一种基于APT攻击图的威胁检测方法、装置与设备与流程

一种基于apt攻击图的威胁检测方法、装置与设备
技术领域
1.本发明涉及网络空间安全技术领域，特别是一种基于apt攻击图的威胁检测方法、装置与设备。


背景技术：

2.高级持续威胁(apt)攻击是一种针对目标企业或政府等高价值目标，由复杂且具有良好资源的攻击者发起的网络攻击。相比一般的网络攻击，apt攻击会造成更严重的损害，包括知识产权盗窃、金融信息泄露和关键基础设施被破坏等，是当前网络安全的巨大威胁。apt攻击潜伏时间长、行动缓慢、利用零日漏洞，这三种特性为检测带来困难。目前检测中主要面临两类挑战：(1)入侵检测工具会产生大量的假警报，为分析人员积压调查任务，同时由于低级日志系统过于庞大，确认威胁警报的真实性需要繁琐的体力劳动，造成威胁警报疲劳问题；(2)攻击过程中的零日漏洞利用行为难以检测。因此，如何设计一种低开销的方法，有效打击威胁警报疲劳，并及时发现零日漏洞利用痕迹，是目前需要解决的主要问题。
3.攻击图是一个表示攻击者可能采取的所有攻击路径的有向图，它是一种功能强大的安全技术，可以模拟攻击者可能危害网络中不同资产的多种方式。它以威胁情报信息作为直接或潜在安全威胁的外部信息资源，帮助安全人员快速甄别恶意威胁攻击并及时作出响应防御。因此，攻击图被广泛应用于主动发现系统中的脆弱点，理解当前网络的安全状态。攻击图是现有网络脆弱性分析方法中最常用、最有效的方法，通过攻击路径直观图形化地展示了攻击行为细节，为预测攻击者意图和后续行为提供支撑，帮助防御者了解目标网络中漏洞关系以及漏洞与网络安全配置的关系。但在apt攻击检测领域中由于无法检测位置攻击而失去适应性，因此缺少攻击图的可行性应用。
4.现有apt攻击检测方法大体可以分成两类：基于启发式匹配的方法和基于异常分析的方法。前者依赖先验知识，通过观察恶意行为特征构建规则进行匹配检测，通常只能实现对已知攻击的检测，误检率较高；后者则首先观测和采集良性系统环境数据，建立良性系统行为模型，基于行为模型偏差来发现攻击行为，使用条件严苛且可移植性弱，漏检率问题严重。也有方法利用属性攻击图技术对系统进行分析，不仅开销较大，而且由于信息不对等往往会造成漏报问题。无论启发式匹配还是异常分析，当前的apt检测方法都主要面临两方面问题：零日漏洞利用造成的漏检问题和威胁警报疲劳问题。


技术实现要素：

5.发明目的：针对现有技术存在的问题，本发明的目的在于提供一种基于apt攻击图的威胁检测方法、装置与设备，以打击apt攻击检测中的威胁警报疲劳问题，提升对零日漏洞利用攻击的抵抗能力，识别系统中发生的重大入侵并定位攻击影响范围。
6.技术方案：实现本发明目的的技术解决方案为：一种基于apt攻击图的威胁检测方法，包括如下步骤：
7.基于收集的网络与待保护系统信息生成apt攻击图，并通过部署的入侵检测系统，收集恶意行为入侵警报；所述apt攻击图中的攻击行为节点包括攻击技术和apt阶段信息；
8.将入侵警报与apt攻击图中攻击技术进行匹配，获取与入侵警报相关联的攻击路径，攻击路径上包括至少一个匹配到入侵警报的攻击行为节点；
9.从攻击行为常见度、严重性和必要性出发对攻击路径上各攻击行为节点进行量化分析，分别得到常见度评分sc、严重性评分ss和必要性评分sn，将作为apt攻击行为综合评分，其中a为常见度和严重性评分的最高值，α、β为大于0小于1的权值，α β＝1，sn取值为0或1，若攻击行为是apt攻击必要阶段的行为，则必要性取值为1；将整条攻击路径上所有匹配到入侵警报的攻击行为节点的综合评分累加，作为路径评分，基于路径评分识别apt攻击；
10.对检测到apt攻击的攻击路径进行证据链重构，显示攻击者行动和待保护系统中风险实体之间的交互。
