分析企业内网攻击路径

伴随互联网的快速发展，网络攻击也愈演愈烈，使传统意义上的安全措施作用基本丧失，严重威胁企业安全。而且网络攻击者大都使用伪造的IP地址，使被攻击者很难确定攻击源的位置。这些都使得企业内网络攻击路径分析与还原技术成为网络主动防御体系中的重要一环，它对于最小化攻击造成的损失、威慑潜在的网络攻击行为都有着至关重要的作用。

目前攻击路径还原技术绝大多数都是针对外网DDoS攻击而言，技术手段集中在攻击者“指纹库”的积累和云端威胁情报的共享。在面对攻击者进入企业信息系统内部之后的路径溯源却乏善可陈，只能依靠网络管理员对边界流量的异常日志来发现，主要手段有分组标记溯源法、ICMP溯源法、日志记录溯源法、受控泛洪溯源法、链路测试溯源法。从技术原理上来说都是利用网络流量及协议的特征进行溯源。存在如下缺点：

1.对于渗透到企业内部的攻击，外网DDoS攻击的威胁情报技术无法进行追踪还原，安全人员只能通过综合各个安全设备相关日志及安全信息，人工分析攻击路径。

2.路径还原能力有限，无法对所有攻击行为进行路径还原。传统技术大部分是基于已有的经验规则来发现攻击，对于新威胁或攻击，无法准确确认。

3.路径还原不精准，存在误判或影响业务的现象。依靠协议特征反向探测或响应攻击的技术，一方面会影响正常业务系统的运行，另一方面协议也可被攻击者利用从而使溯源失效或误判。

解决方案

目前最难发现、最难可视化的攻击便是APT攻击。本文正是基于APT攻击提出了一整套企业内网络攻击路径分析与还原解决方案。通过事件告警及资产信息的综合分析，以Kill Chain(杀伤链)的七个步骤为横向，以攻击者、攻击来源、薄弱点、攻击目标为纵向，纵深的还原攻击程，进而锁定攻击特征，还原网络拓扑，将过程图和网络图分开，简明清晰的展示攻击过程。

平台设计

攻击路径还原是通过网络中安全事件的特征还原攻击手法并最终追溯出攻击者的过程。其目的在于回溯攻击者和彻查薄弱点，通过安全事件告警和各类系统的综合分析得出攻击目标、内网薄弱点、攻击来源、攻击者四者的各自列表和各台设备之间的连接关系，由此得到攻击路径溯源图，从而完成攻击过程的还原。

攻击溯源主要分为攻击过程溯源和网络溯源，过程溯源最后输出的结果是攻击的整体步骤，用来展现攻击者是谁、目的是什么、攻击过程。网络溯源最后输出的结果是网络拓扑图，用来展现攻击手段和攻击工具。

图1 攻击过程溯源

以下结合图1，对本提案进行详细阐述。

攻击过程溯源由两个维度构成，分别是攻击区域和Kill Chain(杀伤链)。设备按照攻击区域划分，设备连接按照Kill Chain进行组织标识。

攻击区域分为四个部分：攻击者、攻击来源、内部薄弱点、攻击目标。

攻击者：发起攻击的源头。

攻击来源：攻击者控制的僵尸网络，攻击者以此隐匿自身的真实网络地址。

内部薄弱点：是与攻击目标关联且有相同攻击特征的内网设备，攻击者接触到组织内部时往往无法直接触碰到具有重大或核心价值的重要资产，而需要探测出组织内部安全的薄弱点，以此为最终攻击做准备。

攻击目标：攻击行为的最终目标。

Kill Chain分为七个步骤：探测、准备弹药、投毒、利用、安装、执行远程控制、执行目标行动。

1.通过综合指数确认攻击目标

通过对被攻击设备的资产价值、告警信息进行综合分析，确认最终攻击目标。

周期性获取经过采集、格式化、关联分析后的发生在网络设备、安全设备、主机及相关资产上的告警事件。设备包括：交换机、路由器、流量设备、防火墙、IDS、IPS、主机、数据库等，要采集的信息包括设备记录的用户行为信息、设备自身运行信息、设备配置信息。

