本篇文章3911字,读完约10分钟
高级永久隧道是当前新闻安全产业界的热点。 作为目标和组织攻击方法,apt在过程上与常规攻击行为没有明显区别,但在具体的攻击步骤中,apt表现出以下优势,具有更强的破坏性。
行为特征难以提取: apt一般使用0 day漏洞获取权限,通过未知木马进行远程控制,但基于之前传输的特征匹配的检测装置总是先捕获恶意代码样本,然后根据特征进行攻击识别。 这有天生的落后。
单点隐藏能力强:为了避免以前流传的检测设备,apt更加重视动态动作和静态文件的隐藏性。 例如,通过隐藏信道、加密信道来阻止互联网行为,以及通过伪造合法签名来阻止恶意代码文件本身,给传统的基于签名的检测带来了很大的困难。
攻击途径的多样性:在目前已明确的知名apt事件中,社会交流攻击、0day漏洞利用、物理穿越等方法层出不穷,但以前流传的检测多只注重边界防御,一旦系统边界被绕过,后续攻击步骤的实施。
持续漫长的攻击: apt攻击分为几个步骤,从最初的新闻收集到新闻被盗和传播通常需要数月以上。 迄今为止流传的检测方法基于单一时点的实时检测,很难有效跟踪这样长跨度的攻击。
这种apt攻击的优越性,虽然一直以来都是以实时检测、实时拦截为主体的防御方法,但难以有效发挥作用。 在与apt的对抗中,我们也必须转变思路,采用新的检测方法,应对新的挑战。
基于/ S2/]记忆的apt检测原理
在讨论apt攻击检查之前,先取下检查的内涵。 本质上,检查是指从依赖环境中识别检查对象的过程。 为了识别检查对象,需要对表示从检查环境求出检查对象特征的数据进行采样,形成被检查区域; 需要依靠特定的背景知识,形成判断标准; 需要采用一定的判断算法,形成判断机制; 最终在受检者的范畴、判断标准、判断机制的共同作用下,进行了检查对象是否存在的论断,整体过程如图1所示。
图1 .检测逻辑模式
以之前流传的入侵检测系统[ids]为例,检测对象为网络攻击行为,检测环境为包含攻击行为数据的互联网流量数据。 为了检测攻击,需要实时收集互联网流量,提取需要形成ids被检测域的各种攻击行为的互联网特征结构特征库,使用需要作为ids判断基准库的特征匹配算法 只要有流量数据、特征库、特征匹配算法,就能够检测出互联网上是否存在已知的攻击行为。
以前流传的一种叫做ids的检测模式,在应对常规攻击方面起到了很大的作用,但对apt无能为力,首要原因如下
以前传入的ids的被检测域是实时互联网通信量,只评估实时互联网通信量是否包含攻击行为,而apt整个过程的时间跨度较长,从单个时间点的角度来看,apt了解整体情况
以前流传的ids评估机制是特征匹配,只能检测提取攻击签名的已知攻击行为; 另一方面,apt过程中经常使用0 day、特殊木马、隐藏通道传输等未知攻击,无法通过误用检测的方法准确识别,只能通过异常检测的方法识别可疑攻击行为。
鉴于上述不足,为了有效地对抗apt,一方面扩大被检测区域,使基于单个暂时点的实时检测转移到基于历史时间窗的异步检测; 另一方面,必须丰富判定机制,以检测已知的攻击,并且能够同时检测未知的攻击。 为此,我们提出了一种基于记忆的新检测模式,共分为四个步骤:
1、放大:即扩大被检测区域,对全流量数据进行内存分解。 这样,如果检测到可疑行为,则可以追溯分析与攻击行为相关的过去流量的数据。 以前发生的、无法触发分解者观察的警报可能隐藏着有意的攻击意图,通过这种追溯性的分析,有可能更有效地识别出来。 如果有全部流量的积累,追溯到任意的历史时刻,使用新的检测特性和检测技术,能够以任意的粒度分解产生的流量,这是本系统的最大优点。
2、浓缩)对保存的大数据进行分解操作,删除与攻击无关的数据空节省时间,保存与攻击相关的数据,以备后续分解。 浓缩过程需要利用攻击检测模块,可以通过第三方检测设备如ids报警进行分解,直接对全流量数据进行异常检测发出可疑报警,并根据报警进行分解。
3、精确:对发生的可疑攻击数据进行更深入的分解,对攻击行为发出精确的警报。 通过多维数据的可视化分解,可以识别可疑对话,进而对流量数据进行细粒度协议分析和APP恢复,识别异常行为和伪装成常规业务的攻击行为。 在这个环节中,分解者的参与是必要的,用人机结合的方法来提高分解效率和准确性。
4、场景:涉及各类攻击报警,识别报警之间的攻击层含义关系,根据孤立报警完善攻击场景。 常用方法是用关联规则的方法建立攻击场景知识库,匹配和关联警报,从而完成攻击场景的构建。
/ s2/ ]系统框架
根据数据—新闻—知识逐层凝聚的模式,基于记忆的apt攻击检测系统的结构分为三个阶段,整个系统的体系结构图如下。
图2基于记忆的检测系统的体系结构图
1、存储层
