《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 基于威脅情報關聯的APT攻擊識別與溯源技術
基于威脅情報關聯的APT攻擊識別與溯源技術
網絡安全與數據治理
趙云龍,楊繼,于運濤,王紹杰
中國電子信息產業(yè)集團有限公司第六研究所
摘要: 網絡空間對抗形態(tài)正變得更加復雜,其中摻雜了人工智能、躲避逃逸、情報收集、社會工程、地緣政治等多種因素。目前威脅情報IOC特征主要被用來識別受控主機以及C&C終端連接行為;另外通過關聯拓展IOC進行黑客組織溯源。以全流量存儲、回溯和全球APT威脅情報監(jiān)測為數據基礎,提出基于IOC拓展指標和TTP規(guī)則、模型關聯的APT攻擊識別和背景溯源方案,可以將傳統(tǒng)的基于時間點的檢測模式延伸到基于歷史時間窗的檢測模式,能夠更加充分地應對APT的持續(xù)性和長期性,同時也成為APT組織背景溯源的有效途徑之一。
關鍵詞: IOC特征 TTP 關聯分析
中圖分類號:TP181;TP393文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.08.003
引用格式:趙云龍,楊繼,于運濤,等.基于威脅情報關聯的APT攻擊識別與溯源技術[J].網絡安全與數據治理,2024,43(8):15-21,27.
APT attack identification and tracing technology based on threat intelligence correlation
Zhao Yunlong,Yang Ji, Yu Yuntao, Wang Shaojie
The 6th Research Institute of China Electronics Corporation
Abstract: The form of confrontation in cyberspace is becoming more complex, with artificial intelligence, evasion, intelligence gathering, social engineering, geopolitics and more. At present, IOC characteristics of threat intelligence are mainly used to identify controlled host and C&C terminal connection behavior. In addition, we can trace the hacker organization through the association extension IOC. Based on the data of full traffic storage, backtracking and global APT threat intelligence monitoring, an APT attack identification and background traceability scheme based on IOC extended index, TTP rules and model association is proposed, which can extend the traditional detection mode based on time point to the detection mode based on historical time window, and can more fully cope with the persistence and long-term nature of APT. At the same time, it also becomes one of the effective ways to trace the background of APT organization.
Key words : full traffic; threat intelligence; IOC characteristics; TTP; association analysis

引言

隨著網絡空間對抗愈演愈烈,網絡攻擊行為也不斷升級,已經不再局限于使用傳統(tǒng)的病毒、遠控程序,正逐步向0-day漏洞利用、嵌套式攻擊、木馬潛伏植入、隱蔽加密通信等更加復雜的攻擊形態(tài)演化。這些攻擊目標、攻擊目的高度確定的黑客行為,摻雜了人工智能、躲避逃逸、情報收集、社會工程、地緣政治等多種因素,無疑帶來了極大的危害。為了應對網絡安全日益嚴峻的形勢,各單位紛紛在安全合規(guī)監(jiān)管制度要求下采用隔離、阻斷、加密、身份認證、訪問控制、備份等手段來保護自身業(yè)務信息系統(tǒng)的安全。但是這種被動防守并不能及時發(fā)現網絡中存在的安全威脅,尤其在面對手段多變、更新速度快、復雜度高的定向攻擊時顯得捉襟見肘。

威脅情報是從各類安全信息來源獲取的,用于對資產相關主體面對威脅或危害進行響應或處理決策提供支持。威脅情報數據不僅包括漏洞庫、惡意 IP/DNS/URL/郵箱等入侵威脅指標(Indicator Of Compromise,IOC)信息,還包括安全攻擊事件等信息,目前最主要的威脅情報IOC應用是識別受控主機C&C終端連接行為,或者通過人工經驗進行IOC關聯和拓線,實現對安全事件的黑客組織背景追溯[1]。其迭代層次多且過程繁瑣,并且對及時性和準確性有著非常高的要求。因為一旦高級持續(xù)性威脅(Advanced Persistent Threat,APT)組織的攻擊活動被披露,舊的攻擊基礎設施就會被棄用,這就導致發(fā)現新攻擊線索的能力大幅降低[2]。為了解決以上問題,本文在實現全流量存儲、回溯和全球APT情報監(jiān)測的能力基礎上提出了基于拓展型入侵失陷指標(即IOC 拓展指標)和動態(tài)化攻擊模式規(guī)則、模型的APT攻擊識別和背景溯源方案,以達到精準識別和取證的目的。

本文主要貢獻如下:

(1) 提出基于圖的疑似線索遍歷和回溯算法,實現了IOC多維度智能關聯和拓展,獲得更多未被披露線索。利用更加豐富的高可信IOC資源,提高情報檢測的成功率。

(2) 將適合作為流量檢測的TTP(Tactics Techniques & Procedures)特征,轉換為TTP規(guī)則和TTP模型兩部分,TTP規(guī)則用于可疑通信會話的初篩,TTP模型用于可疑會話的全量存儲數據報文的復雜計算分析,從而實現對APT攻擊行為流量的精準檢測,提高發(fā)現未知威脅的能力。

(3) 在充分發(fā)揮IOC在溯源方面價值的基礎上,基于安全事件TTP特征的關聯和利用,通過統(tǒng)計和機器學習等方法實現線索閉合性加權評估,更加精準地實現針對APT攻擊行為的溯源、評估。


本文詳細內容請下載:

http://theprogrammingfactory.com/resource/share/2000006100


作者信息:

趙云龍,楊繼,于運濤,王紹杰

(中國電子信息產業(yè)集團有限公司第六研究所,北京 100083)


Magazine.Subscription.jpg

此內容為AET網站原創(chuàng),未經授權禁止轉載。