安全邊界日益模糊，為應對高階持續性威脅，提升各類終端系統的“透明度”尤為關鍵——透過高效的資料採集與分析技術，以識別、溯源、預測內外部攻擊者的細粒度系統級行為及關聯其上下文。然而當我們嘗試用放大鏡觀測細粒度的系統行為時，資料質量、分析技術、效能開銷、驗證理論等多層次的問題接踵而至。

美國國防高階研究計劃局（Defense Advanced Research Projects Agency, DARPA）運營了多個重量級的網路空間安全研究專案，召集了諸多美國頂級研究機構參與，可謂是集中力量辦大事。其中，透明計算（Transparent Computing, TC）專案正是期望透過基於終端資料的採集與分析增強終端上系統細粒度行為的可視能力，以實現企業級網路空間APT檢測、取證等關鍵任務。站在巨人的肩膀上，從該專案的一系列攻防對抗模擬實戰中，能夠一窺美國頂級終端攻防能力的交鋒。左右互搏，攻防相長，是AISecOps智慧安全運營技術迭代的必由之路。本文將概括DAPRA TC專案的基本情況，分析總結其紅藍對抗演練的技術能力特點。期望能夠為讀者帶來全新的視角與思考。

一、DARPA TC專案概述

No.1專案目標

現代作業系統的功能邏輯越來越複雜，計算系統的低透明度成為精細化記錄、分析、預測系統級別行為的重要限制，而封閉的系統黑盒為具有高隱蔽性、高對抗性的APT攻擊者提供了絕佳的潛伏場所。為了開啟系統行為黑盒，實現在較低開銷下提供系統各層級軟體模組行為可見性，DAPRA組織了Transparent Computing專案[1]。該專案的目標技術及系統需實現：

採集、儲存系統元件（輸入、軟體模組、程式等）的溯源資料；

動態追蹤網路系統元件的互動與因果依賴關係；

整合資料依賴，測繪端到端的系統行為；

從取證和實時檢測的角度，實現對系統行為的推理。

基於以上能力的實現，TC專案旨在完成細粒度系統級行為的關聯，實現在大規模行為中識別異常與惡意意圖，發現潛在的APT或其他高階威脅，並提供完整的溯源分析與相關損失評估。同時，TC專案能夠實現網路推理能力與企業規模網路監控和管控系統的整合，以增強關鍵節點的安全策略有效性。

No.2專案技術領域劃分

從2016年10月到2019年5月，DARPA TC專案共組織了5次較大規模的紅藍對抗交戰演習（Engagement）。在每次對抗中，TC總共劃分為5個技術域（Technical Areas, TAs）。分別是：

TA1-Tagging and Tracking，負責研發低開銷的系統行為採集技術與系統，以支援後續的分析任務，採集系統需支援Linux、Windows、BSD、Android等多型別作業系統；

TA2-Detection and Policy Enforcement，負責提供滿足實時或取證需求的攻擊的檢測、關聯、溯源技術與系統；

TA3-Architecture，負責整體的系統架構設計，為TA1/TA2團隊提供協作的基礎設施，包括網路、儲存等環節；

TA4-Scenario Development，負責統籌設計攻擊場景，以覆蓋更多的APT型別；

TA5.1-Adversarial Challenge Team (ACT)，負責APT攻擊行為模擬。值得注意的是，每個技術分組內，有多個不同的團隊參與。例如TA1，包括CADETS（Causal Adaptive Distributed and Efficient Tracing System）、ClearScope（針對安卓移動終端）、THEIA（Tagging and Tracking of Multi-Level Host Events for Transparent Computing and Information Assurance）等系統實現。TA2則包括來自UIUC、Stony Brook等高校，以及IBM、NEC等企業的安全分析團隊。可以說，TC專案為一場長週期、多輪次、多高水平團隊參與的大規模攻防演練提供了統一的平臺。

二、DARPA TC功守道

No.1攻——精細豐富的APT場景模擬

未知攻焉知防，每一輪長達幾周的攻防對抗中，為建立逼真的網路攻防環境，在持續的背景良性資料中，由TA4設計、TA5.1模擬了長週期、多種類、跨多平臺的APT攻擊行為。以Engagement 3為例，主要包含兩類攻擊者，Nation State攻擊者主要目標是靶標企業中的智慧財產權和個人資料；Common Threat攻擊者主要目標是盜取PII（Personally Identifiable Information）資料以獲取經濟價值。以下記錄了Engagement 3中的部分攻擊型別的相關標籤[2]，這部分資料包含了3類作業系統，每種作業系統覆蓋三類攻擊場景，整個時間跨度超過20天。這些攻擊場景，能夠覆蓋典型APT攻擊者的7步攻擊鏈，幷包含豐富的具體攻擊方法，例如反射載入（Reflective Loading）、webshell、無檔案攻擊等。

