一种基于可信业务流的未知威胁检测方法

杨大路1,范 维2,南淑君1,宿雅婷1

（1.北京国电通网络技术有限公司,北京,100070;2国网辽宁省电力有限公司电力科学研究院,辽宁,110006)

0　引言

APT（Advanced Persistent Threat，高级持续性威胁）攻击是当前最具威胁的攻击形式。从APT攻击的效果分析，不仅是像SONY这样的大型公司受到损失，甚至是RSA这样的专业安全公司的数据也被窃取。这些事实表明，现行的安全机制已经无法满足以APT攻击为代表的新一代威胁的防御需求。在这种情况下，必须建立新的防御机制，建立新形势下的信息安全防御体系。

本文首先分析了典型的APT攻击过程，并在此基础上结合具体的业务环境建立了可信业务流的概念，提出了一种未知威胁检测方法，最后给出了原型系统的设计和实现。

1　典型APT攻击过程分析

目前，信息系统运维人员已经初步建立了信息安全的概念，或多或少地部署了安全防护设备对系统实施安全防护。越来越多的攻击者在发起攻击时，首先会测试是否可以绕过目标网络的安全检测，利用一些新型的攻击手段，如0day威胁、高级逃避技术、多阶段攻击、APT 攻击等。这些新的攻击方式，通常称为新一代威胁。由于它们绕过了传统安全机制，因此往往会造成更大的破坏。下面以APT攻击为例分析新一代安全威胁的攻击过程。

APT攻击具有以下三个特性：

（1）高级：攻击者往往是黑客中的精英，同时使用包括新型攻击手段在内的多种方法和工具，以达到预期的攻击目标。

（2）持续性渗透：攻击者针对特定的攻击目标，长时间地进行渗透。在不被发现的情况下，长时间地潜伏在目标网络和系统中搜集有用信息，以获得利益的最大化。

（3）威胁：APT攻击的攻击成功率很高，造成的后果很严重，因此威胁非常大。

典型的APT攻击过程如图1所示：

如图1所示，典型的APT攻击过程可分为6个阶段。第一阶段是定向攻击。攻击者利用鱼叉式钓鱼攻击、水坑式攻击等针对有限目标的攻击方法，诱使用户点击受感染邮件或被植入恶意代码的web网页。一旦用户打开邮件或点击网页，则可能发生后续的漏洞利用过程。第二阶段是漏洞利用。攻击者利用常见软件的弱点（如office文档、pdf文档），执行预设的恶意代码，获得系统的控制权限。整个过程在受害系统的内存中发展，不涉及任何的文件磁盘操作，因此也就难以被传统安全机制检测出来。第三阶段是控制系统。获得受害系统的权限后，恶意代码会继续下载更完整的控制程序。控制程序会伪装成doc、jpg等非执行程序，以逃避检测。第四阶段是连接C&C服务器。控制程序成功运行后，将连接外部的命令和控制服务器（攻击者操控受害主机的服务器）。一旦连接成功建立，攻击者就建立了对受害主机的完整控制。第五阶段是数据窃取。当攻击者完全控制受害主机后，就会试图窃取主机中的敏感数据，如知识产权、用户凭据和内部文件等。第六阶段是持续渗透。一般情况下，外部网络可以直接访问的主机存储的机密数据是有限的，更多的数据存储在内部网络的其它主机中。因此攻击者会通过网络来查找其它的内部系统，包括IT管理员的操作主机（为获取进一步的内部网络权限）以及包含机密资料的重要服务器和数据库等。

在以上6个阶段中，大体上可以分为两个关键部分。一个是从被定向攻击到初始系统被完全控制，另一个是攻击者在网络内部持续渗透，进一步获取更多的敏感数据。目前，关于APT攻击防御的研究大多集中在第一部分，试图在攻击的最初阶段就发现并遏制攻击行为。从纵深防御的角度，不仅需要防御APT攻击的“高级”部分，还要建立对“持续性渗透”的防御。本文主要研究应对“持续性渗透”的防御机制。

2　基于可信业务流的未知威胁检测方法

从企业的角度，其核心的数据是关键的业务数据。从攻击者的角度，业务数据往往也是攻击的主要目标。业务数据通常存储在生产网中，并与业务系统紧密关联在一起。这些业务系统拥有清晰的业务逻辑，其业务访问的发起方、应答方、使用的协议、端口是已清晰定义的。在某些情况下，业务访问的时间都是有规律的。这是本文检测方法的现实基础。

