一種應(yīng)對apt攻擊的安全架構(gòu)設(shè)計(jì)方法
【專利摘要】本發(fā)明提供一種應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法���,其實(shí)現(xiàn)過程為:建模分析漏洞與威脅的關(guān)系;對漏洞防御模型進(jìn)行建模��;對攻擊對象的終端屬性和網(wǎng)絡(luò)屬性直接監(jiān)測���,對攻擊對象的業(yè)務(wù)屬性和社會屬性間接關(guān)聯(lián)的方式���,發(fā)現(xiàn)未知威脅的存在,分析攻擊實(shí)施者的終端屬性�、網(wǎng)絡(luò)屬性、業(yè)務(wù)屬性和社會屬性�����,進(jìn)而發(fā)現(xiàn)為威脅的內(nèi)涵;通過高低位的協(xié)同監(jiān)測發(fā)現(xiàn)威脅的攻擊目的�����;基于異常發(fā)現(xiàn)����,建立威脅防御模型。該一種應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法和現(xiàn)有技術(shù)相比��,通過高�����、低位協(xié)同監(jiān)測的技術(shù)��,從APT攻擊的源頭�、途徑和終端三個(gè)層面監(jiān)測和發(fā)現(xiàn)��,及時(shí)發(fā)現(xiàn)APT攻擊���,有效避免APT攻擊災(zāi)難的發(fā)生��,實(shí)用性強(qiáng)�。
【專利說明】一種應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,具體的說是一種應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法����。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)安全,尤其是Internet互聯(lián)網(wǎng)安全正在面臨前所未有的挑戰(zhàn)����,這主要來自于有組織、有特定目標(biāo)��、持續(xù)時(shí)間極長的新型攻擊和威脅�����,國際上稱之為APT (AdvancedPersistent Threat)攻擊���,國內(nèi)一般稱之為“高級可持續(xù)性威脅”�����。威脅是一種對特定系統(tǒng)�����、組織及其資產(chǎn)造成破壞的潛在因素���,反映的是攻擊實(shí)施者依照其任務(wù)需求對被攻擊對象長期持續(xù)地施以各種形式攻擊的過程�。從宏觀上來看構(gòu)成安全威脅的各個(gè)方面��,是以攻擊實(shí)施者為中心的一種環(huán)狀閉合結(jié)構(gòu)�����。隨著時(shí)間和其他各種條件的變化�,這些安全威脅在閉合的環(huán)狀結(jié)構(gòu)中的比例、影響程度是動態(tài)可變的���;相應(yīng)的����,應(yīng)對策略的部署和安全架構(gòu)的設(shè)計(jì)必須與這種閉合的環(huán)狀結(jié)構(gòu)相適應(yīng)����,能夠根據(jù)時(shí)間、集群及其他條件的變化而彈性適應(yīng)�。
[0003]以2010年I月的“極光行動”為開端,在世界各國接連發(fā)生針對大型企業(yè)和國家重大項(xiàng)目的APT攻擊事件�����,如圖1所示�。首先由Google公布其受黑客攻擊的影響大量有關(guān)知識產(chǎn)權(quán)的文件遭到竊取,隨后有20家科技公司發(fā)現(xiàn)遭到類似攻擊����,其知識產(chǎn)權(quán)面臨嚴(yán)重威脅,這次網(wǎng)絡(luò)攻 擊被稱為“極光行動”����。“極光行動”已初具APT攻擊的雛形�,具有明確的攻擊目的和目標(biāo)。同年6月發(fā)現(xiàn)首例攻擊位于物理隔離內(nèi)網(wǎng)中工業(yè)控制系統(tǒng)的APT攻擊Stuxnet (震網(wǎng))�,通過干擾核研發(fā)設(shè)備控制離心機(jī)轉(zhuǎn)速的程序,成功地遲滯了伊朗的核計(jì)劃�。Stuxnet有極強(qiáng)的隱蔽性,據(jù)2012年6月I日《紐約時(shí)報(bào)》報(bào)道�,Stuxnet起源于2006年前后由美國總統(tǒng)小布什啟動的“奧運(yùn)會計(jì)劃”,Stuxnet已經(jīng)在網(wǎng)絡(luò)上成功潛伏數(shù)年之久�����,直至造成嚴(yán)重破壞后才被防御者發(fā)現(xiàn)�����。Stuxnet病毒通過長期的隱藏和滲透,精確打擊了敵對國目標(biāo)���,為其爭取了巨大的政治利益���。2011年2月,McAfee發(fā)現(xiàn)一種針對全球能源巨頭公司的攻擊���,并將其命名為“夜龍行動”��。攻擊目標(biāo)是跨國石油公司�����,攻擊成功地竊取了 “千兆字節(jié)”的高度敏感的內(nèi)部文件�����,除了大量的敏感文件被竊取之外���,“夜龍行動”的潛伏時(shí)間同樣值得關(guān)注,其實(shí)際發(fā)生時(shí)間甚至早在2007年�,其間沒有任何惡意軟件檢測工具發(fā)現(xiàn)其存在。