網絡攻擊技術分層方法研究
如何有效地防護來自網絡中的攻擊行為已成為當前亟需解決的問題。為了有效防護網絡攻擊,需要對網絡攻擊的演進過程有一個全面的了解和認知。從近年來網絡攻擊形成的安全事件入手,站在管理者、學術界、產業界的視角,分析了網絡攻擊技術的分類與發展路徑,總結了現狀與特點。結合機器學習、深度學習以及攻擊樣本特征工程的需要,提出了基于TCP/IP模型的網絡攻擊分層方法,為不同層次的攻擊技術研究與防御提供了分析參考。同時,基于典型的網絡攻擊工具,分析了不同目標對象受網絡攻擊的特點。結合網絡攻擊分層方法和目標對象分類研究,簡析了高級可持續攻擊(APT)的攻擊模式和檢測方式。最后,提出加強基于機器學習、深度學習的網絡入侵檢測技術框架及算法研究等下一步工作展望。
內容目錄:
0 引 言
1 網絡攻擊技術演進路線
2 網絡攻擊技術發展現狀
3 基于TCP/IP的網絡攻擊技術分層研究
4 基于目標對象的網絡攻擊分類研究
5 典型網絡攻擊模式簡析
6 結 語
0 引 言
1969年,美國國防部高級研究計劃局(ARPA)成功開發并組建了ARPA網,因特網(The Internet)由此誕生。1982年,支持網絡間通信的標準網絡協議套件出現,這個協議套件由傳輸控制協議(TCP)和因特網協議(IP)組成,IP協議用于處理數據包,TCP主要用于網絡連接的建立及數據的傳輸,并作為IP協議的補充。這套網絡通信的傳輸控制和協議套件被稱為“TCP/IP”,是當今互聯網通信的基礎。近年來,基于“TCP/IP”的隱匿、復雜、多元的網絡攻擊對全球信息化社會、國際經濟信息化發展、全球協作和人類各領域合作的推進構成了嚴重威脅,全球的重大網絡安全事件也愈發頻繁。
2019年,賽門鐵克發布了《互聯網安全威脅報告》,指出:2018年針對企業的勒索軟件感染率較2017年增長12%;2018年終端上的總體Web攻擊相比2017年增加了56%,供應鏈攻擊增加了78%;美國、中國、德國是移動惡意軟件的重災區,分別占總量的63%、13%和10%。Check Point軟件技術有限公司發布了《2020年網絡安全報告》,列舉了2019年全球重大網絡安全事件,如最大數據泄漏事件——2019年1月,“Collection #1”事件導致超過7.7億的電子郵件和 2100 萬條密碼被暴露在互聯網上;2019年2月,名為“Gnosticplayers”的 黑客攻擊了16個網站,竊取了6億2千萬條賬戶信息,并在暗網上出售;2019年3月,世界上最大的郵件驗證公司“Verifications.io”由于使用未受保護的MongoDB數據庫,使得8億多條用戶數據泄漏;2019年6月,俄羅斯黑客組織Fxmsp聲稱已經入侵了McAfee、賽門鐵克和Trend的網絡并獲得了長期遠程訪問權限,同時竊取出售了30TB的數據;2019年6月,美國醫學收集機構(AMCA)遭到對其數據庫的非法入侵,導致約2000萬名患者的信息受到影響;2019 年6月,佛羅里達州的第二大城市湖城遭受了被稱為“三重威脅”的攻擊,該攻擊結合了3種不同的方法,分別對目標的網絡系統、電話系統、電子郵件系統實施了攻擊,造成了該市長達2周的信息系統癱瘓,并且該市向黑客組織支付了50萬美元的解除費用。
1 網絡攻擊技術演進路線
從上述最近案例中可以看出,如何有效地防護來自網絡中的攻擊行為已成為當前亟需解決的問題。為了有效防護網絡攻擊,需要對網絡攻擊的演進過程有一個全面的了解和認知,做到“知己知彼”。網絡攻擊和信息科技的發展處于同一個“生態圈”中,因此,網絡攻擊技術也隨著信息技術的發展不斷進化,國際警察局長協會(IACP)就此問題進行總結,如表1所示。
學術界的Ervural等人對網絡攻擊戰術復雜性的整體演化過程進行了概括,從20世紀80年代的普通攻擊到21世紀10年代的直接攻擊,再到21世紀20年代的戰略攻擊,如表2所示。
全球頂尖的互聯網安全解決方案提供商Check Point認為 2018年起,全球步入了第五代網絡安全時期,并發布了《第五代網絡安全攻擊及防御措施白皮書》,總結如表3所示。
第一代(20世紀80年代):黑客通常是狡猾的惡作劇制造者。針對獨立 PC 的病毒攻擊大多始于麻煩或錯誤,為了防止這種破壞,防病毒產品應運而生。