2.1可信业务流

首先给出可信业务流的定义：可信业务流是指在企业的网络环境中，与业务系统运行逻辑一致的，符合业务系统运行规律的网络流量模型。从定义可知，可信业务流包括两层含义：

（1）与业务系统运行逻辑一致

网络流量符合业务系统预先定义的执行逻辑，其源IP、目的IP、源端口、目的端口、协议等符合预先的定义。

（2）符合业务系统运行规律

网络流量符合业务系统运行的规律，如流量出现的时间、高低峰值范围等。

可信业务流是对企业信息系统正常运转情况下，对生产网络中网络流量的抽象。从网络安全的角度，称可信业务流是生产网络中的流量基线。

2.2基于可信业务流的未知威胁检测方法

以可信业务流为基础，我们提出了一种未知威胁检测方法。

如图2所示，未知威胁检测分为4个过程：

（1）建立基线模型。以生产网络中的实际流量为基础，通过流量自学习方法建立初步的可信业务流模型，并通过系统管理员对模型进行修正，成为可用于检测的基线模型。

（2）监测流量偏差。对网络中的流量进行实时监测，并将监测到的数据与基线模型进行对比。当实际检测数据与基线模型的偏差大于预先设定的阈值时，记录一个异常事件。

（3）分析异常原因。系统管理员应及时对告警的异常事件进行分析。异常事件一般可以分为如下几种情况：

非常态业务流。在业务系统运行过程中，存在临时的系统维护、数据录入等操作，属于非常态事件，可以通过工单、操作记录等印证。确认后可将此类事件忽略。

业务流状态迁移。随着业务的发展，可能存在新建、升级业务系统，业务运行时间、流量大小改变等情况。在这种情况下，需要系统管理员根据监测到的信息及时修正基线模型，防止误检漏检发生。

灰色业务流。某些异常事件反映出的业务流，即没有其它信息可以印证，也不属于已知的业务系统自身变化，其性质难以判断。

（4）启动应急响应。当发现灰色业务流后，需要在专业安全人员的协助下进一步分析异常事件产生的原因。一旦判定为攻击事件，及时更新安全防御策略，终止入侵事件的发生。

3　原型系统设计及实现

以基于可信业务流的检测方法为基础，我们建立了一个原型系统。

3.1原型系统架构

原型系统架构如图3所示：

如图3所示，系统由网络流量探针、流量探针管理引擎、业务流分析引擎、可信业务流基线数据、异常事件告警数据、异常事件管理和系统管理等模块组成。其中，网络流量探针视网络结构可部署多个，保证所有纳入管理范围的业务流量都被探测到。流量探针管理引擎多网络流量探针实施统一管理，并将探测到的网络流量数据整理后送入业务流分析引擎。业务流分析引擎的功能主要有两部分：第一部分是在系统部署前期，根据网络业务流量数据并结合业务系统信息在系统管理员的参与下建立可信业务流模型并生成基线数据。第二部分是在建立基线后，将探测到的网络业务流量数据与基线数据进行对比分析，当偏差超过阈值后将其标记为异常事件，记录并及时告警。异常事件管理模块主要支持对告警的异常事件处理，实现对异常事件告警数据的管理。系统管理模块是系统管理员对原型系统实施管理的接口，实现对其它模块的统一管理。

4　结束语

基于可信业务流的未知威胁检测方法，实现了网络业务流量的可视化，更加贴近实际运行的业务系统，也使得系统管理员更容易基于业务逻辑判断网络是否存在可能的未知威胁攻击行为。通过目前原型系统在部分单位的试点结果分析，这种方法是可行的。

参考文献

[1] Lee C, Park T L & H.The characteristics of APT attacks and strategies of countermeasure[J]. Future Information Engineering,2014.

[2] Yang Yang.On the Density and Subsequent Utility of Attack Graphs in Realistic Environments[D].Iowa State University, 2013.

图3　

摘要：在APT攻击过程中，突破目标系统的防御机制后，下一步是在目标系统网络内部持续渗透，控制更多的主机并搜集有价值的数据。通常情况下，持续渗透阶段在网络内传播的未知恶意攻击检测是困难的。本文以生产网为研究对象，利用生产网流量相对可控的特点，提出了一种未知威胁检测方法。该方法基于业务归并网络流量，通过将流量分为可信流量和非可信流量，不断缩小攻击流量的范围并最终实现未知恶意攻击识别。通过原型系统在生产环境的测试表明该方法是可行的。

关键词：APT; 可信业务流;检测方法

国家电网公司科技项目资助（合同号：524681140011）

An unknown threat detection method based on trusted business flow

Yang Dalu1,Fan Wei2,Nan Shujun1,Su Yating1

（1.Beijing Guodian Network Technology Co.,Ltd.Beijing,100070 2.State Grid Electric Power Research Institute of Liaoning Province Electric Power Company Limited Liaoning,110006)

Abstract：In the process of APT attack,the first step is bypassing the defense mechanisms of the target system.And the second step is spreading in the network,controlling more hosts and getting more valuable data.Usually,the second step is hard to be detected.But in the production network,networktrafficsare relatively controllable. Based on the production network,a new method is proposed to detecting unknown threats. The main idea of the method is sorting network traffics by business.By sorting the network traffic into trusted and untrusted,the scope of attack traffic is narrowed.Finally,the unknown attacks can be detected.The field test indicates the method is feasible.

Keywords：APT; trusted business flow; detection method