CN114915442A - 高级持续性威胁攻击检测方法及装置 - Google Patents
高级持续性威胁攻击检测方法及装置 Download PDFInfo
- Publication number
- CN114915442A CN114915442A CN202210157367.9A CN202210157367A CN114915442A CN 114915442 A CN114915442 A CN 114915442A CN 202210157367 A CN202210157367 A CN 202210157367A CN 114915442 A CN114915442 A CN 114915442A
- Authority
- CN
- China
- Prior art keywords
- communication
- address
- persistent threat
- threat attack
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000002085 persistent effect Effects 0.000 title claims abstract description 142
- 238000001514 detection method Methods 0.000 title claims abstract description 61
- 238000004891 communication Methods 0.000 claims abstract description 201
- 230000004044 response Effects 0.000 claims abstract description 153
- 238000004422 calculation algorithm Methods 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 7
- 238000012216 screening Methods 0.000 claims description 7
- 238000013144 data compression Methods 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 4
- 238000000034 method Methods 0.000 abstract description 22
- 238000005516 engineering process Methods 0.000 abstract description 6
- 230000007123 defense Effects 0.000 abstract description 5
- 230000008859 change Effects 0.000 abstract description 4
- 230000008520 organization Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 7
- 238000004458 analytical method Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000010276 construction Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 241000271460 Crotalus cerastes Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种高级持续性威胁攻击检测方法及装置。其中,方法包括:对网络资产进行探测获得网络资产的信息;基于高级持续性威胁攻击C&C通信的协议,确定所述网络资产的信息中的可疑地址,并构造C&C通信的请求报文;向所述可疑地址发送所构造的请求报文,并接收所述可疑地址反馈的对所述请求报文的响应报文;基于所述高级持续性威胁攻击C&C通信的协议,对所述响应报文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地址。本发明实施例可以适应网络环境的变化,具有识别出未知攻击的能力,具有很高的时效性和准确性,更加简洁,可以准确确定攻击者的信息,满足高级持续性威胁攻击检测防御技术的要求。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种高级持续性威胁攻击检测 方法及装置。
背景技术
高级可持续威胁(Advanced Persistent Threat,简称APT)攻击是近年来 频繁出现的安全事件。如何准确发现APT攻击行为,有效避免其攻击造成的 破坏与损失,是APT攻击检测防御技术的重点。
当前,主流的用于APT攻击检测的方法有基于失陷指标(Indicators ofCompromise,简称IOC)的检测方法和基于ATT&CK的检测方法。
其中,基于IOC的检测方法,就是把各种形式的IOC部署到检测设备上, 将收集到的事件与设备上的IOC进行匹配,提供IOC相关的多维度信息使用 户可以对命中的IOC产生的告警进行分级,指导处置的优先级。实践研究表 明,IOC不足以适应多变的网络环境,同时IOC还难以保证时效性与准确性。 例如,对于样本的检测,我们通常采取基于Hash计算的方式来判断样本是否 属于某个组织,从而能够准确检测出恶意的样本,然而,随着样本的不断升 级、变形,同一类型的样本变化出大量的不同版本,此时如何跟踪版本变形 情况获取新的Hash值,如何保证Hash值的有效性是一个最基本的问题。另 外,域名和IP作为IOC也是判断是否受到攻击的一种重要的检测手段,然而, 随着时间的推移某个组织的域名和IP地址会因为过期、更换服务商和被弃用, 从而发生变化,导致识别的准确性降低。虽然用于检测的IOC越来越多,数 据库不断扩大,但是真实的检测效果却并不理想。
基于ATT&CK的检测方法,ATT&CK模型构建了一套更细粒度、更易 共享的知识模型和框架,它是根据真实的观察数据来描述和分类对抗行为, 主要分为初始访问、执行、持久化、提升权限、防御绕过、凭据访问、发现、 横向移动、搜集、命令与控制、数据渗透和影响等12类。简化APT整个的 攻击过程,主要包括3个阶段:a植入恶意代码;b提升特权,横向移动;c 命令与控制(Command and Control,简称C&C)通信。ATT&CK作为攻击 技术、战术的知识库,覆盖整个攻击过程中的12项战术,对于一次具体攻击 事件的描述足够完备,通过一系列的攻击行为来判定某个攻击事件,是一种 综合的解决方案。其事件监测的根本的出发点是各种攻击技术,可以很好的 解决受到攻击的问题,却很难回答受到谁的攻击的问题。