2011年9月首度發(fā)現(xiàn)Duqu病毒,其攻擊目標(biāo)是工業(yè)控制領(lǐng)域的元器件制造商等相關(guān)組織�,以收集其情報(bào)資料和資產(chǎn)信息為目的�����。Duqu與Stuxnet的關(guān)系緊密����,其通過獲取特定組織的內(nèi)部機(jī)密信息來為后期針對工業(yè)控制設(shè)備的攻擊做準(zhǔn)備。2012年5月����,卡巴斯基發(fā)現(xiàn)了一種潛伏能力更強(qiáng)、危害性更大�����、攻擊機(jī)制更復(fù)雜的超級病毒����,稱之為Flame (火焰)。Flame攻擊范圍的重點(diǎn)是中東地區(qū)�����,竊取了大量中東各國的機(jī)密信息。通過分析Flame病毒的部分樣本�����,發(fā)現(xiàn)該病毒在2008年就已經(jīng)存在���,秘密地潛伏了 5年之久���。
[0004]2013年6月,愛德華?斯諾登揭露“棱鏡計(jì)劃”�,其始于2007年的小布什時(shí)期,英美情報(bào)機(jī)構(gòu)長期在9家互聯(lián)網(wǎng)行業(yè)的巨頭公司中進(jìn)行數(shù)據(jù)挖掘工作���,從音頻�、圖片�����、郵件����、文檔以及連接信息中分析個(gè)人的聯(lián)系方式與行動。通過10類監(jiān)控方式監(jiān)視���、監(jiān)聽民眾電話的通話記錄�,監(jiān)視民眾的網(wǎng)絡(luò)活動?!袄忡R計(jì)劃”在進(jìn)行期間,英國政府通信總部最早從2010年6月起就能訪問PRISM系統(tǒng)�,并在2012年使用該計(jì)劃的數(shù)據(jù)撰寫了 197份報(bào)告��?���!袄忡R計(jì)劃”嚴(yán)重地侵犯了公民的隱私權(quán),全球網(wǎng)民的一舉一動都在“棱鏡”的長期監(jiān)控之下�,新一輪的APT攻擊正在嚴(yán)重地威脅著人類的民主和自由。
[0005]通過綜合分析上述典型APT攻擊案例�,得出APT攻擊具備以下特點(diǎn):
I)攻擊目的越來越明確,攻擊范圍越來越專注�,攻擊領(lǐng)域從單純的計(jì)算機(jī)網(wǎng)絡(luò)擴(kuò)展到工業(yè)控制系統(tǒng),越來越針對大型企業(yè)和國家基礎(chǔ)設(shè)施����、關(guān)鍵設(shè)備。
[0006]2)攻擊形式越來越復(fù)雜�。如Flame病毒兼具有蠕蟲、后門�����、木馬、僵尸網(wǎng)絡(luò)�����、社會工程學(xué)等特點(diǎn)�,其程序的代碼量達(dá)65萬行,是普通間諜軟件的100倍�。
[0007]3)具有極強(qiáng)隱蔽性且長期持續(xù)。APT攻擊在爆發(fā)之前能夠很好的躲避防御設(shè)施的檢測�,潛伏期越來越長,搜集大量機(jī)密信息��?;谄涞碾[蔽性,可能存在大量其他未被發(fā)現(xiàn)的威脅��,正在嚴(yán)重地威脅著國家安全和公民權(quán)益���。
[0008]基于此�,現(xiàn)提供一種不僅僅局限于嚴(yán)格的防護(hù)�,而是避災(zāi)、減損和反制的應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法����。
【發(fā)明內(nèi)容】
[0009]本發(fā)明的技術(shù)任務(wù)是解決現(xiàn)有技術(shù)的不足�����,提供一種有效消除國家安全威脅和公民權(quán)益威脅的應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法���。
[0010]本發(fā)明的技術(shù)方案是按以下方式實(shí)現(xiàn)的,該一種應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法�����,其實(shí)現(xiàn)過程為:
一���、建模分析漏洞與威脅的關(guān)系;
二��、對漏洞防御模型進(jìn)行建模��,該防御模型的建模包括以下三種:
無更新���,無弱連接時(shí)建模��;
有更新�����,無弱連接時(shí)建模����;
有更新,有弱連接時(shí)建模��;
三���、對攻擊對象的終端屬性和網(wǎng)絡(luò)屬性直接監(jiān)測�����,對攻擊對象的業(yè)務(wù)屬性和社會屬性間接關(guān)聯(lián)的方式����,發(fā)現(xiàn)未知威脅的存在�,分析攻擊實(shí)施者的終端屬性、網(wǎng)絡(luò)屬性�����、業(yè)務(wù)屬性和社會屬性��,進(jìn)而發(fā)現(xiàn)為威脅的內(nèi)涵;
四��、通過高低位的協(xié)同監(jiān)測發(fā)現(xiàn)威脅的攻擊目的�,這里的高位檢測是指基于網(wǎng)絡(luò)屬性的監(jiān)測技術(shù),低位檢測是指基于終端屬性的監(jiān)測技術(shù)��;
五����、基于異常發(fā)現(xiàn),建立威脅防御模型���。
[0011]所述步驟一中建模分析過程為:
