除。

    因此,本文提出了战术源图(Tactical Provenance Graphs, TPGs)的概念,个人感觉TTPs+溯源图,并研发了RapSheet系统,直接推理EDR系统生成的威胁警报之间因果关系。其主要贡献如下:

    • 首次将溯源图引入商业EDR(Endpoint Detection and Response)
    • 提出战术溯源图(Tactical Provenance Graphs, TPGs)表示EDR生成威胁警报间的因果依赖关系
    • 引入一种威胁评分方法:根据TPGs中存在的单个威胁警报之间的时间顺序来评估风险

    在这里插入图片描述

    本文是用商业赛门铁克EDR软件进行真实检测和实验。其实验结果表明:

    • 提升商业EDR效果,检测未知攻击行为
    • 减少系统日志降低系统存储开销
    • 提高赛门铁克EDR的威胁检测精确度
    • 保留警报之间的因果关联性

    RapSheet与传统方法对比:

    • Holmes商业EDR部署复杂(保留100%日志)
    • holmes16条TTP匹配规则 vs RapSheet增加至67条
    • 实践中EDR工具会限制日志缓冲区
    • NoDoze防止投毒攻击假设(正常行为数据库)
    • 未跟踪ALPC消息(Windows),会断开溯源图
    • 利用DTaP高效分布式存储提高查询响应时间

    在这里插入图片描述


    ATLAS [USENIX’21]

    最后一篇是2021年USENIX的论文,作者仅作了简单的阅读。即 ATLAS。该文章来自普度大学团队,针对APT研究成果还包括NDSS’13的BEEP、NDSS’16的ProTracer等。此外,CCS21也发现了新的溯源图研究成果,说明基于溯源图的研究仍然是一个值得探索的方向。

    Abdulellah Alsaheel, et al. ATLAS: A Sequence-based Learning Approach for Attack Investigation. USENIX’21

    本文提出一种基于序列的攻击调查学习方法ATLAS。其主要观察结果是:无论所利用的漏洞和执行的有效载荷如何,不同的攻击可能共享相似的抽象攻击策略。ATLAS是利用因果关系分析、自然语言处理和机器学习技术的新颖组合来构建基于序列的模型,该模型从因果图建立攻击和非攻击行为的关键模式。在推断时间,给定威胁警报事件,确定因果图中的攻击症状节点。然后,ATLAS构造一组与攻击症状节点关联的候选序列,使用基于序列的模型来识别顺序中有助于攻击的节点,并将识别出的攻击节点统一起来构建攻击记录。

    本文的主要贡献如下:

    • 利用审计日志生成端到端攻击故事(end-to-end attack story)的框架
    • 构建一个基于序列的模型:因果关系图(causal graph)+自然语言处理+深度学习
    • 真实APT攻击事件(10个)进行实验,并能恢复攻击关键步骤及还原攻击故事
    • 研究发现不同的攻击可能共享相似的抽象攻击策略

    个人感觉生成Attack Story还原攻击故事是本文的一大亮点。

    在这里插入图片描述

    实验结果如下图所示,建议阅读原文。

    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述

    ATLAS 主要涉及支持审计日志溯源追踪的三个子主题,包括:溯源图的因果关系分析、基于异常的分析以及 ML 技术在攻击调查中的应用。当然也存在一定的缺陷,即:

    • 当前工作仅限制于Windows平台
    • 无法检测到使用类似正常事件序列的隐藏攻击行为,比如模拟攻击
    • 模型性能很大程度上取决于所收集的训练日志条目的质量

    三.方法对比

    写到这里,上述方法已经介绍完毕,接下来我们对所有文章进行简单的研究趋势梳理和方法对比研究。

    1.基于溯源图的方法研究趋势分析

    研究趋势如下,还原各位老师和读者指正及补充。

    在这里插入图片描述


    2.方法优缺点对比

    方法对比主要从溯源图、知识框架、先验知识和优缺点进行比较,得出如下表所示结果。个人感觉,溯源图、是否引入知识框架(ATT&CK)、是否有先验知识、是否融入NLP(消歧 | 对齐 | 去噪合真实场景应用是该方向研究的重要进步补充。