第二代(20世紀90年代):隨著互聯網開始成為商業及日常生活的中心,黑客們開始形成組織并相互交流,以便通過網絡犯罪謀取經濟利益,惡意軟件的出現,使基于包過濾的第一代防火墻以及主動防御的入侵檢測系統(IDS)得以興起。
第三代(21世紀00年代):攻擊者開始分析網絡架構和軟件脆弱點,以發現并利用整個IT基礎設施中的漏洞。僅采用防火墻、防病毒軟件和入侵檢測系統(IDS)產品在面對新型攻擊時顯然遠遠不夠。企業為保護自身安全,開啟了最優修補工作安全模式的時代。Check Point開始專注于網絡威脅防范,并推出了入侵防護系統(IPS)產品。
第四代(21世紀10年代):從國際間諜活動、大規模個人信息泄露到大規模的互聯網破壞,網絡攻擊技術變得更加復雜多元。攻擊以隱避性、多態性的方式隱藏在圖片、視頻等文件中。雖然第二代和第三代的互聯網安全技術提供了訪問控制并檢查所有通信,但無法對最終用戶通過電子郵件、下載文件等方式實際收到的內容進行驗證。因此,Check Point利用僵尸網絡防御策略和沙箱等虛擬系統程序,以零日攻擊等進行防御。
第五代(21世紀20年代):先進的“武器級別”黑客工具遭到泄露,攻擊者利用其快速行動,并在大規模地理區域內感染大量的企業及實體。大規模、多向量的大型攻擊激發了企業對集成與統一安全架構的需求。前幾代修補工作、最優部署、檢測優先的技術已經遠遠無法抵御第五代快速隱秘的攻擊。Check Point基于高級威脅防護與分析解決方案,開發標準的統一架構,可實時共享威脅情報,預防對虛擬實例、云部署、終端、遠程辦公室和移動設備的攻擊。
2 網絡攻擊技術發展現狀
總體看來,隨著信息技術與互聯網技術的進步,網絡攻擊技術更新極快,并呈現出兩個主要特征:一是網絡攻擊技術已經由簡單走向復雜。例如,早期的莫里斯蠕蟲事件,基于Unix系統中的脆弱點,使用Finger命令查詢用戶信息,用mail系統傳播源程序,造成近6000臺計算機運行變慢直至無法使用,導致拒絕服務。2016年的烏克蘭電網系統事件已經表明,攻擊者面對防御體系時采用了更為先進APT技術與工具來實現入侵網絡與系統的目的。與此同時,在網絡攻擊中使用人工智能技術進行運用分析,并向武器化、自動化趨勢蔓延。相關報告顯示,2018年由機器人和僵尸網絡產生的惡意流量分別占據所有網絡流量的37.9%和53.8%。2020年4月,以色列水利系統的信息基礎設施遭到網絡攻擊,黑客利用含有宏病毒的辦公軟件附件或釣魚郵件中的惡意鏈接致使重要信息系統感染病毒。二是網絡攻擊逐步從個人走向組織。早期的網絡攻擊基本為黑客的個性與能力展示,現在,出于政治和經濟目的,黑客個體行為已走向黑客組織行為,部分還帶有很強的國家屬性,他們擁有最先進的網絡武器庫,更具針對性的攻擊方法。比較出名的有朝鮮的Lazarus,俄羅斯的APT28,越南的Ocean Lotus等APT組織,這些組織采用0 Day漏洞、網絡釣魚電子郵件、魚叉攻擊和水坑攻擊(Watering hole)等新型技術與方法,向特定攻擊目標植入惡意軟件以獲取機密信息。這些組織目標和分工明確,一方面,不斷加強網絡攻擊武器的研制與各種終端、服務器、網絡設備0 Day漏洞的儲備;另一方面,加強攻擊的隱蔽性,隱藏攻擊活動中留下的痕跡,使攻擊監測和追蹤溯源變得更加困難。
3 基于TCP/IP的網絡攻擊技術分層研究
通過研究大量文獻,從不同的角度分析,可以將網絡攻擊歸類為不同方法。網絡攻擊分類的主要依據有安全策略缺陷、網絡攻擊手段、網絡攻擊效果、網絡攻擊監測和網絡攻擊危害評估等。通過對攻擊分類和安全事件進行分析梳理,其分類方法總結如表4所示。
TCP/IP協議定義了計算機在網絡通信中數據的收發模式、基本格式、尋址方式、正確性校驗和分析解碼等。TCP/IP網絡模型包括:負責封裝/解封裝和發送/接收報文的鏈路層、負責報文發送的網絡層、負責報文分組和重組的傳輸層、負責向用戶提供應用程序的應用層,如表5所示。
網絡入侵需要以網絡通信為載體,利用TCP/IP參考模型傳輸網絡攻擊數據。因此,可以將目前已知的網絡攻擊映射到TCP/IP四層模型,針對不同層次的不同攻擊采用相應的防御方法,如表 6 所示。從表中可以看出,應用層的攻擊在網絡攻擊中占比非常高,并且隨著新一代信息技術的發展和應用,其攻擊手段層出不窮。在應用層的攻擊中,Web攻擊的占比非常高,例如,常見的Web攻擊有SQL注入攻擊、Xss及文件上傳漏洞攻擊、文件包含攻擊、網頁木馬攻擊、爬蟲攻擊、Web掃描攻擊、協議違規、網站信息泄露篡改等。