获取告警信息中描述的被攻击设备。告警信息包括事件发生时间、源地址、目的地址、事件类型、告警级别等信息，通过目的地址关联的资产既是被攻击设备。

核算被攻击设备资产价值。根据资产价值、告警类型、告警次数核算被攻击设备综合指数，并根据资产类型、业务类型等因素设置阈值，比较被攻击设备的综合指数与阈值大小，综合指数大于阈值，视该资产为攻击目标，未超过阈值的资产视为攻击路径中资产。

以上判断，最终超过阈值的设备被确认为攻击目标。

2.通过分析历史告警及流量数据确认内部薄弱点及攻击来源

追溯内部薄弱点，回溯攻击来源，因此需要通过查找与攻击目标发生过连接且产生过安全事件告警的设备来锁定内部薄弱点范围。通过分析历史告警及流量数据，输出距离攻击目标最近的薄弱点列表，攻击来源列表。

通过对攻击目标设备的告警及流量分析，找出与攻击目标有连接或者是告警事件源地址对应的设备，对应内网设备添加到设备列表A，外网设备添加到攻击来源设备列表S。

遍历设备列表A所有设备，查询设备历史告警信息，将有告警发生的设备组合形成设备列表B，将列表B设备添加到内部薄弱点列表L中。

遍历设备列表B所有设备，找出与之有连接或者是告警事件源地址对应的设备，对应内网设备添加到设备列表D，外网设备添加到攻击来源设备列表S。

遍历设备列表D所有设备，查询设备历史告警信息，将有告警发生且告警类型相同设备组合形成设备列表E，将列表E设备添加到内部薄弱点列表L中。

按照上面步骤递归处理列表，最终形成完整的内部薄弱点列表和攻击来源列表。

如下案例：

“攻击目标”10.1.4.7设备发生了为“信息泄露”事件并产生告警（对应Kill Chain“执行目标行动”阶段）。

分析与“攻击目标”10.1.4.7有过连接或告警源地址对应设备历史告警信息，发现有“执行远程控制”的事件及告警发生（对应Kill Chain“执行远程控制”阶段）,得出远程控制告警设备列表。

图2 攻击路径还原

远程控制告警列表中的所有设备都是内部薄弱点。

分析发现与远程控制告警列表有过连接的设备曾有“病毒爆发”事件及告警发生（对应Kill Chain“安装”阶段）。

如上述过程，递归推演Kill Chain的攻击步骤，并将涉及的内网设备加入内部薄弱点。直到连接或告警源地址对应设备的IP中出现外网IP。

当出现外网IP时，将外网IP对应的设备添加到攻击来源设备列表，与此同时，内网IP设备仍然按照Kill Chain进行回溯，直到“探测阶段”。

“探测阶段”需不断递归从而输出覆盖全部攻击类型的“探测阶段”，直到“攻击目的”列表完全清空（目标IP已无内网IP，外网IP全部归类到“攻击来源”）。

3.通过威胁情报确认攻击者

根据内部薄弱点列表及攻击来源列表信息，结合最新的威胁情报信息进行综合分析，从而定位出攻击者。

在线实时获取外部威胁情报机构提供的最新情报信息，及时更新本地威胁情报信息库。

查询攻击来源列表中的设备是否在威胁情报库中有备案，对有备案的攻击来源设备进行标识。

通过攻击来源设备IP信息以及攻击行为特征定位攻击者，查询其背景信息。

整理全部攻击者的相关信息，形成详实的描述。

4.绘制攻击路径溯源图

基于以上分析结论，分别以攻击区域、Kill Chain 两个维度对攻击数据进行组织，最终利用图形化工具生成攻击路径还原图。如图2所示。

根据攻击类型和Kill Chain的七个步骤的对应关系，建立攻击路径图中的横向数据关系。

根据设备与攻击者、攻击来源、内部薄弱点、攻击目标的对应关系，建立攻击路径中的纵向数据关系。

通过可视化工具，以攻击者、攻击来源、内部薄弱点、攻击目标为纵向区域，以点到点攻击转化的Kill Chain为横向连接，绘制攻击路径还原图。

通过网络拓扑还原和事件攻击路径上的连接关系，绘制网络拓扑溯源图，输出攻击路径还原图表。