发明内容
针对现有技术中的问题,本发明实施例提供一种高级持续性威胁攻击检 测方法及装置。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种高级持续性威胁攻击检测方法,包 括:
对网络资产进行探测获得网络资产的信息;
基于高级持续性威胁攻击C&C通信的协议,确定所述网络资产的信息中 的可疑地址,并构造C&C通信的请求报文;
向所述可疑地址发送所构造的请求报文,并接收所述可疑地址反馈的对 所述请求报文的响应报文;
基于所述高级持续性威胁攻击C&C通信的协议,对所述响应报文进行分 析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地 址。
进一步地,所述基于高级持续性威胁攻击C&C通信的协议,确定所述网 络资产的信息中的可疑地址,并构造C&C通信的请求报文,包括:
对所述高级持续性威胁攻击C&C通信的协议进行解析,获得所述高级持 续性威胁攻击C&C通信的网络指纹和报文格式;
基于所述高级持续性威胁攻击C&C通信的网络指纹,对所述网络资产的 信息进行筛选,获得所述可疑地址;
基于所述高级持续性威胁攻击C&C通信的报文格式,构造所述C&C通 信的请求报文;
基于所述高级持续性威胁攻击C&C通信的协议,对所述响应报文进行分 析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地 址,包括:
基于所述高级持续性威胁攻击C&C通信的报文格式,对所述响应报文进 行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器 地址。
进一步地,所述网络指纹包括服务器软件版本、证书、端口和HTTP、 HTTPS、TCP通信特征中的至少一种。
进一步地,所述报文格式包括加密算法、校验算法、数据压缩算法和数 据格式中的至少一种。
进一步地,所述报文格式包括请求报文格式和响应报文格式;
基于所述高级持续性威胁攻击C&C通信的报文格式,构造所述C&C通 信的请求报文,包括:
基于所述高级持续性威胁攻击C&C通信的请求报文格式,构造所述C&C 通信的请求报文;
基于所述高级持续性威胁攻击C&C通信的报文格式,对所述响应报文进 行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器 地址,包括:
基于所述高级持续性威胁攻击C&C通信的响应报文格式,对所述响应报 文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服 务器地址。
进一步地,基于所述高级持续性威胁攻击C&C通信的请求报文格式,构 造所述C&C通信的请求报文,包括:
基于所述高级持续性威胁攻击C&C通信的请求报文格式,分别构造C&C 通信的正确请求报文和错误请求报文;
向所述可疑地址发送所构造的请求报文,并接收所述可疑地址反馈的对 所述请求报文的响应报文,包括:
分别向所述可疑地址发送所构造的正确请求报文和错误请求报文,并分 别接收所述可疑地址反馈的对所述正确请求报文的第一响应报文和对所述错 误请求报文的第二响应报文;
基于所述高级持续性威胁攻击C&C通信的响应报文格式,对所述响应报 文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服 务器地址,包括:
判断所述第一响应报文是否符合所述高级持续性威胁攻击C&C通信的 响应报文格式;
若所述第一响应报文符合所述高级持续性威胁攻击C&C通信的响应报 文格式,判断所述第二响应报文是否与所述第一响应报文相同;
若所述第二响应报文与所述第一响应报文不同,则将所述可疑地址确定 为所述高级持续性威胁攻击活跃的C&C服务器地址。
进一步地,所述对网络进行探测获得网络资产,包括:
基于端口扫描工具对网络地址空间进行扫描,获得所述网络资产。
第二方面,本发明实施例还提供了一种高级持续性威胁攻击检测装置, 包括:
资产扫描模块,用于对网络资产进行探测获得网络资产的信息;
协议处理模块,用于基于高级持续性威胁攻击C&C通信的协议,确定所 述网络资产的信息中的可疑地址,并构造C&C通信的请求报文;
网络通信模块,用于向所述可疑地址发送所构造的请求报文,并接收所 述可疑地址反馈的对所述请求报文的响应报文;
地址确定模块,用于基于所述高级持续性威胁攻击C&C通信的协议,对 所述响应报文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活 跃的C&C服务器地址。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器 及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述 程序时实现如第一方面所述高级持续性威胁攻击检测方法的步骤。
第四方面,本发明实施例还提供了一种非暂态计算机可读存储介质, 其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所 述高级持续性威胁攻击检测方法的步骤。
第五方面,本发明实施例还提供了一种计算机程序产品,其上存储有 可执行指令,该指令被处理器执行时使处理器实现第一方面所述高级持续 性威胁攻击检测方法的步骤。
本发明实施例提供的高级持续性威胁攻击检测方法及装置,通过将高级 持续性威胁攻击C&C通信的协议作为依据,从网络资产中确定出可疑地址, 并构造高级持续性威胁攻击C&C通信的请求报文,与可疑地址进行通信,根 据可疑地址反馈的响应报文,确定可疑地址为高级持续性威胁攻击活跃的 C&C服务器地址,属于主动发现高级持续性威胁攻击的范畴。相比基于IOC 的检测方法,可以适应网络环境的变化,具有识别出未知攻击的能力,并且 具有很高的时效性和准确性。相比于基于ATT&CK的检测方法,更加简洁, 并且可以准确确定攻击者的信息,可以满足高级持续性威胁攻击检测防御技 术的要求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实 施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下 面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在 不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的高级持续性威胁攻击检测方法的流程示意图;
