(北京科东电力控制系统有限责任公司 北京 100192)
摘要:APT(advanced persistent threat)即高级持续性威胁,是一类针对政府、企业等部门重要资料的,利用高级和先进的攻击手段对目标进行长期持续性网络攻击的攻击形式。APT攻击往往经过长时间的准备,具有高度的隐秘性,且变化多端、效果显著,难于防范,因此,渐渐成为高安全等级网络的最主要威胁之一。本文针对智能电网信息领域,通过对APT生命流程中各阶段攻击行为的分析,建立APT攻击预警模型,以实现对APT攻击的预警。
引言
近几年来,网络安全正在面临巨大的挑战,APT(advanced persistent threat)即高级持续性威胁不断地被发现,如2010年的Google Aurora(极光)攻击,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据;2011年,TrendMicro的研究人员公布了一起针对前独联体国家、印度、越南和中国等国家的政府部门、外交部门、航天部门,还有科研机构APT攻击(Lurid攻击)等。
当然,可能还有一定的APT攻击未被发现,但是APT攻击已经给企业、政府等组织机构造成了巨大的损失,我们应该对APT攻击给与高度的关注。虽然APT攻击检测和预警已经有大量的相关研究,但找到一种泛型方法来检测和预警APT攻击仍然是一个挑战。
在传统电力工业领域中,智能电网是一种集成配电系统和通讯网络的双向电力及信息流基础设施。然而为多种电网设备提供可靠信息传输的智能电网通讯网络也面临安全问题。APT攻击已经逐渐成为威胁此类广泛分布基础设施最重要的因素之一。本文将聚焦智能电网通信网络APT攻击检测和预警问题。
本文首先对APT攻击的定义给予了描述,然后分析了APT攻击的特点和攻击过程,最后针对智能电网信息领域,给出了APT攻击预警模型。
1 APT攻击概述
1.1 APT攻击定义
APT(advanced persistent threat)即高级持续性威胁,给政府和企业的数据安全带来了巨大的威胁。APT是黑客以窃取核心资料为目的,通常针对高价值目标出于商业或政治动机进行实施的,是一种蓄谋已久的“恶意间谍威胁”。APT往往都是经过长期的策划与经营,能够在长时间的攻击中尽可能的保证高度隐蔽性。APT攻击的攻击手段,在于隐匿自己的攻击行为,针对特定目标,进行长期的,有计划、有组织的窃取资料,这种发生在信息网络的搜集资料和情报的行为,就是一种“网络间谍”的行为。
1.2 APT攻击特点
1.隐蔽性
APT攻击的隐蔽性表现在攻击者对于目标的探测、入侵以及窃取都尽可能在以不被察觉的方式进行,在现有技术的基础上通过使用增加数字签名、DLL 搜寻路径劫持等技术来增加安全防护软件检测的难度。
2.持续性
APT攻击的攻击者目的往往不是为了在短时间内获利,APT攻击具有持续性甚至长达数年的特征,这让被攻击者无从察觉。
3.攻击目标明确
APT攻击的攻击目标明确,针对特定的企业或政府,进行长时间有计划、有组织的窃取和检测。
4.攻击方式的多样性
攻击者的攻击方式是多种多样的,其中包括SQL注入、0days漏洞、病毒、木马植入、操作系统缺陷等。
1.3 APT攻击过程
根据对APT攻击特点的分析,可以将APT攻击分为4个阶段:攻击前的收集目标资料、攻击时的进入点、攻击时的命令与控制、攻击后期的数据渗出。
攻击前的收集目标资料。攻击者通常针对特定目标,一般会将目标锁定为相关员工等,攻击者尽可能地收集他们信息,并利用收集的资料构建完整的个人资料、完整的技术资料等。
攻击时的进入点。利用即时通信软件、电子邮件、社交网络工具或应用程序漏洞找到特定目标网络的进入点,并实施攻击,诱骗网络用户点击精心设计的恶意链接或者恶意代码。
攻击时的命令与控制。APT 网络攻击活动首先在特定目标网络中找出存放有敏感信息的重要计算机,然后 APT 网络攻击利用网络通信协议来与C&C 服务器通讯,并确认通讯始终保持正常。
攻击后期的数据渗出。在目标数据被确定后,这些数据将被复制并通过C2通道移出网络,或者可能被复制到网络中的另一区域,然后再被移出。
2 APT攻击预警
2.1 理论基础
1.生命周期信任模型
图1 APT生命周期信任模型
根据图1 APT生命周期信任模型,对APT攻击各个阶段攻击方式进行分析和预警。
2.异常检测模型
正态分布(Normal distribution),也称“常态分布”,又名高斯分布(Gaussian distribution),最早由A.棣莫弗在求二项分布的渐近公式中得到。C.F.高斯在研究测量误差时从另一个角度导出了它。P.S.拉普拉斯和高斯研究了它的性质。是一个在数学、物理及工程等领域都非常重要的概率分布,在统计学的许多方面有着重大的影响力。
图2 正态分布图
表1
建立异常检测模型
3.规则匹配模型
对不同类型数据建立不同规则表,根据规则表对该数据进行匹配,对于不符合规则的数据,进行过滤。
2.2 相关工作
针对智能电网信息领域,通过构建大数据存储和分析平台,全面的采集流量、日志等数据,覆盖整个APT攻击过程,对APT攻击进行全面的预警。
1.监控主机,纵向(电力专用纵向加密认证装置),隔离(电力专用正反向隔离装置)流量变化,并对采集的数据通过大数据分析平台进行分析,对于监控日志中的异常流量变化进行预警
具体实现方案如下:
1)将近几个月采集装置采集的流量日志数据作为样本,根据公式1、公式2与公式3得到异常检测模型。
2)根据得到的异常检测模型,通过对比正态分布表得到本次流量变化情况的发生概率,对低于阈值的流量变化进行记录和告警。
2.对于从网络外部访问内部端口(内网)、文档或存储中心直接进行阻止,并记录和预警。
具体实现方案如下:
1)根据配置中规定的恶意服务器列表,允许访问的IP、端口、文档等,建立规则表。
2)根据规则匹配模型,通过规则表(包括恶意服务器列表,允许访问的IP、端口、文档等),对不符合规则的及时告警。
3.WEB应用攻击检测。
1)根据电力专用数据传输方案,建立规则表(包括特定格式的数据,允许传输的IP、端口、允许通过的最大流量等)。
2)根据规则匹配模型,通过建立的规则表,对所有的请求进行分析,检测这些请求是否符合规则表,仅允许符合规则的数据请求进入,如发现恶意请求,直接阻断并预警。
3)邮件攻击检测。对邮件协议进行深度的分析和理解,记录和分析每个收到的邮件,并对邮件中的附件进行检测并分析,发现其中的安全异常问题。通过对附件进行对已知攻击特征的扫描、未知攻击漏洞的扫描和动态分析的方式进行测试,发现其中的攻击,并进行预警。
4.检测恶意代码。首先建立特征规则库,对一个数据包或数据流数据进行分析,然后验证特征库中的特征来进行校验。
5.设置应用程序白名单,只允许白名单内的程序流量到外部,对于非白名单程序进行预警。
3.结论
随着互联网的发展,APT攻击不断地被发现,传统的网络安全防护体系难以对此类攻击做出预警,因此给政府和企业造成了巨大的损失和影响。
本文分析了APT攻击特点和APT攻击的过程,针对智能电网信息领域,建立了APT攻击预警模型,以完成对APT攻击预警功能。
APT攻击的防护任重而道远,目前政府和企业已经给予了更多的关注,希望 更多的人可以行动起来,共同探讨APT攻击的防护问题。
论文作者:何纪成,卢楷,王玉涛
论文发表刊物:《电力设备》2018年第17期
论文发表时间:2018/10/18
标签:规则论文; 数据论文; 网络论文; 模型论文; 目标论文; 电网论文; 攻击者论文; 《电力设备》2018年第17期论文;