基于上下文感知計算的APT攻擊組織追蹤方法

近日，綠盟科技聯合廣州大學網絡空間先進技術研究院發布2021年《APT組織情報研究年鑒》（下文簡稱“年鑒”）。

年鑒借助網絡空間威脅建模知識圖譜和大數據復合語義追蹤技術，對全球372個APT組織知識進行了知識圖譜歸因建檔，形成APT組織檔案館，并對APT組織活動進行大數據追蹤，從而對本年度新增和活躍的攻擊組織的攻擊活動態勢進行分析。目前年鑒所涉及的相關情報和技術已經應用在綠盟科技的威脅情報平臺（NTIP）和UTS、IDS、IPS等多個產品中，并支撐網絡安全檢查以及重大活動保障等活動。

本文為年鑒精華解讀系列文章之一，主要介紹其中提到的基于APT組織知識進行大數據場景下的APT監控的關鍵技術——基于上下文感知計算的APT攻擊組織追蹤方法。

概述

對大部分網絡監管單位和企業來說，網絡安全運營很大程度上已經變為一個大數據分析和處理問題。如何從海量多模態的告警數據中快速發現高危安全事件特別是APT攻擊組織相關的事件是目前的一個重要課題。

針對這一問題，年鑒提出一種基于上下文感知計算框架的攻擊組織追蹤方法。首先結合上下文感知計算框架從多源威脅情報和本地沙箱告警日志中采集攻擊組織相關威脅語義知識，構建攻擊組織知識庫；然后基于大數據流式計算對實時、海量、多模態告警數據進行范式化理解和攻擊鏈關聯；結合構建的攻擊組織知識庫進行事件威脅語義富化和攻擊組織特征關聯計算，最終發現海量告警背后值得關注的攻擊組織相關的高危事件。

基于攻擊組織本體的上下文感知計算框架

為了有效解決海量多模態數據場景下攻擊組織相關的高危安全事件的快速發現問題，基于攻擊組織本體構建上下文感知計算框架，并結合大數據流式計算進行多模態數據的范式化理解，上下文的采集、關聯和特征相似度計算，最終實現從海量威脅告警中快速發現攻擊組織相關的高危事件，總體的框架如下圖所示：

基于上下文感知計算的攻擊組織追蹤方法總體框架

構建基于攻擊組織本體的上下文感知計算框架，首先需要定義以攻擊組織為核心的本體結構，基于該本體結構設計上下文的采集模塊和上下文推理模塊，將非實時的多源異構的威脅情報和實時的海量數據轉化為攻擊組織相關關鍵知識，存儲到攻擊組織知識庫中。基本框架圖如下圖所示：

基于攻擊組織本體的上下文感知計算框架

基于事件威脅上下文的特征關聯計算

3.1 事件范式化理解

安全事件的范式化理解是海量實時多模態數據處理的第一步，也是后續關聯推理和計算的基礎。本文首先基于攻擊組織本體結構定義范式化安全事件的模板，然后在大數據流式計算框架下實現流式處理引擎將海量多模態數據進行解析，最終理解成為復合安全事件模板的范式化安全事件。

結合大數據流式計算框架中的Spark Streaming和Kafka，基于范式化安全事件的模板，通過快速鍵-值映射，將海量多模態數據實時理解成為范式化的安全事件，基本流程如下：

范式化安全事件理解

3.2 事件上下文語義富化

基于范式化的事件，結合攻擊組織知識庫分別從范式化事件的3個基本維度（威脅主體、攻擊模式及目標客體）進行威脅上下文語義的富化。

通過知識庫的關聯，可以將從多源威脅情報和本地資產情報相關的威脅主體和目標客體資產特征、從實時沙箱告警中獲取的本地惡意代碼樣本靜態和動作語義特征語義擴充到事件當中。

3.3 事件攻擊鏈關聯

攻擊者進行實際的入侵活動時往往不會只利用一種攻擊手段，而是在更廣的時間域內利用一系列相互關聯的攻擊方法，以達成攻擊目的。因此，在進行攻擊行為的監測和追蹤時，需要將更大時間范圍內的事件進行關聯，從而獲得更加全面和準確的攻擊行為場景。

3.4 攻擊組織特征關聯計算

富語義攻擊鏈生成之后，需要基于攻擊鏈相關的語義進行組織的深度關聯計算。關聯計算的基本步驟如下圖所示：

攻擊組織語義關聯計算流程

總結

基于上下文感知計算的攻擊組織追蹤方法，設計了基于攻擊組織本體的上下文感知計算框架，通過上下文采集和上下文推理模塊將非實時的多源異構威脅情報和實時的沙箱樣本信息進行采集，并進行語義的過濾、融合及推理后存儲至基于攻擊組織本體構建的攻擊組織知識庫中；結合大數據流式計算框架，針對海量多模態告警數據進行事件范式化理解、基于攻擊組織知識庫進行事件威脅上下文語義的富化、攻擊鏈關聯和攻擊組織特征關聯計算，最終發現攻擊組織相關的高危事件。通過在實際生產環境中進行系統的部署和運營之后，系統能夠將待研判事件降低到可處置范圍，有效降低研判處置人員的工作量。