图2是本发明提供的根据C&C通信的协议确定可疑地址并构造请求报文 的流程示意图;
图3是本发明提供的通过构造请求报文与可疑地址进行通信对APT攻击 进行检测的流程示意图;
图4是本发明提供的高级持续性威胁攻击检测方法一应用场景的流程示 意图;
图5是图4中高级持续性威胁攻击检测方法的原理示意图;
图6是本发明提供的高级持续性威胁攻击检测装置的结构示意图;
图7为本发明提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发 明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述, 显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获 得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图5描述本发明的高级持续性威胁攻击检测方法。
请参阅图1,图1是本发明提供的高级持续性威胁攻击检测方法的流程 示意图,图1所示的高级持续性威胁攻击检测方法可以由高级持续性威胁攻 击检测装置执行,高级持续性威胁攻击检测装置可以设置于服务器,例如服 务器可以为包含独立主机的物理服务器、主机集群承载的虚拟服务器、云服 务器等,本发明实施例对此不作限定。如图1所示,该高级持续性威胁攻击 检测方法至少包括:
101,对网络资产进行探测获得网络资产的信息。
在本发明实施例中,网络资产,也称为互联网资产,是指映射在互联网 上的信息资产,可以包括IP地址、域名、网络端口等。通过对网络资产进行 探测可以获得网络资产的信息,目前常用的网络资产的探测方法可以包括主 动扫描探测和被动流量分析探测等,本发明实施例对网络资产进行探测的实 现方法不作限定。例如,可以基于现有的端口扫描工具对网络地址空间进行 扫描,获得网络资产的信息。
102,基于高级持续性威胁攻击C&C通信的协议,确定网络资产的信息 中的可疑地址,并构造C&C通信的请求报文。
在本发明实施例中,C&C是APT攻击者设备对被攻击者设备进行操控 的主要技术。在对网络资产进行探测获得网络资产的信息之后,可以通过对APT攻击C&C通信的协议进行分析,根据C&C通信的协议中定义的网络特 征,确定网络资产的信息中的可疑地址,并根据C&C通信的协议中定义的报 文特征,构造APT攻击C&C通信的请求报文。例如,网络特征可以包括所 使用的网络协议和端口等通用的网络特征,可疑地址可以为可疑的IP地址, 报文特征可以包括数据格式、校验算法等专用的报文特征。
由于不同APT攻击组织C&C通信所采用的协议存在差异,在对APT攻 击C&C通信的协议进行分析时,可以对已知的所有APT攻击组织C&C通信 的协议进行分析,以根据已知的所有APT攻击组织C&C通信的协议中定义 的网络特征,确定网络资产的信息中的可疑地址,并根据已知的所有APT攻 击组织C&C通信的协议中定义的报文特征,分别构造已知的所有APT攻击 组织C&C通信的请求报文。
103,向可疑地址发送所构造的请求报文,并接收可疑地址反馈的对请求 报文的响应报文。
在本发明实施例中,在获得网络资产的信息中的可疑地址并构造APT攻 击C&C通信的请求报文之后,可以向所获得的可疑地址发送所构造的APT 攻击C&C通信的请求报文,并接收可疑地址根据所接收到的请求报文反馈的 响应报文。当C&C通信的请求报文包括多个APT攻击组织C&C通信的请求 报文时,可以向所获得的可疑地址逐一发送APT攻击组织C&C通信的请求 报文,其中在向可疑地址发送一个APT攻击组织C&C通信的请求报文之后, 可以在接收到可疑地址对该APT攻击组织C&C通信的请求报文的响应报文 之后,或者从发出该APT攻击组织C&C通信的请求报文开始计时,在计时 器的时间达到预先设定的时间阈值时,再向可疑地址发送下一个APT攻击组 织C&C通信的请求报文,其中预先设定的时间阈值可以根据网络通信中响应 报文反馈的时间设定。
104,基于高级持续性威胁攻击C&C通信的协议,对响应报文进行分析, 将可疑地址确定为高级持续性威胁攻击活跃的C&C服务器地址。
在本发明实施例中,在接收到可疑地址反馈的对请求报文的响应报文之 后,可以通过对APT攻击C&C通信的协议进行分析,根据C&C通信的协议 中定义的报文特征,对所接收到的响应报文进行分析,根据分析的结果确定 发出响应报文的可疑地址是否为APT攻击活跃的C&C服务器地址。例如, 若所接收到的响应报文符合C&C通信的协议中定义的报文特征,则可以认为 发出该响应报文的可疑地址为APT攻击组织的地址,可以将发出该响应报文 的可疑地址确定为APT攻击活跃的C&C服务器地址,若所接收到的响应报 文不符合C&C通信的协议中定义的报文特征,则结束本次操作。对于一个 APT攻击组织C&C通信的请求报文可能接收到多个响应报文,可以根据该 APT攻击组织C&C通信的协议中定义的报文特征,对所接收到的多个响应 报文分别进行分析,来确定发出每一个响应报文的可疑地址是否为APT攻击 活跃的C&C服务器地址。
本发明实施例提供的高级持续性威胁攻击检测方法,通过将高级持续性 威胁攻击C&C通信的协议作为依据,从网络资产中确定出可疑地址,并构造 高级持续性威胁攻击C&C通信的请求报文,与可疑地址进行通信,根据可疑 地址反馈的响应报文,确定可疑地址为高级持续性威胁攻击活跃的C&C服务 器地址,属于主动发现高级持续性威胁攻击的范畴。相比基于IOC的检测方 法,可以适应网络环境的变化,具有识别出未知攻击的能力,并且具有很高 的时效性和准确性。相比于基于ATT&CK的检测方法,更加简洁,并且可 以准确确定攻击者的信息,可以满足高级持续性威胁攻击检测防御技术的要 求。
请参阅图2,图2是本发明提供的根据C&C通信的协议确定可疑地址 并构造请求报文的流程示意图,如图2所示,基于高级持续性威胁攻击C&C 通信的协议,确定网络资产中的可疑地址,并构造C&C通信的请求报文 至少包括:
201,对高级持续性威胁攻击C&C通信的协议进行解析,获得高级持续 性威胁攻击C&C通信的网络指纹和报文格式。
