《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 設計應用 > 基于威脅情報關聯的APT攻擊識別與溯源技術
基于威脅情報關聯的APT攻擊識別與溯源技術
網絡安全與數據治理
趙云龍,楊繼,于運濤,王紹杰
中國電子信息產業集團有限公司第六研究所
摘要: 網絡空間對抗形態正變得更加復雜,其中摻雜了人工智能、躲避逃逸、情報收集、社會工程、地緣政治等多種因素。目前威脅情報IOC特征主要被用來識別受控主機以及C&C終端連接行為;另外通過關聯拓展IOC進行黑客組織溯源。以全流量存儲、回溯和全球APT威脅情報監測為數據基礎,提出基于IOC拓展指標和TTP規則、模型關聯的APT攻擊識別和背景溯源方案,可以將傳統的基于時間點的檢測模式延伸到基于歷史時間窗的檢測模式,能夠更加充分地應對APT的持續性和長期性,同時也成為APT組織背景溯源的有效途徑之一。
關鍵詞: IOC特征 TTP 關聯分析
中圖分類號:TP181;TP393文獻標識碼:ADOI:10.19358/j.issn.2097-1788.2024.08.003
引用格式:趙云龍,楊繼,于運濤,等.基于威脅情報關聯的APT攻擊識別與溯源技術[J].網絡安全與數據治理,2024,43(8):15-21,27.
APT attack identification and tracing technology based on threat intelligence correlation
Zhao Yunlong,Yang Ji, Yu Yuntao, Wang Shaojie
The 6th Research Institute of China Electronics Corporation
Abstract: The form of confrontation in cyberspace is becoming more complex, with artificial intelligence, evasion, intelligence gathering, social engineering, geopolitics and more. At present, IOC characteristics of threat intelligence are mainly used to identify controlled host and C&C terminal connection behavior. In addition, we can trace the hacker organization through the association extension IOC. Based on the data of full traffic storage, backtracking and global APT threat intelligence monitoring, an APT attack identification and background traceability scheme based on IOC extended index, TTP rules and model association is proposed, which can extend the traditional detection mode based on time point to the detection mode based on historical time window, and can more fully cope with the persistence and long-term nature of APT. At the same time, it also becomes one of the effective ways to trace the background of APT organization.
Key words : full traffic; threat intelligence; IOC characteristics; TTP; association analysis

引言

隨著網絡空間對抗愈演愈烈,網絡攻擊行為也不斷升級,已經不再局限于使用傳統的病毒、遠控程序,正逐步向0-day漏洞利用、嵌套式攻擊、木馬潛伏植入、隱蔽加密通信等更加復雜的攻擊形態演化。這些攻擊目標、攻擊目的高度確定的黑客行為,摻雜了人工智能、躲避逃逸、情報收集、社會工程、地緣政治等多種因素,無疑帶來了極大的危害。為了應對網絡安全日益嚴峻的形勢,各單位紛紛在安全合規監管制度要求下采用隔離、阻斷、加密、身份認證、訪問控制、備份等手段來保護自身業務信息系統的安全。但是這種被動防守并不能及時發現網絡中存在的安全威脅,尤其在面對手段多變、更新速度快、復雜度高的定向攻擊時顯得捉襟見肘。

威脅情報是從各類安全信息來源獲取的,用于對資產相關主體面對威脅或危害進行響應或處理決策提供支持。威脅情報數據不僅包括漏洞庫、惡意 IP/DNS/URL/郵箱等入侵威脅指標(Indicator Of Compromise,IOC)信息,還包括安全攻擊事件等信息,目前最主要的威脅情報IOC應用是識別受控主機C&C終端連接行為,或者通過人工經驗進行IOC關聯和拓線,實現對安全事件的黑客組織背景追溯[1]。其迭代層次多且過程繁瑣,并且對及時性和準確性有著非常高的要求。因為一旦高級持續性威脅(Advanced Persistent Threat,APT)組織的攻擊活動被披露,舊的攻擊基礎設施就會被棄用,這就導致發現新攻擊線索的能力大幅降低[2]。為了解決以上問題,本文在實現全流量存儲、回溯和全球APT情報監測的能力基礎上提出了基于拓展型入侵失陷指標(即IOC 拓展指標)和動態化攻擊模式規則、模型的APT攻擊識別和背景溯源方案,以達到精準識別和取證的目的。

本文主要貢獻如下:

(1) 提出基于圖的疑似線索遍歷和回溯算法,實現了IOC多維度智能關聯和拓展,獲得更多未被披露線索。利用更加豐富的高可信IOC資源,提高情報檢測的成功率。

(2) 將適合作為流量檢測的TTP(Tactics Techniques & Procedures)特征,轉換為TTP規則和TTP模型兩部分,TTP規則用于可疑通信會話的初篩,TTP模型用于可疑會話的全量存儲數據報文的復雜計算分析,從而實現對APT攻擊行為流量的精準檢測,提高發現未知威脅的能力。

(3) 在充分發揮IOC在溯源方面價值的基礎上,基于安全事件TTP特征的關聯和利用,通過統計和機器學習等方法實現線索閉合性加權評估,更加精準地實現針對APT攻擊行為的溯源、評估。


本文詳細內容請下載:

http://www.jysgc.com/resource/share/2000006100


作者信息:

趙云龍,楊繼,于運濤,王紹杰

(中國電子信息產業集團有限公司第六研究所,北京 100083)


Magazine.Subscription.jpg

此內容為AET網站原創,未經授權禁止轉載。
主站蜘蛛池模板: 月夜直播在线看片www| 精品国产一区二区三区免费看| 国产萌白酱在线一区二区| 一级毛片不收费| 无遮无挡非常色的视频免费| 亚洲avav天堂av在线网爱情| 欧美极度另类精品| 伊人久久精品无码麻豆一区| 美女一级一级毛片| 国产乱国产乱老熟300部视频| 成人免费视频网站www| 国产精品久久香蕉免费播放| 91福利视频合集| 夜夜躁日日躁狠狠久久av| yellow字幕网在线91pom国产 | 国产AV无码专区亚洲AV琪琪| 高潮毛片无遮挡高清免费视频| 国产欧美专区在线观看| 搡女人免费免费视频观看| 国产色爽女小说免费看| 97国产在线公开免费观看| 在线观看污污网站| jizzjizz之xxxx18| 婷婷五月综合激情| 一本岛一区在线观看不卡| 成人午夜18免费看| 中文在线三级中文字幕| 抵在洗手台挺进撞击bl| 久久99精品视频| 日日日天天射天天干视频| 久久久久无码精品国产H动漫| 日本精品视频在线播放| 久久国产精久久精产国| 日本污视频网站| 久久亚洲色www成人欧美| 日本高清va在线播放| 久久天天躁日日躁狠狠躁| 日韩人妻无码精品专区| 久久精品一区二区三区四区| 日韩免费视频一区| 久久天天躁狠狠躁夜夜不卡|