基于多重檢測的關基終端安全防護技術研究

李海威 王文倩 李坤 公安部第一研究所

引言

網絡攻擊日益體現出規?；?、精準化、高維化的趨勢[1]，以多層次保護思路為代表的關鍵信息基礎設施保護理念也在不斷地實踐與優化[2]。隨著云、大、物、移、智的發展，原有的邊界被打破，攻擊突破口體現出更大的不確定性，已經不再主要集中于網絡系統、重要服務器或數據庫等，而是越來越多地出現在終端。伴隨流量檢測能力逐漸受限，市場、政策、技術推動國內終端安全市場重啟，終端已成網絡安全的必爭之地，是關基保護中不可忽視的重要環節，也是《關鍵信息基礎設施安全保護要求》（GB/T 39204-2022）中實現安全防護、主動防御能力要求不可或缺的重要部分。同時，除傳統的臺式計算機、筆記本電腦外，移動設備、IOT等類型設備也不斷加入網絡[3]，終端的形態與使用模式與以往相比更加復雜，而相應的攻擊技術還在不斷變化，攻擊路徑的選擇更靈活，攻擊工具持續在迭代，導致安全威脅更加隱蔽，更加難以識別與發現，最終形成了當前形勢下終端安全保護工作的重大挑戰。

一、終端安全形勢分析

終端作為用戶與關基系統交互的主要接口，同樣是很多敏感數據處理、傳輸、存儲的重要設備，在關基保護工作中十分重要，有問題的終端，如感染病毒的終端接入關基系統后對整體安全的影響十分巨大[4]。目前的終端保護工作中，以弱口令、老舊漏洞為代表的傳統問題仍然大量存在，APT攻擊、勒索病毒及其變種、新型后門攻擊等新手段層出不窮，人工智能也已經被攻擊方利用來加速攻擊技術的迭代升級[5]，創建更復雜而高級的攻擊模式。

當前關基系統終端安全面臨的形勢十分嚴峻，而針對終端的典型防御工作大多停留在原有的階段，包括以補丁修復、特征庫升級、安全策略優化和安全管理完善等預防措施，還有特征分析、日志分析、資產管控、準入控制等防御措施[6,7]。這些技術措施在以往的終端保護中起到了良好的作用，而在新形勢下的終端安全保護方面已經越來越體現出不足。主要問題體現在兩方面：（1）預防手段主要基于已知的威脅，必然會存在滯后性，只能起到緩解系統風險作用，無法從根本上解決問題；（2）防御手段對網絡攻擊的分析僅限于表面層的靜態特征，對高級威脅的防護能力不足，特別是不具備檢測出在系統底層出現的惡意攻擊行為。

二、多重檢測終端安全防護總體思路

（一）安全防護總體思路

建立新一代終端安全防護方案，通過輕量化客戶端、海量情報分析、智能分析，建立“端網”協同機制，實現終端威脅檢測、分析、取證、處置一體化能力。從攻擊面分析，需對終端文件、進程、系統、內存、網絡、CPU指令等層面信息進行全方位探針，為了有效應對無文件攻擊、APT攻擊等高級持續性攻擊，同時保障終端輕量化，需要將全量信息集中上報至“云端”，并引入動態分析、智能分析、行為分析等新技術，實現對內外網威脅全面發現的能力。結合海量情報分析實現聯防預警，整體框架如圖1所示。

（二）多重檢測技術路線

依據國家對關鍵信息基礎設施保護提出的整體防護原則，需要對終端內存層、系統層、應用層、網絡層實現立體防護，研究內存監控技術可實現二進制攻擊檢測，研究行為分析技術可實現未知惡意代碼攻擊、腳本攻擊檢測能力，研究智能分析可對終端采集信息進行學習，增強高級威脅發現能力，研究情報關聯分析技術，可實現非法外聯、APT攻擊發現能力，并實現情報共享。

