1、SOFTWARE软 件2023第 44 卷 第 7 期2023 年Vol.44,No.7作者简介:侯振堂(1982),男,山西浑源人,硕士,正高级工程师,研究方向:信息化、矿山机电。APT 网络攻击演化分析和溯源分析方法侯振堂 原生芾 侯尚武 潘社辉 郑志辉(河南能源集团有限公司,河南郑州 450046)摘要:本文主要介绍主流 APT 网络攻击演化溯源的主要情况以及存在的问题,并通过攻击时序模式挖掘、攻击时空模型构建、攻击溯源分析等技术的阐述深入研究 APT 网络攻击演化分析和溯源分析方法。关键词:APT 网络攻击;演化分析;时序模式挖掘算法;深度学习中图分类号:TP393.08 文献标识码:
2、A DOI:10.3969/j.issn.1003-6970.2023.07.016本文著录格式:侯振堂,原生芾,侯尚武,等.APT网络攻击演化分析和溯源分析方法J.软件,2023,44(07):066-069APT Network Attack Evolution Analysis and Traceability Analysis MethodHOU Zhentang,YUAN Shengfu,HOU Shangwu,PAN Shehui,ZHENG Zhihui(Henan Energy Group Co.,Ltd.,Zhengzhou Henan 450046)【Abstract】:T
3、his paper mainly introduces the main situation and existing problems of the evolution traceability of mainstream APT network attacks,and deeply studies the evolution analysis and traceability analysis methods of APT network attacks through the description of attack timing pattern mining,attack space
4、-time model construction,attack traceability analysis and other technologies.【Key words】:APT network attack;evolution analysis;evolution analysis;depth learning设计研究与应用0 引言随着信息安全技术的进步与安全意识的提升,运营商已经通过加强技术和管理的手段实现对传统网络安全威胁的有效对抗,但针对绕过边界防御潜入内网的威胁(如 APT 攻击)缺乏有效检测手段。APT 攻击(Advanced Persistent Threat,即高级持续性
5、威胁,是一种周期较长、隐蔽性极强的攻击模式。用于演化分析的时序模式挖掘算法不能适应 APT 网络攻击数据的多源异构特性,现有用于演化分析的深度时空模型不能适应系统变量间的复杂时空关联;当前的 APT 网络攻击溯源分析方法在多层次数据自动融合优化等方面都存在着一定问题,本文针对上述内容对 APT 网络攻击演化分析和溯源分析方法进行深入研究改进。1 APT 网络攻击的演化对 APT 网络攻击的演化模式进行挖掘和对时空规律进行建模,可更清晰地了解攻击流程和目的,从而使潜在的受害部门能更有效地制订防御对策。在演化模式挖掘方面,当前 APT 网络攻击的演化模式(如攻击阶段的划分)主要依赖专家经验,随着
6、APT 网络攻击时序数据的积累,要求从中自动挖掘 APT 网络攻击的演化模式更加经济、高效和准确。现有模式挖掘算法主要包括频繁模式挖掘算法(如 Apriori 算法及其各类变种)和序列模式挖掘算法(如 GSP 算法、PrefixSpan算法等)1。这些算法均要求时序数据的元素是类别型变量且满足离散关系(如相同、不同),无法适应 APT网络攻击时序数据元素的多源异构特性。在时空规律建模方面,现有的 LUR(Land-Use Regression)、CNN(Convolutional Neural Network)等空间模型和ARIMA(Autoregressive Integrated Movi
