面向 5G 網(wǎng)絡(luò)的 APT 攻擊檢測系統(tǒng)研究

5G網(wǎng)絡(luò)作為國家重要的基礎(chǔ)設(shè)施，不僅能更好地服務(wù)于移動互聯(lián)網(wǎng)，還能夠賦能社會的其他垂直行業(yè)。其承載的業(yè)務(wù)已經(jīng)融入人民生活和社會生產(chǎn)的方方面面。隨著5G時代的到來，5G網(wǎng)絡(luò)與垂直行業(yè)深度融合的特點(diǎn)將導(dǎo)致5G安全問題不僅影響人和人之間的通信，還會影響到各行各業(yè)，甚至可能威脅到人們的生命財(cái)產(chǎn)安全乃至國家安全。5G安全成為移動網(wǎng)絡(luò)建設(shè)者和使用者共同面臨的問題，已引發(fā)全社會的廣泛關(guān)注。高級持續(xù)性威脅（AdvancedPersistentThreat，APT）專指針對特定組織所做的復(fù)雜且多方位的高級滲透攻擊，區(qū)別于傳統(tǒng)意義上的黑客執(zhí)行注入、上傳、掛馬或者篡改網(wǎng)頁等攻擊動作，APT攻擊具有極強(qiáng)的隱蔽能力、目標(biāo)針對性和特殊的背景性，攻擊手段更加豐富，攻擊手法更加高明。目前披露的APT攻擊事件都經(jīng)過精心策劃且影響巨大。對于5G網(wǎng)絡(luò)而言，其邊緣計(jì)算、能力開放等新的特性在給運(yùn)營商帶來巨大業(yè)務(wù)增量的同時，也增大了其攻擊面，暴露的5G終端和下沉的移動邊緣計(jì)算技術(shù)（MobileEdgeComputing，MEC），使得原本封閉且遙不可及的5G核心業(yè)務(wù)也進(jìn)入了APT的攻擊視野。并且，采用傳統(tǒng)的安全檢測技術(shù)的5G網(wǎng)絡(luò)很難發(fā)現(xiàn)攻擊持續(xù)時間長、攻擊范圍大、防范難度高的滲透行為。APT攻擊者通常利用網(wǎng)絡(luò)中受信的應(yīng)用程序漏洞來形成攻擊者所需的指揮與控制（CommandandControl，C&C）通道。這些C&C通道大多是私有或者加密的，在沒有獲得密鑰的情況下，難以通過內(nèi)容解析的方式檢測出其具體含義。攻擊者對C&C通道的使用也格外小心，使用頻率低、持續(xù)時間長，是C&C通道的另一特征。攻擊者的攻擊手段更加豐富和高明，在一次成功的APT攻擊事件中，可能使用多個0day漏洞，多個精心構(gòu)造的遠(yuǎn)程訪問木馬（RemoteAccessTrojan，RAT），這些RAT也都是基于0day漏洞而特制的。針對0day漏洞和漏洞利用的檢測不僅是傳統(tǒng)安全檢測技術(shù)所欠缺的，也是5G網(wǎng)絡(luò)安全檢測技術(shù)所缺乏的。因此，對于此類新型網(wǎng)絡(luò)攻擊行為，原有的防御體系、檢測策略已經(jīng)顯現(xiàn)出不足，需要一種新的檢測手段對其提升與完善。1相關(guān)工作攻擊檢測是APT攻擊防御工作的前提和依據(jù)，也是整個防御過程中最困難的部分。近年來，基于網(wǎng)絡(luò)流量的大數(shù)據(jù)分析技術(shù)成為APT攻擊檢測領(lǐng)域的研究熱點(diǎn)。其中，針對APT攻擊體現(xiàn)的特征，通常采用兩種方式來對攻擊進(jìn)行感知與識別，再通過復(fù)雜分析予以判定。一種方式是通過對可疑文件的綜合分析，發(fā)現(xiàn)其是否存在0day利用。通過解析出網(wǎng)絡(luò)應(yīng)用中傳輸?shù)奈募?