一种APT检测平台设计与实现

唐宏斌 覃晓宁 刘敬华

（1.岭南师范学院 广东省湛江市 524048 2.蓝盾信息安全技术有限公司 广东省广州市 510631）

数据是企业的生命线，一旦数据被窃，企业将将失去竞争力，难以生存与发展。现如今，没有一个企业能孤立于互联网之外。而在网络中存在各种风险，特别是2013年斯诺登事件曝光以来，网络攻击、网络窃听和数据被盗取等众多事件曝光于大众之下，人们意识到了安全的重要性。

高级持续性威胁（Advanced Persistent Threat，APT）攻击是指某组织对特定对象展开的持续有效的攻击活动。此类攻击活动具有极强的隐蔽性和针对性[1]。描述一个APT 攻击完整的攻击链，可以分为七步：侦查，工具制作，投送，攻击渗透，安装工具，控制，窃取破坏。当黑客渗透成功，在网络内部模仿用户行为进行数据窃密时，检测难度已经大大增加，且往往发现之后已经造成一定损失。所以APT 检测往往从黑客渗透的事前和事中入手。高级持续性威胁攻击链图如图1。

面对着APT 攻击，往往被攻击对象被监控和窃取数据多时而不自知。如何在APT 攻击发生之时，有效检测出此类攻击并预警和阻断是目前业界在探索的一个重要问题。鉴于此，本文设计一种高级持续性威胁检测平台，平台解决APT 攻击监测和预警的问题，并在发现攻击时智能联动纵深防御安全设备进行阻断，阻止数据窃取事件的发生，防患于初始阶段。

1 高级持续性威胁（APT）检测平台设计与实现平台体系架构

高级持续性威胁检测平台总体架构包括五横三纵。其中，五横包括感知基础设施层、数据采集层、数据层、应用层、展现层；三纵包括标准规范体系、安全保障体系和运维保障体系，架构如图2所示。

1.1 展现层

展现层是实现各类网络安全态势、APT 网络安全事件、重要网络安全通知公告等信息及时发布的重要渠道系统，包括：

（1）安全态势WEB 展现系统；

（2）指挥室大屏展示系统；

（3）移动终端展示系统等。

1.2 应用层

应用层是平台建设的核心内容，包括：

（1）应急指挥系统；

（2）APT 网络安全态势感知系统；

（3）信息通报处置系统；

（4）安全大数据分析系统。

1.3 数据层

数据层是态势感知安全平台数据存储、管理及共享控制中枢，在数据采集层之上，包括：

（1）数据库管理系统；

（2）数据湖泊：海量数据存储能力，包括结构化和非结构化数据，涵盖各个数据库（数据采集库、等保合规库、应用服务管理库、APT 态势感知数据库、数据共享管理库等）；

（3）安全态势感知数据总线。

1.4 数据采集层

数据采集层是态势感知安全平台统一的数据采集系统，支持多种数据采集方式，包括：

（1）安全设备、网络设备、探针、终端设备、应用或者接受其他相关日志；

（2）实时网络全流量采集；

（3）导入外部威胁情报；

（4）软件基因分析结果信息。

1.5 基础设施层

基础设施层是指为系统运行提供实体支撑的服务器、网络设备、安全设备、存储系统、终端设备、应用支撑中间件等软硬件设施。同时包括机房、应急指挥室等内容。

1.6 标准规范体系

平台的基础设施包括通用或专用型服务器、可选的集中存储组件、标准的网络设备及网络拓扑，共同构成了平台的基础物理环境。对于超大型的应用场景，可采用数据中心的模式进行建设。

标准规范体系是确保态势感知安全平台规范化的基础，包括但不限于业务标准、数据标准、技术标准等。

2 技术原理

本平台基于大数据智能分析技术建立智能安全分析中心，采集设备日志、业务应用日志、全流量L2-L7 层协议还原数据、利用沙箱技术对文件动态行为的分析结果、性能指标、资产脆弱性、外部威胁情报等安全数据，利用AI 模型和可视化技术分析识别僵尸蠕毒和APT 攻击等已知和未知威胁，对用户网络环境内发生的所有行为进行全面分析，实现对脆弱性、威胁、事件的深入分析和关联，从业务系统、应用情境、用户等维度进行关联分析，实现攻击路径还原、攻击危害评估、调查取证、安全态势可视化分析等安全能力。高级持续性威胁检测平台技术架构图如图3。

2.1 数据处理技术

引入大数据技术建立数据分析平台，收集网络、终端、系统、应用层等各层面数据，进一步挖掘与分析，为网络安全纵深防御、安全运营管理和应急提供支撑，并在此基础之上形成可视化的安全态势感知系统。

2.2 URL过滤技术

URL 过滤技术用于对互联网上的网站进行分类，将Web 流量与边界防御设备如下一代防火墙的URL 过滤数据库进行比较来限制访问，以防止访问者访问不安全，有害的网站（如网络钓鱼页面）。

检测平台在智能分析中心内置机器学习引擎，在检测恶意DNS域名和链接上通过对样本的模型训练，预测恶意域名和链接，经过确认后，加入到URL 过滤数据库以更新数据库；同时，可以通过学习威胁情报信息，亦可扩大URL 过滤范围，提高准确度。

2.3 沙箱技术

沙箱可模拟真实环境，运行未知文件后得出文件运行过程中的各种行为，综合分析后可准确判断未知威胁。

2.4 智能AI引擎技术

搭载最新的AI 威胁检测引擎，能够识别恶意代码变种、未知威胁等特征匹配模式无法识别的高级威胁。

3 高级持续性威胁检测平台功能

3.1 静态分析

基于传统的入侵检测和杀毒技术，可以对已知的病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL 注入、XSS、网站挂马、异常流量等恶性攻击行为有非常准确高效的检测效果。

3.2 流量模型分析

通过了黑的检测，并不代表安全，因为它是通过对已知的攻击样本进行分析，提炼出各种签名文件来进行检测只能对已知或者公开的攻击进行预警和防御。因此基于流量探针技术，采集主流使用的通讯协议的流量数据，形成流量基线，由此可以判断网络内异与常态的流量行为，从白中挑出灰。

3.3 沙箱检测

对于绕过入侵检测和杀毒软件的灰色数据，引入动态沙箱检测技术，使用多种虚拟机环境运行被检测文件，监测文件打开后的系统环境、内存状态以及文件的各种行为等以确定文件是否为恶意文件。

3.4 人工智能大数据分析

平台基于人工智能，针对高级持续性威胁进行全面检测、可视化、告警和智能联动防御，包含原始文件、流量还原、传统恶意文件检测、无监督机器学习恶意软件或流量分析、可疑文件动态分析、异常流量检测、横向移动监测、数据泄露监测、全流量离线深度协议分析、资产管理、事件关联分析告警、网络攻击态势可视化等功能。

3.5 综合态势展示

综合态势展示世界和中国范围内的攻击轨迹与次数，包括病毒事件、入侵事件、异常流量；可查看网络安全基本态势，包括网络攻击、恶意文件、异常流量事件、网络流量和安全日志；受攻击重点资产和攻击来源TOP10 的周和月报表。

4 结语

本文提出了一种基于大数据平台的高级持续性威胁检测平台，针对高级持续性攻击行为提供全方位多维度监测、精确感知及预警与防御的专业安全产品，保护用户资产数据。