11.作为优选，生成apt攻击图时，利用mulval框架对收集的信息进行推理分析，先推理出可能的攻击行为，再分析攻击行为对应的apt阶段；从攻击阶段为侦察、资源开发或初始访问的攻击初期节点出发，沿着边的指向进行推理；若攻击图中存在一条由节点a指向节点b的有向边，定义节点a为节点b的前置节点，节点b为节点a的后置节点；推理规则如下：(1)后置节点的对应阶段是前置节点的后续阶段，后续阶段是前置节点的apt阶段的下一个阶段或者与前置节点的apt阶段相同；(2)若节点存在多个后续阶段，分别基于每个阶段向后分析；(3)若后置节点无法满足攻击阶段关系要求则路径不成立；(4)最终攻击图中包含推理得到的全部攻击阶段路径。
12.作为优选，在攻击行为量化分析过程中，基于att&ck模型将攻击行为的常见度和严重性划分等级，攻击行为越常见，则常见度分数越高，攻击行为越严重，则严重性分数越高。
13.作为优选，将收集到的入侵警报根据警报特征之间的相似度进行聚合，合并由同一攻击行为引起的多个警报到一个警报组，缩减警报规模。
14.作为优选，在将入侵警报与攻击图进行匹配时，若存在未被匹配到攻击图中任一攻击行为节点的警报，则作为独立警报保存；若独立警报存在相似警报，则将独立警报加入相似警报所匹配的攻击行为节点。
15.作为优选，证据链重构时，首先关联apt攻击路径上的警报实体，根据警报间关联生成初始证据链；然后基于事件发生频率缩减证据链方法，以及基于灰名单的多攻击实体关联机制，在入侵警报信息基础上进行系统实体筛选。
16.作为优选，所述基于灰名单的多攻击实体关联机制是：将基于事件发生频率排除掉的系统实体加入监测灰名单，对灰名单实体进行可信程度评价，0级可信程度最低；若异常得分低于设定阈值的事件关联的实体初次在攻击中出现，不显示为攻击证据并在灰名单中记录，可信程度置1；若可信程度为1的实体与其他攻击发生关联，则将其可信程度置为0并进行检查；若实体检查结果为安全则将可信程度置2；可信程度为2的实体经过设定时间窗口后予以删除；其中事件异常得分＝1-事件频率得分，事件频率得分归一化到[0,1]的区间。
[0017]
基于相同发明构思，本发明提供一种基于apt攻击图的威胁检测装置，包括：
[0018]
apt攻击图生成模块，用于基于收集的网络与待保护系统信息生成apt攻击图，apt攻击图中的攻击行为节点包括攻击技术和apt阶段信息；
[0019]
警报收集模块，用于通过部署的入侵检测系统，收集恶意行为入侵警报；
[0020]
攻击路径识别模块，用于将入侵警报与apt攻击图中攻击技术进行匹配，获取与入侵警报相关联的攻击路径，攻击路径上包括至少一个匹配到入侵警报的攻击行为节点；
[0021]
apt攻击检测模块，用于从攻击行为常见度、严重性和必要性出发对攻击路径上各攻击行为节点进行量化分析，分别得到常见度评分sc、严重性评分ss和必要性评分sn，将作为apt攻击行为综合评分，其中a为常见度和严重性评分的最高值，α、β为大于0小于1的权值，α β＝1，sn取值为0或1；将整条攻击路径上所有匹配到入侵警报的攻击行为节点的综合评分累加，作为路径评分，基于路径评分识别apt攻击；
[0022]
以及证据链还原模块，用于对检测到apt攻击的攻击路径进行证据链重构，显示攻击者行动和待保护系统中风险实体之间的交互。
[0023]
基于相同发明构思，本发明提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述计算机程序被加载至处理器时实现所述的基于apt攻击图的威胁检测方法的步骤。
[0024]
基于相同发明构思，本发明提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现所述的基于apt攻击图的威胁检测方法的步骤。
[0025]
有益效果：与现有技术相比，本发明具有如下优点：
[0026]
(1)零日漏洞利用检测鲁棒性。本发明在威胁检测过程中加入攻击阶段必要性的判别信息，使得检测从常见度、严重性和必要性三个角度全面考虑，同时攻击路径评价机制也增强了对零日漏洞利用攻击的检测能力，防止了攻击者利用零日漏洞绕过检测，实现了全面的apt攻击检测，增强了零日漏洞利用攻击检测的鲁棒性。
[0027]