在本发明实施例中,通过对APT攻击C&C通信的协议进行解析,可以 提取APT攻击C&C通信的协议中定义的网络特征,作为APT攻击C&C通 信的网络指纹,并提取APT攻击C&C通信的协议中定义的专用的报文特征, 作为APT攻击C&C通信的报文格式。本发明实施例对APT攻击C&C通信 的协议进行解析的方法,以及所提取的APT攻击C&C通信的网络指纹和报文格式的类型不作限定。
例如,所提取的APT攻击C&C通信的网络指纹可以包括服务器软件版 本、证书、端口和超文本传输协议(Hyper Text Transfer Protocol,简称HTTP)、 超文本传输安全协议(Hyper Text Transfer Protocol over SecureSocket Layer, 简称HTTPS)、传输控制协议(Transmission Control Protocol,简称TCP)的 通信特征,等通信协议所使用的通用的网络特征中的至少一种。例如,所提 取的APT攻击C&C通信的报文格式可以包括加密算法、校验算法、数据压 缩算法和数据格式,等通信协议所使用的专用的报文特征中的至少一种。
202,基于高级持续性威胁攻击C&C通信的网络指纹,对网络资产的信 息进行筛选,获得可疑地址。
在本发明实施例中,在通过对APT攻击C&C通信的协议进行解析获得 APT攻击C&C通信的网络指纹之后,可以根据APT攻击C&C通信的网络 指纹,对所获得的网络资产的信息进行初步筛选,获得网络资产的信息中的 可疑地址,例如可以形成一个可疑的IP地址库,将所获得的可疑地址作为后 续APT攻击的检测目标,能够较好的保证对APT攻击检测的针对性和准确 性。
203,基于高级持续性威胁攻击C&C通信的报文格式,构造C&C通信 的请求报文。
在本发明实施例中,在通过对APT攻击C&C通信的协议进行解析获得 APT攻击C&C通信的报文格式之后,可以根据APT攻击C&C通信的报文 格式,构造APT攻击C&C通信的请求报文。在向可疑地址发送所构造的APT 攻击C&C通信的请求报文并接收到可疑地址反馈的响应报文之后,还可以根 据APT攻击C&C通信的报文格式,对响应报文进行分析,根据分析的结果 确定发出响应报文的可疑地址是否为APT攻击活跃的C&C服务器地址。例 如,若响应报文符合APT攻击C&C通信的报文格式,则可以将发出该响应 报文的可疑地址确定为APT攻击活跃的C&C服务器地址。
在一些可选的例子中,通过对APT攻击C&C通信的协议进行解析,所 获得的APT攻击C&C通信的报文格式可以包括请求报文格式和响应报文格 式,此时,可以根据APT攻击C&C通信的请求报文格式,构造APT攻击 C&C通信的请求报文,可以根据APT攻击C&C通信的响应报文格式,对响 应报文进行分析,根据分析的结果确定发出响应报文的可疑地址是否为APT 攻击活跃的C&C服务器地址。例如,若响应报文符合APT攻击C&C通信的 响应报文格式,则可以将发出该响应报文的可疑地址确定为APT攻击活跃的 C&C服务器地址。
请参阅图3,图3是本发明提供的通过构造请求报文与可疑地址进行通 信对APT攻击进行检测的流程示意图,如图3所示,通过构造请求报文与 可疑地址进行通信对APT攻击进行检测至少包括:
301,基于高级持续性威胁攻击C&C通信的请求报文格式,分别构造C&C 通信的正确请求报文和错误请求报文。
在本发明实施例中,在通过对APT攻击C&C通信的协议进行解析获得 APT攻击C&C通信的请求报文格式和响应报文格式之后,可以根据APT攻 击C&C通信的请求报文格式,分别构造符合APT攻击C&C通信的请求报文 格式的标准的正确请求报文,和不符合APT攻击C&C通信的请求报文格式 的特殊的错误请求报文,本发明实施例对所构造的APT攻击C&C通信特殊 的错误请求报文的形式不作限定。
302,分别向可疑地址发送所构造的正确请求报文和错误请求报文,并分 别接收可疑地址反馈的对正确请求报文的第一响应报文和对错误请求报文的 第二响应报文。
在本发明实施例中,在根据APT攻击C&C通信的请求报文格式分别构 造正确请求报文和错误请求报文之后,可以将根据同一个APT攻击C&C通 信的请求报文格式所构造的正确请求报文和错误请求报文,作为两个独立的 请求报文逐一向可疑地址发送,即首先向可疑地址发送所构造的正确请求报 文,并接收可疑地址根据所接收到的正确请求报文反馈的第一响应报文,然 后向可疑地址发送所构造的错误请求报文,并接收可疑地址根据所接收到的 的错误请求报文反馈的第二响应报文。
303,判断第一响应报文是否符合高级持续性威胁攻击C&C通信的响应 报文格式。
若第一响应报文符合高级持续性威胁攻击C&C通信的响应报文格式,则 执行304;否则,结束本次操作。
304,判断第二响应报文是否与第一响应报文相同。
若第二响应报文与第一响应报文不同,则执行305;否则,结束本次操 作。
305,将可疑地址确定为高级持续性威胁攻击活跃的C&C服务器地址。
在本发明实施例中,在接收到可疑地址反馈的对正确请求报文的第一响 应报文之后,可以将第一响应报文与通过对APT攻击C&C通信的协议进行 解析所获得的APT攻击C&C通信的响应报文格式进行比较,并判断第一响 应报文是否符合APT攻击C&C通信的响应报文格式,若第一响应报文符合 APT攻击C&C通信的响应报文格式,则可以进行下一步的比较判断,若第 一响应报文不符合APT攻击C&C通信的响应报文格式,则可以认为是错误 结果,结束对该APT攻击C&C通信的检测操作。在可疑地址反馈的第一响 应报文符合APT攻击C&C通信的响应报文格式,并接收到可疑地址反馈的 对错误请求报文的第二响应报文之后,可以将第二响应报文与第一响应报文 进行比较,并判断第二响应报文是否与第一响应报文相同,若第二响应报文 与第一响应报文相同,则可以认为是错误结果,结束对该APT攻击C&C通 信的检测操作,若第二响应报文与第一响应报文不同,则可以认为发出该第 一响应报文和该第二响应报文的可疑地址为APT攻击组织的地址,可以将发 出该第一响应报文和该第二响应报文的可疑地址确定为APT攻击活跃的 C&C服务器地址。
本发明实施例通过根据APT攻击C&C通信的响应报文格式分别构造正 确请求报文和错误请求报文与可疑地址进行通信,根据正确请求报文和错误 请求报文响应的结果来确定可疑地址是否为APT攻击活跃的C&C服务器地 址,可以有效保证对APT攻击检测的准确率。
请参阅图4和图5,图4是本发明提供的高级持续性威胁攻击检测方法 一应用场景的流程示意图,图5是图4中高级持续性威胁攻击检测方法的原 理示意图。