，如郵件附件、Web上傳下載、5G終端的升級固件等，對文件進(jìn)行靜態(tài)和動態(tài)分析，發(fā)現(xiàn)文件是否內(nèi)嵌惡意代碼或者具有惡意行為等。另一種方式是通過對網(wǎng)絡(luò)可疑流量的綜合分析，發(fā)現(xiàn)其是否存在惡意攻擊行為，該檢測技術(shù)包括網(wǎng)絡(luò)流量特征分析和全流量儲存分析兩類。目前業(yè)界主要采用的是網(wǎng)絡(luò)流量特征分析技術(shù)，它以網(wǎng)絡(luò)流量統(tǒng)計(jì)特性作為數(shù)據(jù)屬性，匹配分析網(wǎng)絡(luò)行為，檢測發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量。該技術(shù)需要具有一定的知識庫積累，對網(wǎng)絡(luò)行為特征有比較精確的識別和判斷。針對某些特征確定的對象、應(yīng)用、協(xié)議具有非常強(qiáng)的分析能力，但對于特征未知的APT威脅，則幾乎束手無策。全流量儲存分析技術(shù)的分析對象是全包捕獲的數(shù)據(jù)包，該技術(shù)是當(dāng)前信息安全領(lǐng)域最為關(guān)注的方向，即將機(jī)器學(xué)習(xí)與APT檢測相融合。采用這種技術(shù)，需要對全網(wǎng)流量進(jìn)行規(guī)整、過濾和清洗，并對協(xié)議進(jìn)行一定程度的識別和還原。安全分析人員綜合利用流量的時間與空間相關(guān)性，對已經(jīng)發(fā)生的攻擊行為進(jìn)行多角度、全方位、可反復(fù)回溯的深度檢測，構(gòu)建模型，從而更容易和精準(zhǔn)地檢測出潛在的威脅行為。本文結(jié)合了網(wǎng)絡(luò)流量特征分析和全流量儲存分析兩類技術(shù)的優(yōu)點(diǎn)，并針對5G網(wǎng)絡(luò)的流量進(jìn)行特征化定制，對其進(jìn)行全面分析評估，在針對5G網(wǎng)絡(luò)的APT攻擊事件發(fā)生的過程中提前預(yù)警，將威脅和破壞程度盡可能降低。2設(shè)計(jì)思路與關(guān)鍵技術(shù)2.1系統(tǒng)模型系統(tǒng)采集海量的5G網(wǎng)絡(luò)流量作為基礎(chǔ)，方案主要圍繞網(wǎng)絡(luò)流量中的行為特征開展分析和預(yù)測工作。信譽(yù)庫（知識庫）是檢測已知威脅的有效手段。對于未知威脅和部分加密通道網(wǎng)絡(luò)流量，方案采用建模、數(shù)學(xué)分析方法處理。模型設(shè)計(jì)了系統(tǒng)具備機(jī)器學(xué)習(xí)能力，可以對5G網(wǎng)絡(luò)進(jìn)行流量分析、統(tǒng)計(jì)、特征提取、建模，并可將系統(tǒng)分析的結(jié)果與情報(bào)反饋至病毒庫、信譽(yù)庫、威脅情報(bào)等現(xiàn)有庫中。系統(tǒng)還可采集其他設(shè)備的數(shù)據(jù)分析信息，用于系統(tǒng)對網(wǎng)絡(luò)的綜合評估分析。系統(tǒng)也可將自身的分析結(jié)果發(fā)送至其他設(shè)備，提供響應(yīng)策略。此外，系統(tǒng)還可以與傳統(tǒng)網(wǎng)絡(luò)安全設(shè)施進(jìn)行聯(lián)動，對于高可信度的告警直接進(jìn)行處理，大幅減少威脅處理響應(yīng)時間。系統(tǒng)模型流程如圖1所示。