7、ng Average)、RNN(Recurrent Neural Network)等时间模型无法同时对时空规律进行建模2。随着深度学习的发展,通过融合空间子模型和时间子模型,设计复杂的深度神经网络,可实现同时对时空规律进行建模的目的,最常见的即融合 CNN 子模型和 RNN 子模型。然而,由于 APT 网络攻击的复杂性,系统变量间的时空关联往往也十分复杂(例如,物理对象之间的空间关联往往不能仅由物理距离度量甚至不能仅在欧式空间中度量,系统状态之间的时间关联由平滑性、周期性等综合67侯振堂 原生芾 侯尚武等:APT 网络攻击演化分析和溯源分析方法确定且受外部上下文影响),导致现有的时空模型无法有
8、效处理。演化分析最重要的应用之一即溯源分析。溯源分析常常被用来监控系统活动。利用依赖图(Dependency Graph)进行溯源分析是一种常用的方法。King 等人最早使用依赖图来向前追溯入侵攻击的原因,通过搜集关联事件信息并定义系统实体间的因果关系,来帮助分析人员在攻击发生后进行溯源分析。Lee 等人建立了一种基于程序执行单元的溯源分析系统 BEEP,通过将应用程序划分成执行单元,其中每个执行单元代表了程序中的主循环的一次迭代,从而提高溯源分析的精确度。由于 BEEP 在创建图的过程中会引入噪音,导致空间效率低下,为解决这个问题,Ma 等人建立了一个轻量级的溯源系统 ProTracer,通
9、过系统事件分段与单元级别追踪,为起源对象提供支持(如任何文件的源和祖先)。上述方案仅针对系统底层的主体、客体与事件,并没有使用系统高层的语义(如用户层的行为)来进行全方位的溯源分析。针对此问题,Ma 等人再次提出了改进方案,提出了一种基于语义感知的程序注释和插桩的溯源分析技术,能为一次攻击行为提供系统的高层语义信息,但是仅用高层次语义却没有对应系统底层调用的细节行为,同样难以保证溯源分析的完整性。综上所述,现有用于演化分析的时序模式挖掘算法不能适应 APT 网络攻击数据的多源异构特性,现有用于演化分析的深度时空模型不能适应系统变量间的复杂时空关联;当前的 APT 网络攻击溯源分析方法在多层次数
10、据自动融合优化等方面都存在着一定问题。2 APT 网络攻击演化分析和溯源分析方法通过研究 APT 网络攻击演化分析和溯源分析方法,其具体研究方法和技术路线如图 1 所示3。2.1 APT 网络攻击时序模式挖掘时序模式指能够表征数据在时间上演化规律的符号序列,是一种符号主义建模手段,因此具有较强的可理解性和可解释性。探索 APT 网络攻击的时序模式(如攻击阶段模式、阶段行为模式等),对理解 APT 网络攻击演化规律、制订 APT 网络攻击防御策略等工作有着重要的意义。然而,现有时序模式挖掘算法(如AprioriAll、PrefixSpan、GSP 等)无法适应 APT 网络攻击数据的特性,主要表
11、现在:现有时序模式挖掘算法均要求时序数据的元素是类别型变量且满足离散关系(如相同、不同),但 APT 网络攻击时序数据的元素可能包含类别型变量和连续型变量,甚至类别型变量间由于语义关联性也可能产生非离散的连续关系。为此,通过能适应连续关系元素时序数据的时序模式挖掘算法,以适应 APT 网络攻击时序模式挖掘任务。2.1.1 研究系统变量语义关联建模方法针对不同的 APT 网络攻击时序模式挖掘问题域(如攻击阶段模式挖掘、阶段行为模式挖掘等),定义相应的系统变量(包括物理对象、系统状态、攻击行为等),基于语义网络(Semantic Network)对系统变图 1 APT 网络攻击演化分析和溯源分析方
12、法技术路线Fig.1 APT network attack evolution analysis and traceability analysis method technical route原始时序数据网络语义扩展Apriort扩展PrefixSpan符号化时序数据多图融合神经网络空间子模型深度时空模型多尺度循环神经网络时间子模型重构挖掘融合用户UI行为数据系统调用行为数据UI攻击溯源图系统调用攻击溯源图混合视角溯源图构建深度时空模型编码器Attention语义向量计算循环神经网络解码器时序模式元素向量化可视化前向后向溯源实时可以行为分析APT网络攻击时序模式挖掘APT网络攻击溯源分析AP
