打击高级持续性威胁：挑战与解决方案

抽象的

高级持续性威胁 (APT) 的兴起标志着网络安全面临的重大挑战，其特点是复杂的编排、隐秘的执行、长期的持久性以及针对不同部门的宝贵资产。基于起源图的内核级审计已成为一种有前途的方法，可在复杂的网络环境中增强可见性和可追溯性。然而，它仍然面临着挑战，包括重建复杂的横向攻击链、检测动态逃避行为以及防御智能对抗子图。为了弥补研究空白，本文提出了一种利用起源图的高效且强大的 APT 防御方案，包括用于经济高效的横向攻击重建的网络级分布式审计模型、面向信任的 APT 逃避行为检测策略和基于隐马尔可夫模型的对抗子图防御方法。通过原型实现和大量实验，我们验证了系统的有效性。最后，概述了这一新兴领域的关键开放研究方向。

索引术语： 来源图、高级持续威胁 (APT)、无人机 (UAV)、横向移动、对抗子图。

介绍

高级持续性威胁 (APT) [1]已成为一种重大的网络安全威胁，其特点是攻击者组织严密、资金充足、执行隐秘、长期存在，并针对高价值资产进行精准攻击。APT攻击可能对政府、关键基础设施、企业和个人等各个领域造成毁灭性后果。APT攻击的目标通常包括间谍活动、窃取敏感信息、知识产权、经济利益以及破坏关键信息基础设施。根据360安全的统计数据https://sc.360.net/在过去两年中，针对政府、跨国公司和关键基础设施的网络攻击中，APT（例如 Stuxnet、Gauss、Flame 和 Duqu）占了近 60%。典型的 APT 攻击生命周期包括以下步骤。

• 初始入侵：APT 攻击者通过鱼叉式网络钓鱼电子邮件、社会工程、水坑攻击或利用软件漏洞等策略建立立足点。这种初始入侵是攻击者渗透目标网络的起点。

• 横向移动：APT 通常由一群经验丰富的黑客精心策划，以协调的方式工作。一旦进入网络，APT 攻击者就可以采用各种技术在系统间横向移动。这包括提升权限、利用弱凭证以及利用已知漏洞来访问重要资产。

• 持久性：APT 攻击者通过实施后门、木马或远程访问工具等机制来确保其持续访问。这些机制使他们即使在被发现后也能保持控制并重新进入受感染的系统。

• 数据泄露：APT 攻击者会在较长时间内仔细识别和泄露敏感数据。此步骤需要深入了解受害者的数据状况并小心规避安全措施。

为了应对 APT 攻击的复杂性和不断演变的特性，基于来源图的内核级审计提供了一种有前途的方法，在复杂而动态的网络环境中具有增强的可见性、可追溯性和检测能力。它涉及实时捕获和分析复杂的系统交互，包括网络通信、进程交互和文件操作。通过构建这些实体的因果关系图，起源图提供了系统行为的全面描述，从而产生了以下优势：

• 可追溯性：来源图有助于追踪系统内的动作和交互，简化可疑或恶意行为的识别。

• 实时可见性：通过实时捕获低级系统活动，来源图可以动态地理解正在进行的进程和潜在威胁。

• 隐蔽行为检测：来源图有助于揭示可能逃避传统检测机制的隐藏 APT 活动。

• 攻击重建：利用来源图，安全分析师可以重建导致攻击的兴趣点 (PoI) 事件序列，从而协助事件后分析和响应。

图 1：基于起源图的 APT 审计方法概述。

然而，基于起源图的内核级APT审计技术面临以下新的挑战。

• 重建横向攻击链：攻击者可以通过高度隐蔽的攻击突破系统边界，例如利用零日漏洞或后门。他们利用目标内联网中的横向移动和域控制器劫持来建立特定的跳跃链，触发安全警报，例如数据泄露、密码破解和 shellcode 有效载荷。因此，对于传统的基于主机的来源入侵检测系统 (Prov-HIDS) 来说，完全重建 APT 攻击模式是一项挑战[2] .此外，主机级来源图通常包含数百万个数据实体[3]，导致出处图审计时出现依赖爆炸问题，从而影响APT出处服务的可用性。