圖1系統(tǒng)模型流程網(wǎng)絡(luò)流量是系統(tǒng)核心，流量傳感器將采集到的5G網(wǎng)絡(luò)流量進(jìn)行整理、標(biāo)準(zhǔn)化等相應(yīng)預(yù)處理后，形成系統(tǒng)可以分析利用的數(shù)據(jù)報(bào)文。數(shù)據(jù)報(bào)文中，有一部分是5G專有的協(xié)議報(bào)文，如用于N3/N9接口上承載的協(xié)議數(shù)據(jù)單元（ProtocolDataUnit，PDU）會話流量GTP-U協(xié)議報(bào)文，也有傳統(tǒng)的IT類報(bào)文，如電信網(wǎng)管超文本傳輸安全協(xié)議（HypertextTransferProtocoloverSecureSocketLayer，HTTPS)報(bào)文等。不過，無論是上述的哪種報(bào)文，都屬于傳輸控制協(xié)議（TransmissionControlProtocol，TCP）/用戶數(shù)據(jù)報(bào)協(xié)議（UserDatagramProtocol，UDP）范疇，都可以采用同一的處理策略。本系統(tǒng)不考慮針對無線空口等非互聯(lián)網(wǎng)協(xié)議（InternetProtocl，IP）的攻擊檢測。系統(tǒng)通過各種檢測、分析策略，對報(bào)文進(jìn)行深度解析。首先利用信譽(yù)庫檢測發(fā)現(xiàn)數(shù)據(jù)報(bào)文中是否存在已知的、明確的攻擊行為，通過檢測規(guī)則識別出常見的網(wǎng)絡(luò)攻擊事件；其次利用關(guān)聯(lián)分析算法和機(jī)器學(xué)習(xí)算法等高級分析技術(shù)處理，從中發(fā)現(xiàn)高級攻擊事件或未知攻擊事件；最后將告警信息和關(guān)鍵數(shù)據(jù)入庫，待回溯和攻擊行為復(fù)現(xiàn)及提供關(guān)聯(lián)分析。2.2網(wǎng)絡(luò)流量采集識別采集器對于收到的數(shù)據(jù)報(bào)文按照需要進(jìn)行識別與判斷，比如：只收集GTP-U協(xié)議報(bào)文，用于分析N3/N9接口上承載的PDU會話流量。采集器將符合規(guī)范的網(wǎng)絡(luò)流量提交到緩沖池。為提高采集性能與數(shù)據(jù)處理性能，系統(tǒng)也可以指定識別與處理部分協(xié)議，比如：只處理NGRAN與5GC間的非接入層（NonAccessStratum，NAS）/下一代應(yīng)用協(xié)議（NextGenerationApplicationProtocol，NGAP）報(bào)文，用于分析N1/N2接口上用戶終端（UserEquipment，UE）和接入移動性管理網(wǎng)元（AccessandMobilityManagementFunction，AMF）之間的移動性管理流程。流量采集處理流程如圖2所示。圖2流量采集處理流程緩沖池中存放分片報(bào)文，容量可根據(jù)性能需求和流量大小設(shè)定，可以是固定大小，也可以動態(tài)按需增減。由于緩沖池容量有限，所以需要對緩沖池中的分片報(bào)文按相應(yīng)策略進(jìn)行移出操作。緩沖池中的TCP分片報(bào)文根據(jù)序列號等協(xié)議字段判斷是否能將多個分片報(bào)文組成會話，如果會話完整，則移出緩沖池，釋放空間。緩沖池中的UDP分片報(bào)文根據(jù)應(yīng)用層協(xié)議約定，還原UDP會話，將完整的會話移出緩沖池。