来源：State of the Art Analysis of Defense Techniques against Advanced Persistent Threats，Jeslin Thomas John，The Chair of Network Architectures and Services，Faculty for Informatics, Technical University of Munich

高级持续威胁(Advanced Persistent Threats, APT)由于其复杂性、持久性和无法进行适当跟踪等原因，已成为近年来最严重的IT安全问题之一。APTs所带来的威胁不仅是IT公司所关心的，也是工业机构、政府、军事组织等所关心的。尽管学术界存在不同的研究建议，但其中许多建议尚未反映在市场上现有的解决方案中。下面的论文尝试了从市场上可得到的学术研究和商业解决方案的不同工作的现有技术分析，比较它们的益处和结果，以获得对防御机制的分类说明。此外，本文还提出了一种基于理论计算方法的APT防御新方法。

一、简介

针对特定组织、政府、军事组织等的复杂的、有针对性的、持续性的、精心策划的网络攻击统称为高级持续性威胁(Advanced persistent threat, APT)。这些攻击大多是复杂的，隐蔽的，通常涉及多个阶段，跨度很长一段时间。这使得APTs难以检测、防御和减轻。一个APT过程的各个阶段很容易被误认为是在不相关的时间段内发生的独立事件。在这种情况下，静态攻击检测技术被证明是无效的，黑名单和基于恶意签名技术面临失败。这清楚地表明传统方法在处理APT威胁的复杂性方面效率低下，需要新的检测和消除方法。因此，正在寻求创新的和积极主动的方法，这些方法可以为安全提供洞察力，以便不断监测受保护的系统，发现漏洞和安全漏洞。这将有助于在发生攻击时尽量减少对目标系统造成的影响。根据所考虑的系统的性质，本文讨论的各种研究建议都使用了各种各样的APT检测方法。

二、背景知识

APTs是经过精心策划的安全攻击，旨在通过覆盖现有的安全和防御机制，探索系统已知的漏洞，从而获得未经授权的访问。在大多数情况下，攻击的目标是渗透到系统中，了解内部活动流并访问机密信息。这要求在攻击行动中采取很大的被动性，以便在更长的时间内不被发现。它的先进性在于，攻击者利用多种攻击方法的复杂组合，针对并适应脆弱系统，具有持久性，由于攻击生命周期长，可以跨越很长一段时间而不被发现，由于攻击者缓慢地继续获取对目标系统的控制，具有威胁性，由于攻击会造成知识产权的损害，造成金钱和名誉的损失。

图1显示了APT的典型阶段，描述了每个阶段可能采用的攻击策略。APT攻击主要是从选择攻击目标开始的，而攻击目标通常是系统内部能够让攻击者进入的脆弱点。一旦目标被锁定，攻击者通常会将恶意软件加载到安全网络中，从而与网络外的服务器建立一个隐秘的连接。这有助于他了解系统的更多信息，并通过持续的被动监控来探索弱点，将攻击足迹最小化。这种隐秘的通信模式被称为C&C，或命令与控制，它将安全的网络细节接入外部系统。

三、学术分析建议

对学术研究提出的各种建议进行了分析，对APTs检测和防御的主要方法进行了分类和比较。对这些方法的优缺点进行了比较，为读者提供一个更广阔的防御机制及其适用性的画面。作为一种结果，根据使用的基本技术，多种方法的分类也被生成了，这为进一步的研究提供了清晰的分类参考。

3.1基于分形维数的机器学习分类检测

大多数APT预测方法背后的主要思想是在考虑的系统的整个行为中识别一些独特的特性，并跟踪这种独特性。然后使用这个独特的特性来识别任何可能偏离预期行为的行为，并制定有效的防御机制。利用这种独特的属性特性进行APT防御的一种主要方法是使用基于机器学习的分形分析技术。[1]分形是无限缩放和迭代的抽象模式，在自然界中经常被模拟。分形分析是一种应用非传统数学的当代方法，用于那些无法理解传统欧几里得概念的模式。