如图4所示,第一步,首先通过现有的端口扫描工具对网络地址空间进 行扫描,获得网络资产的信息,也称为资产测绘,形成一个初步的结果;第 二步,然后根据APT攻击C&C通信的网络指纹,对网络资产的信息进行初 步筛选,形成一个可疑的IP地址库;第三步,之后根据APT攻击C&C通信 的请求报文格式,构造标准的正确请求报文,并向可疑的IP地址发送正确请 求报文,以及接收可疑的IP地址对正确请求报文的响应,即第一响应报文, 可以根据APT攻击C&C通信的响应报文格式,判断响应结果的指纹,即第 一响应报文,是否符合响应报文格式,如果不符合响应报文格式,可以认为 是错误结果,如果符合响应报文格式,保留第一响应报文进行下一步的比较 判断;第四步,最后根据APT攻击C&C通信的请求报文格式,构造特殊的 错误请求报文,并向可疑的IP地址发送粗无请求报文,以及接收可疑的IP 地址对错误请求报文的响应,即第二响应报文,可以对比正确请求报文的响 应结果,即第一响应报文,与错误请求报文的响应结果,即第二响应报文, 是否相同,如果相同,可以认为是错误结果,如果不同,可以确定可疑的IP 地址为APT攻击活跃的C&C服务器地址。
如图5所示,可以通过对APT攻击C&C通信的协议进行分析,提取APT 攻击C&C通信所使用的服务器软件版本、证书、端口和HTTP、HTTPS、TCP 的通信特征,等通用的网络特征,作为APT攻击C&C通信的网络指纹;以 及提取APT攻击C&C通信所使用的加密算法、校验算法、数据压缩算法和 数据格式,等专用的报文特征,作为APT攻击C&C通信的报文格式。然后, 根据APT攻击C&C通信的网络指纹,对网络资产的信息进行筛选,确定可 疑的IP地址。之后,根据APT攻击C&C通信的报文格式,构造不同的请求 报文,即正确请求报文和错误请求报文,与所确定的可疑的IP地址进行通信, 根据可疑的IP地址对正确请求报文和错误请求报文的响应结果,来判定可疑 的IP地址是否为APT攻击活跃的C&C服务器地址。
通过下面的例子对APT攻击C&C通信的网络指纹进行说明:
1)C&C通信的HTTP响应指纹
在上面HTTP响应的信息中,表明C&C服务器使用了nginx服务器来搭 建服务端的反向代理环境,nginx服务器可以作为C&C通信的HTTP响应指 纹。
2)C&C通信的HTTPS请求指纹
通过分析可知在某APT组织的ClientHello消息中存在一个固定的特征, 包括TLS版本、使用固定的密码学套件,最后编码使用固定的签名算法列表, 形成特定的HTTPS的ClientHello消息请求指纹如表1所示。
表1
3)C&C通信的端口指纹
通过对某APT组织的C&C通信样本进行分析,发现某APT组织经常性 使用80、443、14146、45406等端口进行通信,因此,因此可以利用这些端 口特征,作为C&C通信的指纹对网络资产进行筛查。
4)C&C通信使用的证书指纹
从上面的信息可知,服务器响应的证书版本为TLS 1.0,使用了Let’s Encypt的证书,协商后的加密套件为TLS_ECDHE_RSA_WITH_AES_128_CB C_SHA(0xC103)。因此可以利用证书特征,作为C&C通信的指纹对网络 资产进行筛查。
不同APT组织的请求报文和响应报文的格式不同,其根本目的都是通过 C&C通信,实现数据交换,因此,不同APT组织在协议中对加密算法、数 据格式等使用方式上存在着差别,下面通过SideWinder组织的请求报文和响 应报文格式来说明APT组织在C&C通信中的一些特殊情形:
1)下载文件采用特定的加密算法
当下载的文件内容的时候,下载地址分为两个部分,即IP地址和URL 地址,因此如果下载内容存在,会直接下载文件的内容,并解密执行相关的 样本功能。算法的解密过程也非常简洁,直接使用密文的前32字节作为密钥, 解密后续的数据即可还原加密的数据内容,解密的算法如公式1所示。
根据解密后的结果为一个“.NET”类型的DLL文件“UpdateServerUrI.dll”, 其主要的功能是更新访问的URL地址。
2)上传系统配置信息格式
Post请求的内容根据命令的不同上传不同的信息,主要的功能为上传系 统配置信息和文件列表信息的功能。系统配置信息的基本的数据结构为0x01 开头,配置信息路径、输出目录、URL绝对路径、Get请求时间间隔、Post 上传时间间隔等多个字符串及整数和字节组成的数据结构体,如表2所示。
表2
3)上传文件列表信息
文件列表信息以字符串“FL”开头,紧跟1字节的0x01,然后接着是系 统盘符的数量、盘符信息、紧跟目录信息列表等内容,具体数据结构如表3 所示。
表3
下面对本发明提供的高级持续性威胁攻击检测装置进行描述,下文描述 的高级持续性威胁攻击检测装置与上文描述的高级持续性威胁攻击检测方法 可相互对应参照。
请参阅图6,图6是本发明提供的高级持续性威胁攻击检测装置的结构 示意图,图6所示的高级持续性威胁攻击检测装置可用来执行图1的高级持 续性威胁攻击检测方法,如图6所示,该高级持续性威胁攻击检测装置至少 包括:
资产扫描模块610,用于对网络资产进行探测获得网络资产的信息.
协议处理模块620,用于基于高级持续性威胁攻击C&C通信的协议,确 定网络资产的信息中的可疑地址,并构造C&C通信的请求报文。
网络通信模块630,用于向可疑地址发送所构造的请求报文,并接收可 疑地址反馈的对请求报文的响应报文。
地址确定模块640,用于基于高级持续性威胁攻击C&C通信的协议,对 响应报文进行分析,将可疑地址确定为高级持续性威胁攻击活跃的C&C服务 器地址。
可选地,协议处理模块620包括:
协议解析单元,用于对高级持续性威胁攻击C&C通信的协议进行解析, 获得高级持续性威胁攻击C&C通信的网络指纹和报文格式。
地址筛选单元,用于基于高级持续性威胁攻击C&C通信的网络指纹,对 网络资产的信息进行筛选,获得可疑地址。
报文构造单元,用于基于高级持续性威胁攻击C&C通信的报文格式,构 造C&C通信的请求报文。
地址确定模块640,用于基于高级持续性威胁攻击C&C通信的报文格式, 对响应报文进行分析,将可疑地址确定为高级持续性威胁攻击活跃的C&C服 务器地址。
可选地,网络指纹包括服务器软件版本、证书、端口和HTTP、HTTPS、 TCP通信特征中的至少一种。
可选地,报文格式包括加密算法、校验算法、数据压缩算法和数据格式 中的至少一种。
可选地,报文格式包括请求报文格式和响应报文格式;
报文构造单元,用于基于高级持续性威胁攻击C&C通信的请求报文格 式,构造C&C通信的请求报文。