• APT 逃避行为识别：近期研究强调，真正的 APT 攻击经常使用战略战术，例如将大量不相关的进程间通信 (IPC) 序列集成到攻击原语中以逃避基于来源图的 APT 审计（称为 APT 逃避行为）。此外，网络设备（例如，交换机、DNS 服务器和域控制器）的多种功能部署使兼容的网络级来源图方法的设计变得复杂，从而增加了识别 APT 逃避行为的复杂性。

• 对抗性子图检测：Prov-HIDS 系统通常依赖于子图匹配和网络威胁情报 (CTI) 来模拟 APT 行为以进行匹配和审计。然而，来源图很容易受到对抗性攻击。例如，攻击者可以制作对抗性子来源图[7]以避免破坏攻击原语，从而通过匹配逃避检测。因此，它降低了来源图审计的有效性。

因此，迫切需要设计一种基于来源图的稳健而有效的 APT 检测方案，具有重建 APT 横向运动、检测 APT 逃避行为和发现对抗子图的能力。

为了解决上述挑战，本文提出了一种基于来源图的新型 APT 防御方法，该方法复杂度低、Robustness强。具体来说，我们提出了一种基于网络层来源图的 APT 审计的通用架构。然后，在该架构下，我们设计了三个组件：

（i）用于经济高效的横向攻击链重建的网络级分布式来源图审计模型。

（ii）用于提高 APT 防御服务可用性的面向信任的动态 APT 逃避行为检测策略，以及。

（iii）基于隐马尔可夫模型 (HMM) 的对抗子图检测策略，用于增强 APT 防御服务的Robustness。

最后，我们实现了一个真实的原型并进行了广泛的实验来验证我们提出的系统的可行性和有效性。

本文的其余部分安排如下。第二部分介绍了基于出处图的 APT 审计的工作原理和关键挑战。第三部分介绍了基于出处图的 APT 审计架构下提出的解决方案。第四部分演示了原型实现和实验评估。第五部分概述了未来的研究方向，第六部分总结了本文的结论。

二基于起源图的 APT 审计原理与挑战

表一：将我们的工作与基于来源图的 APT 防御的最新成果进行比较（PG：来源图）

Ⅱ-A基于起源图的 APT 审计概述

起源图。如图 1 所示，起源图G= { N, E }是一个包含时间顺序信息的有向图，用于捕获和描述包括进程、文件和网络连接在内的各种系统实体之间的交互和因果关系。图G是通过使用在操作系统上运行的探测器（例如 CamFlow）从 Windows ETW 和 Linux Auditd 等来源收集系统日志构建的[4]。这些日志为建模大型系统实体及其错综复杂的相互依赖关系提供了基础。然后，起源图就成为这些实体如何随时间相互作用的全面表示。

• 实体。指系统操作的主体和客体。在溯源图审计中，如图1所示，系统实体主要由三类组成：套接字（或称为网络连接，以平行四边形表示）、文件（以矩形表示）和进程（以椭圆表示）。

• 边。指各种实体之间的因果依赖关系，主要包括读、写、执行、连接等。例如，在起源图中，与文件实体相关的边通常表示读或写操作；对于进程实体，边通常表示执行操作；而对于套接字实体，其边通常表示连接操作。

Ⅱ-A 最先进的

SLEUTH 的开创性工作[8]介绍了一种利用因果关系跟踪和起源图建模实现实时 APT 攻击场景重构的起源图方法。此外，在[8]通过构建和注释低级事件依赖图实现了对威胁检测和异构图构建的新型算法。随后，在 NODOZE [9] .波洛[10]设计了子图查询和匹配算法来解决 APT 攻击原语和起源图之间的对齐挑战。HOLMES [11]创新性地将高级场景图（HSG）与ATT&CK攻击框架融合，解决了语义对齐问题，有效缓解了无关序列带来的噪音问题。然而，上述方法的效率缺陷阻碍了APT起源图审计服务的实际部署。

目前关于 APT 防御增强的最新文献主要集中在三个角度：降低延迟、应对高度隐蔽的 APT 行为以及因果关系分析。在降低延迟方面，StreamSpot 和 UNICORN 介绍了一种新颖的本地主机实时运行时分析框架，该框架无需事先了解攻击即可实现攻击检测，并且具有较高的准确率和较低的误报率。在防御无文件攻击方面，ProvDetector将起源图引入隐蔽恶意攻击检测，并提出新的路径算法来识别起源图中的潜在部分，从而为每个程序中的异常过程建立识别配置文件。通过因果关系分析和自然语言处理技术，ATLAS 提出了一种基于审计日志的序列模型，促进了端到端攻击故事的生成。此外，DEPIMPACT通过引入攻击依赖子图权重对ATLAS进行了扩展，利用攻击序列的相似性和接近性实现了来源图压缩和高效审计。

