罗震宇 李寒箬

【摘 要】现阶段网络中存在着诸多攻击行为，APT攻击受到人们的重点关注。在安全日志的基础上对APT攻击的检测，通常会先构建攻击模型接着把日志和模型关联到一起，但是这对模型完整度的依赖性较高，不完整的模型会使一些警报不能匹配从而被遗漏，对于完整APT攻击模型的构建工作也是较为复杂的。就这个问题而言，本文研究和分析了从安全日志中挖掘攻击场景模型的方法，进行了一系列的相关研究工作，为检测APT提供有效依据。先介绍了杀伤链模型，接着对APT攻击以及模糊聚类做出了阐述，而后研究了攻击场景的挖掘方法，以供相关人员进行参考。

【关键词】APT;杀伤链;模糊聚类;关联;攻击场景

引言

电力公司信息中心比较重视网络安全，信息化程度较高，网络架构在安全设计方面，目前已达到高强度的保护等级，在各职能部门网络部署如防火墙、入侵检测、防毒墙等多种安全设备，防御病毒和黑客等威胁对内网的入侵。但随着网络技术的快速发展，安全形势和特点已有所变化，网络威胁已从外部攻击向内部攻击转变、从恶意病毒码传播向异常行为攻击转变、从单一的通信协议伪装向高层的应用服务渗透……这些安全趋势的变化，已经给电力公司信息中心及下属各单位网络带来严重的潜在威胁和风险。如何对网络威胁即时检测，对网络风险主动评估与防范，已成为网络管理部门亟待解决的问题。本文正是在此基础上根据相关的理论数据以及相应有效的计算设计和研究了基于杀伤链和模糊聚类的APT攻击场景生成方法。

1.杀伤链模型介绍

杀伤链是一个攻击过程，对于过程中各个阶段都有各自的攻击行为与目的，通过日渐的完善与改进，主要包含以下几个阶段：发现、锁定、跟踪、定位、交战、评估。相关研究工作者提出了IKC，这是一种专门用于入侵的杀伤链模型，从入侵检测方面把攻击过程细化为几个方面，其中包括：侦查、武器化、散布、恶用、设置、命令与控制、目标达成。

杀伤链模型能够表现出一个结构，这个结构能够分析入侵过程以及发现相关的攻击特征，其符合网络攻击的相关特点，给防御和检测攻击行为提供有效的依据，在APT相关研究工作中也会经常应用到它。安全防御人员可以通过杀伤链模型来检测攻击行为，并据此制定和实施相应的对策，并对其他类似攻击能有效进行防御，降低系统和网络在面对网络攻击时的损失。

2.APT攻击

2.1 相关概念

2006年美国波音公司提出了APT攻击的概念，这是APT概念首次的提出，其主要是指具有明确目的性的、时间持续的、高级的复杂网络攻击。谷歌公司在2010年遭受到高级的复杂网络进攻，从那时开始相关的行业以及相应的研究工作者开始重点关注APT。

现阶段来看APT攻击的定义存在差异，这主要源于不同机构对其有着不同的定义，美国NIST定义APT为：APT攻击是攻击者利用先进的专业知识和有效资源，通过多种攻击途径（如网络物理设施和欺骗等），在特定组织的信息技术基础设施上建立立足点并进行转移，以达到窃取敏感数据、破坏程序或关键系统、阻碍任务、驻留在组织的内部进行后续攻击的目的[1]。

2.2 APT生命周期说明

根据实施过程来划分APT生命周期的阶段，其中包括（a）攻击前奏（b）入侵实施（c）后续攻击。对于各个阶段来说其都有各自的攻击方法以及攻击目的，前期阶段的成果为后期阶段奠定基础，从而达到攻击者的目的。

（a）攻击前奏是指通过全面的扫描和探测，收集信息的一个阶段。通常使用的技术手段有多种，其中包含以社会工程學为基础的方法、利用大数据提取公开信息、扫描探测目标网络系统。根据收集到的相关情报攻击者就能够有针对性地制订相应的计划。攻击者这个阶段的一系列操作都是为下一阶段奠定了技术基础。

（b）入侵实施阶段包含三个具体环节：植入恶意代码、提升权限、命令与控制。主要就是指攻击方对目标开始实际上的攻击行为来获取更高级别的权限，接着利用收集到的更有意义的情报来进行渗透，从而达到增大影响范围的目的。

（c）在后续攻击这个阶段，攻击者会开展潜伏工作为的就是可以取得更好的渗透效果、获得更多数量的相关数据，在完成目标之后攻击者也许会开展破坏工作来抹除相应的痕迹，从而增加查证的难度。