地址确定模块640,用于基于高级持续性威胁攻击C&C通信的响应报文 格式,对响应报文进行分析,将可疑地址确定为高级持续性威胁攻击活跃的 C&C服务器地址。
可选地,报文构造单元,用于基于高级持续性威胁攻击C&C通信的请求 报文格式,分别构造C&C通信的正确请求报文和错误请求报文。
网络通信模块630,用于分别向可疑地址发送所构造的正确请求报文和 错误请求报文,并分别接收可疑地址反馈的对正确请求报文的第一响应报文 和对错误请求报文的第二响应报文。
可选地,地址确定模块640包括:
第一判断单元,用于判断第一响应报文是否符合高级持续性威胁攻击 C&C通信的响应报文格式。
第二判断单元,用于根据第一判断单元的判断结果,若第一响应报文符 合高级持续性威胁攻击C&C通信的响应报文格式,判断第二响应报文是否与 第一响应报文相同。
地址确定单元,用于根据第二判断单元的判断结果,若第二响应报文与 第一响应报文不同,则将可疑地址确定为高级持续性威胁攻击活跃的C&C服 务器地址。
可选地,资产扫描模块610,用于基于端口扫描工具对网络地址空间进 行扫描,获得网络资产。
图7示例了一种电子设备的实体结构示意图,如图7所示,该电子设备 可以包括:处理器(processor)710、通信接口(Communications Interface)720、 存储器(memory)730和通信总线740,其中,处理器710,通信接口720,存 储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器 730中的逻辑指令,以执行如下方法:对网络资产进行探测获得网络资产的 信息;基于高级持续性威胁攻击C&C通信的协议,确定所述网络资产的信息 中的可疑地址,并构造C&C通信的请求报文;向所述可疑地址发送所构造的 请求报文,并接收所述可疑地址反馈的对所述请求报文的响应报文;基于所 述高级持续性威胁攻击C&C通信的协议,对所述响应报文进行分析,将所述 可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地址。
此外,上述的存储器730中的逻辑指令可以通过软件功能单元的形式实 现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质 中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献 的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软 件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可 以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方 法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储 器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上 存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例 提供的方法,例如包括:对网络资产进行探测获得网络资产的信息;基于高 级持续性威胁攻击C&C通信的协议,确定所述网络资产的信息中的可疑地 址,并构造C&C通信的请求报文;向所述可疑地址发送所构造的请求报文, 并接收所述可疑地址反馈的对所述请求报文的响应报文;基于所述高级持续 性威胁攻击C&C通信的协议,对所述响应报文进行分析,将所述可疑地址确 定为所述高级持续性威胁攻击活跃的C&C服务器地址。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明 的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或 者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络 单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例 方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以 理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实 施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬 件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部 分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可 读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台 计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施 例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其 限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术 人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或 者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技 术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种高级持续性威胁攻击检测方法,其特征在于,包括:
对网络资产进行探测获得网络资产的信息;
基于高级持续性威胁攻击C&C通信的协议,确定所述网络资产的信息中的可疑地址,并构造C&C通信的请求报文;
向所述可疑地址发送所构造的请求报文,并接收所述可疑地址反馈的对所述请求报文的响应报文;
基于所述高级持续性威胁攻击C&C通信的协议,对所述响应报文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地址。
2.根据权利要求1所述的高级持续性威胁攻击检测方法,其特征在于,所述基于高级持续性威胁攻击C&C通信的协议,确定所述网络资产的信息中的可疑地址,并构造C&C通信的请求报文,包括:
对所述高级持续性威胁攻击C&C通信的协议进行解析,获得所述高级持续性威胁攻击C&C通信的网络指纹和报文格式;
