[[346492]]

引 言

隨著互聯(lián)網(wǎng)的不斷發(fā)展，越來越多的企業(yè)把信息存儲到與互聯(lián)網(wǎng)連接的設(shè)備上。一些不法分子企圖利用網(wǎng)絡(luò)漏洞竊取企業(yè)的重要信息和機(jī)密文件，攻擊者通過向目標(biāo)主機(jī)發(fā)送特定的攻擊數(shù)據(jù)包執(zhí)行惡意行為。如何追蹤這些攻擊數(shù)據(jù)的來源，定位背后的攻擊者，成為了業(yè)內(nèi)人員重點(diǎn)關(guān)注的問題。

網(wǎng)絡(luò)攻擊溯源技術(shù)通過綜合利用各種手段主動地追蹤網(wǎng)絡(luò)攻擊發(fā)起者、定位攻擊源，結(jié)合網(wǎng)絡(luò)取證和威脅情報(bào)，有針對性地減緩或反制網(wǎng)絡(luò)攻擊，爭取在造成破壞之前消除隱患，在網(wǎng)絡(luò)安全領(lǐng)域具有非常重要的現(xiàn)實(shí)意義。

上周介紹了網(wǎng)絡(luò)攻擊溯源技術(shù)背景及攻擊溯源過程。本周主要介紹攻擊溯源工具及威脅場景構(gòu)建。

攻擊溯源工具

安全分析師需要檢查系統(tǒng)和網(wǎng)絡(luò)上發(fā)生的歷史操作記錄和當(dāng)前狀態(tài)詳細(xì)信息，因此需要依靠多種工具和數(shù)據(jù)源來協(xié)助溯源分析，常用的工具包括：

1. 安全監(jiān)控工具：安全分析師使用不同來源的監(jiān)控?cái)?shù)據(jù)，例如防火墻、終端防護(hù)、網(wǎng)絡(luò)入侵檢測、內(nèi)部威脅檢測以及其他安全工具的監(jiān)控?cái)?shù)據(jù)，用以描繪駐留在網(wǎng)絡(luò)中的攻擊者所進(jìn)行的活動。

2. 可視化分析工具：幫助安全分析師通過使用交互式儀表板來實(shí)現(xiàn)復(fù)雜關(guān)系數(shù)據(jù)可視化，發(fā)現(xiàn)不同數(shù)據(jù)集之間的隱藏關(guān)聯(lián)關(guān)系。

3. SIEM解決方案[14]：SIEM解決方案從網(wǎng)絡(luò)環(huán)境中的各種來源收集結(jié)構(gòu)化日志數(shù)據(jù)，提供對數(shù)據(jù)的實(shí)時(shí)分析并向相關(guān)部門發(fā)出安全警報(bào)。SIEM解決方案可幫助安全分析師自動收集并利用來自安全監(jiān)視工具和其他來源的大量日志數(shù)據(jù)，從而識別潛在安全威脅。

4. 網(wǎng)絡(luò)威脅情報(bào)[15]：威脅情報(bào)提高了分析人員識別相關(guān)威脅并及時(shí)做出響應(yīng)的能力，通過開源的威脅情報(bào)庫實(shí)現(xiàn)信息交換，得到威脅分析所需的惡意IP地址、惡意軟件哈希值等信息。

5. 其他工具：一些特定功能的分析工具對攻擊溯源也有很好的幫助，例如檢查PDF操作、PowerShell操作等。

威脅場景構(gòu)建

攻擊溯源假設(shè)有潛伏在信息系統(tǒng)內(nèi)部未被檢測出的威脅，需要安全分析師在溯源數(shù)據(jù)中識別攻擊者的惡意行為，重建攻擊場景。近年來也出現(xiàn)了很多APT威脅分析場景下進(jìn)行攻擊溯源的研究工作。

Poirot[16]將網(wǎng)絡(luò)威脅狩獵定義為一個威脅情報(bào)子圖模式匹配問題，在起源圖中找到表示威脅行為的嵌入圖來檢測網(wǎng)絡(luò)攻擊，圖5展示了Poirot方法概述圖。

圖5 Poirot方法概述

HOLMES[17]將底層實(shí)體行為映射為ATT&CK矩陣中的技術(shù)和戰(zhàn)術(shù)，同時(shí)生成一個高級攻擊場景圖實(shí)時(shí)總結(jié)攻擊者行動，幫助研判人員進(jìn)行分析，圖6展示了Holmes方法框架。

圖6 Holmes:從審計(jì)記錄到高級APT階段

總 結(jié)

在全球信息化的背景下，網(wǎng)絡(luò)活動安全性和威脅防范能力越來越受到業(yè)界的重視，采取主動的攻擊溯源技術(shù)尤為重要。網(wǎng)絡(luò)攻擊溯源分析需要對網(wǎng)絡(luò)攻擊進(jìn)行全面地深入了解，結(jié)合各種防御技術(shù)積累安全數(shù)據(jù)。得到充足的數(shù)據(jù)后利用機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等算法，實(shí)現(xiàn)自動化分析達(dá)到高成熟度攻擊溯源。

網(wǎng)絡(luò)攻擊溯源技術(shù)還有著巨大的發(fā)展空間，如何追溯到更多的有用數(shù)據(jù)，如何多維度地對得到的數(shù)據(jù)進(jìn)行分析，以及如何提高攻擊溯源技術(shù)的有效性等方面依舊任重而道遠(yuǎn)。

參考文獻(xiàn)

[14]Bhatt S, Manadhata P K, Zomlot L. The operational role of security information and event management systems[J]. IEEE Security & Privacy, 2014, 12(5): 35-41.

[15]C. Rice. Cyber Threat Intelligence. UK, 2014.

[16]Milajerdi S M, Eshete B, Gjomemo R, et al. Poirot: Aligning attack behavior with kernel audit records for cyber threat hunting[C]//2019 ACM SIGSAC Conference on Computer and Communications Security, 2019: 1795-1812.

[17]Milajerdi S M, Gjomemo R, Eshete B, et al. Holmes: real-time apt detection through correlation of suspicious information flows[C]//2019 IEEE Symposium on Security and Privacy (SP), 2019: 1137-1152.

 【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文