(2)缩减警报规模。本发明使用设计的apt攻击图来预先分析攻击行为可能性，同时使用攻击行为及路径评分方法检测apt攻击，针对长期攻击的分析大大缩减了底层入侵检测系统发出警报的规模，打击了apt攻击检测中存在的威胁警报疲劳问题。
[0028]
(3)准确还原攻击影响范围。本发明进一步设计基于事件频率的证据链缩减方法和基于灰名单的多攻击实体关联方法。当检测到apt攻击后，恢复攻击警报涉及的系统实体来还原证据链的方法会产生过大的检查范围。通过计算系统事件发生频率缩减证据链可以缩减证据链和缩小检查范围，基于灰名单的多攻击实体关联方法可以保证证据链缩减的安全性。
[0029]
(4)低开销。本发明基于apt攻击图进行攻击预测，不受传统检测方法中实时分析海量系统事件的限制，快速高效的匹配机制降低了威胁检测需要的存储开销和计算开销。
附图说明
[0030]
图1是本发明实施例的方法总体流程图。
[0031]
图2是本发明实施例中apt攻击图示意图。
[0032]
图3是本发明实施例中证据链还原结果示例图。
[0033]
图4是本发明实施例的装置结构示意图。
具体实施方式
[0034]
下面结合附图及具体实施例对本发明作进一步详细描述。以下实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和过程，但本发明的保护范围不限于下述的实施例。
[0035]
本发明实施例公开的一种基于apt攻击图的威胁检测方法，首先基于收集的网络与待保护系统信息生成apt攻击图，并通过部署的入侵检测系统，收集恶意行为入侵警报；然后将入侵警报与apt攻击图中攻击技术进行匹配，获取与入侵警报相关联的攻击路径；再从攻击行为常见度、严重性和必要性出发对攻击路径上各攻击行为节点进行量化分析，分别从常见度、严重性和必要性对攻击行为进行综合评分，并计算整条攻击路径的评分，基于路径评分识别apt攻击；最后对检测到apt攻击的攻击路径进行证据链重构，显示攻击者行动和待保护系统中风险实体之间的交互。
[0036]
如图1所示，本实施例的具体实施步骤如下：
[0037]
步骤1：apt攻击图生成。
[0038]
首先对网络与待保护系统信息进行收集，得到网络拓扑、网络服务、漏洞信息、系统账户、数据访问策略和攻击目标等信息，支持apt攻击图生成。
[0039]
然后基于收集的初始信息，利用mulval框架进行初步推理，分析当前网络状况下可能发生的一系列攻击行为；从攻击行为序列出发分析apt攻击阶段，从攻击初期阶段节点开始向后推理，最终生成apt攻击图。如图2所示，apt攻击图中主要包含三类节点：初始信息节点、攻击行为节点和攻击目标节点。图中，初始信息节点用矩形表示，显示网络拓扑、网络服务、漏洞信息、账户信息和数据访问策略等；攻击行为节点用椭圆形表示，显示攻击技术和对应apt阶段两方面信息，如令牌盗窃技术-权限提升；攻击目标节点用菱形表示，显示受保护的目标设备。边提供系统状态与攻击行动、攻击行动之间的连接。
[0040]
具体地，本实施例基于初始信息推理可能的攻击行为，再根据技术阶段关系分析攻击行为对应的apt阶段。采用自顶向下的推理方法，从攻击阶段为侦察、资源开发或初始访问的攻击初期节点出发，沿着边的指向进行推理。若攻击图中存在一条由节点a指向节点b的有向边，定义节点a为节点b的前置节点，节点b为节点a的后置节点。
[0041]
攻击阶段推理规则如下：
[0042]
(1)后置节点的对应阶段是前置节点的后续阶段，后续阶段是前置节点的apt阶段的下一个阶段(攻击者进一步行动的所属阶段)或者与前置节点的apt阶段相同。
[0043]
(2)若节点存在多个符合规定的后续阶段，分别基于每个阶段向后分析。
[0044]
(3)若后置节点无法满足攻击阶段关系要求则此路径不成立。
[0045]
(4)最终攻击图中包含推理得到的全部攻击阶段路径。
[0046]
步骤2：警报收集与聚合。
[0047]