基于所述高级持续性威胁攻击C&C通信的网络指纹,对所述网络资产的信息进行筛选,获得所述可疑地址;
基于所述高级持续性威胁攻击C&C通信的报文格式,构造所述C&C通信的请求报文;
基于所述高级持续性威胁攻击C&C通信的协议,对所述响应报文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地址,包括:
基于所述高级持续性威胁攻击C&C通信的报文格式,对所述响应报文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地址。
3.根据权利要求2所述的高级持续性威胁攻击检测方法,其特征在于,所述网络指纹包括服务器软件版本、证书、端口和HTTP、HTTPS、TCP通信特征中的至少一种。
4.根据权利要求2所述的高级持续性威胁攻击检测方法,其特征在于,所述报文格式包括加密算法、校验算法、数据压缩算法和数据格式中的至少一种。
5.根据权利要求2至4任一项所述的高级持续性威胁攻击检测方法,其特征在于,所述报文格式包括请求报文格式和响应报文格式;
基于所述高级持续性威胁攻击C&C通信的报文格式,构造所述C&C通信的请求报文,包括:
基于所述高级持续性威胁攻击C&C通信的请求报文格式,构造所述C&C通信的请求报文;
基于所述高级持续性威胁攻击C&C通信的报文格式,对所述响应报文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地址,包括:
基于所述高级持续性威胁攻击C&C通信的响应报文格式,对所述响应报文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地址。
6.根据权利要求5所述的高级持续性威胁攻击检测方法,其特征在于,基于所述高级持续性威胁攻击C&C通信的请求报文格式,构造所述C&C通信的请求报文,包括:
基于所述高级持续性威胁攻击C&C通信的请求报文格式,分别构造C&C通信的正确请求报文和错误请求报文;
向所述可疑地址发送所构造的请求报文,并接收所述可疑地址反馈的对所述请求报文的响应报文,包括:
分别向所述可疑地址发送所构造的正确请求报文和错误请求报文,并分别接收所述可疑地址反馈的对所述正确请求报文的第一响应报文和对所述错误请求报文的第二响应报文;
基于所述高级持续性威胁攻击C&C通信的响应报文格式,对所述响应报文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地址,包括:
判断所述第一响应报文是否符合所述高级持续性威胁攻击C&C通信的响应报文格式;
若所述第一响应报文符合所述高级持续性威胁攻击C&C通信的响应报文格式,判断所述第二响应报文是否与所述第一响应报文相同;
若所述第二响应报文与所述第一响应报文不同,则将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地址。
7.根据权利要求6所述的高级持续性威胁攻击检测方法,其特征在于,所述对网络进行探测获得网络资产,包括:
基于端口扫描工具对网络地址空间进行扫描,获得所述网络资产。
8.一种高级持续性威胁攻击检测装置,其特征在于,包括:
资产扫描模块,用于对网络资产进行探测获得网络资产的信息;
协议处理模块,用于基于高级持续性威胁攻击C&C通信的协议,确定所述网络资产的信息中的可疑地址,并构造C&C通信的请求报文;
网络通信模块,用于向所述可疑地址发送所构造的请求报文,并接收所述可疑地址反馈的对所述请求报文的响应报文;
地址确定模块,用于基于所述高级持续性威胁攻击C&C通信的协议,对所述响应报文进行分析,将所述可疑地址确定为所述高级持续性威胁攻击活跃的C&C服务器地址。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述高级持续性威胁攻击检测方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述高级持续性威胁攻击检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210157367.9A CN114915442A (zh) | 2022-02-21 | 2022-02-21 | 高级持续性威胁攻击检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210157367.9A CN114915442A (zh) | 2022-02-21 | 2022-02-21 | 高级持续性威胁攻击检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114915442A true CN114915442A (zh) | 2022-08-16 |
Family
ID=82762946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210157367.9A Pending CN114915442A (zh) | 2022-02-21 | 2022-02-21 | 高级持续性威胁攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114915442A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008049345A1 (fr) * | 2006-10-25 | 2008-05-02 | Huawei Technologies Co., Ltd. | Procédé, système et appareil pour détecter le canal de service |
| CN105516131A (zh) * | 2015-12-04 | 2016-04-20 | 珠海市君天电子科技有限公司 | 一种扫描漏洞的方法、装置及电子设备 |
| CN110881043A (zh) * | 2019-11-29 | 2020-03-13 | 杭州迪普科技股份有限公司 | 一种web服务器漏洞的检测方法及装置 |
| CN112131577A (zh) * | 2020-09-25 | 2020-12-25 | 杭州安恒信息技术股份有限公司 | 一种漏洞检测方法、装置、设备及计算机可读存储介质 |