该系统将APT过程的网络级指挥控制(C&C)通信表示为分形维数，实现了一种基于分形的机器学习算法，并将其输出结果与标准机器学习算法进行了比较。在比较中观察到的任何显著偏差都可能表明存在有效的APT攻击。

简单地说，防御系统在构建数据集之后，首先通过组合来自各种在线源的包捕获(PCAP)[15]文件提取特征向量。对该数据集进行降噪处理，并作为异常分类算法的输入。异常检测的主要算法是K近邻算法和基于相关分形维数的异常检测算法。在任何情况下，这些算法中的一种都是根据预期的性能规范(如精度、灵敏度、规范或精度)进行选择的。因此，该算法可以预测给定数据集中符合APT条件的可能有效输入。

一个成功的实现利用了这一思想，基于TCP属性，被证明是有效的研究设置。无论如何，预测的准确性总是取决于输入这些机器学习算法的训练数据的质量。因此，数据提取和史前标准数据必须是干净、包容的，才能产生最准确的预测结果。

3.2防御利用系统和攻击情报

APT攻击不仅对IT基础设施构成重大威胁，而且对油气制造、炼油厂、核电站等关键功能领域的工业控制系统构成重大威胁。最近在这个领域众所周知的攻击包括Stuxnet[14]，它的目标是摧毁伊朗的核计划，以及Aurora[13]，它的目标是窃取谷歌的知识产权文件。

学术界有一项关于工业控制系统中APTs检测的工作，引入了Tofino[12]和Defender[17]等工具作为主干。Tofino的使用使得深度包检查(Deep Package Inspection, DPI)具有方便、简单的配置步骤，提供了标准的网络监控解决方案。它还兼容标准工业控制系统，如PLC(可编程逻辑控制器)，SCADA(监控和数据采集)和DCS(分布式控制系统)[4]。

检测方法监视系统中可能发生的所有事件，记录和投射可能符合APT事件序列的相关项。然后将记录的事件与已知的攻击行为模式进行匹配，并在发现匹配时生成警报。虽然这似乎是一种简单直接的方法，但只要攻击行为数据库得到了良好的更新和包容，预测就可以相当准确和有用。

由于检测方法是基于行为与事件之间的模式匹配，因此可以使用类似于语言识别的形式化方法方法。这种技术的一种可能性是使用状态机，状态机可以基于顺序事件匹配预测APT攻击，事件作为输入符号，模式作为转换。其中一个实现演示了一种基于状态表的方法，这种方法可以降低空间复杂性，用于检测类似于StuxNet的攻击。

3.3使用基于上下文的检测框架进行检测

APT威胁还可以使用一个可以根据上下文信息进行推断的框架来识别。将基于攻击树概念的概念模型进行扩展，形成以金字塔顶部的攻击目标和事件环境为侧向平面的攻击金字塔。

3.3.1攻击树

攻击树是在树结构中表示威胁的一种方法，它基于Bruce Schneier[8]的工作，该工作最初使用来自Edward Amoroso[9]的威胁树概念。

树的构造方法是将攻击目标定位为树的根，并将目标可通过的各种方法定位为根的子节点。树中的子节点可以由任意一个和规则连接(如果两个节点一起出现以达到目标)，也可以由任意一个和规则连接(如果其中一个可以达到目的)。在迭代中，每个子节点都被视为攻击的目标，并以目标为根创建子树。

攻击树帮助组织中的安全管理员创建易受攻击元素的层次结构和攻击路径，从而提供安全体系结构的总体情况。

3.3.2攻击金字塔

这里的研究将攻击树的概念进行了修改，形成了金字塔结构，称为攻击金字塔，将攻击目标定位为树的根，将侧向平面定位为攻击演化的环境。这里的思想是将APT阶段映射到金字塔的平面，即物理平面、用户平面、网络平面、应用平面等。

根据攻击目标和安全体系结构的不同，各个系统的平面是不同的。在这种模型中，每次攻击都被看作是沿着平面爬行以达到目标，多个攻击树跨越金字塔平面。该探测系统的目的在于找出平面中不同事件的发生和攻击履带之间的关系。