其他分片報(bào)文按照TCP/UDP協(xié)議、IP地址、端口進(jìn)行重組會話，在無法判斷是否會話完成的情況下，按照以下策略進(jìn)行移出操作：一是超時策略。設(shè)定統(tǒng)一時間閾值，當(dāng)某一會話在緩沖池中駐留時間達(dá)到此閾值時，將該會話移出緩沖池。二是存滿策略。當(dāng)緩沖池存滿后，將最早進(jìn)入緩沖池的會話移出緩沖池。此外，也可以將占據(jù)緩沖池空間最大的會話移出緩沖池。2.3威脅存儲與回溯系統(tǒng)對會話存儲容器中的會話采取實(shí)時檢測分析，結(jié)果存儲在相應(yīng)的容器中。威脅行為存儲如圖3所示。圖3威脅行為存儲威脅事件存儲容器中存放可以定性的威脅行為，至少包括威脅行為名稱、基礎(chǔ)五元組信息，以及威脅行為特征標(biāo)識等。保存完整的存儲會話可以提供原包下載?？梢尚袨榇鎯θ萜髦写娣乓伤频耐{行為，這類威脅行為通過檢測分析策略中的綜合算法分析得出，尚不能完全定性。存儲容器中至少包括可疑行為名稱、聚類數(shù)量、基礎(chǔ)五元組信息等。根據(jù)需要，不是必須提供全部的完整會話包下載。一般行為存儲容器中存放的是暫時無法判定的會話，根據(jù)性能、擴(kuò)展等因素考慮保留基礎(chǔ)五元組信息和負(fù)載Payload數(shù)據(jù)報(bào)文，供機(jī)器學(xué)習(xí)和關(guān)聯(lián)分析。2.4檢測分析策略檢測分析策略是5G網(wǎng)絡(luò)檢測APT攻擊方案中的關(guān)鍵部分，包括檢測引擎、分析引擎和機(jī)器學(xué)習(xí)引擎3個部分。檢測引擎利用信譽(yù)庫對已知攻擊行為進(jìn)行檢測，基本信譽(yù)庫中包含黑名單、白名單、網(wǎng)絡(luò)行為和信令特征碼，可以對基礎(chǔ)五元組（惡意域名類的黑名單）、協(xié)議報(bào)文負(fù)載Payload和信令字段進(jìn)行檢測（針對已知特征）。構(gòu)建與維護(hù)信譽(yù)庫是長期的，信譽(yù)庫的結(jié)構(gòu)會影響到系統(tǒng)對于已知攻擊行為的檢測與判定，如信譽(yù)庫的檢索效率和模式匹配效率。因此需要兼顧檢索和匹配效率。分析引擎利用多種分析算法對5G網(wǎng)絡(luò)內(nèi)的會話流量進(jìn)行分析。在大量會話中找到小眾淺層特征作為可疑事件，并待進(jìn)一步判定確認(rèn)。機(jī)器學(xué)習(xí)引擎是系統(tǒng)重要的附加值部分，通過分析并積累引擎的分析結(jié)果后，用訓(xùn)練好的模型對5G特定場景下的異常行為進(jìn)行判定，將一些確認(rèn)的結(jié)論自動（或需要人工干預(yù)）添加到信譽(yù)庫中，作為可直接定性的攻擊行為判定依據(jù)。細(xì)節(jié)部分需要進(jìn)一步研究。2.5關(guān)聯(lián)分析關(guān)聯(lián)策略包括系統(tǒng)內(nèi)部關(guān)聯(lián)分析和系統(tǒng)間關(guān)聯(lián)分析。系統(tǒng)內(nèi)部關(guān)聯(lián)分析將相互獨(dú)立的威脅事件通過一些因子建立關(guān)聯(lián)關(guān)系，如同一攻擊源、相同的攻擊手法等。關(guān)聯(lián)分析進(jìn)一步分析疑似的可疑行為，解析出可信度較高的可疑行為，提高系統(tǒng)判定的準(zhǔn)確性，最終通過關(guān)聯(lián)分析可以給系統(tǒng)上報(bào)確定的威脅告警及情報(bào)。