浅谈利用威胁情报面向攻击溯源

浅谈利用威胁情报面向攻击溯源

作者：周志超

来源：《科技创新与应用》2016年第28期

摘 要：网络安全环境日趋复杂，攻击溯源技术已成为现有安全体系的重要挑战，威胁情报的出现，提供对攻击源的数据支持，对可能出现的各种攻击溯源。现实中的网络攻击发起者，范围非常广泛，不仅有个人攻击者，还有资源丰富的犯罪团伙，甚至还包括代表国家利益的黑客团队。这些攻击者往往是长期“潜伏”和“伺机而动”，具有极高的目的性，他们使用各种技术和程序或破坏或中断系统来进行金融诈骗，窃取知识产权或敏感信息。

关键词：威胁情报；攻击溯源；APT；情报共享

引言

随着网络空间的规模几何状扩张和复杂度的增加，针对网络空间的攻击与威胁也越来越多，网络安全威胁已经不再是简单的病毒侵袭和黑客入侵两个方面。攻击溯源技术已成为现有安全体系的重要挑战，威胁情报的出现，提供对攻击源的数据支持，对可能出现的各种攻击溯源。现实中的网络攻击发起者，范围非常广泛，不仅有个人攻击者，还有资源丰富的犯罪团伙，甚至还包括代表国家利益的黑客团队。这些攻击者往往是长期“潜伏”和“伺机而动”，具有极高的目的性，他们使用各种技术和程序或破坏或中断系统来

龙源期刊网 http://www.qikan.com.cn

进行金融诈骗，窃取知识产权或敏感信息。

近期在网络安全领域兴起以威胁情报为攻击溯源的新观念。Gartner公司对威胁情报做出的定义：“威胁情报是对资产存在威胁的行为或危险的行为，并以证据为基础的知识，包括环境，机制，影响和对策建议，以帮助解决威胁或危险的决策。”简单的说，通常可以从CERT、防病毒公司，安全服务公司，非政府安全组织那里看安全预警公告，漏洞公告，威胁通知等，这些都是典型的安全威胁情报，共享使用威胁情报技术将成为攻击溯源的重要手段。从来自各种渠道的威胁情报信息，我们不仅可以为多源数据的可追溯性攻击提供了重要的支持，同时将攻击溯源从威胁情报信息反馈至其他机构和用户共享，以检测攻击防护联动处置工作，提供准确的决策支持，正逐渐成为业界的共识。网络攻击溯源虽然已取得了一些研究成果，但网络的多样性，复杂性，现有的技术仍然需要进一步完善和整合。追踪网络攻击溯源指利用各种手段来追踪网络攻击的发动者，随着入侵者攻击手段不断升级，逃避追踪可追溯性手段变得越来越灵活，例如匿名网络，网络跳板，僵尸网络等方法在网络攻击中大量使用，这给了跟踪追查工作带来严峻的挑战。传统方法的攻击溯源往往只是一个简单的技术，只能获取部分攻击信息，无法获得攻击的完整链条，往往达不到实战化效果。在攻击溯源实际工作中，攻击链一旦中断，往往会导致前功尽弃，让很多前期工作变得毫无价值和追溯性。

攻击溯源方面早期研究主要集中在IP地址追踪，包括基于主机IP的攻击追溯和网络追溯。主机IP追踪的重点是主机认证方面，通过其他渠道来源的身份验证机制来弥补依据不足的TCP/IP协议。美国总统奥巴马于7月26日发布总统令：PPD-41，旨在建立一个全国性的网络攻击响应链，并以附件的形式出台了《美国网络事故协作计划》。我们可以从这个总统令看到在网络安全中政府发挥着重要作用，政府不仅发挥协调的作用，还

