原文链接：洛克希德-马丁公司的七步网络杀伤链白皮书

智能驱动的计算机网络防御-通过对敌对方的运动与入侵的杀伤链分析

Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains

Eric M. Hutchins∗, Michael J. Cloppert†, Rohan M. Amin, Ph.D.‡Lockheed Martin Corporation

Hutchins, Eric & Cloppert, Michael & Amin, Rohan. (2011). Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains. Leading Issues in Information Warfare & Security Research. 1.

Cyber Kill Chain

图片来源：http://www.lockheedmartin.com/content/dam/lockheed-martin/rms/photo/cyber/THE-CYBER-KILL-CHAIN-body.png.pc-adaptive.full.medium.png

摘要

常规的网络防御工具（如入侵检测系统和防病毒软件）专注于风险的漏洞部分，而传统的事件响应方法以成功入侵为前提。计算机网络入侵的目标和复杂程度的发展使得这些方法对于某些参与者而言不够。一类新的威胁被称为“高级持续威胁”（APT）的攻击者代表资源丰富且训练有素的对手，他们针对高度敏感的经济，专有或商业活动进行了多年入侵活动国家安全信息。这些对手使用旨在击败大多数传统计算机网络防御机制的高级工具和技术来实现其目标。网络利用有关这些对手的知识的防御技术可以创建情报反馈循环，从而使防御者能够建立信息优势状态，从而降低对手在每次后续入侵尝试中成功的可能性。使用杀伤链模型来描述入侵的阶段，将对手的杀伤链指标映射到防御者的行动路线，确定将单个入侵与更广泛的战役联系起来的模式，并了解情报收集的迭代性质，这是情报驱动的计算机网络防御的基础（CND）。这种方法的制度化减少了对手成功的可能性，为网络防御投资和资源优先级提供了依据，并产生了性能和有效性的相关指标。高级持续威胁的发展需要基于情报的模型，因为在此模型中，防御者不仅可以缓解脆弱性，还可以缓解风险的威胁部分。

1简介

只要存在全球计算机网络，恶意用户就有意利用漏洞。对计算机网络威胁的早期演变涉及自传播代码。随着时间的推移，防病毒技术的进步显着降低了这种自动化的风险。最近，旨在损害数据以促进经济或军事发展的新一类威胁已成为某些行业面临的最大风险要素。此类威胁被称为“ Advanced Persistent Threat”（高级持续威胁，及APT）。迄今为止，大多数组织依赖于能减轻自动病毒和蠕虫相关的风险而实施的技术和流程，而这些技术没有充分解决专注的、手动操作的APT入侵。传统的事件响应方法无法缓解APT带来的风险，因为它们做出了两个错误的假设：应该在妥协之后进行响应，而妥协是因为某个固定的缺陷（Mitropoulos等人，2006；美国国家标准与技术研究院） ，2008）。

最近，行业和美国政府都对APT进行了观察和表征。 2005年6月和2005年7月，英国国家基础设施安全协调中心（UK-NISCC）和美国计算机紧急响应小组（US-CERT）发布了技术警报公告，描述了针对性的、社会工程化的电子邮件，其中植入了特洛伊木马，以提取敏感信息。这些入侵经历了相当长的一段时间，规避了传统的防火墙和防病毒功能，并使攻击者能够收集敏感信息（UK-NISCC，2005； US-CERT，2005）。 《商业周刊》的Epstein和Elgin（2008）描述了对NASA和其他政府网络的大量入侵，在这些网络中，未发现APT参与者，并成功删除了敏感的高性能火箭设计信息。在2010年2月，iSec Partners指出，当前的方法（例如防病毒和补丁程序）不够有效，最终用户直接成为攻击目标，威胁行动者则追求敏感的知识产权（Stamos，2010年）。

在美国众议院武装部队委员会恐怖主义，非常规威胁和能力小组委员会之前，战略与国际研究中心的詹姆斯·安德鲁·刘易斯（James Andrew Lewis）作证说，2007年，包括国防部，国务院和商务部在内的各个政府机构都发生了入侵事件。意图收集信息（刘易斯，2008年）。据报道，中国对计算机网络运营的性质有特殊规定，因此，2008年和2009年向美中经济和安全审查委员会的国会报告总结了针对美国军方，政府的针对性入侵的报告。同样，对手是出于收集敏感信息的动机（美中经济与安全审查委员会，2008年，2009年）。最后，为美中经济与安全审查委员会准备的报告，克雷克尔（2009）对高级入侵进行了详细介绍，充分证明了APT的耐心和精心设计的本质。

基础架构管理工具的进步实现了企业范围内修补和强化的最佳实践，从而减少了网络服务中最容易访问的漏洞。但是，APT参与者通过使用高级工具，自定义的恶意软件和防病毒和补丁无法检测或缓解的“零时差”漏洞，不断展示出破坏系统的能力。对APT入侵的响应需要分析，流程和技术方面的发展。基于对威胁的了解，可以预测和减轻将来的入侵。本文从对手的角度描述了一种以情报驱动，以威胁为重点的方法来研究入侵。入侵的每个离散阶段都映射到操作过程中，以进行检测，缓解和响应。术语“杀伤链”描述了入侵的结构，相应的模型指导分析以告知可采取行动的安全情报。通过此模型，防御者可以制定针对入侵者的弹性缓解措施，并智能地确定对新技术或流程的投资优先级。杀死链分析表明，对手必须先在链的每个阶段成功前进，然后才能实现其预期目标。只有一种缓解措施会破坏连锁店和对手。通过情报驱动的响应，防御者可以在APT口径对手中获得优于攻击者的优势。

