基於OSSIM系統的APT 攻擊檢測

2019 年 11 月 22 日
筆記

　　　不少網路安全防禦體系比較弱的電腦都遭受過APT，其中包括一些重要領域的電腦依然遭受APT的持續威脅，這種威脅可能持續一段很長時間不被發現。為了解決這些這種APT問題，本人曾在接入層交換機、伺服器、核心交換機和網路邊緣的安全設備上提出了多種解決方案，可收效甚微，關鍵在於缺乏一種高效的檢測技術，下文中提出的一種OSSIM平台（開源SIEM）的APT檢測方法，通過這種解決方案能夠實時檢測APT攻擊，為安全人員迅速做出響應，提升網路安全防護能力。

1. APT的顯著特徵

APT全稱高級持續性威脅，通過長期潛伏找到有價值的特定目標，利用網路中存在的應用程式漏洞，發起持續性網路，帶有很強的隱蔽性，不易發現。APT攻擊有以下3個特點：

隱蔽性：者通常潛伏在目標網路中進行數月甚至更長時間，收集用戶資訊，掌握目標的情況。
目標專一：在徹底掌握目標的精確資訊後，尋找系統或者軟體的漏洞，構造專門程式碼，對鎖定的目標發送惡意鏈接、郵件等程式，時只針對一個目標，這一點和以前遇到的蠕蟲病毒不同。
持續性：在不被察覺的情況下，者會不斷嘗試各種手段，甚至被阻斷後，還會採用全新的方式再次發起。

2. APT攻擊的主要階段

典型的APT攻擊主要包括下列5個階段：

情報收集：者有針對性地搜集特定組織的網路系統和人員資訊。
突破：者在收集了足夠的情報資訊之後，開始採用惡意程式碼、漏洞等方式組織目標的終端設備。
控制通道：者在控制終端設備之後，會創建從被控終端到控制伺服器之間的命令控制通道，以獲得進一步指令，在維護該通道正常訪問的基礎上，還要不斷提升訪問許可權，以獲取更大的系統操作許可權。
內部：者會優先攻陷普通PC（防禦體系最差），作為跳板，利用口令竊聽和漏洞等方法，在系統內部進行橫向，從而獲取組織內部其它包含重要資產的伺服器的控制許可權。
數據收集：在這一過程里會不斷將搜集到的各伺服器上的重要數據資產，進行壓縮、加密和打包，然後通過控制通道將數據回傳。

3.APT分層防禦策略

通常會針對特定目標創建一系列的鏈，即使裝有Proxy Server、Firewalls及防病毒軟體等，也無法獨自抵禦APT。有效的檢測和防禦APT的方式是根據網路層級中***的核心技術環節進行持續監控，並建立一一對應的抑制點。

要監控APT，首先根據APT分層模型，因為任何APT都是基於對OSI協議棧上層或底層的，而且會在棧上多個層次尋找漏洞來實現的最終目的。因此，APT檢測防禦體系需要嚴格遵循縱深防禦的安全理念，按照網路安全的分層方法，採取措施在每一層中檢測威脅，對其做出反應並消除威脅，如圖1所示。

圖1中分別從物理層、網路層、應用層和數據層四個方面對APT***進行檢測和防禦，以部署防護硬體和軟體探針的方式，在網路結構的不同層次監控和生成安全事件，推送至OSSIM數據分析引擎進行存儲檢索和關聯分析。

4.檢測與防禦技術

在圖1所示中專門針對物理層、網路層、應用層以及數據層進行檢測與防禦說明。

1.物理層，在網路及終端設備上安裝防病毒軟體，用於掃描流經網路中各節點上的所有網路數據包。
2.網路層，在網路邊界處部署網路防火牆和防禦系統，例如在物理網路層部署透明防火牆，根據攔截規則和默認通過規則，判斷所有的數據包以決定數據包是否允許通過，如果這個數據包允許通過，就被轉發到其他網路介面，可以限制內部用戶訪問內部的資源。
3.應用層，實現Web應用防護、殭屍網路檢測、沙箱檢測等高級防禦功能，以保障應用服務的安全運行。
4.數據層，對資料庫的用戶操作內部數據的流轉進行審計。

通過對上述4個網路層次的安全監控，將主機及網路活動、漏洞資訊、資產資訊、遠程訪問等資訊集中採集，並發送至OSSIM平台進行分析，不但能對整體網路安全態勢進行監控，而且還能發現網路中更多未知的安全威脅，從而有效抵禦APT。 OSSIM中通過動態數據建模技術，將異構數據通過一個關聯數據模型將其集成在一起，形成關聯分析平台。

OSSIM平台中還使用了包括深度學習等技術，需要通過累積經驗進行持續監控、不斷適應和學習。因此，還應該考慮基於神經網路，分別從可擴展的檢測器、主機分類監控、***源監控、網路流量監控等方面，加強對企業內部數據流轉的監控，從而在正常的網路流量中尋找異常行為。

