CN114117432A - 一种基于数据溯源图的apt攻击链还原系统 - Google Patents

Abstract

本发明公开了一种基于数据溯源图的APT攻击链还原系统，涉及计算机网络安全领域，包括数据溯源图记录模块、输入模块、数据溯源图压缩模块、感染点定位模块和攻击链映射模块；数据溯源图记录模块监控目标主机内的系统活动，并以数据溯源图格式进行记录；输入模块获取数据溯源图格式或系统日志格式的输入数据；数据溯源图压缩模块对数据溯源图进行压缩；感染点定位模块标定攻击事件在数据溯源图中的位置；攻击链映射模块通过映射规则将数据溯源图中的节点和边映射到APT攻击链的各个阶段，构造出完整的APT攻击链。本发明能够使分析人员对攻击过程有清晰的认识，并通过基于公开威胁情报的感染点定位和数据溯源图压缩来提高系统效率、降低存储开销。

Description

一种基于数据溯源图的APT攻击链还原系统

技术领域

本发明涉及计算机网络安全领域，尤其涉及一种基于数据溯源图的APT攻击链还原系统。

背景技术

随着互联网的不断发展，APT对于企业和国家的威胁已经成为信息安全防护中越来越突出的问题。人们在生活的方方面面都不可避免地需要接触互联网，如果对APT攻击方法没有清晰的了解，缺乏有效的防御手段，那么不仅会造成巨额的经济损失，甚至会泄露国家的安全机密，对社会稳定产生巨大威胁。

APT，全称为高级持续性威胁(Advanced Persistent Threat)，是近年来出现的一种新型的网络攻击形式。美国国家标准与技术研究所(NIST)给出了一种APT的官方定义，其中提到了APT的4大要素，即：(1)攻击者掌握高级的专业知识并且拥有丰富的资源；(2)APT的攻击目标通常是破坏目标组织的关键设施，窃取机密情报或是干扰任务的正常执行；(3)APT使用丰富的攻击手段，通过渗透目标组织的基础设施以建立并扩展立足点，从而达成攻击目的；(4)APT攻击过程往往持续时间很长，并且会使用隐蔽手段来对抗安全防御措施。

APT攻击链是用来表述APT攻击场景的一种标准模型。Milagerdi等人的工作中给出了一种APT攻击链的具体描述，将APT攻击分为七个阶段，即：

(1)初始侦察：指利用各种攻击手段(如漏洞扫描，社会工程学)搜寻目标系统的脆弱点，并针对性地开展攻击活动；利用目标系统的脆弱点潜伏进入目标系统内部，如利用Web服务漏洞上传恶意代码。

(2)建立立足点：利用木马等手段建立控制服务器与目标系统某一终端的连接。

(3)权限提升：通过执行恶意代码等方式，获得系统的超级用户权限。

(4)内部侦察：获得终端控制权后，通过端口扫描等手段在目标系统内网搜索高价值目标。

(5)横向移动：从立足点出发，在内网主机之间移动，目的是渗透进入高价值目标所在的设施。

(6)完成任务：获取高价值目标，回传给攻击者(例如通过木马C&C服务器)，或是运行恶意软件，破坏基础设备。

(7)清除痕迹：通过删除系统日志等方法清理攻击痕迹，留下后门。

目前针对APT攻击，现有方法多停留在APT检测层面，并不能提供完整的攻击传递过程，即攻击链。而对于APT这样复杂、持续的攻击，提供APT攻击链显得尤为重要，这使得分析人员能够对APT攻击的全貌有清晰的认识，而少数能够提供攻击链的方法也存在普适性不高的缺陷。

本发明采用的数据溯源图是一种反应系统内实体之间交互关系的图结构。数据溯源图中的节点代表实体对象，可以是进程、文件、socket等等；而边则代表两个实体之间的一次交互以及交互的具体类型(例如写入、创建子进程)。在本发明的APT攻击链还原算法中，数据溯源图被定义为一个DAG(有向无环图)，这是因为将数据溯源图处理成无环图更有利后续分析以及设计溯源图压缩算法。

因此，本领域的技术人员致力于开发一种基于数据溯源图的APT攻击链还原系统，以数据溯源图或系统日志作为输入，以还原的APT攻击链作为输出，能够为安全分析人员提供清晰的攻击传递过程，同时使用了公开威胁情报，提高了系统普适性。

发明内容

有鉴于现有技术的上述缺陷，本发明所要解决的技术问题是如何在被攻击的主机上收集信息，并构建完整的APT攻击链，为分析人员提供清晰的攻击传递过程。

为实现上述目的，本发明提供了一种基于数据溯源图的APT攻击链还原系统，其特征在于，包括数据溯源图记录模块、输入模块、数据溯源图压缩模块、感染点定位模块和攻击链映射模块；

