基於上下文感知計算的APT攻擊組織追蹤方法

近日，綠盟科技聯合廣州大學網路空間先進技術研究院釋出2021年《APT組織情報研究年鑑》（下文簡稱“年鑑”）。

年鑑藉助網路空間威脅建模知識圖譜和大資料複合語義追蹤技術，對全球372個APT組織知識進行了知識圖譜歸因建檔，形成APT組織檔案館，並對APT組織活動進行大資料追蹤，從而對本年度新增和活躍的攻擊組織的攻擊活動態勢進行分析。目前年鑑所涉及的相關情報和技術已經應用在綠盟科技的威脅情報平臺（NTIP）和UTS、IDS、IPS等多個產品中，並支撐網路安全檢查以及重大活動保障等活動。

本文為年鑑精華解讀系列文章之一，主要介紹其中提到的基於APT組織知識進行大資料場景下的APT監控的關鍵技術——基於上下文感知計算的APT攻擊組織追蹤方法。

概述

對大部分網路監管單位和企業來說，網路安全運營很大程度上已經變為一個大資料分析和處理問題。如何從海量多模態的告警資料中快速發現高危安全事件特別是APT攻擊組織相關的事件是目前的一個重要課題。

針對這一問題，年鑑提出一種基於上下文感知計算框架的攻擊組織追蹤方法。首先結合上下文感知計算框架從多源威脅情報和本地沙箱告警日誌中採集攻擊組織相關威脅語義知識，構建攻擊組織知識庫；然後基於大資料流式計算對實時、海量、多模態告警資料進行正規化化理解和攻擊鏈關聯；結合構建的攻擊組織知識庫進行事件威脅語義富化和攻擊組織特徵關聯計算，最終發現海量告警背後值得關注的攻擊組織相關的高危事件。

基於攻擊組織本體的上下文感知計算框架

為了有效解決海量多模態資料場景下攻擊組織相關的高危安全事件的快速發現問題，基於攻擊組織本體構建上下文感知計算框架，並結合大資料流式計算進行多模態資料的正規化化理解，上下文的採集、關聯和特徵相似度計算，最終實現從海量威脅告警中快速發現攻擊組織相關的高危事件，總體的框架如下圖所示：

基於上下文感知計算的攻擊組織追蹤方法總體框架

構建基於攻擊組織本體的上下文感知計算框架，首先需要定義以攻擊組織為核心的本體結構，基於該本體結構設計上下文的採集模組和上下文推理模組，將非實時的多源異構的威脅情報和實時的海量資料轉化為攻擊組織相關關鍵知識，儲存到攻擊組織知識庫中。基本框架圖如下圖所示：

基於攻擊組織本體的上下文感知計算框架

基於事件威脅上下文的特徵關聯計算

3.1 事件正規化化理解

安全事件的正規化化理解是海量實時多模態資料處理的第一步，也是後續關聯推理和計算的基礎。本文首先基於攻擊組織本體結構定義正規化化安全事件的模板，然後在大資料流式計算框架下實現流式處理引擎將海量多模態資料進行解析，最終理解成為複合安全事件模板的正規化化安全事件。

結合大資料流式計算框架中的Spark Streaming和Kafka，基於正規化化安全事件的模板，透過快速鍵-值對映，將海量多模態資料實時理解成為正規化化的安全事件，基本流程如下：

正規化化安全事件理解

3.2 事件上下文語義富化

基於正規化化的事件，結合攻擊組織知識庫分別從正規化化事件的3個基本維度（威脅主體、攻擊模式及目標客體）進行威脅上下文語義的富化。

透過知識庫的關聯，可以將從多源威脅情報和本地資產情報相關的威脅主體和目標客體資產特徵、從實時沙箱告警中獲取的本地惡意程式碼樣本靜態和動作語義特徵語義擴充到事件當中。

3.3 事件攻擊鏈關聯

攻擊者進行實際的入侵活動時往往不會只利用一種攻擊手段，而是在更廣的時間域內利用一系列相互關聯的攻擊方法，以達成攻擊目的。因此，在進行攻擊行為的監測和追蹤時，需要將更大時間範圍內的事件進行關聯，從而獲得更加全面和準確的攻擊行為場景。

3.4 攻擊組織特徵關聯計算

富語義攻擊鏈生成之後，需要基於攻擊鏈相關的語義進行組織的深度關聯計算。關聯計算的基本步驟如下圖所示：

 攻擊組織語義關聯計算流程

總結

基於上下文感知計算的攻擊組織追蹤方法，設計了基於攻擊組織本體的上下文感知計算框架，透過上下文采集和上下文推理模組將非實時的多源異構威脅情報和實時的沙箱樣本資訊進行採集，並進行語義的過濾、融合及推理後儲存至基於攻擊組織本體構建的攻擊組織知識庫中；結合大資料流式計算框架，針對海量多模態告警資料進行事件正規化化理解、基於攻擊組織知識庫進行事件威脅上下文語義的富化、攻擊鏈關聯和攻擊組織特徵關聯計算，最終發現攻擊組織相關的高危事件。透過在實際生產環境中進行系統的部署和運營之後，系統能夠將待研判事件降低到可處置範圍，有效降低研判處置人員的工作量。

報告下載

綠盟科技官方公眾號中點選【綠盟精選】-【綠盟書櫥】進行閱讀。