在受保护主机或设备上部署底层snort入侵检测系统，收集恶意行为入侵警报。可进一步根据警报特征之间的相似度对警报进行聚合，缩减警报规模。根据警报间源ip地址、目的端口、线程id、进程id、警报事件、代理服务器等特征字段的相似性进行警报聚合，例如
相同源ip地址的警报，合并由同一攻击行为引起的多个警报到一个警报组，并提取攻击警报事件信息，初步缩减警报规模。
[0048]
步骤3：攻击路径识别
[0049]
入侵警报中往往包含恶意痕迹或攻击工具信息，粒度比攻击技术更细。为建立入侵警报和攻击技术间的关联，我们一方面预先收集入侵警报常见恶意行为并建立对应关系，一方面对攻击工具进行查询，整理常见入侵警报信息的高一级语义，再将入侵警报信息与攻击图技术匹配，获取映射入侵警报后的apt攻击图，支持apt攻击阶段进展分析。若出现未被匹配到攻击图的任一节点的警报，将其定义为独立警报并暂存。
[0050]
搜索攻击图中所有攻击路径，获取每条攻击路径上的一系列警报及对应攻击信息。对于独立警报，根据警报特征字段判断警报间更广泛的相似性，例如源ip地址在同一子网中的警报。若某独立警报存在相似警报，将独立警报作为相似警报所属路径的附属信息进行共同检测。
[0051]
步骤4：apt攻击检测
[0052]
设计针对apt攻击的缺失路径匹配评分算法，从攻击行为常见度、严重性和必要性三方面出发对apt行为进行量化分析。分别计算常见度评分sc、严重性评分ss和必要性评分sn，将作为apt攻击行为综合评分，其中a为常见度和严重性评分的最高值，α、β为大于0小于1的权值，α β＝1，sn取值为0或1，若攻击行为是apt攻击必要阶段的行为，则必要性取值为1。
[0053]
本例中，基于att&ck模型中的技术分析量化攻击常见程度和严重性，行为对应评分sc和ss取值范围均为[0，10]，具有越低常见程度分数sc或越高严重程度分数ss的行为往往越可能是apt攻击行为。在最新研究[xiong c,zhu t,dong w,et al.conan:a practical real-time apt detection system with high accuracy and efficiency[j].ieee transactions on dependable and secure computing,2020.]中提出apt攻击三相检测模型并指出，在apt攻击过程中，保持不变的三个部分是：(1)部署并执行攻击者的代码，即攻击者要实现目标必须首先向受害者部署代码；(2)收集敏感信息或造成损害，攻击者通常会试图窃取机密数据或者损害受害者的数据和机器；(3)与c&c服务器通信或过滤敏感数据，这也是完成apt攻击的必需操作。基于apt攻击三相检测模型中的必要性研究结论，本方案评估攻击行为在apt攻击过程中的必要性，评分sn取值为0或1，某行为必要性评分为1表示如果出现了此种攻击行为，那么一定发生了apt攻击。本例中，根据公式对警报节点的apt行为分数量化计算。将整条路径上的警报节点分数累加后，使用公式pathsum’＝(pathsum-min(pathsums))/(max(pathsums)-min(pathsums))进行归一化分析，其中pathsum和pathsum’分别为某一攻击路径归一化前、后的评分值，pathsums为所有攻击路径的评分集合。评分过高(超过设定阈值)的路径识别为apt攻击。
[0054]
警报节点检出的攻击路径可能缺失apt攻击的某些阶段信息，这是由于攻击者利用零日漏洞发起的攻击行为逃避了入侵检测系统的检查，但综合分析整条攻击路径的风险程度，尤其是apt攻击必要性的检查，使得系统仍能发现apt攻击。因此，威胁判别过程中虽然允许局部攻击路径的不完全匹配，但实现了全局层面上的严格攻击检出，这样的方法为检测系统提供了零日漏洞利用检测的健壮性，通过后续的证据还原也可以逆推攻击者行动
过程，掌握零日漏洞利用证据。
[0055]
根据apt攻击图和入侵警报集合，识别apt攻击路径的算法描述如下：
[0056]
算法1.缺失路径匹配评分算法mps(aag，alerts).
