基于大数据地APT攻击检验.pptx

基于大数据的APT攻击检测 概念 高级持续性威胁（advanced persistent threat，APT） 是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。 其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。 高级长期威胁包含三个要素：高级、长期、威胁。 高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。 长期暗指某个外部力量会持续监控特定目标，并从其获取数据。 威胁则指人为参与策划的攻击。 APT攻击生命周期 2013年，APT攻击生命周期（美国Mandiant）： 初始入侵 – 使用社会工程学、钓鱼式攻击、零日攻击，通过邮件进行。在受害者常去的网站上植入恶意软件（挂马）也是一种常用的方法。 站稳脚跟 – 在受害者的网络中植入远程访问工具，打开网络后门，实现隐蔽访问。 提升特权 – 通过利用漏洞及破解密码，获取受害者电脑的管理员特权，并可能试图获取Windows域管理员特权。 内部勘查 – 收集周遭设施、安全信任关系、域结构的信息。 横向发展 – 将控制权扩展到其他工作站、服务器及设施，收集数据。 保持现状 – 确保继续掌控之前获取到的访问权限和凭据。 任务完成 – 从受害者的网络中传出窃取到的数据。 APT例子：震网病毒 APT特点 组织特点 从APT攻击事件分析来看，APT攻击已突破传统黑客小团队“作坊级协同”模式，上升为一种国家层面“组织级联合”模式，攻击数量、持续性和复杂性不断增加 攻击目标指向高价值资产或物理系统 攻击特点 以“低和慢”模式运行，同时使用用户凭据或零日漏洞，其巨大的复杂性和逃避检测能力，困扰着众多安全领域专家。 “低模式”即网络中保持低调 “慢模式”即执行过程长。 APT攻击（如震网（Stuxnet）、毒区（Duqu）、火焰（Flame）和红十月（Red October）等病毒） 网络安全“老三样” 使用IDS、防火墙、防病毒等常规安全防护系统，乃至于安全信息和事件管理系统（SIEM）都较难应对APT攻击 需要借助于安全专家的人工分析。 大数据APT检测思路 若将大数据分析技术应用于APT攻击检测，将大大提高检测能力。 应对APT攻击“低模式”，检测系统需将所辖网域中各种异常事件及数据完整记录，并利用大数据强分析能力处理数据间的相关性来揭示攻击轨迹 应对“慢模式”，需保留长时间窗口的历史记录数据，在时间窗口内处理所有攻击相关上下文信息。 “低模式”的应对研究 Beehive（蜂窝） 传感器（蜜蜂） 感知异常行为如：提升权限、窃取敏感信息、破坏操作系统 检测系统（蜂群） 分工各异的蜂群维护整个蜂窝 一次APT攻击是由多阶段攻击动作（漏洞发掘、控制权获取、横向移动、目标攻击）组成。 大数据分析将细微动作关联以发现APT攻击的“低模式”。不同安全产品日志的语义相关性，以及日志的大数据特性是重点解决的问题。 Beehive: Large-scale log analysis for detecting suspicious activity in enterprise networks[C]，Proceedings of the 29th Annual Computer Security Applications Conference. ACM, 2013: 199-208. “慢模式”的应对研究 攻击金字塔（Attack Pyramid） 采用攻击树原理及分层模型 Using large scale distributed computing to unveil advanced persistent threats[J]. SCIENCE, 2013, 1(3): pp. 93-105. “慢模式”的应对研究 攻击金字塔（Attack Pyramid） 使用不同的算法并以MapReduce分布式计算，来判断上下文间和上下文中可能的恶意活动 Using large scale distributed computing to unveil advanced persistent threats[J]. SCIENCE, 2013, 1(3): pp. 93-105. APT检测产品 IBM公司产品称为大数据安全智能平台（Security Intelligence with Big Data） 它综合安全智能平台的实时处理及安全操作、和大数据平台的大数据处理及分析取证。 Intel公司产品称为安全商务智能平台（Security Business Intelligence platform） 可每天从超过60亿条事件提取特定的事件日志，能更快更智能的响应APT攻击。