2.3 APT检测技术说明

APT与传统攻击进行比较，其具备诸多特点，其中包括方法的多样化、持续时间久、较高的隐藏能力、攻击路径变化较快等方面。根据APT的这些特点以及在传统技术的基础上，相关工作者开发了适用于APT的检测技术：（a）基于网络流量的检测（b）基于沙箱的检测（c）基于恶意代码的检测（d）基于网络安全事件挖掘的检测（e）基于记忆的检测技术

对于上述的检测技术，重点讲述一下“基于记忆的检测技术”，这种技术所运用的策略是通过时间来对抗时间，将单点进行改变的一种方式。一些较为麻烦的多步骤攻击只有经过漫长时间日志进行关联才能检测出，但问题也随之出现，需要用到相关的因果理论知识，攻击规则和攻击模型的构建具备一定的主观性，因此相关工作者开始自动构建、自动更新的研究工作，降低相关人工操作，不用工作人员增添相应的规则来完成更新。

3.模糊聚类

模糊聚类中关键的一步就是模糊相似度的函数计算，通常来讲IDS警报为非数值型，对其进行度量所使用的方法如下：

为警报集， 和 模糊聚类的隶属函数定义为 ，其中m为一条警报的属性个数， 为每个属性对应的权值， 为每个属性的相似度隶属函数，需要根据每个属性的具体含义制定[1]。

接下来我们进行模糊聚类的过程。对于一条新的警报 ，它与已得到的聚类中的警报 的距离，或者相似度用下式表示：

其中， 为属性k的权重。

（1）攻击事件。

（2）IP地址

多个主机攻击统一目标主机、一个主机攻击多个目标主机、跳板式攻击。

（3）时间戳

最终总的相似度为

4.攻击场景挖掘方法

4.1 筛选攻击序列

根据相关的攻击序列集合来看，每个集合中警报间都有着一定的联系，这可能开展APT攻击时所产生的，但并不是全部的集合都是APT，这就需要我们通过对有效数据和信息的比对分析来进行挖掘。

主要筛选以下几种情况：将独立的报警删除;保留攻击序列的完整程度;保留相关IP地址;保留DNS恶意分析警报。

4.2 攻击场景生成

在攻击序列向有向图发生转变时将接近攻击时间的相同报警进行合并，将警报合并为一个节点，由于攻击者在进行攻击时会应用到一些自动化，接连发送恶意请求，导致出现一些时间相近、事件相同的警报。

攻击场景挖掘流程：

—返回第取出ASS攻击序列一步。满足的话则——ASi转换为有向图;

不存在的话——多个有向图通过转移矩阵合并为一个概率攻击场景图。

5.结语

综上所述，通过对杀伤链模型以及APT攻击的了解之后，研究了挖掘攻击场景的相关技术，接着介绍了APT场景生成方法的相关流程，介绍了相应模块的处理和计算方法。本次研究对于网络威胁检测系统的部署，内网安全机制的强化有着一定的积极意义。还要不断加强即时检测用户异常行为，监测网络设备的运行状况，对网络安全风险自动评估和响应，应对信息网络环境变迁迅速及业务多元发展所带来的隐藏安全威胁，以此确保内部网络系统相关信息资产的机密性、完整性与可用性。

参考文献：

[1]霍彦宇. 基于杀伤链和模糊聚类的APT攻击场景生成方法的研究与设计[D]. 2018.

[2]张玉刚. 基于模糊聚类和因果关联的攻击场景构造方法的研究与实现[D]. 华中师范大学， 2009.

[3]蔡虹， 叶水生. 一种基于模糊聚类的组合BP神经网络数据挖掘方法[J]. 南昌航空大学学报（自然科学版）， 2005， 19（1）：19-23.

[4]齐惠英. 一种基于主成分分析和模糊聚类的入侵检测方法[J]. 科技通报， 2012， 28（12）：51-53.

[5]杨苹. 基于聚焦式模糊聚类算法的数据挖掘故障诊断方法[J]. 动力工程学报， 2006， 26（4）：511-515.

[6]蔡丽萍， 李茂青. 一种基于模糊聚类的日志挖掘方法及应用[C]// 中国数据库学术会议. 2004.

作者简介：

罗震宇，男，汉族，云南，大学本科，网络及网络安全运维;

李寒箬，女，云南，大学本科， 网络及网络安全运维。

（作者單位：1云南电网有限责任公司信息中心;2云南电网有限责任公司信息中心）