然而，上述先进方法主要针对主机级 APT 检测，未能考虑网络级（即由多台主机组成的整个网络）的来源审计，因此缺乏主机之间的协同防御策略。此外，当前的 APT 防御策略容易受到 APT 逃避和对抗子图等智能攻击，导致来源图检测的有效性显著下降。表一显示了我们的工作与现有技术的比较。

图 2：用于横向攻击链重建的网络层分布式起源图审计的说明。

Ⅱ-C 基于来源图的 APT 审计面临的挑战

 网络级低成本横向攻击链重建。APT攻击通常具有高度隐蔽性和长时间持久性的特点。一个重大挑战是从数百万个来源日志中有效筛选相关数据并建立有意义的关联以快速重建 APT 攻击链。当前的来源图审计方案仅限于单主机操作系统，而真正的 APT 攻击表现出高度组织性，通常涉及分布式和多点渗透。仅依靠单个主机的审计不足以全面重建完整的攻击事件。因此，必须设计一种涉及多个主机的网络级协作来源审计方法，同时有效地压缩和聚合广泛的多源来源图。这有利于在复杂和动态场景中经济高效地重建 APT 横向攻击链。

• 具有时间相关性的 APT 逃避行为的动态检测。一组 APT 攻击者经常采用各种逃避策略，例如在攻击原语中穿插大量不相关的 IPC 序列，以逃避基于来源图的审计方法。因此，APT 检测服务的可用性降低。然而，现有的来源图审计方法很少考虑 APT 逃避攻击，因此需要大规模和细粒度的 APT 逃避行为识别。由于跨不同平台的海量和多源来源图、来源图中实体交互的时间相关性以及针对性操纵的毒害行为，在这种动态和不确定的环境中设计快速隐秘逃避行为检测机制具有挑战性。

• Robustness和自适应性的对抗子图防御。现有的基于来源图的 APT 防御策略通常依赖于子图匹配机制，使其容易受到对抗性攻击。基于来源图的 APT 审计中的对抗性攻击是指一种复杂的策略，涉及构建对抗性来源子图。这些攻击旨在逃避基于子图匹配的检测机制，同时避免攻击原语被破坏。因此，它们破坏了 APT 检测结果的可靠性。使用 DARPA TC 数据集进行基于来源图的 APT 审计中对抗性攻击的代表性。当前的研究很少考虑对抗性攻击，因此对抗性攻击的需求日益增加。鉴于对抗性子图的隐蔽性、对抗性攻击模式的多样性以及防御策略的实时性和动态可传播性要求，设计针对对抗性子图的鲁棒和自适应防御机制具有挑战性。

III 基于起源图的 APT 审计解决方案 

针对当前基于来源图的 APT 防御中横向运动重建、逃避行为检测和对抗子图防御等挑战，本节深入探讨了经济高效、稳健的基于来源图的 APT 防御方法，包括网络级分布式来源图审计模型（第 III-A节）、面向信任的动态 APT 逃避行为检测策略（第 III-B节）和基于 HMM 的对抗子图检测策略（第 III-C节）。

III- A网络层分布式来源图审计

在本小节中，我们设计了一个分布式起源图审计模型，以便从两个角度有效地重建横向攻击链：网络级全局审计和图数据压缩。如图 2 所示，它包括

(i) 基于因果关系保留聚合 (CPA) 的图数据压缩模块，用于解决图依赖关系爆炸问题。

(ii) 基于线性判别分析 (LDA) 的图权重聚合模块，用于构建加权起源图。

(iii) 使用加权起源图的分布式 APT 横向攻击链构建模块。

1）基于CPA的图数据压缩：利用CPA算法有效简化涉及大量数据实体（如IPC和文件）的来源图中的依赖关系。具体来说，对于两个互连的实体流（→U→V→) 存在依赖关系时，考虑以下三种情况。

