高级持续性威胁攻击取证分析调查作业程序之研究

高级持续性威胁攻击（Advanced Persistent Threat，APT）／目标攻击，是全球各地具备创造力、灵活力的网络犯罪分子针对网络基础设施，以不断翻新、随时在线待命、高级持续的专业攻击工具，进行的网络攻击手法。情报搜集与窃取数据，是所有APT的共同目的，传统的网络安全防御技术对未发觉、多元且复杂的APT威胁并无侦测能力，将遭受APT攻击的风险推到前所未有的高度，APT吓是现今组织所面临的最大威胁之一。循以数字证据分析取证标准作业程序：搜集-保全-分析-结果呈现，首先对APT攻击行为进行静态分析：再对APT攻击进行深入的动态分析，探讨数字证据取证处理程序，研制有关APT攻击数字证据取证的处理程序及规则；最后，将数字取证设备及取证软件为主要的取证工具，让取证人员能够运用此取证程序与取证工具，即可完成取证工作，了解APT威胁攻击态样，为日后的调查分析提供数字证据，补强数字证据取证调查的完整性、一致性和精确性。

高级持续性威胁检测与分析技术初探

伴随着信息化和互联网技术的深远发展,网络攻击行为也在不断升级,高级持续性威胁的英文简称是APT——Advanced Persistent Threat,这类攻击具有潜伏时间长、驻留在隐蔽网络中难以发现、爆发后的破坏力巨大等特点。近年来,具备国家和组织背景的高级持续性威胁攻击数量日益增多。本文将详细介绍APT攻击特点,以及现阶段针对APT攻击的威胁检测和分析的相关技术。

全球高级持续性威胁总体态势、典型手法及趋势研判

随着网络空间博弈发展和国际局势的加剧,组织性复杂、计划性高效和针对性明确的网络攻击活动更趋常态化,高级持续性威胁(APT)攻击已成为网络空间突出风险源。APT的政治化、军事化、武器化、组织化、隐匿化趋势日益明显,与政府部门进一步深度绑定,“雇佣兵”性质更为凸显,零日漏洞、供应链入侵等高水平渗透手段的利用呈现常态化的特征。在大国博弈的背景下,APT攻防较量更趋复杂,针对APT事件的调查与响应呈现强烈的政治化趋势,成为网络空间与现实地缘政治融汇交织新的风险点。

一种基于等级保护的高级持续性威胁防护模型研究

随着信息安全技术的发展,各种网络攻击层出不穷,这当中,高级持续性威胁攻击(俗称APT攻击)属于较为新颖的同时也是危害和防护难度最大的攻击方式。本次研究针对APT攻击泛滥的问题,提出了基于等级保护制度的APT攻击防护模型。首先采用了从分析国内外APT攻击态势入手,提出了APT攻击模型,接着总结了APT攻击各阶段的手法,探讨了如何利用国家信息系统安全等级保护基本要求和信息系统等级保护安全设计技术要求去应对APT攻击模型和各阶段的攻击手法,从而提出了基于等级保护制度的APT防护模型。

基于攻击图的APT脆弱节点评估方法

高级可持续性威胁(advanced persistent threat,APT)具有行为隐蔽性强、攻击周期持久的特点,增加了攻击检测的难度。据此,引入攻击图理论评估网络系统在APT攻击下的脆弱节点,提出了一种基于攻击图的APT脆弱节点评估方法,有效地提高了发现攻击的概率。对APT攻击行为的异常特征进行提取和定义,对目标网络系统建立风险属性攻击图(risk attribute attack graph,RAAG)模型;基于APT攻击行为特征的脆弱性对系统节点的行为脆弱性进行评估,并以通用漏洞评分系统(common vulnerability scoring system,CVSS)标准做为参照评估系统节点的通联脆弱性;基于上述2个方面的评估,计算系统中各节点的整体脆弱性,并发现目标网络系统在面向APT攻击时的脆弱节点。实验结果表明,所提方法能够对APT攻击行为特征进行合理量化,对系统节点的脆弱性进行有效评估,在APT攻击检测率上有较好表现。

APT——更高的威胁?

高级持续性威胁(APT)是当前渗透力和隐蔽性最强的网络攻击形式,对网络安全构成了严重威胁。本文通过剖析高级持续性威胁的主要特点、攻击机理,提出了强化用户安全意识、对用户行为进行信誉评级、重视分析网络传出流量、严格管控关键网络终端、经常实施攻击测试、长期跟踪分析、运用新型网络安全技术等应对高级持续性威胁的技术手段和措施。

APT攻击分层表示模型

针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题,提出了一种高级可持续性威胁(APT)攻击分层表示模型(APT-HARM)。通过总结分析大量公开的APT事件报告和参考APT攻击链模型与分层攻击表示模型(HARM),将APT攻击分为攻击链和攻击树上下两层,并将其形式化定义。首先,将APT攻击分为由侦察、渗透、行动和撤出四个阶段组成的攻击链,并研究了各阶段特点;然后,研究各阶段中采取的攻击手段,并依据其逻辑关系组成攻击树。APT攻击按照攻击链分阶段依次进行,各阶段按照攻击树流程依次执行。案例分析表明,本模型相较攻击链模型具有粒度划分合理、攻击描述完备准确的优点。APT-HARM形式化地定义了APT攻击,为APT攻击的预测和防范提供了一种思路。