三、多重檢測終端安全技術研究

（一）關鍵技術

1.內存檢測技術

通過內存行為分析技術可以實現以下二方面保護能力：（1）漏洞防御能力：通過細粒度的監控內存讀、寫、執行行為，可實時檢測內存中存在ROP、堆噴、堆棧屬性攻擊、內存Shellcode執行等異常行為，結合攔截模塊進行漏洞防御。（2）暫態數據保護：存儲在硬盤中數據可以稱為“靜態”數據，而在運行中數據為“暫態”數據，且為明文狀態，基于內存檢測技術可防止攻擊者Dump內存中數據，從而實現保護作用。

2.行為分析技術

行為分析技術在國外又稱NGAV下一代殺毒技術，通過行為分析技術可有效應對已知、未知威脅。病毒樣本可能有無數，并不斷衍生新的病毒程序，基于特征或簽名方式難以有效應對，研究行為分析技術，核心識別病毒樣本惡意行為，攻擊者為了達成攻擊目的必然會執行一系列惡意行為，而攻擊行為數量是收斂的（每種類型大概200～300種），通過行為分析技術可實現主動防御，最終實現未知威脅檢測及防護能力。

3.情報關聯分析技術

威脅情報可彌補攻防兩端信息不對稱問題，已經成為終端安全必選項，成為新的“驅動力”。終端可發現組織內部更詳細信息，而情報可更多挖掘APT攻擊，從情報類型上可不斷加強外聯情報、文件情報能力建設，終端對文件信息、行為信息、網絡信息進行實時采集與云端情報聯動分析，實現對告警事件準確分析定位，通過終端威脅能力與云端情報結合，可形成內生性，實現情報的“消費”和“生產”不斷循環，最終通過聯動分析實現一點被攻破，全網共免疫的效果。

4.灰文件鑒定技術

首先需對全網終端黑文件、白文件進行識別，對系統中白文件聚合分析是重點，通過聚合分析技術實現對全網終端中系統白文件進行精準識別并歸類，例如：系統中某個文件，在系統升級后其文件特征信息會改變，需要將其進行準確識別并歸類至白名單中，再進行全網分析統計，一旦發現白文件僅存在于某個終端，需要對其進行重點分析，以確認其是否遭受潛在攻擊。通過對黑白文件過濾、對全網“灰文件”可結合沙箱進行聯動分析，從而實現灰文件鑒定，最終建立黑、白、灰、準白全息檔案。

5.智能分析技術

AI驅動安全，在國內外已經成為新“聚焦點”，研究基于AI技術，可實現未知威脅檢測、合規自動化檢查、高級威脅智能定級、威脅取證溯源分析、高級威脅影響分析、安全自動化運營、AI防護等場景，將客戶端廣泛部署在客戶生產環境，數據上報至“云端”，可對數據進行充分訓練，通過大量威脅數據分析，可在威脅檢測能力、誤報率控制、檢測性能上與傳統檢測產品拉開差距，提升對高級威脅行為的發現能力，同時提供描述性、診斷性、預測性以及指導性分析，以了解安全威脅并及時做出響應。

（二）核心功能

1.文件/外聯全息建檔功能

針對組織內部黑、白、“灰文件”及IP/域名實現全息檔案建設，精確衡量與跟蹤，在發現惡意程序后，分析人員可快速評估其嚴重程度、影響程度，快速查詢其是否存在其他計算機上，從而判斷其是否為系統性事件，了解入侵指標，實現“威脅全網排查”。

2.情報聯動分析功能

解決流量設備發現威脅告警后證據鏈不完整問題，全面提升威脅發現及溯源能力，同時終端采集IP、域名、文件MD5等信息，可與情報進行聯動分析，實現問題“精準定位”。

3.黑灰產外聯檢測功能

終端基于DNS的監測分析，與網絡威脅情報聯防處置平臺（K01）實現聯動，針對IP、域名發現黑灰產外聯，實現“外聯檢測”。

4.威脅線索自動分析取證

發現攻擊威脅后，需要能夠對當時發生攻擊事件相關信息進行實時取證，高級攻擊樣本具備自刪除能力、非法外聯請求具有時效性，事后檢測方式即使發現告警，由于丟失威脅發生時的關鍵證據，難以定性。通過對終端病毒樣本、進程鏈信息、內存Dump等類型信息進行實時取證，可解決關鍵固證信息不完整，難以分析定位問題。