4 基于目標對象的網絡攻擊分類研究
網絡攻擊者通過對網絡協議的研究,構造特殊的報文格式或非常用協議,對目標主機進行攻擊,竊取目標主機的重要信息或消耗目標主機的系統資源。其中,木馬和病毒是兩種典型的網絡攻擊工具,木馬具備隱匿性并能將自己偽裝成合法程序或部件,病毒具備自我復制性和自動傳播性的特性。傳統遠控木馬通常使用基于字節流的傳輸層通信協議進行數據傳輸;新型混合型木馬采用反沙箱、強混淆、注入等手段,利用 HTTPS 等方式傳輸數據。為了更準確地分析木馬和病毒攻擊,將信息系統劃分為硬件層、啟動層、驅動層和應用層。
硬件層一般只存在木馬,該類木馬需要觸發結構激活,對芯片安全性和可靠性具有十分嚴重的損害,其隱蔽性非常高,所帶來的研發和制造成本巨大,難以發現及查殺。啟動層存在木馬和病毒,其功能單一、隱藏性非常高、難以查殺。驅動層存在木馬和病毒,其功能單一、隱藏性高、查殺困難。應用層存在木馬和病毒,其功能復雜,可能具備監視屏幕、記錄鍵盤等功能,不易查殺。在應用程序和webshell環境下的木馬和病毒是最常見和流行的,攻擊者將后門程序寄生在系統中,對攻擊目標進行遠程監控、非法操作或資源濫用,該環境下的木馬和病毒一般功能單一、較容易查殺但傳播廣泛。
一些“被動接觸”的后門軟件,其技術大部分是 Rootkit,Rootkit是一套能夠永久、持續并毫無察覺地駐留在目標計算機中的程序和代碼,Rootkit可以在應用層、內核層、BIOS和其他代碼庫中運行,實現自啟動、隱藏及shell連接,從而實現監聽網絡數據、緩沖區溢出攻擊等行為。如今,Rootkit 利用劫持系統調用、API Hook、Inline Hook 等行為改變相應軟件的執行流程來防止被檢測到,通過 TCP/IP 協議的Socket 通信建立連接,并將相應模塊發送到受控端后發送指令進行加載,“隱藏”通信端口和相應程序,從而實現“隱藏”攻擊行為并實現遠程控制。
5 典型網絡攻擊模式簡析
高級可持續攻擊(APT)是近年來出現的具有隱蔽性、先進性、持續性等特征的新型網絡攻擊。APT攻擊包括信息收集、入侵滲透、潛伏調整和攻擊退出四個階段。在信息收集中,對目標系統進行嗅探、掃描、竊取和偽造;對目標用戶進行誘騙,攻擊者挖掘系統的漏洞,編制惡意代碼,準備實施攻擊。攻擊實施過程為入侵滲透、潛伏調整和攻擊退出,攻擊者開展基于包含遠程登錄在內的系統攻擊和基于病毒及木馬的代碼攻擊。因此,APT攻擊利用網絡通信協議,通過系統,利用病毒、蠕蟲、木馬和后門等途徑,實現對網絡、操作系統和主機等信息系統不同目標對象的攻擊。
同時,APT攻擊常用的攻擊手法為水坑式攻擊、魚叉式攻擊等多元化方式,具有多路徑入侵、攻擊空間不確定等特點。另外,APT攻擊還存在攻擊潛伏時間長,攻擊周期長,可以通過Rootkit、清除日志、隱藏活動等方式潛伏的特點。因此,可以利用流量特征檢測方法,基于機器學習的檢測算法,結合大數據和威脅情報分析,提升檢測效率和準確性,并為大型網絡的監控與分析和在異常情況下的迅速響應奠定基礎。
6 結 語
在整個四層的網絡攻擊中,對鏈路層攻擊影響范圍最大,對應用層攻擊影響范圍最小。在攻擊頻率、病毒傳播速度等因素一定的情況下,對應用層發起的攻擊,其破壞力小于對網絡層發起的攻擊。產業數字化與數字產業化提速,新一代信息技術加速應用,互聯網具有更加強勁的發展動能,各種線上應用服務平臺不斷涌現,隨之而來的網絡攻擊工具和攻擊手段的復雜性也隨著時間的推移而增強。與此同時,網絡攻擊技術逐步顯現出低門檻和易操作的趨勢。富有經驗的攻擊者通常會構建大量的攻擊腳本和工具包,新手攻擊者只需要點擊鼠標就可以使用這些腳本和工具包,并產生毀滅性的影響。因此,加強對網絡攻擊技術現狀及其發展趨勢的研究,對開展攻擊樣本的特征工程以及基于機器學習、深度學習的網絡入侵檢測技術框架及算法研究有著重要的作用。
引用本文:易濤,葛維靜,鄧曦.網絡攻擊技術分層方法研究[J].信息安全與通信保密,2021(9):74-82.
作者簡介 >>>
易 濤(1976—),男,碩士,高級工程師,主要研究方向為網絡空間安全;
葛維靜(1989—),女,碩士,工程師,主要研究方向為網絡空間安全;
鄧 曦(1985—),男,碩士,高級工程師,主要研究方向為網絡空間安全。
