内外双修实现对未知威胁监测

2015-12-31任建伟崔领先杨大路

电子测试 2015年4期

张辉,刘昀,任建伟,苏丹,闫磊,崔领先,杨大路,印权

（1.国网冀北信通公司，北京,100055；2.北京国电通网络技术有限公司，北京,100053）

1 未知威胁概念

所谓未知威胁，是指目前没有记录在案的威胁特征的可以行为。但对信息系统存在潜在危险，甚至不清楚其破坏程度和最终效果。未知威胁的呈现形式可能是病毒、木马、网络攻击行为、甚至对资源的滥用。在信息安全领域，人们总是先经历威胁的产生，才有机会认识到威胁的本质。尽管每一种技术破坏行为最终都找到了有效的解决办法，但是每经历一次对未知威胁的认知都要做出巨大的牺牲。

2 未知威胁分析

2.1 内部窥测

传统技术通常会从三个维度去监测：文件处理、静态检测、动态检测。直接通过特征码来鉴定是完全行不通的，但是从行为分析入手，在攻击目标和路径上寻找他们的共性还是可行的。任何一种威胁都不是简单的动作，而是一系列的动作，比如停止系统服务、文件篡改、注册表修改、漏洞扫描、强制关机等等。这里面的任何一个环节都有可能被记录，但是如果全部截获并关联，就为发现未知威胁的终极目标提供可能。所以，基于行为合法性的分析是可以有效截获未知威胁的。基于这种关注行为和动机的识别，我们都认为属于内部检测。

通过复杂的启发式扫描技术实现对未知威胁的检测，首先要对文件头和包的实际内容进行分析。启发式扫描技术主要包括文件扫描分析、病毒检测、文件属性分析、特征核查及启发式检查，通过这些环节的检测来杜绝和过滤病毒、垃圾邮件及其他扫描行为。

异常检测技术是围绕完整数据包的分析实现的，其细节包头、包内容、应用信息、协议以及会话行为等，其检测效果要优于基于特征的入侵检测设备。

启发式扫描和异常检测技术的推广应用，对已知和未知威胁的防御能力提高了很多。很多技术团队和组织在不断改进和完善更多更有效的技术尝试，用以应对越来越多的未知威胁。而在数据传输的不同阶段，对未知威胁的检测方式也各有不同。

2.2 外部筛查

在网络攻防战中，相比进攻，防守永远处于被动状态。但这些行为发生的场景都不外乎从一个IP 到另一个IP，或者从多个IP到另外多个IP。而且，主流网络技术短期仍然没有脱离IP 技术的可能。那么如果我们从大数据中能获取到足够多的攻防记录和黑客指纹库，那么只要是源于有风险的IP 地址的行为，我们加强关注和标记，集中优势资源针对性分析，必然有更高的检测未知威胁成功几率。

图一信息检测流程图

3 内部检测详解

3.1 文件处理

当前网络的攻击行为目的性越来越强，无论是最终窃取信息还是通过软件进行控制破坏，都离不开各文件的使用和传输。而对文件的监控将直接可以体现出网络行为操作的对象。

网络故障都可追溯到数据包层次问题，貌似中规中矩的应用，后台的设计很可能混乱不堪，看上去可信的程序，撕下伪装，其后台也很可能在悄悄的泄漏数据。因此，关注网络中传输的内容，还原文件，是发现问题的重要检测点之一。

在数据包层次分析网络问题，所有细节都会变得透明可视（除加密通信外），在数据包层上分析处理得越多，对网络的控制能力就越强，解决网络问题的根源的可能性就越大。

一般被称为数据包嗅探或协议分析，通常是为了清晰的了解当前网络上的动作细节，对正在进行的数据传输进行捕获和剖析的过程。这个分析过程通常依赖能够分析原始数据的嗅探器作为工具来实现。数据包分析技术的关键要点如下：

●了解网络特征。

●查看网络上的通信主体。

●确认谁或是哪些应用在占用网络带宽。

●识别网络使用的高峰时间。

●识别可能的攻击或恶意活动。

●查找可疑或网络资源的不合规应用。数据包嗅探器是一种成熟的数据分析工具，当前市场有免费的和商业的诸多选择。

数据包嗅探过程可以分为成3 个步骤:

第一步：数据收集，数据在线缆中传输，嗅探器从中收集原始二进制信息。这个过程一般会通过设定网卡配置为混杂模式来实现抓包功能。网卡在此模式不仅截获目的是自身的数据包，而会截获一个网段的全部流量。

第二步：格式转换，通过高级的数据包嗅探器可将收集的二进制信息转换成可识别格式。通过简单直观的解析将数据包呈现给用户，由用户进行下一步分析和判断。

第三步：还原分析，对转换后具有清晰结构的数据进行还原后进一步分析。对捕获的网络数据拆解，对其协议进行逐一验证和判断，继而对每个协议的特有属性进行解析。

市面主流的数据包嗅探器除了可以捕获数据包，还可以对多种协议进行解析，形成管理员方便识别的格式界面，甚至具有一些统计图表的展示。利用这些工具查看网络资源的使用情况以及收发的每一个动作，可以很方便的查找出网络故障的原因或者出现问题的节点。

3.2 静态检测

通常文件处理方式要人为的分析研判，当数据量较大时，人的效率往往难以达到快速筛选问题和处理的效果。因此必须借助其他检测方式对噪音事件或者常规访问做过滤。只保留可疑的事件交由人来直接处理。

