引言

隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展和數(shù)字化進(jìn)程的加速推進(jìn)，網(wǎng)絡(luò)空間與人類活動(dòng)息息相關(guān)，已成為國(guó)家主權(quán)、經(jīng)濟(jì)命脈和社會(huì)穩(wěn)定的戰(zhàn)略要地。然而，高級(jí)持續(xù)威脅（Advanced Persistent Threat, APT）的泛濫已成為現(xiàn)代計(jì)算環(huán)境安全面臨的最大威脅之一。例如，具有美國(guó)背景的APT組織開(kāi)發(fā)的震網(wǎng)（Stuxnet）蠕蟲(chóng)病毒，高度精準(zhǔn)破壞伊朗的核計(jì)劃［1］；“海蓮花”（OceanLotus）組織長(zhǎng)期利用網(wǎng)絡(luò)設(shè)備漏洞對(duì)我國(guó)政府、科研院校等高價(jià)值目標(biāo)展開(kāi)攻擊；“方程式”（Equation）組織針對(duì)我國(guó)西北工業(yè)大學(xué)實(shí)施APT攻擊［2］。這類攻擊以高度組織化、隱蔽性強(qiáng)、持續(xù)周期長(zhǎng)為特征，通過(guò)多階段滲透和復(fù)雜手段突破目標(biāo)網(wǎng)絡(luò)防御體系，對(duì)關(guān)鍵基礎(chǔ)設(shè)施、核心數(shù)據(jù)資產(chǎn)乃至國(guó)家安全構(gòu)成嚴(yán)峻挑戰(zhàn)。在此背景下，如何實(shí)現(xiàn)APT攻擊的精準(zhǔn)檢測(cè)與有效防御，成為網(wǎng)絡(luò)安全領(lǐng)域亟待突破的核心難題。傳統(tǒng)安全防護(hù)技術(shù)（如入侵檢測(cè)系統(tǒng)等）主要依賴已知攻擊特征碼或行為模式的匹配，在應(yīng)對(duì)多階段高隱蔽的APT攻擊時(shí)存在明顯局限性。APT攻擊通常采用定向“釣魚(yú)”、定制化漏洞工具、供應(yīng)鏈滲透及多跳橫向移動(dòng)等多種策略，其攻擊鏈的碎片化、低頻化特征使得基于單點(diǎn)日志或流量分析的方法難以捕捉全局威脅，亟須探索能夠深度挖掘攻擊上下文關(guān)聯(lián)、適應(yīng)動(dòng)態(tài)威脅環(huán)境的檢測(cè)范式。

近年來(lái)，溯源圖分析技術(shù)因其關(guān)聯(lián)強(qiáng)覆蓋廣的優(yōu)勢(shì)逐漸成為APT檢測(cè)領(lǐng)域的研究熱點(diǎn)。該技術(shù)通過(guò)構(gòu)建實(shí)體間關(guān)聯(lián)有向圖模型，將離散的系統(tǒng)事件（如進(jìn)程創(chuàng)建、文件訪問(wèn)、網(wǎng)絡(luò)連接）映射為具有時(shí)序邏輯的語(yǔ)義豐富的結(jié)構(gòu)化數(shù)據(jù)圖表示。通過(guò)揭示攻擊者從初始入侵到橫向滲透的多步行為上下文，溯源圖分析技術(shù)能夠?qū)⒁蚬嚓P(guān)的攻擊事件通過(guò)上下文序列直接關(guān)聯(lián)，有效提升APT攻擊檢測(cè)的準(zhǔn)確率。

本文主要對(duì)近10年在CCF推薦國(guó)際學(xué)術(shù)高水平（CCF A類）會(huì)議和期刊中發(fā)表的APT檢測(cè)相關(guān)工作進(jìn)行深入調(diào)研，給出高級(jí)持續(xù)威脅的定義，重點(diǎn)介紹和分析基于溯源圖分析技術(shù)的APT檢測(cè)工作，并討論了基于溯源圖分析技術(shù)的APT 檢測(cè)未來(lái)發(fā)展的側(cè)重點(diǎn)。

本文詳細(xì)內(nèi)容請(qǐng)下載：

http://m.xxav2194.com/resource/share/2000006644

作者信息：

張?1,2，楊曉帆1,2

（1.中廣電廣播電影電視設(shè)計(jì)研究院有限公司，北京100045；

2.廣播電視與視聽(tīng)新媒體智慧監(jiān)管國(guó)家廣播電視總局重點(diǎn)實(shí)驗(yàn)室，北京100045）