5.新型/未知威脅檢測

內存攻擊具有難檢測、難分析、難取證的問題，通過內存行為監控技術實現內存威脅發現能力，解決內存威脅防護不足問題。深入腳本解釋器，監控程序內部執行行為，從而可以有效發現腳本攻擊。通過行為分析技術，防范未知惡意代碼攻擊。

6.APT攻擊檢測

通過終端文件特征分析及行為分析，實現對疑似APT組織線索發現，結合威脅樣本行為分析系統、情報系統實現“APT檢測”。

7.清除頑固病毒

針對普通病毒木馬程序，通過殺毒軟件快速查殺即可，而當前筆者發現終端出現重新啟動后病毒再次運行的情況，難以徹底根除。研究Antirootkit病毒處置工具，對進程、文件、啟動項等清除，實現病毒“徹底根除”。

四、應用效果與驗證

終端安全問題是關鍵信息基礎設施的主要隱患。針對終端安全防護問題，基于本文思想與核心技術設計實現的終端安全防護系統（網鑒V01），具備終端威脅檢測、分析取證、威脅處置、場景化防護一體化運營能力。通過聯動能力建立終端聯防聯控體系，探針采集終端文件、進程、內存、指令、網絡等不同層面數據上報云端，強化AI未知威脅檢測效果，實現針對終端的新威脅、未知威脅的發現能力。系統適用于政府、金融和互聯網等大型企事業單位VDI環境和辦公終端的安全防護，致力于終端威脅閉環管理，結合聯動能力提供集權系統一體化防護、社工釣魚場景防護，能夠有效應對終端僵木蠕及未知惡意代碼防范，輔助關鍵信息基礎設施運營單位抵抗APT組織攻擊，緩解0day漏洞攻擊，全面提升企業辦公終端安全管理的水平。以某省大型國有能源企業應用為實例驗證實踐效果。

（一）系統部署方案

網鑒V01管理中心采用集群部署模式，部署在IDC區，采用B/S結構，通過瀏覽器即可實現對全網終端的安全管理與監控，探針部署在全網辦公終端環境，包括主流Windows操作系統、VDI環境。部署終端3000點，實現文件全息建檔，通過情報、沙箱聯動等檢測手段，全面覆蓋已知、未知威脅。詳細部署架構如圖3所示。

（二）實踐效果驗證

系統部署后，7日內共計檢測發現并建立白文件檔案452130條，建立準白文件檔案162850個，黑文件發現1230條，灰文件發現663個，威脅文件線索發現12135條，有效攔截率達99%。詳細威脅分類見表1。

針對惡意文件線索的分析過程中發現，發現365臺終端上存在未及時清理的惡意程序；在對文件的具體特征分析過程中發現內網存在蠕蟲、后門軟件病毒等惡意代碼。通過內存攻擊行為檢測，發現在該企業內部存在大量具有高危行為的程序，協助該企業用戶對高危行為的軟件進行了摸底排查及應急處置。

五、總結與展望

為強化落實《關鍵信息基礎設施安全保護要求》，有效防護終端安全，做好關鍵信息基礎設施安全的最后一道屏障，有針對性地提升關鍵信息基礎設施安全防護、監測預警和主動防御能力，基于多重檢測的終端安全防護技術，結合AI驅動安全理念，將人工智能算法用于預測、鑒定、組織惡意程序，結合行為分析自動化檢測組織異常行為，緩解零日攻擊造成的破壞，有效提升我國關鍵信息基礎設施終端安全防護水平。研究基于內存安全檢測技術、未知威脅檢測技術、關聯分析技術、威脅情報聯動分析等關鍵技術，捕獲發生在終端內存、內核、文件、進程等不同層面中的異常行為，加強云端分析能力、聯動分析能力，及時發現和攔截未知威脅，是關鍵信息基礎設施運營單位未來網絡安全建設的重點方向。