基于大数据的APT攻击检测

基于大数据的APT攻击检测概念高级持续性威胁（advancedpersistentthreat，APT）是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。APT攻击生命周期2013年，APT攻击生命周期（美国Mandiant）：初始入侵

–使用社会工程学、钓鱼式攻击、零日攻击，通过邮件进行。在受害者常去的网站上植入恶意软件（挂马）也是一种常用的方法。站稳脚跟

–在受害者的网络中植入远程访问工具，打开网络后门，实现隐蔽访问。提升特权

–通过利用漏洞及破解密码，获取受害者电脑的管理员特权，并可能试图获取Windows域管理员特权。内部勘查

–收集周遭设施、安全信任关系、域结构的信息。横向发展

–将控制权扩展到其他工作站、服务器及设施，收集数据。保持现状

–确保继续掌控之前获取到的访问权限和凭据。任务完成

–从受害者的网络中传出窃取到的数据。APT例子：震网病毒APT特点组织特点从APT攻击事件分析来看，APT攻击已突破传统黑客小团队“作坊级协同”模式，上升为一种国家层面“组织级联合”模式，攻击数量、持续性和复杂性不断增加攻击目标指向高价值资产或物理系统攻击特点以“低和慢”模式运行，同时使用用户凭据或零日漏洞，其巨大的复杂性和逃避检测能力，困扰着众多安全领域专家。“低模式”即网络中保持低调“慢模式”即执行过程长。APT攻击（如震网（Stuxnet）、毒区（Duqu）、火焰（Flame）和红十月（RedOctober）等病毒）网络安全“老三样”使用IDS、防火墙、防病毒等常规安全防护系统，乃至于安全信息和事件管理系统（SIEM）都较难应对APT攻击需要借助于安全专家的人工分析。大数据APT检测思路若将大数据分析技术应用于APT攻击检测，将大大提高检测能力。应对APT攻击“低模式”，检测系统需将所辖网域中各种异常事件及数据完整记录，并利用大数据强分析能力处理数据间的相关性来揭示攻击轨迹应对“慢模式”，需保留长时间窗口的历史记录数据，在时间窗口内处理所有攻击相关上下文信息。“低模式”的应对研究Beehive（蜂窝）传感器（蜜蜂）感知异常行为如：提升权限、窃取敏感信息、破坏操作系统检测系统（蜂群）分工各异的蜂群维护整个蜂窝一次APT攻击是由多阶段攻击动作（漏洞发掘、控制权获取、横向移动、目标攻击）组成。大数据分析将细微动作关联以发现APT攻击的“低模式”。不同安全产品日志的语义相关性，以及日志的大数据特性是重点解决的问题。Beehive:Large-scaleloganalysisfordetectingsuspiciousactivityinenterprisenetworks[C]，Proceedingsofthe29thAnnualComputerSecurityApplicationsConference.ACM,2013:199-208.“慢模式”的应对研究攻击金字塔（AttackPyramid）采用攻击树原理及分层模型Usinglargescaledistributedcomputingtounveiladvancedpersistentthreats[J].SCIENCE,2013,1(3):pp.93-105.“慢模式”的应对研究攻击金字塔（AttackPyramid）使用不同的算法并以MapReduce分布式计算，来判断上下文间和上下文中可能的恶意活动Usinglargescaledistributedcomputingtounveiladvancedpersistentthreats[J].SCIENCE,2013,1(3):pp.93-105.APT检测产品IBM公司产品称为大数据安全智能平台（SecurityIntelligencewithBigData）它综合安全智能平台的实时处理及安全操作、和大数据平台的大数据处理及分析取证。In