更具體的，下表列舉了Engagement 3/4中幾個典型的攻擊場景[4]：

在大規模的事件資料彙總中，攻擊資料的規模佔比可能低於0.001%，因此這些模擬生成的攻擊行為檢測，具有足夠的隱蔽性和低頻性。

此外，TA5.1實現了包括Carbanak、Uroburos、DustySky、OceanLotus、njRAT、HawkEye、DeputyDog等多種惡意軟體在攻防平臺中的投放。DARPA TC的攻擊模擬展現了參與團隊在APT技戰術的深厚積累。整體上來看，攻方的技戰術設計有如下特點，覆蓋攻擊模擬的廣度與深度：

覆蓋場景豐富（廣度）。TA5.1團隊模擬的攻擊在APT場景、惡意軟體型別、作業系統平臺型別、攻擊面型別、攻擊階段、攻擊週期等多個維度上，具有橫縱向的全面覆蓋。

攻擊還原度高（深度）。基於相關威脅情報及APT行為研究，攻擊場景的設計和執行團隊能夠有效還原攻擊技戰術能力。同時在良性行為模擬方面，也充分考慮瞭如頁面訪問及下載、系統任務、軟體編譯及安裝等，從而能較為準確還原豐富的企業業務場景。在資料規模比例上，也為分析團隊製造了“大海撈針”的APT檢測難題。

No.2守——開啟行為“黑箱”

TA1~3技術領域團隊負責從系統構建、資料採集、資料分析的防守環節。TC專案的重點在於檢測、識別和溯源，因此並未看到執行實時阻斷等響應環節實現。在資料採集上，相關團隊利用包括Auditd、Dtrace、ETW等不同平臺的系統行為採集機制，實現了各自的採集、標記系統。其中，最核心的資料就是不同型別終端的溯源資料（Provenance），有效的溯源資料探勘方法，能夠支撐威脅狩獵的多種任務場景。Provenance能夠忠實記錄終端上實體的行為邏輯依賴關係，自然形成溯源資料圖（Provenance Graph，簡稱溯源圖）。

基於大規模溯源資料圖識別APT攻擊行為，面臨溯源依賴圖爆炸、威脅大海撈針、效能擴充性差等多方面的技術挑戰。為突破這些技術難題，在溯源圖分析方法上，TA2團隊主要分為兩大流派，分別是啟發式策略派和資料分析派。啟發式策略派主要透過資料、行為標籤化及啟發式傳播規則，實現關鍵資訊流的建模，典型技術方法包括HOLMES、MORSE等；資料分析派，則強調資料探勘方法，透過統計與機器學習，從異常入手甄別真實威脅與誤報，典型技術方法包括NODOZE、HERCULE等。總體來說，各種分析方法能夠針對TC中的不同攻擊場景實現較高的檢出、還原準確率，但尚未看到任何一種方法能夠放之四海皆準，一統天下。可以預見的是，多維度的檢測分析引擎的融合，並打通人-機協同的閉環反饋，是在大規模終端資料湧入分析場景下的必由之路。終端側的安全運營與分析，需要兼顧處理效率、資料隱私、分析準確性等多維度因素，才能有效促成終端分析能力的落地。

三、總結

DARPA Transparent Computing專案搭建的紅藍對抗演練舞臺，吸引了美國終端攻防領域的頂級團隊參與，也促成了終端威脅分析領域學術研究與工業技術的快速演進。從組織架構，到攻擊方技戰術實施，再到防守方多維採集、分析方案，有許多值得借鑑的實現。終端側的網路攻防，已成為高階威脅對抗領域的主戰場。高效採集與精細的分析齊飛，來開啟終端系統的計算黑盒，方能因敵變化取勝。

參考文獻

[1]https://www.darpa.mil/program/transparent-computing

[2]Milajerdi S M, Gjomemo R, Eshete B, et al. Holmes: real-time apt detection through correlation of suspicious information flows[C]. 2019 IEEE Symposium on Security and Privacy (SP), 2019: 1137-1152.

[3]Hossain M N, Sheikhi S, Sekar R. Combating Dependence Explosion in Forensic Analysis Using Alternative Tag Propagation Semantics[J].

[4]Pei K, Gu Z, Saltaformaggio B, et al. Hercule: Attack story reconstruction via community discovery on correlated log graph[C]. Proceedings of the 32Nd Annual Conference on Computer Security Applications, 2016: 583-595.

[5]Hassan W U, Guo S, Li D, et al. NoDoze: Combatting Threat Alert Fatigue with Automated Provenance Triage[C]. NDSS, 2019.