引言

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展和數(shù)字化進(jìn)程的加速推進(jìn)，網(wǎng)絡(luò)空間與人類活動(dòng)息息相關(guān)，已成為國家主權(quán)、經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定的戰(zhàn)略要地。然而，高級(jí)持續(xù)威脅（Advanced Persistent Threat, APT）的泛濫已成為現(xiàn)代計(jì)算環(huán)境安全面臨的最大威脅之一。例如，具有美國背景的APT組織開發(fā)的震網(wǎng)（Stuxnet）蠕蟲病毒，高度精準(zhǔn)破壞伊朗的核計(jì)劃［1］；“海蓮花”（OceanLotus）組織長期利用網(wǎng)絡(luò)設(shè)備漏洞對(duì)我國政府、科研院校等高價(jià)值目標(biāo)展開攻擊；“方程式”（Equation）組織針對(duì)我國西北工業(yè)大學(xué)實(shí)施APT攻擊［2］。這類攻擊以高度組織化、隱蔽性強(qiáng)、持續(xù)周期長為特征，通過多階段滲透和復(fù)雜手段突破目標(biāo)網(wǎng)絡(luò)防御體系，對(duì)關(guān)鍵基礎(chǔ)設(shè)施、核心數(shù)據(jù)資產(chǎn)乃至國家安全構(gòu)成嚴(yán)峻挑戰(zhàn)。在此背景下，如何實(shí)現(xiàn)APT攻擊的精準(zhǔn)檢測與有效防御，成為網(wǎng)絡(luò)安全領(lǐng)域亟待突破的核心難題。傳統(tǒng)安全防護(hù)技術(shù)（如入侵檢測系統(tǒng)等）主要依賴已知攻擊特征碼或行為模式的匹配，在應(yīng)對(duì)多階段高隱蔽的APT攻擊時(shí)存在明顯局限性。APT攻擊通常采用定向“釣魚”、定制化漏洞工具、供應(yīng)鏈滲透及多跳橫向移動(dòng)等多種策略，其攻擊鏈的碎片化、低頻化特征使得基于單點(diǎn)日志或流量分析的方法難以捕捉全局威脅，亟須探索能夠深度挖掘攻擊上下文關(guān)聯(lián)、適應(yīng)動(dòng)態(tài)威脅環(huán)境的檢測范式。

近年來，溯源圖分析技術(shù)因其關(guān)聯(lián)強(qiáng)覆蓋廣的優(yōu)勢逐漸成為APT檢測領(lǐng)域的研究熱點(diǎn)。該技術(shù)通過構(gòu)建實(shí)體間關(guān)聯(lián)有向圖模型，將離散的系統(tǒng)事件（如進(jìn)程創(chuàng)建、文件訪問、網(wǎng)絡(luò)連接）映射為具有時(shí)序邏輯的語義豐富的結(jié)構(gòu)化數(shù)據(jù)圖表示。通過揭示攻擊者從初始入侵到橫向滲透的多步行為上下文，溯源圖分析技術(shù)能夠?qū)⒁蚬嚓P(guān)的攻擊事件通過上下文序列直接關(guān)聯(lián)，有效提升APT攻擊檢測的準(zhǔn)確率。

本文主要對(duì)近10年在CCF推薦國際學(xué)術(shù)高水平（CCF A類）會(huì)議和期刊中發(fā)表的APT檢測相關(guān)工作進(jìn)行深入調(diào)研，給出高級(jí)持續(xù)威脅的定義，重點(diǎn)介紹和分析基于溯源圖分析技術(shù)的APT檢測工作，并討論了基于溯源圖分析技術(shù)的APT 檢測未來發(fā)展的側(cè)重點(diǎn)。

本文詳細(xì)內(nèi)容請(qǐng)下載：

http://www.jysgc.com/resource/share/2000006644

作者信息：

張?1,2，楊曉帆1,2

（1.中廣電廣播電影電視設(shè)計(jì)研究院有限公司，北京100045；

2.廣播電視與視聽新媒體智慧監(jiān)管國家廣播電視總局重點(diǎn)實(shí)驗(yàn)室，北京100045）