13、T网络攻击时空模型构建基于时空模型的溯源解释应用方式合并68软 件第 44 卷 第 7 期SOFTWARE量间的语义关联进行建模。在此基础上,基于 APT 网络攻击多源异构数据融合结果,将系统变量表征到同一隐空间中,并在隐空间中计算系统变量间的语义关联度权值。2.1.2 研究 APT 网络攻击时序数据重构方法如图 2(a)所示,首先采用时间窗口对原始时序数据进行分割,然后基于系统变量间的语义关联度权值,采用聚类算法(如 MeanShift、DBSCAN 等)对每一时间窗口内的多元系统变量进行聚类分析,将聚类结果的核心点定义为该时间窗口的主元系统变量,最后将 APT 网络攻击时序数据重构为符号化
14、的主元系统变量时序数据。2.1.3 研究新型时序模式挖掘算法以经典的模式挖掘算法 Apriori 和 PrefixSpan 为基础,引入模糊计算机制,提出能适应连续关系元素时序数据的时序模式挖掘算法。如图 2(b)所示,针对Apriori 算法,通过在模式拼接、支持度计算和频繁模式筛选三个核心步骤中引入模糊计算机制的方法(例如,在模式拼接过程中考虑元素的顺序,将现有的子模式严格匹配改进为子序列模糊匹配,基于子序列匹配度对候选模式进行聚类处理)。如图 2(c)所示,针对PrefixSpan 算法,通过在支持度计算和序列数据集投影两个核心步骤中引入模糊计算机制的方法(例如,基于元素在投影序列数据集
15、中的加权出现次数计算支持度,基于频繁元素 k 最近邻进行序列投影)。在此基础上,通过调整匹配度阈值、置信度阈值等方式,探索在模式精确度和完整度间的平衡;通过快速过滤非频繁模式等方式,研究改进算法效率的方案。2.2 APT 网络攻击时空模型构建APT 网络攻击模型应一方面从空间上捕捉系统变量的结构关联(如攻击对象在物理空间中的距离或在系统中的交互);另一方面从时间上体现系统变量的演化趋势(如系统状态、攻击步骤之间的转换规律)。将两个垂直层面的数据综合建模,形成一个统一的时空模型,对态势分析、溯源分析等工作都具有重要的意义。然而,由于 APT 网络攻击的复杂性,系统变量之间的时空关联也十分复杂(如
16、攻击对象之间的非欧式空间关联性,系统状态之间的多尺度时间关联性),导致现有的空间模型(如 LUR、CNN 等)、时间模型(如ARIMA、RNN 等)和时空模型(如 CNN+RNN 等)均无法处理如此复杂的时空关联。为此,对面向 APT网络攻击全场景的时空模型进行研究。由于深度神经网络能够方便地融合不同类型的子网络以实现复杂的模型,通过基于深度神经网络进行时空模型的研究4。2.3 APT 网络攻击溯源分析APT 网络攻击发生后,溯源分析能还原整个攻击链路,帮助分析者更高效、更准确地理解整个攻击流程。现有的溯源系统存在两方面问题:首先,现有基于系统信息的溯源系统采用文件、进程和套接字等信息构建攻击
17、图,冗杂且语义不明确,不满足高效性需求。现有基于高层语义的溯源系统缺少对应系统底层调用细节行为的表示,难以满足准确性需求。其次,现有溯源系统大多仅还原攻击过程中的实际数据,对背后的演化模式、攻击套路缺少解释,导致决策者难以理解。为此,对基于用户、系统混合视角的溯源图构建方法,以及基于时空模型的溯源分析理解增强方法进行研究。2.3.1 研究基于混合视角的溯源图构建方法整体框架如图 3 所示,首先,通过在课题“跨平台多层次 APT 网络攻击数据采集方法”的基础上采用两种不同的数据收集器,用户 UI 行为收集器和系统调用行为收集器。用户 UI 行为收集器负责采集用户与程序GUI 界面的交互行为,目的
18、是提供高层次的语义。系统调用行为收集器负责采集系统层次的日志,包括文件、注册表、套接字、进程等,目的是监控 UI 层次不可见的行为。然后,通过采集得到的数据构建 UI 层次和系统调用层次的攻击溯源图。在攻击溯源图中,UI 行为或系统元素是节点,UI 行为之间的因果关联或系统元素之间的行为关联是边。最后,通过合并 UI 层次和系统调用层次的攻击溯源图来帮助分析者进行可视化分析、前后向溯源、实时可疑行为分析等操作。这一步的关键是将系统调用层次的行为关联到某一个 UI 行为下。图 2 时序模式挖掘研究方案Fig.2 Temporal pattern mining research program原始
