針對APT攻擊的聚類挖掘方法

羅震宇 李寒箬

【摘 要】現階段網絡中存在著諸多攻擊行為，APT攻擊受到人們的重點關注。在安全日志的基礎上對APT攻擊的檢測，通常會先構建攻擊模型接著把日志和模型關聯到一起，但是這對模型完整度的依賴性較高，不完整的模型會使一些警報不能匹配從而被遺漏，對于完整APT攻擊模型的構建工作也是較為復雜的。就這個問題而言，本文研究和分析了從安全日志中挖掘攻擊場景模型的方法，進行了一系列的相關研究工作，為檢測APT提供有效依據。先介紹了殺傷鏈模型，接著對APT攻擊以及模糊聚類做出了闡述，而后研究了攻擊場景的挖掘方法，以供相關人員進行參考。

【關鍵詞】APT;殺傷鏈;模糊聚類;關聯;攻擊場景

引言

電力公司信息中心比較重視網絡安全，信息化程度較高，網絡架構在安全設計方面，目前已達到高強度的保護等級，在各職能部門網絡部署如防火墻、入侵檢測、防毒墻等多種安全設備，防御病毒和黑客等威脅對內網的入侵。但隨著網絡技術的快速發展，安全形勢和特點已有所變化，網絡威脅已從外部攻擊向內部攻擊轉變、從惡意病毒碼傳播向異常行為攻擊轉變、從單一的通信協議偽裝向高層的應用服務滲透……這些安全趨勢的變化，已經給電力公司信息中心及下屬各單位網絡帶來嚴重的潛在威脅和風險。如何對網絡威脅即時檢測，對網絡風險主動評估與防范，已成為網絡管理部門亟待解決的問題。本文正是在此基礎上根據相關的理論數據以及相應有效的計算設計和研究了基于殺傷鏈和模糊聚類的APT攻擊場景生成方法。

1.殺傷鏈模型介紹

殺傷鏈是一個攻擊過程，對于過程中各個階段都有各自的攻擊行為與目的，通過日漸的完善與改進，主要包含以下幾個階段：發現、鎖定、跟蹤、定位、交戰、評估。相關研究工作者提出了IKC，這是一種專門用于入侵的殺傷鏈模型，從入侵檢測方面把攻擊過程細化為幾個方面，其中包括：偵查、武器化、散布、惡用、設置、命令與控制、目標達成。

殺傷鏈模型能夠表現出一個結構，這個結構能夠分析入侵過程以及發現相關的攻擊特征，其符合網絡攻擊的相關特點，給防御和檢測攻擊行為提供有效的依據，在APT相關研究工作中也會經常應用到它。安全防御人員可以通過殺傷鏈模型來檢測攻擊行為，并據此制定和實施相應的對策，并對其他類似攻擊能有效進行防御，降低系統和網絡在面對網絡攻擊時的損失。

2.APT攻擊

2.1 相關概念

2006年美國波音公司提出了APT攻擊的概念，這是APT概念首次的提出，其主要是指具有明確目的性的、時間持續的、高級的復雜網絡攻擊。谷歌公司在2010年遭受到高級的復雜網絡進攻，從那時開始相關的行業以及相應的研究工作者開始重點關注APT。

現階段來看APT攻擊的定義存在差異，這主要源于不同機構對其有著不同的定義，美國NIST定義APT為：APT攻擊是攻擊者利用先進的專業知識和有效資源，通過多種攻擊途徑（如網絡物理設施和欺騙等），在特定組織的信息技術基礎設施上建立立足點并進行轉移，以達到竊取敏感數據、破壞程序或關鍵系統、阻礙任務、駐留在組織的內部進行后續攻擊的目的[1]。

2.2 APT生命周期說明

根據實施過程來劃分APT生命周期的階段，其中包括（a）攻擊前奏（b）入侵實施（c）后續攻擊。對于各個階段來說其都有各自的攻擊方法以及攻擊目的，前期階段的成果為后期階段奠定基礎，從而達到攻擊者的目的。

（a）攻擊前奏是指通過全面的掃描和探測，收集信息的一個階段。通常使用的技術手段有多種，其中包含以社會工程學為基礎的方法、利用大數據提取公開信息、掃描探測目標網絡系統。根據收集到的相關情報攻擊者就能夠有針對性地制訂相應的計劃。攻擊者這個階段的一系列操作都是為下一階段奠定了技術基礎。

（b）入侵實施階段包含三個具體環節：植入惡意代碼、提升權限、命令與控制。主要就是指攻擊方對目標開始實際上的攻擊行為來獲取更高級別的權限，接著利用收集到的更有意義的情報來進行滲透，從而達到增大影響范圍的目的。