    在这里插入图片描述


    3.数据集对比

    数据集的对比如下图所示,主要以DARPA TC、公开威胁情报文本和真实场景攻击数据为主。

    在这里插入图片描述


    四.总结

    最后秀璋做一个简单总结,写得不足之处还请批评和指正。写这篇文章只希望帮助更多的APT攻击研究者和初学者,同时也是对自己阶段知识的总结,虽然很少有人分享类似正在研究或未发表的总结,但还是想先分享出来,与大家一起探讨和进步,真诚地希望对您有帮助吧!感恩遇见,不负青春,读博路上相互鼓励着前行。

    基于溯源图的APT攻击检测是APT检测领域中一个非常重要的分支,由于APT攻击的隐蔽性、威胁性、实时性、针对性,传统的方法艰难检测,因此提出了溯源图的方法。当前的研究趋势主要表现在:

    • 基于溯源图和知识图谱的APT攻击检测
    • 结合APT攻击阶段特点,融合ATT&CK知识框架进行中间层特征表示,解决语义损失
    • 全系统真实场景的细粒度APT攻击检测
    • 引入外部威胁情报知识(NLP消歧对齐)来辅助APT检测
    • 无先验专家知识
    • 对未知APT攻击实现预测

    未来的研究趋势,个人感觉如下,不喜勿喷,哈哈!

    • 基于图神经网络的APT攻击检测,图可能更好地表达攻击之间的关系
    • 从NLP角度分析APT攻击以揭示其特性(融合恶意代码分析)
    • 检测并定位APT攻击样本中0-day漏洞是否存在及位置,感觉很难
    • 场景迁移:EDR、无文件攻击、在线场景
    • 加密、混淆、对抗样本、无文件

    在这里插入图片描述

    这篇文章就写到这里了,希望对您有所帮助。由于作者英语实在太差,论文的水平也很低,写得不好的地方还请海涵和批评。同时,也欢迎大家讨论。学安全两年,认识了很多安全大佬和朋友,希望大家一起进步。同时非常感谢参考文献中的大佬们,感谢老师、实验室小伙伴们的教导和交流,深知自己很菜,得努力前行。感恩遇见,且行且珍惜,小珞珞太可爱了,哈哈。

    《珈国情》
    明月千里两相思,
    清风缕缕寄离愁。
    燕归珞珈花已谢,
    情满景逸映深秋。

    在这里插入图片描述

    (By:Eastmount 2021-10-11 周一夜于武汉 http://blog.csdn.net/eastmount/ )


    展开全文
  • 面向APT攻击的网络安全防护体系能力分析.pdf
  • 基于分类模型的APT攻击检测与场景构建,孙文新,刘建毅,APT全名高级持续性威胁,该攻击从社交工程学出发,利用高端、定向的攻击手段对国家或有影响力的组织机构进行长期的针对性的渗透,
  • APT攻击行为的分析与防御,为大家分享APT攻击行为的分析过程,和防御方式,指导大家在APT监测与防御领域的项目建设、产品建设。
  • 明御:APT攻击预警平台

    千次阅读 2022-05-06 09:35:08
    产品介绍:APT攻击预警平台使用深度威胁检测技术,对流量进行深度解析,发现流量中的恶意攻击,提供了全面的检测和预警的功能。 本平台具备以下功能: 1、Web威胁深度检测 2、邮件威胁深度检测 3、病毒木马深度检测 ...
  • 安全专家讲述:APT攻击及防御策略概述
  • APT攻击防护方案:构建堡垒网络 升级安全防护
  • APT攻击详解

    千次阅读 2021-04-05 15:46:16
    也就是说很难去确定是不是APT攻击,只能从已发生过的APT攻击事件,分析其特点,进而与上述解释性概念相关联,得出APT攻击的一般规律。大致有这些规律: 1)高度目的性 2)高度隐蔽性 3)高度危害性 4)目标实体化 5)极强...
  • “新基建”时代的网络安全与APT攻击精品报告2020.pdf
  • APT攻击检测与防御详解

    万次阅读 多人点赞 2019-01-20 17:51:58
    利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。...
  • 最近一直在考虑如何结合kill chain检测APT攻击。出发点是因为尽管APT是一种特殊、高级攻击手段,但是它还是会具有攻击的common feature,只要可以把握住共同特征,就能进行检测。而kill chain就是个非常好的common ...
  • 什么是APT攻击

    千次阅读 2021-10-21 17:33:51
    什么是APT攻击 APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己...
  • APT攻击介绍

    千次阅读 2020-07-16 11:38:38
    APT攻击介绍

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 15,859
精华内容 6,343
关键字:

apt攻击