引言

随着网络空间对抗愈演愈烈，网络攻击行为也不断升级，已经不再局限于使用传统的病毒、远控程序，正逐步向0-day漏洞利用、嵌套式攻击、木马潜伏植入、隐蔽加密通信等更加复杂的攻击形态演化。这些攻击目标、攻击目的高度确定的黑客行为，掺杂了人工智能、躲避逃逸、情报收集、社会工程、地缘政治等多种因素，无疑带来了极大的危害。为了应对网络安全日益严峻的形势，各单位纷纷在安全合规监管制度要求下采用隔离、阻断、加密、身份认证、访问控制、备份等手段来保护自身业务信息系统的安全。但是这种被动防守并不能及时发现网络中存在的安全威胁，尤其在面对手段多变、更新速度快、复杂度高的定向攻击时显得捉襟见肘。

威胁情报是从各类安全信息来源获取的，用于对资产相关主体面对威胁或危害进行响应或处理决策提供支持。威胁情报数据不仅包括漏洞库、恶意 IP/DNS/URL/邮箱等入侵威胁指标（Indicator Of Compromise，IOC）信息，还包括安全攻击事件等信息，目前最主要的威胁情报IOC应用是识别受控主机C&C终端连接行为，或者通过人工经验进行IOC关联和拓线，实现对安全事件的黑客组织背景追溯［1］。其迭代层次多且过程繁琐，并且对及时性和准确性有着非常高的要求。因为一旦高级持续性威胁（Advanced Persistent Threat，APT）组织的攻击活动被披露，旧的攻击基础设施就会被弃用，这就导致发现新攻击线索的能力大幅降低［2］。为了解决以上问题，本文在实现全流量存储、回溯和全球APT情报监测的能力基础上提出了基于拓展型入侵失陷指标（即IOC 拓展指标）和动态化攻击模式规则、模型的APT攻击识别和背景溯源方案，以达到精准识别和取证的目的。

本文主要贡献如下：

(1) 提出基于图的疑似线索遍历和回溯算法，实现了IOC多维度智能关联和拓展，获得更多未被披露线索。利用更加丰富的高可信IOC资源，提高情报检测的成功率。

(2) 将适合作为流量检测的TTP（Tactics Techniques & Procedures）特征，转换为TTP规则和TTP模型两部分，TTP规则用于可疑通信会话的初筛，TTP模型用于可疑会话的全量存储数据报文的复杂计算分析，从而实现对APT攻击行为流量的精准检测，提高发现未知威胁的能力。

(3) 在充分发挥IOC在溯源方面价值的基础上，基于安全事件TTP特征的关联和利用，通过统计和机器学习等方法实现线索闭合性加权评估，更加精准地实现针对APT攻击行为的溯源、评估。

本文详细内容请下载：

http://www.chinaaet.com/resource/share/2000006100

作者信息：

赵云龙，杨继，于运涛，王绍杰

（中国电子信息产业集团有限公司第六研究所，北京 100083）