• 前向入口聚合条件：当进入实体U的所有入口事件边的发生时间早于事件边时U→V，最后一个入口边缘的时间戳被指定为全局入口时间。

• 后向出口聚合条件：当实体V的所有出口事件边的发生时间都遵循事件边时 U→V ，初始出口边缘的时间戳被指定为全局出口时间。

• 双出口聚合条件：对于同时满足前向和后向聚合条件的实体流，两个实体等效聚合为同一个实体。此外，根据[4]，起源图中与守护进程相关的子图可以形成独立于其他子图的单独实体，可以将其删除以提高审计效率。

2）基于LDA的加权图聚合：该模型用于通过构建加权子来源图来跟踪PoI警报事件。采用三个主要特征，即文件大小相关性、时间相关性和进出程度比，来提取出处图中的实体。随后，通过多轮K-means++算法对起源图的边缘进行聚类。接下来，采用LDA模型来计算投影向量，该投影向量使区分的两组边缘内的警报相关边缘与非警报相关边缘的Fisher准则最大化。然后，可以得出每条边的权重。

3）通过加权起源图构建横向攻击链：考虑APT攻击链中的双向交互性（即，在入口点触发PoI警报演变成向链接套接字的正向传播），套接字（对于网络连接）是主要元素。对于给定的 PoI 警报，此阶段涉及两个连续步骤：

• 向后溯源：优先考虑套接字实体的权重，选择排名最高的实体作为 PoI 警报事件的攻击条目。

• 前向跟踪：从PoI 警报事件开始，计算并传播影响因子(IF)，直到来源图中的后续实体同时满足条件1、2 和3。

这里，IF 与出度的大小成反比。然后，我们获取有关 PoI 警报事件的攻击出口并停止 IF 传播。IF针对后续层的传入事件进行更新，作为横向移动的判别标记，帮助恢复相应的APT横向渗透链。条件1表示起源图中后续实体的IF超过预设的IF阈值。条件 2表明来源图中的最后一个实体是套接字实体。条件3意味着出处图中的最后一个实体与从向后出处获得的套接字实体不同。

图 3：面向信任的动态 APT 规避行为检测图示。

图 4：基于 HMM 的对抗性子图防御的图示。

基于III-C HMM 的对抗性子来源图防御

本小节设计了（i）一种快速对抗子图建模方法来探索对手在渗透攻击期间的逃避原则，以及（ii）一种基于 HMM 的自进化对抗子图检测算法。

1）快速对抗子图建模。它包括三个步骤。 

步骤 1：基于子图匹配的测试模型构建。我们通过优化损失函数来训练一个通用测试人工智能 (AI) 模型来区分对抗子图，损失函数定义为 1 减去所有子图的成功攻击子图匹配的平均数量。 

步骤 2：对抗子图的概念验证框架设计。最初，我们利用子图解构方法将子图拆解为单独的子结构。然后使用编码函数将 这些子结构汇总为N维向量。随后，我们使用基于余弦距离的判别函数来确定子图是否为对抗性的。这是通过将余弦距离与预设阈值进行比较来实现的。

步骤 3：对抗子图构建。此步骤旨在在不破坏原始攻击原语的情况下创建对抗子图。首先，我们选择良性子结构来替换原始图的部分结构，目的是最小化余弦距离。然后，我们通过将距离判别函数应用于修改后的子图来更新余弦距离。重复上述过程，直到测试模型错误地将子图归类为正常，从而生成对抗子图。

2）基于HMM的鲁棒对抗子图检测。如图4左下方所示，我们首先使用ATT&CK模型2构建一个通用攻击子图。

以及 DARPA 透明计算数据集：https://github.com/darpa-i2o/Transparent-Computing。接下来，我们统计 APT 内的攻击方向（即图中接下来要链接的潜在实体），以创建转移矩阵。然后，如图 4 右下角所示，基于我们提出的快速建模方法获得的对抗等价图，我们统计对抗变换实体（即与恶意实体等价的良性实体），以导出发射矩阵。最后，利用获得的转移矩阵和发射矩阵，我们对捕获的来源图流使用 HMM Viterbi 算法来确定最可能的攻击实体序列（即命中率最高的序列）。当命中率超过预定义阈值时，该实体被识别为对抗子图。

四 实施与评估 - 第四部分实验设置

我们实现了一个包含15台服务器的APT渗透测试原型，模拟真实的三层企业内部网络。每台服务器配置10 GB内存、双核第12代英特尔®酷睿™i7-12700KF 3.60 GHz处理器和Ubuntu 22.04.3 LTS。此外，使用Camflow收集来源图，使用Neo4j作为来源图的数据库管理系统。考虑了六种类型的攻击场景：缓冲区溢出、域控劫持、离地攻击（LOL bins）、数据泄露、维持访问和中间件利用。这些漏洞分布在15台服务器上，每台服务器都配备了一个轻量级的来源图界面。我们的原型考虑了网络层APT横向移动、APT规避攻击和对抗子图攻击。