系統(tǒng)間關(guān)聯(lián)分析將系統(tǒng)的威脅告警發(fā)布到共同平臺，與其他安全防御設(shè)備共享。威脅告警中的威脅內(nèi)容、特征與資產(chǎn)具有相關(guān)性，資產(chǎn)屬性（如操作系統(tǒng)、應(yīng)用程序、漏洞信息等）對于判定威脅行為、提高威脅行為可信度有很高的價值。通過關(guān)聯(lián)策略將多類告警信息進(jìn)行匯聚，是提高APT識別率的有效方法。關(guān)聯(lián)分析策略架構(gòu)如圖4所示。圖4關(guān)聯(lián)分析策略架構(gòu)3系統(tǒng)實(shí)現(xiàn)與測試3.1系統(tǒng)架構(gòu)面向5G網(wǎng)絡(luò)的APT攻擊檢測系統(tǒng)（簡稱5GADS）邏輯架構(gòu)如圖5所示，包括分布式流量傳感器、異常流量檢測引擎、管理中心3個主要部分。圖55GADS系統(tǒng)邏輯架構(gòu)分布式流量傳感器用于5G網(wǎng)絡(luò)流量采集保存，進(jìn)行協(xié)議解析，生成流量摘要。5G網(wǎng)絡(luò)流量采集主要實(shí)現(xiàn)將捕獲到的網(wǎng)絡(luò)流量進(jìn)行整理和標(biāo)準(zhǔn)化，保留5G網(wǎng)絡(luò)協(xié)議族規(guī)范的所有協(xié)議，包括TCP/IP協(xié)議、域名系統(tǒng)（DomainNameSystem，DNS）協(xié)議等，也可以指定系統(tǒng)接受的協(xié)議類型，如部分應(yīng)用層協(xié)議、傳輸層協(xié)議等。協(xié)議解析功能實(shí)現(xiàn)將采集模塊上傳的分片報(bào)文進(jìn)行重組，依據(jù)協(xié)議規(guī)范或者業(yè)務(wù)定義還原成完整的數(shù)據(jù)流會話。在此模塊內(nèi)部還包含緩沖池和會話存儲容器兩個內(nèi)部部件。采集模塊將采集到的網(wǎng)絡(luò)流量直接放到緩沖池中。會話還原模塊根據(jù)協(xié)議特點(diǎn)將流量分流為控制面信令數(shù)據(jù)和用戶面數(shù)據(jù)，對N1~2/N4/N5/N7~8/N10~12/N14~16/N20~22/N24/N26/N40等5GC控制面接口數(shù)據(jù)進(jìn)行處理，對NAS、NGAP和HTTP2等協(xié)議數(shù)據(jù)進(jìn)行解碼、合成、各協(xié)議關(guān)聯(lián)、用戶信息回填。對于有傳輸層安全性協(xié)議（TransportLayerSecurity，TLS）加密的信令數(shù)據(jù)，需要獲取主設(shè)備的密鑰信息，通過獲取到的密鑰對其進(jìn)行解密。對于無法進(jìn)行解密的數(shù)據(jù)將加密原始數(shù)據(jù)作為負(fù)載Payload直接保存。對N3用戶面數(shù)據(jù)進(jìn)行深度報(bào)文解析識別。將還原處理之后的控制面板和用戶面會話存放進(jìn)會話存儲容器。異常流量檢測引擎對數(shù)據(jù)進(jìn)行基礎(chǔ)統(tǒng)計(jì)和檢索，依據(jù)檢測模型自動進(jìn)行異常檢測，并提供流量特征深度分析、主機(jī)行為特征分析等輔助功能。其中，基于信譽(yù)庫的檢測引擎對會話進(jìn)行檢測，發(fā)現(xiàn)可以定性的攻擊行為。分析引擎對大量會話進(jìn)行深度分析，利用私有算法分析發(fā)現(xiàn)會話流量之間的規(guī)律，分析出疑似的可疑行為。