龙源期刊网 http://www.qikan.com.cn

通过政府的领导和指挥，协调企业和民间力量，共同应对网络威胁。

安全威胁情报的意义是什么，我们该如何面对？以往的设备和技术是基于非动态机制，现在是动态安全的时代，传统的方法已经难以应对不断变化和升级的攻击手段。安全威胁情报正好是以动态的手段来对抗攻击者，威胁情报通过不断被收集、补充、分析、改进、再汇集形成一个闭环。同时，在不断升级的新技术下，也产生新的威胁，如APT的出现、僵尸网络、0day漏洞、恶意URL地址信息等，这些信息对网络安全防御是非常有帮助的。2014年初，美国建立的网络威胁情报整合中心，加强应对网络威胁，新设立的机构和现有的网络安全机构是非常不同的，网络威胁情报整合中心负责对各部门收集的情报分析，并为其他部门提供分析报告，由此我们可以看到网络威胁情报在维护网络安全的重要性。美国国家标准协会（NIST）对APT的定义是：掌握先进的专业技术和有效资源，通过多种攻击手段，以窃取机密信息，破坏系统程序或阻碍关键任务，或驻留在企业内部网络中发动后续攻击。我们可以把APT分开理解：

（1）A：高级。攻击者往往掌握着一般攻击者没有的技术和资源，通过高级而复杂的技术，采用多种攻击手段，动态调整攻击方式进行攻击。

（2）P：持久。攻击者通过长期连续的渗透、监控、采集、入侵步骤，入侵成功后会继续驻留在网络，等待执行后续攻击的机会来达到目的。

（3）T：危险。攻击者通常有雄厚的资金支持，黑客支持、技术支持等背景，以破坏和窃取大企业和国家的机密信息为目的，严重危害国家的安全利益和社会稳定。

龙源期刊网 http://www.qikan.com.cn

举个例子：

某企业部署了一套网络安全威胁态势预警系统，有一天该系统中的某个终端异常请求被防火墙拦截了，防火墙将异常拦截数据上传到了安全威胁态势预警系统，生成了威胁情报信息；安全威胁态势预警系统将这个威胁情报信息下发到该网络中所有的安全设备中，所有安全设备马上进行了排查，并将排查信息和相关日志汇集到了隔离分析系统，安全技术人员通过隔离分析系统系统对这个异常请求进行了分析，发现是一起利用恶意软件、恶意代码、计算机病毒的攻击行为，并通过安全威胁态势预警系统完成了整个事件的溯源。溯源后制定了相应安全规则，再下发到了其它终端安全设备和下一代防火墙中，所有设备协同联动阻断了这起攻击。

APT的先进性和隐蔽性可以轻松穿透传统安全防线，所以应对高级威胁我们必须要依靠行为检测进行分析，提交可执行和操作的分析结果，利用威胁情报可以对攻击溯源提供一定的技术基础，但其在实际应用中的效果严重依赖于所获得情报的数量和质量。保证网络的安全有效运行需要先进的技术和严格的管理制度和法律的威严相结合，这才是最佳安全策略，只有配套建立面向攻击溯源的威胁情报共享机制才能确保获得用于攻击溯源的威胁情报信息，否则威胁情报共享技术也将成为镜花水月。其次，攻击溯源工作需要一个全方位的综合威胁情报的支持和协调机制，需要跨部门的沟通。我国目前的威胁情报的机制缺乏部门之间的统一指挥机制，缺乏有效的沟通和协作，从而导致攻击溯源威胁情报信息缺失、遗漏，不能完整的追溯。因此，建议由国家权威机构对攻击溯源信息共享与建设牵头带动，逐步推进和完善国家网络安全威胁情报和态势感知系统建设机制，全国性的网络威胁情报资料库。

龙源期刊网 http://www.qikan.com.cn

参考文献

[1]杨泽明，李强，刘俊荣，等.面向攻击溯源的威胁情报共享利用研究[J].信息安全研究，2015（1）.

[2]郝尧，陈周国，蒲石，等.多源网络攻击追踪溯源技术研究[J].通信技术，2013，46（12）.

[3]王青峰，范艳红.网络安全威胁态势评估与分析技术研究[J].计算机光盘软件与应用，2012（2）：128-129.

[4]林龙成，陈波，郭向民.传统网络安全防御面临的新威胁：APT攻击[J].信息安全与技术，2013，4（3）：20-25.

[5]云晓春.威胁情报助力互联网应急响应[J].信息安全与通信保密，2015（10）：21-21.

[6]张磊，李维杰.美国《网络威胁信息共享指南》摘要[J].中国信息安全，2015（6）：86-87.

[7]沈立君.APT攻击威胁网络安全的全面解析与防御探讨[J].信息安全与技术，2015，6（8）：66-70.