引言

隨著網絡空間對抗愈演愈烈，網絡攻擊行為也不斷升級，已經不再局限于使用傳統的病毒、遠控程序，正逐步向0-day漏洞利用、嵌套式攻擊、木馬潛伏植入、隱蔽加密通信等更加復雜的攻擊形態演化。這些攻擊目標、攻擊目的高度確定的黑客行為，摻雜了人工智能、躲避逃逸、情報收集、社會工程、地緣政治等多種因素，無疑帶來了極大的危害。為了應對網絡安全日益嚴峻的形勢，各單位紛紛在安全合規監管制度要求下采用隔離、阻斷、加密、身份認證、訪問控制、備份等手段來保護自身業務信息系統的安全。但是這種被動防守并不能及時發現網絡中存在的安全威脅，尤其在面對手段多變、更新速度快、復雜度高的定向攻擊時顯得捉襟見肘。

威脅情報是從各類安全信息來源獲取的，用于對資產相關主體面對威脅或危害進行響應或處理決策提供支持。威脅情報數據不僅包括漏洞庫、惡意 IP/DNS/URL/郵箱等入侵威脅指標（Indicator Of Compromise，IOC）信息，還包括安全攻擊事件等信息，目前最主要的威脅情報IOC應用是識別受控主機C&C終端連接行為，或者通過人工經驗進行IOC關聯和拓線，實現對安全事件的黑客組織背景追溯［1］。其迭代層次多且過程繁瑣，并且對及時性和準確性有著非常高的要求。因為一旦高級持續性威脅（Advanced Persistent Threat，APT）組織的攻擊活動被披露，舊的攻擊基礎設施就會被棄用，這就導致發現新攻擊線索的能力大幅降低［2］。為了解決以上問題，本文在實現全流量存儲、回溯和全球APT情報監測的能力基礎上提出了基于拓展型入侵失陷指標（即IOC 拓展指標）和動態化攻擊模式規則、模型的APT攻擊識別和背景溯源方案，以達到精準識別和取證的目的。

本文主要貢獻如下：

(1) 提出基于圖的疑似線索遍歷和回溯算法，實現了IOC多維度智能關聯和拓展，獲得更多未被披露線索。利用更加豐富的高可信IOC資源，提高情報檢測的成功率。

(2) 將適合作為流量檢測的TTP（Tactics Techniques & Procedures）特征，轉換為TTP規則和TTP模型兩部分，TTP規則用于可疑通信會話的初篩，TTP模型用于可疑會話的全量存儲數據報文的復雜計算分析，從而實現對APT攻擊行為流量的精準檢測，提高發現未知威脅的能力。

(3) 在充分發揮IOC在溯源方面價值的基礎上，基于安全事件TTP特征的關聯和利用，通過統計和機器學習等方法實現線索閉合性加權評估，更加精準地實現針對APT攻擊行為的溯源、評估。

本文詳細內容請下載：

http://www.cowatch.cn/resource/share/2000006100

作者信息：

趙云龍，楊繼，于運濤，王紹杰

（中國電子信息產業集團有限公司第六研究所，北京 100083）