安全知識圖譜 | APT組織畫像歸因

近日，綠盟科技推出安全知識圖譜技術白皮書《踐行安全知識圖譜，攜手邁進認知智慧》，旨在對安全知識圖譜概念內涵、核心框架、關鍵技術和應用實踐進行全面總結與介紹，助力網路安全智慧化邁入認知智慧階段。

本文為安全知識圖譜白皮書《踐行安全知識圖譜，攜手邁進認知智慧》精華解讀系列第二篇——解析APT威脅追蹤技術，重點介紹基於知識圖譜的APT組織畫像歸因。

01APT組織畫像歸因挑戰

2017年Shadow Brokers洩露了NSA（美國國家安全域性）多個震驚世界的攻擊武器工具，世界頂級APT組織的攻擊水平由此可見一斑。洩露的內容中除了各種0day漏洞利用工具，還有一款類似Metasploit的Exploit攻擊框架，呼叫多個模組進行武器的組裝和攻擊，說明APT組織具備高水平的漏洞研究和定製武器開發能力。未知攻擊和定製武器的使用給APT組織的歸因溯源帶來挑戰。

目前單純依靠人工研判或者依賴安全專家基於離線資料進行特徵建模和分析已經很難有效滿足大部分企業或組織對APT組織攻擊事件進行實時分析的要求。目前追蹤和發現APT組織內的攻擊團伙的方法主要包括直接基於網路流量進行特徵建模和基於樣本程式碼特徵進行建模，但是由於原始流量資料量往往過於巨大，且噪聲特徵佔據非常大的比例，導致直接基於原始流量構建的特徵模型的魯棒性欠佳，並且此類方法通常需要耗費較多的人工分析成本，某些情況下只能基於離線的歷史資料進行分析，無法滿足實時分析和追蹤的需求。

因此，業內均對APT組織畫像歸因開展了積極的探索工作，對APT組織建模，建立知識庫，並結合知識庫進行攻擊模擬，以分析惡意行為特徵，將惡意網路活動與特定組織或個人進行關聯歸因。

02APT組織監控之道

為了有效從海量資料中發現APT組織相關的高危安全事件，綠盟科技提出一種基於上下文感知計算框架的攻擊組織追蹤方法，如圖1所示。

圖1 基於攻擊組織本體的上下文感知計算框架

首先需要定義以攻擊組織為核心的本體結構，基於該本體結構設計上下文的採集模組和上下文推理模組，透過這些模組將非實時的多源異構威脅情報和實時的沙箱樣本分析資訊進行採集，並進行語義的過濾、融合及推理後儲存至基於攻擊組織本體構建的知識庫中。其中，上下文采集模組的主要功能是從異構、複雜多樣的資訊源中獲取上下文資訊，一方面包括非實時的非結構化和半結構化的網頁，公開性質的部落格論壇，結構化（SITX）的開源威脅情報以及本地積累的攻擊組織的威脅情報資訊等；另一方面也包括結構化的網路威脅檢測裝置產生的告警日誌和實時動態沙箱的惡意軟體分析報告。

然後，基於攻擊組織本體定義正規化化安全事件的模板，在大資料流式計算框架下實現流式處理引擎將海量多模態資料進行解析，理解成為複合安全事件模板的正規化化安全事件。由於攻擊者進行實際的入侵活動時往往不只利用一種攻擊手段，而是在更廣的時間域內利用一系列相互關聯的攻擊方法進行攻擊，所以在進行攻擊行為的監測和追蹤時，需要將更大時間區間內的事件進行關聯，從而獲得更加全面和準確的攻擊行為場景。為了達到這個目的，需要在正規化化安全事件的基礎上，進一步基於攻擊鏈模型將多個事件進行關聯，生成包含多個事件的攻擊鏈。按照事件時間序列，將某一時間段內的所有針對同一目標IP的事件整合生成攻擊鏈，事件插入行為鏈的過程如圖2所示。透過利用攻擊組織知識庫進行事件威脅上下文語義的富化、攻擊鏈關聯和攻擊組織特徵關聯計算，最終發現攻擊組織相關的高危事件。 

圖2 攻擊鏈生成流程

除了上述基於上下文感知計算框架的APT組織追蹤方法，綠盟科技還提出了其他APT組織活躍監控技術，例如，基於特徵圖聚類的未知攻擊組織發現方法，下圖為攻擊團伙活動監控介面，包括攻擊團伙的活動情況以及團伙態勢地圖等資訊，可以從海量、多源、異構的資料中實時、快速和有效地發現攻擊組織。

圖3 攻擊團伙活動監控介面

2020年10月至2021年9月期間，綠盟科技共監測並研判有效的APT組織的活躍線索有57個，平均每個月活躍組織約19個。其中，從2020年12月至2021年2月期間APT組織極為活躍，平均活躍組織將近每月30個。

圖4 APT組織活躍態勢

03總結

雖然在諸多威脅感知場景下，基於統計機器學習的智慧分析方法取得了重要的突破，但在面對動態複雜的網路行為分析時，感知層輸入往往缺乏有安全語義的規範化建模，資料層惡意攻擊的誤報情況（非真實攻擊）難以避免，多維度的感知分析結果，仍需要安全專家深度地參與研判與關聯分析，才能完整還原攻擊全貌，這限制了APT等高階複雜攻擊技戰術的分析自動化水平的提升。因此，面向APT組織畫像歸因的研究, 需要利用安全知識圖譜統一描述APT攻擊每個階段的TTPs，實現對APT攻擊的自動化威脅追蹤，掌握攻擊者的攻擊特徵、發掘潛在的危機，甚至防堵未來的攻擊，這需要網路安全人員持續地共同探索。