李艳斐 李斯祺

摘 要：高级持续性威胁（简称APT）是目前面临的最严重的安全威胁，在整个攻击过程中，攻击者会投入大量的人力、财力以及时间，同时还会运用社工以及大量的0day，执行目的明确地针对型攻击，尤其是利用恶意代码，建立加密控制通道，窃取或篡改关键数据。如果被攻击者不具备实时检测与防御的能力，一旦业务系统被成功入侵，将遭受非常严重的经济和业务损失。论文阐述了APT攻击的典型特点和生命周期，以及对企业和组织可能造成的威胁，介绍了APT常见的攻击渠道和技术环节，以及抵御APT攻击面临的技术难题和挑战。为解决这些问题，提出了基于下一代SIEM（安全信息和事件管理）的APT检测与防御体系，将所有安全设备、终端和应用中的日志事件和网络流数据整合起来，实施规范化和关联处理，识别APT攻击特征，从而实时检测和抵御APT攻击，保障业务系统的网络安全，降低业务数据被盗取和篡改的风险。

关键词：APT攻击；下一代SIEM；分层防御；端到端策略；动态数据模型

中图分类号：TP393.0 文献标识码：J

Abstract： Nowadays， Advanced Persistent Threat is the most serious security threat. In APT attacks， attackers will invest a lot of manpower， financial resources and time. At the same time， they will use social engineering methods and a large number of zero-day vulnerability attacks， which aims specifically at targeted attacks， especially using malicious code and establishing an encrypted control channel， stealing or tampering key data. If the attacked targets does not have the ability of real-time attack detection and defense， once the business system is successfully intruded， it will suffer very serious economic and business losses. This paper describes the typical characteristics and life cycle of APT attacks， as well as the possible threats to enterprises and organizations， and introduces the common attack channels and technical links of APT， as well as the technical difficulties and challenges in resisting APT attacks. To solve the above problems， an APT detection and defense system based on next generation SIEM （Security Information and Event Management） is proposed， which integrates log events and network flow data of all security devices， terminals and applications， to implement normalization and association processing. Finally the characteristics of APT attacks need to be identified， which can help detecting and resisting APT attacks in real time to ensure the network Security of business systems， and reducing the risk of theft and tampering of business data.

Key words： APT attack； next generation SIEM； layered defense； end-to-end policy； dynamic data model.

1 引言

由于網络安全形势日趋严峻，越来越多的商业组织和政府机构成为APT攻击的目标，其中包括教育、金融、科技、航空航天、电力、化工、电信、医药和咨询机构等行业，虽然这些被攻击目标通常都已安装防御和检测系统，用于提升安全防护能力，但依然遭受APT攻击的持续威胁，部分攻击可能持续数月未被发现，从而造成其业务能力急剧下降[1]。

为了解决上述普遍存在的APT攻击问题，本文重点阐明APT的核心攻击环节以及有效防御技术，提出一种基于下一代SIEM技术的APT攻击检测与防御体系，能够实时检测APT攻击并及时做出响应，从而真正提升重要业务系统的网络安全防护能力。

2 APT定义及特点

APT，全称高级持续性威胁，通过长期潜伏找到有价值的特定目标，利用网络中存在的应用程序漏洞，发起持续性网络攻击，通过渗透到系统中的关键基础设施，建立并维持隐蔽的控制通道，从中窃取核心资料或篡改数据。它不同于所有的安全漏洞，主要特点描述有三点。

潜伏性：攻击者通常在目标网络中进行数月甚至一年以上的潜伏，大量收集用户业务流程和目标系统的精确信息，彻底掌握攻击目标的情况。

针对性：在彻底掌握目标的精确信息后，寻找软件漏洞，构造专门代码，对锁定的目标发送恶意链接、邮件等程序，攻击时只针对一个目标，避免大量散播引起注意。

持续性：在不被察觉的情况下，攻击者会不断尝试各种攻击手段，甚至被阻断后，还会采用全新的方式再次发起攻击，因此有些攻击长达数年之久。

3 APT攻击的核心环节

典型的APT生命周期主要分为五个阶段[2]：定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传。

定向情报收集：攻击者有针对性地搜集特定组织的网络系统和员工信息，目的是为了解线上服务器分布情况、业务系统运行状况，以及定位具有访问数据资源权限的重要角色或者只是能够作为跳板的其他角色等。