設(shè)置已知漏洞集合:?���,其中已知漏洞數(shù)量為η ;
設(shè)置未知漏洞集合,其中未知漏洞數(shù)量為》;
設(shè)置攻擊事件函數(shù):��,分別為攻擊
事件利用的已知漏洞和未知漏洞的數(shù)量��,總數(shù)量記為:Nevenf =n +m* ;設(shè)置事件分析函數(shù):
【權(quán)利要求】
1.一種應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法��,其特征在于其實(shí)現(xiàn)過程為: 一���、建模分析漏洞與威脅的關(guān)系���; 二����、對漏洞防御模型進(jìn)行建模��,該防御模型的建模包括以下三種: 無更新��,無弱連接時(shí)建模����; 有更 新,無弱連接時(shí)建模����; 有更新,有弱連接時(shí)建模�; 三、對攻擊對象的終端屬性和網(wǎng)絡(luò)屬性直接監(jiān)測�����,對攻擊對象的業(yè)務(wù)屬性和社會屬性間接關(guān)聯(lián)的方式���,發(fā)現(xiàn)未知威脅的存在����,分析攻擊實(shí)施者的終端屬性、網(wǎng)絡(luò)屬性��、業(yè)務(wù)屬性和社會屬性�,進(jìn)而發(fā)現(xiàn)為威脅的內(nèi)涵; 四����、通過高低位的協(xié)同監(jiān)測發(fā)現(xiàn)威脅的攻擊目的,這里的高位檢測是指基于網(wǎng)絡(luò)屬性的監(jiān)測技術(shù)���,低位檢測是指基于終端屬性的監(jiān)測技術(shù)���; 五、基于異常發(fā)現(xiàn)�����,建立威脅防御模型��。
2.根據(jù)權(quán)利要求1所述的一種應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法��,其特征在于:所述步驟一中建模分析過程為: 設(shè)置已知漏洞集合其中已知漏洞數(shù)量為? 設(shè)置未知漏洞集合:,其中未知漏洞數(shù)量為《 ; 設(shè)置攻擊事件函數(shù):.?為 ���,分別為攻擊事件利用的已知漏洞和未知漏洞的數(shù)量���,總數(shù)量記為:Nevenf 二n'+m' '
設(shè)置事件分析函數(shù):SysAnalysis二sysamilysis(EYeiit,anafysis') , I[j 11 OmSysis 為倉泛力權(quán)重�; 設(shè)置漏洞分析函數(shù):,其中wk為能力權(quán)重����; 未知漏洞集合UM弱連接已知漏洞集合KN,即未知漏洞集合通過步驟4)和步驟5)中的函數(shù)連接已知漏洞集合�,同時(shí)設(shè)轉(zhuǎn)移概率為:i? ; 設(shè)置已知漏洞增長率其中α為已知漏洞增長率的經(jīng)驗(yàn)值; 設(shè)置未知漏洞增長率:^m^at上,其中蘆為未知漏洞增長率的經(jīng)驗(yàn)值�; 設(shè)置更新條件:當(dāng)C?+GNg^ytime^data時(shí)進(jìn)行更新,更新后K=O ;其中 是更新條件tmm是距最近一次更新的時(shí)間����,表示總數(shù),f為攻擊事件的影響力權(quán)重�;計(jì)算得出風(fēng)險(xiǎn)為:
3.根據(jù)權(quán)利要求2所述的一種應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法,其特征在于:所述步驟二中無更新�,無弱連接時(shí)建模過程為:
4.根據(jù)權(quán)利要求1~3中任一所述的一種應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法,其特征在于:所述步驟四中高低位的協(xié)同監(jiān)測發(fā)現(xiàn)的威脅是指敏感的API的程序����,該API程序包括: 請求遠(yuǎn)程服務(wù)器:HttpClient—execute �;
打開 URL 連接 URL—openConnection �����; 獲取設(shè)備 IMEI 及電話號碼:TelephonyManager—getDeviceld �; 查詢通信錄:ContentResoIver_query ; 打開相機(jī)����、WIFI及錄音設(shè)備!Camera—open �����; 動態(tài)加載模塊:System—1adLibrary �; 運(yùn)行態(tài)執(zhí)行:Runtime—exec。
5.根據(jù)權(quán)利要求4所述的一種應(yīng)對APT攻擊的安全架構(gòu)設(shè)計(jì)方法����,其特征在于:所述步驟五的詳細(xì)過程為: 1)首先計(jì)算得出*維度的終端盲區(qū)的發(fā)現(xiàn)策略:
【文檔編號】H04L29/06GK103986706SQ201410203133
【公開日】2014年8月13日 申請日期:2014年5月14日 優(yōu)先權(quán)日:2014年5月14日
【發(fā)明者】叢戎, 何志平, 劉璧怡 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司