本文的组织结构如下：本文的第二部分介绍了基于阶段的防御模型和对策策略的相关工作。 第三部分介绍了一种智能驱动的计算机网络防御模型（computer network defense，CND），该模型结合了针对特定威胁的入侵分析和防御缓解措施。第四部分介绍了该新模型在实际案例研究中的应用，第五部分概述了本文并提出了对未来的一些思考研究。

2 相关工作

虽然APT的建模和使用杀伤链的相应响应是独特的，但存在防御和对策策略的其他基于阶段的模型。美国国防部联合研究中心的出版物描述了一个杀伤链，其发现，修复，跟踪，目标，交战和防御阶段评估（美国国防部，2007年）。美国空军已使用此框架来确定情报，监视和侦察（ISR）能力方面的差距，并优先考虑所需系统的开发（Tirpak，2000年）。威胁链也已用于对简易爆炸装置（IED）攻击进行建模（国家研究委员会，2007年）。IED交付链对从敌方资金到攻击执行的所有过程进行建模。协同情报和防御措施以简易爆炸装置威胁链的每个阶段为重点，是应对这些攻击的理想方法。该方法还通过将现有功能映射到链上，为基础研究需求的识别提供了一个模型。基于阶段的模型也已用于反恐计划。美国陆军将恐怖分子的行动计划周期描述为一个七个步骤的过程，作为评估恐怖组织意图和能力的基线（美国陆军训练和主义司令部，2007年）。 Hayes（2008）将此模型应用于军事设施的反恐计划过程，并确定了原则，以帮助指挥官确定保护自己的最佳方法。

在军事环境之外，基于阶段的模型也已用于信息安全领域。 Sakuraba 等人（2008年）描述了对策的基于攻击的顺序分析（the Attack-Based Sequential Analysis of Countermeasures，ABSAC）框架，该框架在攻击的时间阶段调整了对策的类型。 ABSAC的方法所包含的反应性强的妥协性对策比对非持久对手运动的早期发现能力要强。在基于阶段的模型对内部威胁的应用中，Duranet等人（2009年）描述了基于恶意人员的进度的分层检测和对策策略。 Willison和Siponen（2009）还通过改编称为“情境预防”（SCP）的基于阶段的模型来解决内部威胁。 SCP从犯罪者的角度模拟犯罪，然后将控件映射到犯罪的各个阶段。最后，安全公司Mandiant提出了一个“剥削生命周期”。但是，Mandiant模型并未绘制防御行动的路线图，而是基于妥协后的行动（Mandiant，2010年）。对CND打击APT参与者而言，将检测和缓解措施移至入侵杀伤链的早期阶段至关重要。

3 智能驱动的计算机网络防御

情报驱动的计算机网络防御（CND）是一种风险管理策略，用于解决风险的威胁部分，并结合了对对手及其能力，目标，学说和局限性的分析。这必然是一个连续的过程，需要利用指标来发现新活动，而还要利用更多指标。它需要对入侵本身有新的了解，而不是非常规事件，而是逐步发展。本文提出了一种新的入侵消灭链模型，用于分析入侵并推动防御行动。情报驱动的CND的作用是更具弹性的安全态势。 APT参与者本质上会在入侵之后尝试入侵，并根据每个尝试的成功或失败来调整其操作。在“杀死链”模型中，只有一个缓解措施会打破链条并挫败对手，因此，对手的任何重复都是防御者必须认识和利用的责任。如果防御者实施对策的速度超过了对手的发展速度，则将增加对手为实现其目标而必须花费的成本。该模型表明，与传统观点相反，这些侵略者没有防御者固有的优势。

3.1指标和指标生命周期

该模型中情报的基本要素是指标（indicator）。出于本文的目的，指示符是客观描述入侵的任何信息。指标可细分为三种类型：

•Atomic原子-原子指示器是不能分解成更小的部分，并在入侵的情况下保持其含义的指示器。此处的典型示例是IP地址，电子邮件地址和漏洞标识符。

•Computed计算的-计算的指示符是从事件中涉及的数据派生的那些指示符。常见的计算指示符包括哈希值hash values和正则表达式regular expressions。

•Behavioral行为-行为指标是计算指标和原子指标的集合，通常要经过数量和组合逻辑的鉴定。例如，“入侵者最初会使用后门，该后门以[some frequency]到[some IP address]的速率生成网络流量匹配[regular expression]，然后,一旦建立访问权限, 将其替换为匹配MD5 hash [value]的语句。”