单点攻击突破：攻击者在收集了足够的情报信息之后，开始采用恶意代码、漏洞攻击等方式攻击组织目标的终端设备，常见的攻击方法包括两种。第一种利用个人漏洞的社会工程学[3]是启动目标网络有效感染的最重要手段之一，也是访问核心资源的最常用方法。攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，投送其恶意代码。第二种最有效的APT攻击类型是0day攻击，即利用常见的系统未知漏洞。攻击者在目标公司的员工经常访问的网站上放置网页木马，当员工访问该网站链接时，将恶意代码下载并安装到该员工的终端。

控制通道构建：攻击者在控制终端设备之后，会创建从被控终端到控制服务器之间的命令控制通道，以获得进一步攻击指令，在维护该通道正常访问的基础上，还要不断提升访问权限，以获取更多的系统操作权限，使攻击行为不易被发现。

内部横向渗透：一般情况下，攻击者会优先攻陷员工终端，作为攻击跳板，利用口令窃听和漏洞攻击等方法，在系统内部进行横向渗透，以攻陷更多的终端和服务器，从而获取组织内部其它包含重要资产的服务器的控制权限。

数据收集上传：攻击者在攻击过程中，会不断将搜集到的各服务器上的重要数据资产，进行压缩、加密和打包，然后通过控制通道将数据回传，如回传成功，攻击者将删除系统中的全部入侵痕迹，以及任何可能识别攻击源的记录数据等。

4 APT攻击检测与防御体系研究

攻击者通常会针对特定目标创建一系列的攻击链，即使是最有效的网络安全手段，包括代理服务器、防火墙、VPN和防病毒软件，也无法独自抵御APT攻击。根据OSI七层模型，没有一个单独的层可以防御APT，但它们的组合是一个非常有凝聚力的障碍[4]。因此，最有效的检测和防御APT攻击的方式是根据网络层级中攻击的核心技术环节进行持续监控，并建立一一对应的抑制点。

4.1 APT攻击分层模型

根据APT攻击的典型特点和生命周期，对APT攻击进行建模分析[5-7]分两层表示。

上层为APT攻击链。由侦察、渗透、行动和撤出组成。侦察阶段包括主动、被动和半被动三种方式；渗透阶段主要包括社会工程学、水坑、接触式和漏洞四种方式；行动阶段主要包括建立指挥控制、控制持久化、信息窃取、实施破坏和横向移动等一系列过程；撤出阶段主要包括回传敏感数据和删除日志记录等一系列过程。

下层为APT攻击樹。在侦察阶段中，攻击者通常会利用端口扫描、操作系统扫描、漏洞扫描等方法进行侦查；在渗透阶段中，攻击者通常会利用鱼叉式网络钓鱼、社工字典攻击、操作系统以及应用系统漏洞攻击；在行动阶段中，攻击者通常会采用加密通信和隐蔽通信、放置后门及木马程序、搜集各种信息等；在撤出阶段中，攻击者通常会进行回传路径确定及日志信息销毁工作。

从上述模型可以总结出 APT 攻击主要依赖网络结构以及操作系统与应用漏洞等关键信息实施攻击。

4.2 检测与防御体系

根据APT攻击分层模型，任何APT攻击都是基于对OSI协议栈上层或底层的攻击，而且会在栈上多个层次寻找漏洞来实现攻击的最终目的[8]。因此，APT攻击检测防御体系需要严格遵循纵深防御的安全理念，按照网络安全的分层方法，采取措施在每一层中检测威胁，对其做出反应并消除威胁，如图1所示，分别从物理层、网络层、应用层和数据层四个方面对APT攻击进行检测和防御，以部署防护硬件和软件探针的方式，在网络结构的不同层次监控和生成安全事件，推送至下一代SIEM引擎进行存储检索和关联分析。

4.2.1 检测与防御技术

首先，针对物理层，在网络及终端设备上安装防病毒软件，用于扫描流经网络中各节点上的所有网络数据包，以及压缩和加密文件。

其次，针对网络层，一方面在网络边界处部署网络防火墙和入侵防御系统，前者用于检测通过它的每一个数据包，决定这个数据包是允许进入网络还是将其阻止在外，后者深入监控网络流量和漏洞，尤其是在配置0day威胁最小化机制的前提下，可以完成基于异常统计和漏洞签名的检测。另一方面，在物理网络层部署透明防火墙，根据拦截规则和默认通过规则，判断所有的数据包以决定数据包是否允许通过，如果这个数据包允许通过，就被转发到其他网络接口，可以限制内部用户访问内部的资源。