5.複雜網路環境部署OSSIM

OSSIM的感測器安放位置，至關重要。很多人曾經都安裝過sniffer嗅探器，在大型網路中這種做法並不像將主機接入網路那樣簡單。作為網路管理人員，應該清楚所管理網路環境的具體情況。如圖所示的就是一個某企業的網路拓撲結構。在交換式網路中採用埠鏡像是捕獲流量最簡單的方法，但所使用的交換機必須支援埠鏡像（Port Mirroring）功能，以及有一個空閑埠，可插入嗅探器。大多數中檔以上的交換機都支援埠鏡像功能，但支援程度不同。

• 注意：千兆網路環境中，在三層交換機上監控多個VLAN的流量有就有些吃力，交換機設置埠鏡像後同樣會是CPU佔用率上升。具統計，當流量超過800MB/s時，在OSSIM分析數據包時會出現響應遲緩，伴隨丟包現象出現，而且準確性迅速下降。

6.特殊場景的應用

在一些特殊場合為了鑒別各種IDS的特性會同時使用多套IDS系統，比如安裝OSSIM然後同時使用HP-Arcsight分析網路數據包（或IBM QRadar），這時傳統埠鏡像（SPAN）的方法無法滿足。也就是說遇到需要將一個監測數據流傳送給多台監測設備的情況採用SPAN無法滿足。凡是需要將多個監測數據流傳送到單台監測設備的情況SPAN同樣無法滿足。 • 注意：在網路核心設備上開啟SPAN需慎重，如果CPU利用率長期超過20%,則不建議開啟，以免影響網路性能。對於這兩種情況我們可以採用網路分流器的設備解決，它是一個獨立的硬體，支援千兆甚至是萬兆網路環境（比如Gigamon的方案），而且它不會對已有網路設備的負載帶來任何影響，這與埠鏡像等方式相比具有極大的優勢,它的分流模式，是將被監控的UTP鏈路用TAP分流設備一分為二，分流出來的數據接入採集介面，為資訊安全監控系統採集數據。

7.利用OSSIM識別APT攻擊

許多遭受APT攻擊的受害者所在單位擁有防火牆，防病毒系統，監控系統，但仍未能阻止威脅進入，這些系統未能感知到異常行為，直到損失被曝光。安全團隊應考慮到當今複雜多變的網路威脅環境，可以假設其IT環境已被或間歇性遭受到不明來歷的**，這時我們需要了解*的各個階段的詳細情況，包括對持續的威脅見識以及快速的檢測。過去使用Cacti、Zabbix等工具，等到在系統中發現問題時已經到了完成階段，者早已得手，並消失的無影無蹤。要提高網路的可視化、提高對網路***的敏感性和處理高級威脅的速度，SIEM（安全資訊和事件管理）是理想的平台，適合於目前企業中大規模集中數據安全分析。作為開源SIEM產品OSSIM具備了3個方面的能力：

（1）可視化-該技術獲知異構的IT環境中，所發生的一切資訊需要多種數據源，包括網路數據包捕獲，和完整會話的重建以及來自網路設備、伺服器、資料庫的日誌文件，需要將這些數據有效組織起來，通過圖形化方式展現給用戶，而且將各種視圖統一的整合到一個位置，如圖3所示。

（2）可擴展–收集安全數據的平台必須能在橫向和縱向進行擴展，以處理來自企業內部和外部的海量安全事件，深入分析網路流量的同時會產生大量pcap文件，這會使安全分析平台的數據成倍增加，OSSIM通過分散式多層存儲體系結構處理了密集型數據。

（3）可關聯分析-具有一定的智慧分析是因為內置的關聯分析引擎的緣故。傳統電腦安全機制偏重於靜態的封閉的威脅防護，所以只能被動應對安全威脅，往往是安全事件發生後才處理，面對**，在過程中，檢測到掃描、注入、暴力破解和漏洞利用時OSSIM的關聯引擎從多數據源獲得數據，通過抓包和多數據源收最大範圍和深度收集有效資訊，比如在應用系統日誌中有相關登錄失敗等異常指標，進行主動安全分析，在事件發生階段就發出預警資訊，如圖4~圖6所示，通過這些可視化的報警以便管理員實現快速響應。

8.小結 　　使用OSSIM系統可對我們了解發現APT有所幫助，在大型網路中對於APT防控僅通過一兩套系統是不夠的，檢測和防禦APT的研究工作需要長期、深入了解網路內部各個安全點之間的綜合資訊交換，加強硬體及軟體的安全配置，加強相關安全人員的安全意識和技術培訓，對網路流量及訪問行為進行嚴格審計，制定更加詳細的應對方案，並確保全面防護的高級預防和檢測。