结合动态行为和静态特征的APT攻击检测方法

针对APT攻击网络流量难以获得,模拟的数据与现实又很难匹配的问题,提出了一种基于动态行为和静态特征结合的APT攻击检测方法。采用Noriben沙箱提取待测软件的进程行为、文件行为、注册表行为和网络行为构建动态行为特征集,基于Transformer-Encoder算法识别APT恶意软件的准确率达到了95.8%。对识别出的APT恶意软件进行组织分类,提取软件调用的DLL(dynamic link library)和API(application programming interface),并组合成DLL:API的特征形式,将1D-CNN(one dimensional convolutional neural networks)算法应用于APT恶意软件组织分类的准确率达到了98.7%,比之前的方法提高了5个百分点。与热门的深度学习算法和机器学习算法的实验效果做对比,数据表明,提出的方法相比其他方法,准确率有较大提升。

基于阶段特性的APT攻击行为分类与评估方法

APT攻击行为的复杂多样性增加了攻击检测的难度,这也正是当前APT攻击研究的难点之一。基于现有研究,提出基于阶段特性的APT攻击行为分类与评估方法。通过学习理解APT攻击的概念,对APT攻击的阶段特征进行总结;以各攻击阶段的目的为依据,对APT攻击行为进行细粒度划分,形成APT攻击行为分类框架;基于各类攻击行为的特点,提取影响APT攻击性能的关键因素,设计相应的量化评估方法,为攻击行为的选取与检测提供指导。通过对实验结果进行分析,所提方法能够真实地反映攻击的实际情况,具有较好的有效性和准确性。

高等级安全网络抗APT攻击方案研究

文章在分析高安全等级网络所面临的APT攻击风险基础上,简述了高安全等级网络抗APT攻击方案的主要思想,阐述了高安全等级网络抗APT攻击方案设计,并提出了高安全等级网络抗APT攻击的思想和策略。

APT攻击行为的阶段演变和多态检测方法探讨

APT(高级持续性威胁)攻击的出现,从本质上改变了网络安全的态势。APT攻击具有极强的组织性、目的性和持续性,对传统的被动式防御系统造成极大的威胁。通过分析APT攻击的特征和阶段演变,构建了一种多态检测体系。仿真实验证明,多态检测方法能提高APT常见攻击方法的预警效率。

APT攻击趋势分析和防御建议

APT(Advaneed Persistent Threat,高级持续性威胁)攻击严重威胁全球经济发展和国家安全稳定,文章首先简述了APT攻击的特点和生命周期,然后结合近年来APT攻击典型案例分析APT发展趋势和特点,最后提出提升我国APT监测和防御能力的方法建议。

网络空间威胁狩猎的研究综述

近年来,随着网络的普及和信息化水平的不断提高,越来越多的公司把重要信息和机密文件存储在连接着网络的计算机上。但是,由于网络攻击的手段层出不穷,威胁狩猎的思想和理念孕育而生并且逐渐成熟。由此,首先对网络空间威胁的定义和攻击流程模型进行介绍,再阐述了威胁狩猎的定义和核心技术,然后描述了威胁狩猎使用的工具;最后,概括总结现有的主流威胁狩猎的框架,比较各个框架的优缺点,并阐明了下一步的发展方向。

APT样本逻辑表达式生成算法

深入研究已知APT攻击事件,以威胁情报共享理论为基础,提出一种APT样本逻辑表达式生成算法IOCG。该算法能够自动生成可机读的IOCs,解决现有IOC的逻辑关系固定,逻辑项个数不变,规模庞大以及无法对一类样本生成表达式的局限性。同时能够减少冗余及无用APT样本特征处理时间消耗,提高情报分析共享速率,积极应对复杂多变的APT攻击态势。实验采用自助法对APT1样本进行抽样,将样本分成实验集及训练集,再分别利用该算法与IOC_Aware插件对训练集生成逻辑表达式,对比表达式本身及检测效果上的差异。实验结果表明,该算法是有效的,并能提高检测效果。

基于攻防树的APT风险分析方法

针对目前缺少APT攻击中系统威胁风险评估理论模型的问题,提出了一种基于攻防树的网络攻击风险分析方法。将APT攻击过程分为攻击阶段与防护阶段,定义不同阶段内的参数计算方法,首先通过漏洞收集和攻击事件捕获构建攻击行为节点,并将防护对策映射为防护行为节点;其次形式化定义了漏洞成功利用概率、攻击成本、防护成本和系统损失度等参数,利用ADTool工具生成攻防树和节点参数值;然后引入攻击回报与防护回报的概念,作为系统风险分析的依据;最后构建了基于攻防树的攻击风险分析框架,并通过一个APT攻击实例对框架效果进行了验证。计算结果表明,可通过攻击回报等参数数值的变化评估采取防护对策的效果。该方法对攻防双方策略互相影响的场景描述更加贴近实际,实现了系统威胁风险度分析与防护策略效果评估的目的。

基于半监督引导的网络APT检测知识图谱构建

各国信息系统等重要设施的高级持续性威胁(APT)攻击愈发频繁,且APT具有针对性强、隐蔽性好、破坏性大等特点。为了高效检测APT攻击,提出一种基于知识库的APT攻击检测方案。首先,通过搜集大量开源APT威胁数据,提出一种基于深度学习级联模型结构的新型APT知识获取方法。然后,针对数据的多源异构性,提出一种半监督Bootstrap的知识融合方法,以自动构建APT知识图谱。接下来,针对APT攻击检测识别的准确性,提出一种基于Bert+BiLSTM+Self-Attention+CRF模型的APT攻击检测方案,Bert模型提取文本特征,BILSTM提取输入语句与上下文之间的关系,融合Self-Attention机制关注上下文中的语义及APT实体间的关系,CRF模型根据标签间的依赖关系提取全局最优的输出标签序列,以得到APT攻击命名实体。实验表明,Bert+BiLSTM+Self-Attention+CRF模型的准确率、召回率、F1值分别达到88.69%、77.13%和82.5%,整体性能相较于现有方法更优。