使用本文中的概念，分析师将通过分析或协作来揭示指标，通过在工具中利用这些指标来使这些指标成熟，然后在发现匹配活动时加以利用。如果对此活动进行调查，通常会导致其他指标，这些指标将受同一组动作和状态的约束。该动作周期以及相应的指示器状态形成了图1中所示的指示器生命周期。这不分青红皂白地适用于所有指示器，无论其准确性或适用性如何。如果没有足够的跟踪，跟踪从其前身衍生的给定指标可能会很耗时且成问题，因此，必须遵循这些过程的指标是有效的，并适用于所遇到的问题。如果此时没有注意，分析人员可能会发现自己将这些技术应用于并非针对其设计的威胁参与者，或者完全将其视为良性活动。

   3.2入侵杀伤链

杀伤链是一个系统的过程，该过程以目标为目标并与对手互动，以创建所需的效果。美国的军事目标学说将这一过程的步骤定义为：find发现，fix修复，track跟踪，target目标，engage交战，assess评估（F2T2EA）：找到适合交战的对手目标；固定他们的位置；跟踪观察；用合适的武器或资产瞄准以产生所需的效果；招敌评估效果（美国国防部，2007年）。这是一个完整的，端到端的过程，称为“链”，因为任何不足都会中断整个过程。

在此概念的基础上，本文提出了一种新的杀伤链模型，该模型专门用于入侵。入侵的本质是，攻击者必须开发有效载荷以突破可信边界，在可信环境中建立存在，并从该存在中，针对他们的目标采取行动，无论他们在环境中横向移动还是违反环境中系统的机密性，完整性或可用性。入侵杀伤链定义为reconnaissance侦察，weaponization武器化，delivery交付， exploitation利用，installation安装，command and control 命令和控制（C2）以及actions on objectives对目标采取的行动。

关于计算机网络攻击（CNA）或计算机网络间谍活动（CNE），对这些杀伤链阶段的定义如下：

1.Reconnaissance侦察-研究，确定和选择目标，通常表现为爬虫网站，例如会议记录和电子邮件地址，社会关系或特定技术信息的邮件列表。

2.Weaponization武器化-通常通过自动化工具（武器化工具）将远程访问木马与对可交付有效载荷的利用相结合。诸如Adobe可移植文档格式（PDF）或Microsoft Office文档之类的客户端应用程序数据文件越来越多地用作可交付使用的武器。

3.Delivery交付-将武器传输到目标环境。洛克希德·马丁计算机事件响应团队（LM-CIRT）在2004年至2010年间观察到，APT参与者对武器有效载荷的三种最普遍的传递媒介是电子邮件附件，网站和USB可移动媒体。

4.Exploitation漏洞利用-将武器交付给受害者主机后，漏洞利用会触发入侵者的代码。漏洞利用通常针对一个应用程序或操作系统漏洞，但也可以更简单地利用用户自身或利用可自动执行代码的操作系统功能。

5.Installation安装-在受害系统上安装远程访问特洛伊木马或后门程序可使攻击者在环境中保持持久性。

6.Command and Control命令和控制（C2）-通常，受感染的主机必须向Internet控制器服务器发送信标，以建立C2通道。 APT恶意软件尤其需要手动交互，而不是自动进行活动。一旦建立了C2通道，入侵者就可以在目标环境中“手动操作”键盘。

7.Actions on objectives针对目标的行动-只有在经过前六个阶段之后，入侵者才能采取行动以实现其原始目标。通常，此目标是数据泄漏，涉及从受害环境中收集，加密和提取信息。违反数据完整性或可用性也是潜在的目标。替代地，入侵者可能只希望访问最初的受害者盒，以用作跳跃点来危害其他系统并在网络内部横向移动。

3.3 Courses of Action

Table 1: Courses of Action Matrix

3.4 Intrusion Reconstruction

Figure 3: Late phase detection

Figure 4: Earlier phase detection

3.5 Campaign Analysis

4 Case Study

4.1 Intrusion Attempt 1

4.2 Intrusion Attempt 2

4.3 Intrusion Attempt 3

5小结

鉴于先进的持续威胁，情报驱动的计算机网络防御是必要的。常规的，以脆弱性为重点的流程不够充分，需要了解威胁本身，威胁的意图，能力，学说和操作模式才能建立弹性。入侵杀伤链提供了一种分析入侵，提取指标并推动防御行动路线的结构。此外，此模型将投资优先考虑为能力缺口，并充当衡量防御者行动有效性的框架。当防御者考虑风险的威胁部分以增强对APT的抵御能力时，他们可以将这些行为者的坚持变成责任，从而降低对手每次入侵尝试成功的可能性。

杀伤链显示出侵略者与防御者之间的不对称性，侵略者的任何重复组成都是责任。了解给定对手的重复性，无论是出于不便，个人喜好还是无知，都是对成本的分析。对入侵者的成本效益比进行建模是需要进一步研究的领域。当成本效益被确定为不平衡时，它可能是一组信息相对于另一组信息优势的指标。信息优势模型对于计算机网络攻击和利用理论的发展可能是有价值的。最后，本文提出了计算机间谍活动下的入侵杀伤链模型。入侵可能代表了更广泛的问题类别。这项研究可能与其他学科（例如IED对策）强烈重叠。