• 效率。我们根据(i) 各种 APT 模式下成功恢复的横向攻击链，(ii) 横向攻击链重建的重建时间，以及(iii) 逃避行为检测的信任评估来评估系统效率。

• Robustness。我们根据各种攻击场景下对抗设置中的召回率（也称为真正率）来评估系统对对抗子图攻击的Robustness。以 LOL bins 场景为例，其召回率是真正检测到的 LoL bins 威胁占总尝试次数的比例（即真正/错误检测到的 LOL bins 威胁总数）。系统Robustness通过对这些场景中的召回率进行平均来衡量，表明对对抗攻击的平均防御性能。

【图5】

【图6】

【图7】

图5：a） 10 种攻击路径模式下受损节点数量与N跳横向移动的关系。b）信任值与交互次数的关系，与概率信任模型相比。c) 与 StreamSpot 相比，有/无对抗性攻击的成功检测率、Unicon、mimicry-StreamSpot 和 mimicry-Unicon。注意：由于 StreamSpot 和 Unicon 是为没有对抗攻击的设置而设计的，为了公平客观，我们在对抗设置下实现它们，并分别将其修改版本称为mimicry-StreamSpot和mimicry-Unicon。

IV-B 实验结果

在实验中，我们在每个场景中配置了 10 种 APT 攻击模式，每种模式最多允许 6 次横向移动。图 5（a）说明了在 10 种不同的 APT 模式下，随着用于横向移动的枢纽服务器数量的增加，受损节点的数量。值得注意的是，所提出的方法成功地恢复了所有 10 种 APT 模式下的横向移动链。此外，不同的 APT 攻击模式会产生不同的结果。例如，在模式 1 中，攻击者在第 4 轮横向移动期间执行劫持攻击，成功控制了域控制器和域用户。相比之下，模式 6 中的攻击者在整个横向移动尝试过程中仅成功控制了一台服务器。此外，APT 攻击链重建的平均时间不到 3 分钟。相比之下，没有 CPA 的传统方法通常需要超过 3 个小时（最坏情况下甚至需要几天）。

在信任评估方面，所提出的方案和概率信任方案最初使用历史交互数据来计算直接信任，随后通过使用 DS 理论汇总来自其他节点的所有推荐来得出综合信任。然而，忽略了不同信任证据对整体信任值的不同影响，也忽略了恶意节点通常倾向于持续提供不可信服务的事实。图5（b）展示了在APT规避攻击下，评估对象的信任值随交互次数的增加而演变的过程。如图5（b）所示，通过整合时间衰减效应和具有奖励/惩罚效应的连续序列，所提出的方法优于概率信任模型获得更加精准的信任评估结果，从而更加有效地检测和惩戒APT规避行为。

图 5(c) 展示了不同方案在各种攻击场景下有无对抗子图的召回率。可以看出，对抗子图显著降低了传统 StreamSpot 的防御效果。Unicon方案。此外，在对抗设置中，与拟态-StreamSpot和拟态-Unicon方法相比，所提方案在六种典型攻击类型的召回率方面表现出显著的提高。此外，与没有对抗攻击的传统StreamSpot和Unicon方案相比，所提方案保持了较小的性能差距。因此，它验证了所提方法对对抗子图攻击的robustness。

六、结论

APT 攻击对政府、关键基础设施和企业等各个领域都产生了深远影响，因此需要有效的防御策略。虽然现有的基于来源图的研究为 APT 防御提供了启示，但复杂的横向攻击模式、动态规避策略和自适应对抗子图仍然阻碍了 APT 检测的有效性。本研究提倡一种新方法，通过设计网络级分布式来源图审计模型、动态规避行为检测策略和强大的对抗子图检测策略，提高现有基于来源图的 APT 审计方案的效率和稳健性。通过原型实现和实验评估，验证了所提出的系统显着增强 APT 防御能力的潜力。这项工作有望为在当今数字环境中针对不断演变的 APT 威胁的全面解决方案的持续探索提供更多启示。

https://arxiv.org/html/2309.09498v2#bib.bib12