3.3.3事件

这里将对系统中可能发生的所有事件进行分类，以便将事件关联到系统活动。事件可以是候选事件，包括所有记录的事件，可疑事件被报告为不正常的活动或者是被安全工具检测到的攻击事件作为有效的攻击活动。

系统记录系统中发生的所有事件，并对它们进行分类，以适应其中一个事件集。然后使用预定义的映射规则将这些事件映射到金字塔平面。这种情况下的检测规则可以基于签名、策略或分析。然后利用发现独立事件之间关系的相关规则进行数学关联，以跟踪金字塔平面中的攻击路径。

检测框架结合上下文、关联规则、历史信息、置信水平和风险水平进行推理，得出有效结论。

图3描述了展开的攻击金字塔，清晰地描述了金字塔平面，以及相应的APT阶段。一个可能的攻击的爬升用尖箭头标记，作为多个攻击树达到攻击金字塔的目标G。

3.4蜜罐检测

蜜罐是一种计算机系统，被设计成模拟真实设置的诱饵，欺骗网络攻击者检测、转移和获取攻击者使用的方法的信息。在IT系统中放置蜜罐陷阱有助于在早期阶段廉价地检测网络攻击，包括传统入侵检测系统所遗漏的攻击。

这种APT检测方法的关键思想是将报警系统与设计的蜜罐连接起来，以便对入侵进行早期检测或预警。经过适当配置的蜜陷阱可以有效地将攻击者置于被识别的更大风险中，因为来自攻击方的单个错误可以警告检测，从而导致警报。此外，如果误报率较低，防御团队可以在攻击推进时及时制定应对措施。

honeytrap的一个成功实现使用了KFSensor[3]工具，该工具基于Windows体系结构，并编写了一个合适的Perl警报模块。

3.5利用入侵杀伤链检测多阶段攻击

该系统通过提出一种适应多级攻击模型的分层安全体系结构，然后通过收集和分析安全事件来发展自身。安全事件分析包括对主机入侵检测系统(HIDS)、网络入侵检测系统(NIDS)、防火墙等各种传感器的输出进行日志记录，然后由基于Hadoop的日志管理模块进行处理。该分布式文件系统上的Hive查询由一个智能模块进行分析，智能模块将其与可能的IKC关联起来。系统内部也有自定义工具，用于执行代码分析和恶意软件检测的行为分析。

智能模块主要通过分析包含传感器日志的HDFS系统的Hive查询输出来预测IKC的可能性。分析将识别出的每一个可疑事件映射到先前设计的攻击模型的七个阶段之一制定包含攻击机制和可能的防御策略的防御计划。一旦确定了防御线，就将其映射到IKC阶段，从IKC重建并预测多阶段攻击。

该研究还展示了使用运行Hadoop集群的商品硬件以及Apache Sqoop和MySQL实现这一概念的真实世界。

3.6 APT防御方法的分类

可用APT防御方法的简单分类如表1所示。如果解决方案的有效实现可用，则用信息标记这些方法。

3.7方法分析

与使用分形分析的复杂方法相比，使用蜜罐的防御方法简单、直接、资源密集性较低，但仅限于依赖于系统行为的应用领域。分形分析的效率更高，它涉及到对所有网络和主机相关数据流的深入分析，以及对相关事件及其后果的挖掘数据。入侵、杀死链和攻击金字塔提出了有效的方法来跟踪和警报APTs，并对进一步的进展进行有效的预测。

4. 工业解决方案分析

根据所讨论的各种方法，APT防御市场上的各种解决方案都值得分析。为了便于分析，对几个已知的解决方案进行了人工选择、比较和对比。笔者观察到，大多数厂商提供的关于产品架构和技术的精确信息是有限的，这使得工具的质量难以分析。

4.1基于网络流分析的防御方案

网络流量分析包含了收集和处理网络流量的各种方法，以及所有相关的数据项可以用来研究网络的形为，记录活动并产生推断。这些证据可以用来确定网络的特性，如安全性、性能、完整性、能力等。下面给出的工具是基于流量分析来检测网络中的离散性的。