| CN112398782A (zh) * | 2019-08-15 | 2021-02-23 | 北京国双科技有限公司 | 网络资产的识别方法、装置、介质及设备 |
| CN113114680A (zh) * | 2021-04-13 | 2021-07-13 | 中国工商银行股份有限公司 | 用于文件上传漏洞的检测方法和检测装置 |
| CN113949748A (zh) * | 2021-10-15 | 2022-01-18 | 北京知道创宇信息技术股份有限公司 | 一种网络资产识别方法、装置、存储介质及电子设备 |
-
2022
- 2022-02-21 CN CN202210157367.9A patent/CN114915442A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008049345A1 (fr) * | 2006-10-25 | 2008-05-02 | Huawei Technologies Co., Ltd. | Procédé, système et appareil pour détecter le canal de service |
| CN105516131A (zh) * | 2015-12-04 | 2016-04-20 | 珠海市君天电子科技有限公司 | 一种扫描漏洞的方法、装置及电子设备 |
| CN112398782A (zh) * | 2019-08-15 | 2021-02-23 | 北京国双科技有限公司 | 网络资产的识别方法、装置、介质及设备 |
| CN110881043A (zh) * | 2019-11-29 | 2020-03-13 | 杭州迪普科技股份有限公司 | 一种web服务器漏洞的检测方法及装置 |
| CN112131577A (zh) * | 2020-09-25 | 2020-12-25 | 杭州安恒信息技术股份有限公司 | 一种漏洞检测方法、装置、设备及计算机可读存储介质 |
| CN113114680A (zh) * | 2021-04-13 | 2021-07-13 | 中国工商银行股份有限公司 | 用于文件上传漏洞的检测方法和检测装置 |
| CN113949748A (zh) * | 2021-10-15 | 2022-01-18 | 北京知道创宇信息技术股份有限公司 | 一种网络资产识别方法、装置、存储介质及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112383546B (zh) | 一种处理网络攻击行为的方法、相关设备及存储介质 | |
| Yoda et al. | Finding a connection chain for tracing intruders | |
| US9661008B2 (en) | Network monitoring apparatus, network monitoring method, and network monitoring program | |
| CN111277570A (zh) | 数据的安全监测方法和装置、电子设备、可读介质 | |
| CN111818103B (zh) | 一种网络靶场中基于流量的溯源攻击路径方法 | |
| CN113542253B (zh) | 一种网络流量检测方法、装置、设备及介质 | |
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| WO2018076697A1 (zh) | 僵尸特征的检测方法和装置 | |
| CN112468520A (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| US10178109B1 (en) | Discovery of groupings of security alert types and corresponding complex multipart attacks, from analysis of massive security telemetry | |
| CN111447232A (zh) | 一种网络流量检测方法及装置 | |
| Bachupally et al. | Network security analysis using Big Data technology | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| WO2024065956A1 (zh) | 一种基于数据多维熵值指纹的网络异常行为检测方法 | |
| US20200021608A1 (en) | Information processing apparatus, communication inspecting method and medium | |
| CN112491883A (zh) | 一种检测web攻击的方法、装置、电子装置和存储介质 | |
| Papadogiannaki et al. | Pump Up the JARM: Studying the Evolution of Botnets Using Active TLS Fingerprinting | |
| Boulaiche et al. | An auto-learning approach for network intrusion detection | |
| CN111131309A (zh) | 分布式拒绝服务检测方法、装置及模型创建方法、装置 | |
| JP6538618B2 (ja) | 管理装置及び管理方法 | |
| CN117278245A (zh) | 针对互联网仿真场景的数据采集方法、装置及存储介质 | |
| Volarević et al. | Network forensics | |
| US11789743B2 (en) | Host operating system identification using transport layer probe metadata and machine learning | |
| CN114915442A (zh) | 高级持续性威胁攻击检测方法及装置 | |
| Warmer | Detection of web based command & control channels |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |