鉴于上述不足,要有效对抗APT,我们一方面要扩大被检测域,将基于单个时间点的实时检测转变为基于历史时间窗的异步检测;另一方面要丰富判定机制,在检测已知攻击的同时能够兼顾对未知攻击的检测。为此我们提出了基于记忆的新检测模式,共分为四个步骤:
1、 扩大:即拓宽被检测域,对全流量数据进行存储分析。这样在检测到可疑行为时,可回溯与攻击行为相关的历史流量数据进行关联分析,之前已发生过、未能引起分析人员注意的报警,有可能隐藏着蓄意攻击意图,通过这种回溯关联分析就有可能进行有效识别。有了全流量的存储,就有可能回溯到任意历史时刻,采用新的检测特征和检测技术,对已发生的流量进行任意粒度的分析,这是本系统最大的特点。
2、 浓缩:对存储下来的大数据进行降解操作,删除与攻击无关的数据以节省空间,同时保留与攻击相关的数据以备后续分析。浓缩环节需要借助于攻击检测模块,可通过第三方检测设备如IDS的报警进行降解,也可直接对全流量数据进行异常检测产生可疑报警,基于报警事件进行降解。
3、 精确:对产生的可疑攻击数据做进一步深入分析,产生对攻击行为的精确报警。可通过多维数据可视化分析,定位可疑会话,再进一步对流量数据进行细粒度协议解析和应用还原,识别异常行为和伪装成正常业务的攻击行为。本环节需要分析人员的参与,通过人机结合的方式提升分析效率和准确度。
4、 场景:对各类攻击报警进行关联,识别报警之间的攻击层语义关系,根据孤立报警建立完整攻击场景。通常的做法是以关联规则的方式建立攻击场景知识库,通过对报警进行匹配和关联,完成攻击场景的构建。
系统框架
按照数据—信息—知识逐层提炼的模式,基于记忆的APT攻击检测系统结构分为三级,系统整体架构图如下:
图2 基于记忆的检测系统架构图
1、存储层
存储层完成对从互联网直接获取的实时数据流的预处理和存储管理工作。对实时数据流首先进行传输层的会话还原,消除因网络条件造成的乱序、重传、延迟等对后续分析的干扰;然后进行应用协议识别,判断数据流上所承载的具体应用;最终从非结构化的数据流中抽取结构化的元数据信息,以便后续的各类统计和关联分析。
预处理后的原始数据流,既包括完整的全流量数据,又包括提取后的元数据。考虑到海量数据的存储压力,可对不同类型的数据采取灵活的管理策略:
对于全流量数据,进行窗口长度为星期级的存储。由于全流量数据会占用海量存储空间,不宜进行长期存储,但全流量数据对于后续的回溯分析又是必须的。为此采用折中的存储策略:只存储最近几周(例如1-2周)的全流量信息,对于超期的数据进行降解处理。
对于元数据,进行年度级的存储。提取后的元数据只包含应用层会话的关键信息,其数据量大约相当于全流量信息的5%,这类信息对后续的统计、关联和数据挖掘具有重要的作用,且占用的空间在可接受范围内,因此在平台中进行长期存储。
2、分析层
分析层完成从原始流量数据中产生独立报警信息的工作,主要方法包括:
