360企业安全天眼产品事业部 黄 海

APT检测技术的发展

360企业安全天眼产品事业部 黄 海

目前针对APT攻击的检测技术比较多样，这是由攻击本身所具有的复杂性导致。Gartner在2013年将APT检测技术主要分为5种，如图1所示。

图1 5种高级威胁检测手段【1】

其分类并不能完整呈现针对APT攻击的检测手段，但是对几个主要检测技术方向做了较好的阐述，本章将逐项分析各类技术发展现状：

1 网络流量分析

该技术包含了多种传统的网络检测分析思路，比如依靠DNS或Netflow的流量规律进行基线学习和分析。此类技术发展历史悠久，但在APT检测方面，一直难以有直接的效果，一方面因为通过流量能够捕捉到的攻击行为较为有限，更多针对远程控制部分，而且很难捕捉到样本运行过程；另一方面，此类技术多使用统计并配合一部分规则匹配的检测方式为主，往往难以保证准确度。

2 网络取证

该技术强调全量的抓取流量报文或日志，通过结合全流量分析技术提取流量中的异常信息来发现APT攻击。这种方式在检测上依然面临网络流量分析的同样问题，不过由于其所留存的网络流量和日志可以更好的还原样本和攻击过程，在回溯及应急响应方面体现出的价值较高。该技术也正在逐渐被新型的安全管理系统或安全日志分析系统所使用，但面临的技术挑战与终端取证类似，即如何快速的处理分析海量的网络流量信息。

3 负载分析（沙箱）

负载分析主要指针对样本进行更深层次的分析以发现依靠简单特征无法发现的高级威胁。目前国内市场上的主流的负载分析手段为沙箱，通过将文件还原后在虚拟环境中的执行并监控执行过程中的各种进程、文件、注册表等行为来发现其中的恶意行为。这也是国际著名厂家Fireeye的基础功能。但沙箱技术并不是新技术，实际在2003年开始，沙箱技术便已经出现，发展至目前有大量的开源沙箱检测技术，较为著名的如cuckoo。沙箱的出现使得研究人员和安全管理人员能够快速发现样本的恶意行为，但随着技术的发展和开放，沙箱在APT攻击的实际检出情况上未必如众多厂家的宣传一致。主要因为目前大量高级样本中都会集成沙箱逃逸功能，基础的沙箱逃逸手段包括虚拟机环境检测、分析软件检测、检测hooks、检测时间加速、检测交互行为等，而且存在开源的沙箱逃逸项目可供攻击工具开发者使用。这对沙箱检测提出了很强的攻防挑战，对于缺乏样本行为运营能力的公司来说，将意味着其沙箱效果会大打折扣。而且，沙箱检测需要对环境的模拟尽可能真实，但是实际情况下，一台检测设备很难提供足够的计算和内存资源用于模拟大量主机上不同的操作系统和应用软件版本，这也客观上制约了恶意样本在沙箱中顺利执行的比例。

目前沙箱的发展遇到了一些困难，但并不意味着这种技术的消亡。为了应对一些针对虚拟机检测的沙箱逃逸手段，有厂家使用基于虚拟机hypervisor层的分析技术。这可以一定程度上的提升样本执行的成功率，但对于真正的提升检测效果帮助仍然有限。大量厂家也开始使用云端沙箱集群来模拟更多样的环境以提升样本执行成功率，虽然这种技术受限于目前国内大量企业无法上传样本这种客观现实而难以商用，但对于厂商自身研究和运营效率的提升仍然有相当大的帮助。

4 基于终端的行为分析

该技术也可称之为主机沙箱，可以将应用和文件通过虚拟容器进行隔离，并对其隔离环境中的内存、进程情况进行监控，技术本身也经历了长时间的发展。其可以依靠隔离的手段对高级攻击进行更好防护，但同时也带来了更多的系统资源消耗，限制了技术本身的应用。目前主流杀毒检测厂家如360，已经在终端杀毒中支持主机沙箱技术，但应用并不广泛。

5 基于终端的取证

通过在主机上安装监控软件，可以截取各种样本文件在主机上的行为记录，结合序列化的行为规则，或威胁情报可以有效发现传统特征匹配无法发现的威胁。同时留存的终端行为数据可以作为取证、回溯的重要支撑。目前fireeye、cybereason等厂家已经将该技术成功应用于APT检测中。该技术方式实际上是将主机视为一个沙箱的虚拟环境，所有样本的行为都应该可监控，结合类似沙箱的行为规则就应该能够发现主机上正在发生或已经发生的攻击行为。这种方式很好的解决了沙箱虚拟环境难以足够真实的问题，但检出率同样依赖于规则运营，对厂商的规模和能力要求较高。而且大量的终端部署以及海量的日志回传对传统的安全日志分析或安全管理系统都造成了冲击。

6 其他正在发展中的技术

APT攻击组织与安全厂商将处于持续的攻防对抗中，目前除了传统的技术以外，还有部分新兴技术正在这种对抗中脱颖而出：

6.1 威胁情报

传统检测技术往往仅关注发现攻击告警，告警中仅体现触发告警的原因，以及样本的大致分类。但这种检测结果往往无法反映APT攻击的真实意图和严重程度，这也导致大量APT检测结果输出与传统IPS或杀毒设备并无太大区别。而依赖于良好运营的威胁情报正在逐渐改善这种局面。依靠安全厂商对互联网网络行为、网络基础设施数据、样本数据、黑产及攻击组织等信息的长期监控和整合分析，完全能够有针对性的输出APT攻击组织相关的威胁情报，威胁情报将涵盖攻击组织、攻击意图、攻击手段、攻击指标器、攻击目标等一系列信息，这些信息将极大的提升本地设备的检测发现能力以及后续的告警定性能力。