第三，在应用层补充实现Web应用防护、电子邮件保护、僵尸网络检测、沙箱检测等高级防御功能，以保障应用服务的安全运行。

第四，在数据层，一方面对数据库的用户操作进行审计，另一方面对内部数据的流转进行审计。

通过对上述四个网络层次的安全监控，将主机活动、网络活动、漏洞信息、资产信息、邮件活动、数据活动、账号活动等信息集中采集，并报送SIEM平台进行数据挖掘分析，一方面用于对整体网络安全态势进行监控，一方面用于发现网络中更多未知的安全威胁，从而有效抵御APT攻击。

4.2.2 下一代SIEM技术

安全信息与事件管理（简称SIEM）是整个体系的核心，它负责从各种安全设备或软件生成的数据源收集信息，持久化存储信息，在不同事件之间关联，创建关联规则或警报，分析数据并使用可视化手段监控数据。

传统的SIEM平台普遍使用“日志归一化”技术进行日志关联分析，这种静态数据模型很难适配各种异构日志，而且不论宽表设计的字段如何全面也难以百分百匹配全部日志，并且可能存在大量冗余空白字段，不利于数据分析和可视化展示。在新的技术体系下，下一代SIEM设计采用动态数据模型的建模技术，利用Hive的Schema on read模式进行数据存储，收集到的各种异构数据可不做任何处理直接存储在分布式文件系统中，作为第一层原始数据存储。在原始数据层之上建立模型存储层，包括实体-关系-标签和相关算法的关联数据模型。每个模型都是为了描述实体和关系的集合而构建的，实体用于描述某个客观的对象，如IP、域名、URL等，关系是表示对象和对象之间的联系、事件、行為，一般对应原始数据存储层中的各种日志，如登录成功、访问域名、访问URL、攻击某个IP等。模型中的每个实体和关系都来自一个或多个日志中抽取的数据，模型能够将不同的数据源聚合成一个逻辑视图。

通过动态数据建模技术，所有异构数据通过一个关联数据模型将其集成在一起，以实现利用一个线索扩展调查整个事件。这个关联数据模型不再是完全固定的，而是可以根据不同的场景和业务需求设定不同的关联数据模型。最终建立起一个非常灵活和强有力的SIEM平台，分析模型完全与底层数据解耦，并且实体关系是一种业务视角出发的数据建模方法，可以为平台用户提供一种以安全业务视角的数据发现、模型探索的工具，可以迅速的理解数据、应用数据，并支撑安全分析模型的快速开发。

5 结束语

以上是基于下一代SIEM的APT检测与防御体系的研究，虽然能够从整体上提供一个可行的解决方案，但并不能够对检测与防御APT的全部手段和技术进行列举和介绍。APT防御手段还包括深度学习等技术，需要通过累积经验进行持续监控、不断适应和学习。因此，还应该考虑基于神经网络，分别从可扩展的检测器、主机分类监控、攻击源监控、网络流量监控等方面，加强对企业内部数据流转的监控，从而在正常的网络流量中寻找异常行为。

总而言之，未来检测和防御APT的研究工作需要深入了解网络内部各个安全点之间的综合信息交换，加强硬件及软件的安全配置，加强相关安全人员的安全意识和技术培训，对网络流量及访问行为进行严格审计，制定更加详细的攻击应对方案，并确保全面防护的高级预防和检测。

参考文献

[1] 崔翔，刘潮歌，程学旗.APT分析与大数据计算思考[J].中国信息安全， 2014（01）：102-104.

[2] 张瑜，潘小明，等.APT攻击与防御[J].清华大学学报（自然科学版）， 2017，57（11）：1127-1133.

[3] 吴少华，胡勇.社会工程在APT攻击中的应用与防御[J].信息安全与通信保密， 2014（10）：93-95+99.

[4] Rot A， Olszewski B. Advanced Persistent Threats Attacks in Cyberspace. Threats， Vulnerabilities， Methods of Protection[C]. Federated Conference on Computer Science and Information Systems. 2017：113-117.

[5] 谭韧，殷肖川，焦贤龙，廉哲，陈玉鑫.一种软件定义APT攻击移动目标防御网络架构[J].山东大学学报（理学版），2018，53（01）：38-45.

[6] 谭韧，殷肖川，廉哲，陈玉鑫.APT攻击分层表示模型[J].计算机应用， 2017，37（09）：2551-2556.

[7] 樊雷，余江明，雷英杰.面向APT攻击的分层表示模型[J].计算机工程， 2018，44（08）：155-160.

[8] Jover R.P. Giura P.， How vulnerabilities in wireless networks can enable Advanced Persistent Threats， International Journal on Information Technology （IREIT），2013，（1）：145-151.

[9] 沈立君.APT攻击威胁网络安全的全面解析与防御探讨[J].信息安全与技术， 2015，6（08）：66-70.