[0057]
输入：apt攻击图aag，警报集合alerts
[0058]
输出：带有异常评分的攻击路径集合apaths
[0059]
1 for each ae in alerts
[0060]
2获取当前处理警报的攻击行为action
[0061]
3获取action对应apt行为aptaction
[0062]
4 score《-getscore(aptaction)
[0063]
5 for each v in aag
[0064]
6 if v＝aptaction:action then
[0065]
7 v.score《-score
[0066]
8 end
[0067]
9 if none v＝aptaction:action then
[0068]
10 singlealerts《-(ae,aptaction,score)
[0069]
11 end
[0070]
12
[0071]
13 salert＝this-》singlealerts
[0072]
14 find salert.similar
[0073]
15将salert加入相似警报对应节点
[0074]
16 delete salert from singlealerts
[0075]
17 apaths＝null
[0076]
18 for attackpath in aag
[0077]
19 apaths《-attackpath
[0078]
20 pathsum《-0
[0079]
21 for each v in attackpath
[0080]
22 pathsum＝pathsum v.score
[0081]
23 end
[0082]
24 pathsums《-pathsum
[0083]
25 end
[0084]
26 for each pathsum in pathsums
[0085]
27 pathsum＝(pathsum-min(pathsums))/(max(pathsums)-min(pathsums))
[0086]
28 apaths.score《-pathsum
[0087]
29 end
[0088]
30 return apaths
[0089]
31 end
[0090]
步骤5：证据链重构
[0091]
对威胁判定结果为检测到apt攻击的攻击路径进行证据链重构，显示攻击者行动和风险实体之间的交互，为安全人员隔离和分析系统实体提供参考。系统实体主要包含文
件、进程、套接字等。首先关联apt行为路径上的警报实体，根据警报间关联生成初始证据链。为精准定位攻击影响范围，在入侵警报信息基础上进行系统实体筛选，排除正常和可能未受影响的系统实体，具体方法是预先收集区域内主机在时间窗口内的系统事件存储在数据库中，使用公式计算事件频率得分，其中freq(e)是事件e的频率分数，freq
max
和freq
min
分别是当前事件频率数据库中的最大和最小频率分数。上述方程基于最小-最大归一化算法来处理事件频率得分，将数据映射到[0,1]的区间，可以避免主机数量对事件频率和事件正常分数造成的影响。1减事件频率得分得到事件异常得分，将异常得分低于设定阈值的事件所关联的系统实体筛除。为避免攻击者的欺骗行为造成系统的误筛选，建立基于灰名单的多攻击实体关联机制，将排除掉的系统实体加入监测灰名单，对灰名单实体进行可信程度评价，评价为0、1或2三级，0级可信程度最低。若异常分数低的实体初次在攻击中出现，不显示为攻击证据并在灰名单中记录，可信程度置1；若可信程度为1的实体与其他攻击发生关联，即该系统实体出现在了其他攻击对应的警报信息中，则将其可信程度置为0并进行人工检查；若实体检查结果为安全则将可信程度置2；可信程度为2的实体经过一定时间窗口后予以删除。每次更改可信程度的同时记录变化时间，为可信时间窗口提供参考。
[0092]
以图3为例，攻击者使用ip地址为195.73.151.50的主机，从1028端口出发，先发起icmp扫描，扫描到ip地址为172.16.112.10的目标主机loche，接下来使用cobalt strike工具进行端口扫描，发现目标主机25号端口对应的apache服务存在漏洞，就发送漏洞利用脚本quota.bash文件，脚本文件执行后利用apache上的漏洞安装了特洛伊木马程序mstream，攻击者利用该木马程序，指挥172.16.112.10主机向ip地址为172.16.115.20的mill服务器发起了ddos行动。
[0093]
如图4所示，本发明实施例公开的一种基于apt攻击图的威胁检测装置，主要包括apt攻击图生成模块、警报收集模块、攻击路径识别模块、apt攻击检测模块以及证据链还原模块。apt攻击图生成模块，用于基于收集的网络与待保护系统信息生成apt攻击图；警报收集模块，用于通过部署的入侵检测系统，收集恶意行为入侵警报；攻击路径识别模块，用于将入侵警报与apt攻击图中攻击技术进行匹配，获取与入侵警报相关联的攻击路径；apt攻击检测模块，用于从攻击行为常见度、严重性和必要性出发对攻击路径上各攻击行为节点进行量化分析，分别得到常见度评分sc、严重性评分ss和必要性评分sn，将作为apt攻击行为综合评分；将整条攻击路径上所有匹配到入侵警报的攻击行为节点的综合评分累加，作为路径评分，基于路径评分识别apt攻击；证据链还原模块，用于对检测到apt攻击的攻击路径进行证据链重构，显示攻击者行动和待保护系统中风险实体之间的交互。
[0094]
进一步地，所述威胁检测装置还设有灰名单数据库，用于实现基于灰名单的多攻击实体关联机制。上述描述的各模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0095]
基于相同发明构思，本发明实施例公开的一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述计算机程序被加载至处理器时实
现所述的基于apt攻击图的威胁检测方法的步骤。
[0096]
基于相同发明构思，本发明实施例公开的一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现所述的基于apt攻击图的威胁检测方法的步骤。
[0097]
本领域技术人员可以理解的是，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明实施例所述方法的全部或部分步骤。存储介质包括：u盘、移动硬盘、只读存储器rom、随机存取存储器ram、磁碟或者光盘等各种可以存储计算机程序的介质。