所述数据溯源图记录模块用于监控目标主机内的系统活动，并以数据溯源图格式进行记录；

所述输入模块用于获取所述数据溯源图格式或系统日志格式的输入数据，得到原始数据溯源图；

所述数据溯源图压缩模块用于对所述原始数据溯源图进行压缩，得到数据溯源图；

所述感染点定位模块用于对所述数据溯源图中可疑的节点和边进行标记，标定攻击事件在所述数据溯源图中的位置，得到已定位数据溯源图；

所述攻击链映射模块通过映射规则将所述已定位数据溯源图中的节点和边映射到APT攻击链的各个阶段，最终构造出完整的APT攻击链。

进一步地，所述数据溯源图记录模块使用跨平台数据溯源图记录工具SPADE。

进一步地，所述输入模块使用转换脚本将系统日志的输入数据转换为数据溯源图格式，得到原始数据溯源图。

进一步地，所述数据溯源图压缩模块对所述原始数据溯源图进行转换，使其成为无环图。

进一步地，所述数据溯源图压缩模块对成为无环图的原始数据溯源图通过压缩算法删去冗余信息，得到数据溯源图。

进一步地，所述压缩算法包括边压缩算法、节点压缩算法。

进一步地，所述感染点定位模块利用公开威胁情报标记所述数据溯源图中的感染点，定位与APT攻击相关的节点与边。

进一步地，所述攻击链映射模块使用攻击链映射规则，以在所述感染点定位模块中定位的感染点作为基点，对所述已定位数据溯源图进行深度优先搜索，匹配满足映射规则的节点和边，并将它们映射至APT攻击链的各个阶段，最终获得完整的APT攻击链。

一种基于数据溯源图的APT攻击链还原系统的APT攻击链还原方法，其特征在于，所述方法包括以下步骤：

步骤1、用户通过所述数据溯源图记录模块获取系统的数据溯源图，或利用系统自身的审计功能获取系统日志；

步骤2、用户通过所述输入模块，获取所述步骤1中获得的数据溯源图或系统日志输入系统，对于系统日志，所述输入模块将其转化为数据溯源图格式；

步骤3、所述数据溯源图压缩模块对所述输入模块输入的数据溯源图进行压缩，保留关键信息并剔除与APT攻击无关的冗余信息；

步骤4、所述感染点定位模块利用公开威胁情报信息标记数据溯源图中的感染点，使系统能够精确定位到数据溯源图中与攻击相关的节点和边；

步骤5、所述攻击链映射模块使用自行编写的攻击链映射规则，以所述步骤4中定位的感染点为基点对数据溯源图进行深度优先搜索，并匹配满足映射规则的节点和边，将它们映射到APT攻击链的对应步骤，最终输出完整的APT攻击链；

步骤6、向用户展示还原的APT攻击链，用户能够从中获知攻击的完整传递过程，针对性地做出防御措施。

进一步地，所述步骤3还包括：

所述数据溯源图压缩模块首先对数据溯源图中的节点创建版本，使其满足无环特性，之后通过边压缩与节点压缩算法删去数据溯源图中的冗余信息，实现对数据溯源图的压缩。

与现有技术相比，本发明至少具有如下有益技术效果：

本发明以系统日志和SPADE工具记录的数据溯源图为原始输入，通过数据溯源图压缩去除其中的冗余信息，再对图中的感染点进行标定，最终由攻击链映射模块给出完整的APT攻击链。数据溯源图压缩提升了系统效率，降低存储开销；基于公开威胁情报的感染点定位提高了系统的普适性；最终得到的APT攻击链能够向分析人员提供完整的攻击传递过程，使得分析人员对APT攻击的全貌有清晰的认知，从而做出有效的防御措施。

以下将结合附图对本发明的构思、具体结构及产生的技术效果作进一步说明，以充分地了解本发明的目的、特征和效果。

附图说明

图1是本发明的一个较佳实施例的系统组成示意图；

图2是本发明的一个较佳实施例的APT攻击链还原流程示意图；

图3是本发明的一个较佳实施例的APT攻击链还原结果示意图。

具体实施方式

以下参考说明书附图介绍本发明的多个优选实施例，使其技术内容更加清楚和便于理解。本发明可以通过许多不同形式的实施例来得以体现，本发明的保护范围并非仅限于文中提到的实施例。

在附图中，结构相同的部件以相同数字标号表示，各处结构或功能相似的组件以相似数字标号表示。附图所示的每一组件的尺寸和厚度是任意示出的，本发明并没有限定每个组件的尺寸和厚度。为了使图示更清晰，附图中有些地方适当夸大了部件的厚度。

如图1所示，是本发明的一个较佳实施例的系统组成示意图，由数据溯源图记录模块、输入模块、数据溯源图压缩模块、基于公开威胁情报的感染点定位模块和攻击链映射模块组成。系统以系统日志和SPADE工具记录的数据溯源图为原始输入，通过数据溯源图压缩去除其中的冗余信息，再对图中的感染点进行标定，最终由攻击链映射模块给出完整的APT攻击链。