19、时序数据主元系统变量序列系统变量语义网络(a)时序数据重构研究方案Apriori模式拼接支持度计算频繁模式筛选(b)扩展Apriori研究方案PrefixSpan支持度计算序列数据集投影(c)扩展PrefixSpan研究方案69侯振堂 原生芾 侯尚武等:APT 网络攻击演化分析和溯源分析方法对于简单的应用程序,可以通过时间戳进行关联,对于多进程、异步架构的应用程序(比如浏览器),针对每个应用的特殊行为来将多进程和异步的行为正确关联。2.3.2 研究基于时空模型的溯源分析可解释增强方法为对溯源图提供可解释性,将溯源图转化为“APT网络攻击时序模式挖掘”课题中得到的符号化时序模式。由于符号化时序模
20、式比溯源分析中的攻击过程的抽象程度更高,因此它们的长度通常不一致,无法简单的用图状态分类方法来进行转化。针对此问题,采用Seq2Seq 的深度学习框架,来克服输入序列和输出序列长度不一致的问题。如图 4 所示,框架首先采用编码器将溯源图编码成一个语义向量;然后采用解码器将该语义向量解码成长度可不一致的输出向量序列;最后基于序列匹配得到与输出向量序列匹配度最高的符号化时序模式5,6。其中的难点在于 Seq2Seq 框架只能处理序列到序列的问题,不能处理图到序列的问题。为此,将溯源图在时间轴上展开,并采用“APT 网络攻击时空模型构建”得到的深度时空模型作为编码器。此外,解码器可在不同时序模型中进
21、行探索(如 GRU、LSTM、双向RNN 等),时序模式元素的向量化表示可通过“基于多模型嵌入的数据融合方法”得到,语义向量可采用注意力机制进行计算。编码器语义向量解码器时序模式向量序列APT网络攻击时空模型溯源图图 4 用于溯源图解释的 Seq2Seq 框架Fig.4 A Seq2Seq framework for provenance graph interpretation3 结语APT 攻击的目标性较强,因此又称作“高级目标式攻 击(Advanced Targeted Attack,ATA)”。Gartner 将ATA 定义为可利用恶意程序穿透目前的安全控制系统,大大延迟了恶意程序感染
22、检测,建立长期据点,给企业造成实质性伤害或搜集信息,将目标数据从机构系统中渗出。为应对 APT 攻击,一般通过对其演化模式进行挖掘和对时空规律进行建模从而清晰地了解攻击流程和目的,有效地指定防御策略采取防范措施。为解决现有用于演化分析的时序模式挖掘算法不能适应 APT 网络攻击数据的多源异构特性,用于演化分析的深度时空模型不能适应系统变量间的复杂时空关联的问题,本项目提出能适应连续关系元素时序数据的时序模式挖掘算法,以适应 APT 网络攻击时序模式挖掘任务。同时基于深度神经网络进行时空模型,从而发挥深度神经网络能够方便地融合不同类型的子网络以实现复杂模型的优势。参考文献1 李扬.基于安全日志的
23、攻击模式挖掘技术研究D.北京:北京邮电大学,2017.2 李昕.太阳射电动态频谱的射频干扰抑制方法研究D.济南:山东大学,2019.3 袁宁.突发事件对人类通信行为模式影响的研究D.天津:天津大学,2016.4 汤健,乔俊飞,刘卓,等.磨矿过程的球磨机研磨机理数值仿真及磨机负荷参数软测量综述J.北京工业大学学报,2018,44(11):1459-1470.5 焦妍.基于双向多维注意力机制的共指消解模型研究D.南昌:江西财经大学,2020.6 周亚.金融行业APT防御体系建设思路探讨J.金融科技时代,2020(9):18-21.图 3 基于混合视角的溯源分析框架Fig.3 A traceability analysis framework based on mixed perspectives数据收集与获取用户UI行为收集器A(1)用户UI行为收集器A(2)构建UI层次的攻击溯源图构建Syscall层次的攻击溯源图B(1)UI行为数据系统底层数据B(2)构建攻击溯源图Syscall 攻击溯源图可视化前向后向溯源实时可以行为分析合并攻击溯源图B(3)基于攻击溯源图的应用C(1)C(2)C(3)UI 攻击溯源图合并UI层次和Syscall层次的攻击溯源图
浙ICP备2021020529号-1 | 浙B2-20240490 