6.2 机器学习

传统的样本检测、行为分析、流量分析都在面临着不断变化的攻防局势，而传统方式的检测率极大的依赖于人工规则运营，这也制约了检测率的提升。为了解决相关问题，机器学习依靠其更低的运营工作量需求、更好的检出率进入了安全领域。目前应用机器学习较多的领域为样本检测，国内360的QVM引擎作为国际上第一个机器学习引擎早已成功商用多年，并能够对未知威胁有一定的提前检测能力。在样本检测以外，在诸如域名分类、DGA域名分析等领域，机器学习也都有不做的表现。不过虽然机器学习正在不断的应用到安全的各个领域，但其使用仍然有其局限性，比如可能出现的高误报、模型设计上困难、训练集处理等问题都是厂商需要不断摸索跨越的门槛。

6.3 新型的SIEM或SOC

目前基于终端和网络的取证分析都面临海量日志如何处理的难题。针对此类问题，新兴的以大数据技术为基础的SIEM或SOC产品是一种较好的解决方案。依靠Hadoop、Storm、ElasticSearch等大数据技术，新一代的SOC产品可以轻松突破传统设备的性能上限，为广泛的日志采集和分析提供强有力的支撑，同时为机器学习在网络流量分析和终端行为分析方面的应用提供基础平台。再结合威胁情报等外部数据支撑，新一代SOC可能成为APT检测的核心节点。但新一代SOC依然面临诸多市场挑战，诸如如何保证平台更加轻量化以节省投资，如何提供便捷的管理系统以帮助用户摆脱平台运维的困扰，如何让数据的安全价值充分体现等。

7 发展中遇到的非技术性困难

APT检测技术在发展中并不只遭遇过技术上的挑战，还面临着大量来源于市场、用户方面的阻力。这也客观上制约了国内APT市场的扩展。

7.1 行业认识不统一

目前安全从业人员对于APT攻击的认识不统一，大部分厂家仍然聚焦于攻防对抗本身，但忽略了APT攻击的性质判定，这造成APT检测设备的大量告警看起来与IPS、传统杀毒设备的告警并无特别区别，仅仅是多了很多用户无法有效理解的行为数据。在这种情况下，APT检测市场长期难以与传统的杀毒市场和IPS市场有效区分。这制约了整个市场的发展，也导致厂商的投入和动力不足。而可有效解决相关问题的威胁情报技术在国内尚处于起步阶段，各个厂商对其认识均不相同，目前还难以形成足够的行业推动力。

7.2 对于安全防护的诉求过高

长期以来，大量企业及单位的安全人员已经十分熟悉防火墙+IPS的一套防护体系，对于高级威胁也希望能够一劳永逸的使用单一系统进行事前防御，但在目前的攻防态势下，这种想法会稍显不切实际，制约了整个APT检测市场的发展。原因在于世上并没有完美的防护体系，从攻击角度来讲，只要攻击者有足够的投入，基本上都能够绕过所有的防御。在这种情况下，安全体系的建设应该从单纯强调防护转移到以提升攻击成本和风险为核心。而提升攻击成本和风险的手段包含：存储必要的日志信息、使用更高级的检测手段、引入精准的威胁情报以及快速的应急响应服务。通过这些手段，企业可以保留攻击事后的回溯能力、线索追查能力，以及最终诉诸法律的起诉证据。

7.3 发生APT攻击事件后的责任认定不清晰

中国是APT攻击的主要受害国，来自360的报告显示截止至2015年11月，中国境内共遭受来自29个APT组织的千余次攻击。但是形成鲜明对比的是，国内的大量单位对APT攻击的损害仍然认识不足，对于攻击的责任确定不清晰。很多单位将APT攻击的检测与处置寄希望于国家力量，并在管理层面将其与基础的安全问题区分开来，甚至在知晓APT攻击已经发生的情况下仍然缺乏必要的处置动作，往往采取先封堵消息控制影响再内部消化的处理方式。这导致国家单位逐渐形成针对APT攻击下级单位不重视，上级单位不了解这样一种尴尬情形。

但近几年，随着中央网信办的成立，国家开始逐渐重视网络安全建设问题，同时大量针对中国的APT攻击组织被有关单位及安全公司挖掘出来，也起到了很好的行业教育的作用。相信不久的将来，各个单位在国家力量的驱动下将逐步的提升APT检测技术的使用比例。

7.4 人才与服务的缺失

APT攻击并不是一成不变的，安全方案提供商对其进行检测需要不断的输入攻防知识并进行长时间的运营（包含行为规则、样本家族、威胁情报等各种方面内容）。但国内总体上仍然处于安全人才匮乏的状态，尤其是有逆向能力、会样本分析或懂漏洞挖掘的人才。人才的匮乏又导致真正高水平的人才难以有充足的动力和时间投入到基础的安全运营工作中，这导致大部分安全公司难以对APT攻击进行有效检测。

而在企业侧，人才的状况更加不容乐观，能力和数量都成为了制约，往往出现重要的告警没人能分析，简单的告警没有足够的人来分析的情况。而通过采购第三方安全服务的方式可以很好的解决此类问题，但又会面临中国当前服务采购的各种困局。

庆幸的是，目前国家正在推动政府采购服务的相关改革，希望这会从一定程度上解决各个企事业单位所面临的人才问题。

8 小结

APT做为一种新的概念和名词已经存在于市场上多年，但相信APT攻击实际上早已在网络世界里横行，仅仅是之前的我们毫不知情。当下，随着多种检测技术的发展以及更加灵活的组合使用，APT攻击的检出率也在提升，海莲花、洋葱狗、美人鱼、人面狮、白象等一系列APT攻击都被先后发现。这也证明：在安全的道路上，我们可以走的更远，走的更好。