具体地：

1)数据溯源图记录模块：监控目标主机内的系统活动，并以数据溯源图的格式记录下来；

2)输入模块：获取数据溯源图格式或系统日志格式的输入数据；

3)数据溯源图压缩模块：首先对数据溯源图进行转化，使其成为无环图，其次对图进行压缩，删除与攻击无关的节点和边；

4)感染点定位模块：利用公开威胁情报对数据溯源图中的节点和边进行匹配，定位与APT攻击相关的节点与边；

5)攻击链映射模块：以在感染点定位模块中定位的感染点作为基点，匹配数据溯源图中的节点和边，并将它们映射至APT攻击链的各个阶段，最终获得完整的APT攻击链。

如图2所示，为基于数据溯源图的APT攻击链还原系统的处理流程，包括：

1)用户通过收集目标主机的系统日志，或是利用安装于目标主机的SPADE工具收集数据溯源图；

2)输入模块接收用户输入，将系统日志格式的数据转换为数据溯源图格式；

3)数据溯源图压缩模块首先对数据溯源图中的节点创建版本，使其满足无环特性，之后通过边压缩与节点压缩算法删去溯源图中的冗余信息，实现对数据溯源图的压缩；

4)感染点定位模块利用公开威胁情报信息对数据溯源图中的节点和边进行匹配，定位与APT攻击相关的节点与边；

5)最终通过攻击链映射模块，匹配溯源图中满足映射规则的节点和边，并将它们映射至APT攻击链的各个阶段，最终获得完整的APT攻击链。

如图3所示，给出了最终还原的APT攻击链的还原结果，从图中能够清晰的了解到APT攻击的各个阶段以及各阶段发生的攻击事件，能够为安全分析人员提供很大帮助。

以上详细描述了本发明的较佳具体实施例。应当理解，本领域的普通技术无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

Claims (10)

1.一种基于数据溯源图的APT攻击链还原系统，其特征在于，包括数据溯源图记录模块、输入模块、数据溯源图压缩模块、感染点定位模块和攻击链映射模块；

所述数据溯源图记录模块用于监控目标主机内的系统活动，并以数据溯源图格式进行记录；

所述输入模块用于获取所述数据溯源图格式或系统日志格式的输入数据，得到原始数据溯源图；

所述数据溯源图压缩模块用于对所述原始数据溯源图进行压缩，得到数据溯源图；

所述感染点定位模块用于对所述数据溯源图中可疑的节点和边进行标记，标定攻击事件在所述数据溯源图中的位置，得到已定位数据溯源图；

所述攻击链映射模块通过映射规则将所述已定位数据溯源图中的节点和边映射到APT攻击链的各个阶段，最终构造出完整的APT攻击链。

2.如权利要求1所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述数据溯源图记录模块使用跨平台数据溯源图记录工具SPADE。

3.如权利要求1所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述输入模块使用转换脚本将系统日志的输入数据转换为数据溯源图格式，得到原始数据溯源图。

4.如权利要求1所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述数据溯源图压缩模块对所述原始数据溯源图进行转换，使其成为无环图。

5.如权利要求4所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述数据溯源图压缩模块对成为无环图的原始数据溯源图通过压缩算法删去冗余信息，得到数据溯源图。

6.如权利要求5所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述压缩算法包括边压缩算法、节点压缩算法。

7.如权利要求1所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述感染点定位模块利用公开威胁情报标记所述数据溯源图中的感染点，定位与APT攻击相关的节点与边。

8.如权利要求7所述的基于数据溯源图的APT攻击链还原系统，其特征在于，所述攻击链映射模块使用攻击链映射规则，以在所述感染点定位模块中定位的感染点作为基点，对所述已定位数据溯源图进行深度优先搜索，匹配满足映射规则的节点和边，并将它们映射至APT攻击链的各个阶段，最终获得完整的APT攻击链。

9.一种基于如权利要求1至7任一所述的基于数据溯源图的APT攻击链还原系统的APT攻击链还原方法，其特征在于，所述方法包括以下步骤：

步骤1、用户通过所述数据溯源图记录模块获取系统的数据溯源图，或利用系统自身的审计功能获取系统日志；

步骤2、用户通过所述输入模块，获取所述步骤1中获得的数据溯源图或系统日志输入系统，对于系统日志，所述输入模块将其转化为数据溯源图格式；

步骤3、所述数据溯源图压缩模块对所述输入模块输入的数据溯源图进行压缩，保留关键信息并剔除与APT攻击无关的冗余信息；

步骤4、所述感染点定位模块利用公开威胁情报信息标记数据溯源图中的感染点，使系统能够精确定位到数据溯源图中与攻击相关的节点和边；

步骤5、所述攻击链映射模块使用自行编写的攻击链映射规则，以所述步骤4中定位的感染点为基点对数据溯源图进行深度优先搜索，并匹配满足映射规则的节点和边，将它们映射到APT攻击链的对应步骤，最终输出完整的APT攻击链；

步骤6、向用户展示还原的APT攻击链，用户能够从中获知攻击的完整传递过程，针对性地做出防御措施。

10.如权利要求9所述的基于数据溯源图的APT攻击链还原方法，其特征在于，所述步骤3还包括：

所述数据溯源图压缩模块首先对数据溯源图中的节点创建版本，使其满足无环特性，之后通过边压缩与节点压缩算法删去数据溯源图中的冗余信息，实现对数据溯源图的压缩。

Images