存储层完成了对直接从网络获取的实时数据流的预解析和存储管理。 对实时数据流首先进行传输层会话恢复,消除互联网条件对无序、重发、延迟等后续分解的干扰,识别APP协议,加载在数据流上的具体APP序列 最终从非结构化数据流中提取结构化元数据新闻,以供后续各种统计和相关分析。
预先解析的原始数据流既包括完整的流量数据,也包括提取的元数据。 考虑到大量数据的存储压力,可以对不同类型的数据应用灵活的管理策略。
对于l全流量数据,窗口长度进行星期级的存储。 由于全流量数据占用大量存储空之间,因此长时间存储并不合适,但后续的回溯分解需要全流量数据。 因此,使用折中的存储战略。 这几周,例如只保存1-2周的全流量新闻,分解解决过期的数据。
l对元数据进行年度级存储。 提取的元数据只包含APP应用层会话的重要新闻,其数据量约相当于所有流量新闻的5%。 这些新闻在以后的统计、关联和数据挖掘中起着重要的作用,可以长时间存储在平台上,所以在空之间是可以接受的。
2、层的解体
拆解层完成独立于原流量数据生成报警新闻的业务,主要方法如下
对于dos、扫描、蠕虫传播等会导致互联网流量严重异常的攻击,可以通过异常流量检测和统计分解方法进行识别。 建立全面完善的安全标准指标体系,可以对互联网流量异常进行更快识别的统计分解,从而准确定位置异常的位置和原因。
对于不引起流量异常的未知攻击,可以通过可疑的行为建模方法进行识别。 例如,对于没有提取特征的木马,在连接控制端时可能存在未知的加密传输、疑似心跳信号的间歇连接、访问恶意域名、异常的上下通信量比等行为,从而可以防止这些异常的行为
对于异常检测模块发出的各种报警,由于攻击签名新闻的验证不够,因此精度往往比基于特征匹配的误用检测要低。 为此,需要结合原始消息,进一步确认对警报的比较有效性。 通过经由承载消息的APP应用层对象进行细粒度协议分析和恢复,分解人员可以确定会话副本中是否包含攻击数据,从而生成更准确的警报。
3、展示层
展示层完成从孤立的攻击报警新闻生成完美攻击场景的相关工作,提供分解前端可视化的工具,帮助分解者从保存的海量历史数据中获取知识。 在攻击场景关联中,一般根据相关规则匹配攻击场景。 由于apt攻击手段的繁多和繁杂,在实际环境中由于警报事件的缺失,攻击路径图的匹配经常失败,因此必须处理基于不完全攻击路径的攻击场景的匹配问题。 对于多维数据的可视化分解,提供了分解者可以从地址、端口、协议类型等维度统计展示数据的工具,还支持在不同粒度上钻取数据,使得分解者容易在大数据中发现可疑行为。
典型的应用场景[/s2/]
典型的apt攻击流程包括新闻收集、入口点获取、远程控制、横向移动攻击目标、发现关键资产数据、数据泄露等。 对于攻击防御方来说,由于特征时间的长短和检测手段的局限性,在攻击的初期阶段未必能够实现比较有效的检测。 但是,对于像apt这样时间跨度长、攻击目标固定的攻击行为,在攻击的整个过程中总是存在几个攻击暴露点,基于此,通过回溯关联相关流量,有可能获得攻击者的完美攻击意图。
以一个攻击过程为例,攻击者试图获取某个新闻系统的重要数据。 因此,攻击者首先收集了该新闻系统部分客户的邮件地址,并向这些客户发送了邮件。 该附件包含利用0日漏洞的文件,客户打开附件时执行了恶意指令,嵌入了未知的木马中。 攻击者通过加密的指挥控制通道,对客户机主机实施远程控制,获取新闻系统中的重要数据。 在这个攻击过程中,由于攻击者利用的漏洞、嵌入的木马缺乏特征,所以使用的远程控制信道是加密的,利用现有的基于攻击签名的检测方法不容易进行比较有效的检测。
如果有基于本文所述记忆的apt攻击检测系统,只要存储攻击过程整体的数据,辅助异常检测方法,就可以进行检测。 例如,基于可疑行为的识别,系统可以检测到客户端主机上可疑的加密传输行为的可疑警报,追溯分解相关主机的数据,对相关历史通信进行协议分析,应用识别和恢复,从而生成邮件附件 拆解负责人可以通过进一步确认恢复的副本,识别攻击者的真实意图和已经发生的攻击行为,判断自己新闻资产的损失情况。
总结。总结
apt的出现,给传统传入的检测技术带来了挑战,也给新兴技术的应用带来了机遇。 硬件技术的迅速发展,提高了解决方案的运算能力,降低了单位容量的存储价格。 这为基于大数据进行apt检测提供了必要的条件。
对于apt攻击,我们的对抗措施是用时间对抗时间,改变根据以前传来的单一时间点进行特征匹配的局面,关联分解长期窗数据,辅助异常检测算法,以应对现有检测手段的不足。 通过扩大检测域,丰富检测机制,形成了新一代基于记忆的智能检测系统。 随着大数据技术的迅速发展,各种检测算法的丰富,基于记忆的智能检测系统将在应对apt攻击中发挥更大的作用。
标题:“时间对抗:防御APT攻击的新思路”
地址:http://www.sdsxywx.com/sdss/4415.html