4.1.1 THOR

BSK Consulting GMBH[16]在市场上提供的一个突出的实现是THOR，它采用了基于网络流的预测概念。解决方案声称实现APT检测的深度系统扫描。THOR可以在完全脱机操作模式下进行配置，它利用了灵活性，可以脱机合并来自不同网络段的日志。

该解决方案利用安全分析人员维护的签名，并声称具有自定义的攻击相关模式，以增强检测能力。该解决方案还支持多种输出格式，从文本日志到ArcSight CEF，这使得与SIEM系统的集成更加容易。此外，该解决方案声称有一个未知的恶意软件检测功能，使用一种基于属性、内容和元数据的文件评分机制。

THOR运行在三个主要的用例中，

•诊断扫描

•单系统实时取证

•实验室图像扫描

该工具还可以通过网络隔离样本，使用BiFrost[16]，可以通过磁盘表面扫描检测删除的元素，使用DeepDive。

4.1.2赛门铁克端点APT保护

作为业界知名的参与者之一，赛门铁克使用了使用多层方法的端点APT protection2。这里设计的策略是使用他们的产品组合来实现APT保护，其中的关键是一个入侵防御系统。

4.1.3卡巴斯基安全运营中心

卡巴斯基实验室(Kaspersky Labs)的卡巴斯基SOC声称，它使用了一种集中的威胁监控方法，使用的是所谓的安全操作中心[18]，这是一个由网络防御工程师和资源组成的团队，可以在安全事件警报时采取行动。此外，该解决方案还支持威胁情报和自动关联。该公司还提供了一种安全网络工具，该工具被认为是APT威胁的即时反应装置，并通过卡巴斯基实验室的保护解决方案提供了一种自动攻击防御技术，该技术被认为可以阻止目标攻击中的攻击。该工具还支持标准的白名单模式，旨在减少攻击表面。

4.2基于深度包分析(Deep package analysis, DPI)的防御方案

4.2.1 TrendMicro准备DeepSecurity

采用DPI分析的市场中发现的一个值得注意的解决方案是趋势微深安全[19]，它提供了一个深发现检查器和顾问[7]，该[19]声称通过一种被动的非侵入机制，通过沙箱模拟可疑文件来过滤恶意内容。该工具还为C&C的跟踪提供目标分析和通信指纹，这里的标准是遵循基于规则的启发式分析，并对协议检测进行深度数据包检查。此外，该解决方案还扩展了自己，提供了一些用于威胁检测的威胁扫描引擎，并使用了相关技术。

该工具据称配备了专用的威胁引擎和多层关联规则，这有助于以最小的误报率检测威胁。沙箱分析是使用虚拟分析仪完成的，它为安全爆炸的威胁提供隔离，以进行深入的取证分析。这些工具的一个必要特性是与标准SIEM(安全信息和事件管理)控制台的兼容性。SIEM系统用于分析从驻留在网络中的各种传感器收集的安全事件。该解决方案促进了与标准SIEM平台的兼容性，支持从单个SIEM控制台进行企业范围的威胁管理。

4.3其他解决方案

APT防御市场上的另一个解决方案是野火。解决声称是执行安全沙箱分析和控制执行的威胁和基于DNS的情报跟踪任何可能反映一个恰当的C&C活动过程。

4.4工业解决方案分析

在对可用实现的分析中，学术研究和解决方案之间的差距相当大。大多数供应商的目标是基于整体销售产品系列的策略来推广他们的业务，而不是展示单一的产品来迎合这个问题。由于大多数解决方案都不公开它们的内部实现，所以天真的客户很难评估每个解决方案的效率。

一个更好的工业产品swill的建议是使用一个混合系统，该系统包含了蜜罐的特点，用于早期检测，对安全团队定期监控的系统具有误导性，对涉及高流量和全球分布式网络的IT基础设施进行分形分析，并支持分布式多阶段检测系统，工业系统的系统和攻击情报，以及中等规模实现中带有上下文行为的入侵杀伤链分析。