（c）在后續攻擊這個階段，攻擊者會開展潛伏工作為的就是可以取得更好的滲透效果、獲得更多數量的相關數據，在完成目標之后攻擊者也許會開展破壞工作來抹除相應的痕跡，從而增加查證的難度。

2.3 APT檢測技術說明

APT與傳統攻擊進行比較，其具備諸多特點，其中包括方法的多樣化、持續時間久、較高的隱藏能力、攻擊路徑變化較快等方面。根據APT的這些特點以及在傳統技術的基礎上，相關工作者開發了適用于APT的檢測技術：（a）基于網絡流量的檢測（b）基于沙箱的檢測（c）基于惡意代碼的檢測（d）基于網絡安全事件挖掘的檢測（e）基于記憶的檢測技術

對于上述的檢測技術，重點講述一下“基于記憶的檢測技術”，這種技術所運用的策略是通過時間來對抗時間，將單點進行改變的一種方式。一些較為麻煩的多步驟攻擊只有經過漫長時間日志進行關聯才能檢測出，但問題也隨之出現，需要用到相關的因果理論知識，攻擊規則和攻擊模型的構建具備一定的主觀性，因此相關工作者開始自動構建、自動更新的研究工作，降低相關人工操作，不用工作人員增添相應的規則來完成更新。

3.模糊聚類

模糊聚類中關鍵的一步就是模糊相似度的函數計算，通常來講IDS警報為非數值型，對其進行度量所使用的方法如下：

為警報集， 和 模糊聚類的隸屬函數定義為 ，其中m為一條警報的屬性個數， 為每個屬性對應的權值， 為每個屬性的相似度隸屬函數，需要根據每個屬性的具體含義制定[1]。

接下來我們進行模糊聚類的過程。對于一條新的警報 ，它與已得到的聚類中的警報 的距離，或者相似度用下式表示：

其中， 為屬性k的權重。

（1）攻擊事件。

（2）IP地址

多個主機攻擊統一目標主機、一個主機攻擊多個目標主機、跳板式攻擊。

（3）時間戳

最終總的相似度為

4.攻擊場景挖掘方法

4.1 篩選攻擊序列

根據相關的攻擊序列集合來看，每個集合中警報間都有著一定的聯系，這可能開展APT攻擊時所產生的，但并不是全部的集合都是APT，這就需要我們通過對有效數據和信息的比對分析來進行挖掘。

主要篩選以下幾種情況：將獨立的報警刪除;保留攻擊序列的完整程度;保留相關IP地址;保留DNS惡意分析警報。

4.2 攻擊場景生成

在攻擊序列向有向圖發生轉變時將接近攻擊時間的相同報警進行合并，將警報合并為一個節點，由于攻擊者在進行攻擊時會應用到一些自動化，接連發送惡意請求，導致出現一些時間相近、事件相同的警報。

攻擊場景挖掘流程：

—返回第取出ASS攻擊序列一步。滿足的話則——ASi轉換為有向圖;

不存在的話——多個有向圖通過轉移矩陣合并為一個概率攻擊場景圖。

5.結語

綜上所述，通過對殺傷鏈模型以及APT攻擊的了解之后，研究了挖掘攻擊場景的相關技術，接著介紹了APT場景生成方法的相關流程，介紹了相應模塊的處理和計算方法。本次研究對于網絡威脅檢測系統的部署，內網安全機制的強化有著一定的積極意義。還要不斷加強即時檢測用戶異常行為，監測網絡設備的運行狀況，對網絡安全風險自動評估和響應，應對信息網絡環境變遷迅速及業務多元發展所帶來的隱藏安全威脅，以此確保內部網絡系統相關信息資產的機密性、完整性與可用性。

參考文獻：

[1]霍彥宇. 基于殺傷鏈和模糊聚類的APT攻擊場景生成方法的研究與設計[D]. 2018.

[2]張玉剛. 基于模糊聚類和因果關聯的攻擊場景構造方法的研究與實現[D]. 華中師范大學， 2009.

[3]蔡虹， 葉水生. 一種基于模糊聚類的組合BP神經網絡數據挖掘方法[J]. 南昌航空大學學報（自然科學版）， 2005， 19（1）：19-23.

[4]齊惠英. 一種基于主成分分析和模糊聚類的入侵檢測方法[J]. 科技通報， 2012， 28（12）：51-53.

[5]楊蘋. 基于聚焦式模糊聚類算法的數據挖掘故障診斷方法[J]. 動力工程學報， 2006， 26（4）：511-515.

[6]蔡麗萍， 李茂青. 一種基于模糊聚類的日志挖掘方法及應用[C]// 中國數據庫學術會議. 2004.

作者簡介：

羅震宇，男，漢族，云南，大學本科，網絡及網絡安全運維;

李寒箬，女，云南，大學本科， 網絡及網絡安全運維。

（作者單位：1云南電網有限責任公司信息中心;2云南電網有限責任公司信息中心）