静态检测是指关注网络应用本身，只是对程序静态特性进行解析，通过寻找有问题的地方，类似参数设置不合理或可疑的计算或运行方式，加上大量特征码与程序进行比对，来实现对未知威胁的检测。事实上静态检测的专长在于已知威胁的检测，对未知威胁静态检测并不能直接提供有力证据，但是可以间接筛掉确定的威胁，使得其它检测方式的压力得到缓解，作为辅助检测手段，可以提高其它检测方式的执行效率。

对于静态检测而言，无外乎三种主流检测技术：特征码检测技术，反汇编检测技术以及沙箱检测技术。

基于特征码的检测最简单且高效。但是对未知威胁的误报漏报率会比较高，而且鉴于其检测的不完整性，容易被绕过。

基于反汇编的检测技术检测效果要优于特征码检测方式，对一般非精心设计的shellcode 效果比较理想，但是一些技巧性很强的代码只有在执行生效后才呈现出其真实目的，所以静态下它也能够巧妙的躲开反汇编检测。

基于沙箱技术的检测具有强大的功能，可以侦测多种威胁，一般的反检测技术无法绕过，使用效果理想，缺点是硬件支持要足够到位，否则因其计算量大，检测效率不高，无法大规模使用在高速带宽上。

鉴于以上检测技术都有一定局限性，静态检测如果想达到理想的效果就不能依赖于某一种检测技术，而是要综合几种技术来互补实现。

3.3 动态检测

所谓动态检测，是将本来孤立的多款产品中有关攻击的模块信息和日志进行关联，这些产品包括主机、网络设备、安全设备、防护应用等。通过在后台搭建多种攻击模型，将所有收集到的日志信息进行匹配，最终达到检测复杂攻击组合的效果。

实现动态检测第一步首先要有足够的各种主机及设备日志。通常日志收集和范式化在国内有多款SOC 产品都具有此基本功能。设备日志的采集通常采用Syslog、snmptrap 或者API 接口等方式统一输送到SOC 平台，这些日志被服务器收到后通过标准化的格式规范，再存储到自己的分析存储中。

第二步，建立合理有效的攻击模型是动态检测的核心环节。攻击模型需要涉及到多个网络数据的关键元素，包括源IP、目的IP、事件类型、时间、频率、流程和文件属性等。攻击模型的建立将直接影响到动态检测效果。如果模型建的太宽泛，指标不严谨，可能造成大量误报；如果模型太严格，又可能不能识别狡猾的攻击联动行为。通常一个优秀的攻击模型都依赖于长期的实践经验和丰富的数据支撑。

图二动态检测流程

数据量小时，可以将攻击模型放在内存中实时检测未知攻击行为；数据量大时，可以将数据库的数据与攻击模型在后台进行比对，最终以统计报告的方式输出到前台。

这样通过对每一组安全攻击模型的追踪，不断的分析比对结果，调整攻击模型的参数，可以达到最佳匹配策略。对于误报较多的模型，可以建立白名单模型机制。可以缓解系统资源的压力。

以猜密码攻击破解为例,首先在系统中建立一个猜密码的关联行为模型。检测的主要流程为：在主机日志上发现,某境外源IP 在凌晨3 点,通过远程方式访问目标主机A,以管理员身份试图登录系统。该主机日志显示,该源IP 地址一分钟内输入密码50 次以上,均为错误密码。该用户在10 分钟错误密码尝试后,最终登录主机A 成功。而IDS 设备显示：该IP 地址在三个小时内,层尝试对多台目的主机B、C、D 进行了类似操作。这些行为通过动态检测与预置模型匹配,可认定为猜密码的攻击行为。

由此可见动态检测是一种相对较为高级的检测方式，如果基础数据的字段足够多，动态检测的弹性非常大，而优质的攻击模型是动态检测的核心环节。

4 外部大数据筛查

4.1 IP 信誉库

我们对IP 地址的各个属性进行统计记录，并对海量IP 建立信用库，并持续的对一个IP 进行关注和评价。如果一个IP 地址多次参与网络攻击事件，并有多个历史污点，那么它一定是一个易于隐蔽或者藏污纳垢的节点，我们可以了解到它所处的地理位置，结合其它一些因素和特征，很容易追溯到问题的根源。

通过积累和汇总了海量IP 信息，并针对其历史记录进行了分类，形成了一套反映网络空间的“个人”信誉档案库。当有黑客IP、代理IP、僵尸网络IP 等再次出现在WebTrack 系统中时，系统将实时将这些IP 的历史记录展现给用户并预警，管理员可以对这些有“案底”的IP 进行全网拉黑，将风险控制到最小。

4.2 黑客指纹库

除了IP 信誉库外，黑客指纹库也是非常重要的大数据资源。根据分析攻击特征和访问请求特征来建立黑客档案并对其进行评级，如使用军工级渗透工具、零日攻击的黑客定义为高级，多次手工渗透攻击、N 日攻击的黑客的定义为中级，单一商业扫描器扫描的定义为低级。对等级较高的黑客将会进行长期、重点的行为分析及跟踪，及时发现其后续的攻击行为和从其攻击特征中挖掘零日漏洞（0-day）。这样配合IP 信誉库，可以通过外部大数据实现交叉攻击风险定位。