內(nèi)部關(guān)聯(lián)分析引擎是更加復(fù)雜的分析技術(shù)，將多個攻擊行為、疑似可疑行為通過一定的關(guān)聯(lián)關(guān)系結(jié)合在一起，發(fā)現(xiàn)對于5G網(wǎng)絡(luò)的深度攻擊，同時提高攻擊行為的檢出可信度。管理中心是整個系統(tǒng)的控制中樞，進(jìn)行各個組件的統(tǒng)一配置和管理，提供可視化展示、威脅統(tǒng)計(jì)、實(shí)時告警、回溯分析、威脅責(zé)任人定位等功能。對于已檢出的眾多孤立攻擊事件，需要與其他安全防御設(shè)備共享、聯(lián)動，實(shí)現(xiàn)從同源攻擊中發(fā)現(xiàn)惡意攻擊組織、從受攻擊的目標(biāo)類型中發(fā)現(xiàn)惡意組織的攻擊意圖和攻擊趨勢等，從而形成威脅預(yù)警與網(wǎng)絡(luò)安全態(tài)勢分析的能力。3.2系統(tǒng)主要功能5GADS系統(tǒng)通過分離寄生在5G網(wǎng)絡(luò)中的異常流量行為，捕捉潛在的風(fēng)險(xiǎn)（例如，網(wǎng)元間異常訪問、網(wǎng)元間異常報(bào)文風(fēng)暴等）。提供5G網(wǎng)絡(luò)流量可視化能力，幫助安全人員洞察5G網(wǎng)絡(luò)安全態(tài)勢，高效檢測潛在的未知威脅，縮短威脅處置的響應(yīng)時間。在保護(hù)5G資產(chǎn)的同時還可以在遭受攻擊后對攻擊事件進(jìn)行回溯，為響應(yīng)策略提供決策支撐及事后的調(diào)查取證。具體功能如下文所述。3.2.1針對APT攻擊過程進(jìn)行檢測和分析對于已入侵到內(nèi)部網(wǎng)絡(luò)的惡意軟件來說，為了達(dá)到進(jìn)一步的攻擊目的，通常會產(chǎn)生外聯(lián)、滲透、擴(kuò)散等后續(xù)行為。5GADS運(yùn)用分布式大數(shù)據(jù)分析平臺對網(wǎng)絡(luò)流量進(jìn)行檢測，從網(wǎng)絡(luò)的攻擊行為入手發(fā)現(xiàn)潛在的未知威脅，并對威脅進(jìn)行風(fēng)險(xiǎn)評估。系統(tǒng)重點(diǎn)分析對象及分析角度如表1所示。表1分析對象及分析角度3.2.2支持攻擊事件過程的回溯、定位5GADS支持APT攻擊歷史數(shù)據(jù)的回溯分析，還原5G網(wǎng)絡(luò)的整個攻擊過程。通過定位查詢系統(tǒng)確定內(nèi)網(wǎng)攻擊來源，鎖定受侵害人員及網(wǎng)元，并實(shí)現(xiàn)同族判定和攻擊溯源，為情報(bào)預(yù)警、應(yīng)急響應(yīng)和溯源反制等過程提供支持。3.2.3內(nèi)網(wǎng)安全態(tài)勢的可視化展示5GADS支持網(wǎng)絡(luò)流量基礎(chǔ)數(shù)據(jù)統(tǒng)計(jì)、威脅事件統(tǒng)計(jì)，著重展示近期發(fā)生的典型攻擊事件。5GADS系統(tǒng)安全態(tài)勢展示如圖6所示。針對具體的攻擊事件，提供包括威脅類型、威脅程度、威脅目標(biāo)、威脅時間等內(nèi)容的詳細(xì)分析報(bào)告。圖6GADS系統(tǒng)安全態(tài)勢展示3.3實(shí)驗(yàn)測試5GADS采用旁路方式部署在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處，分析檢測鏡像到的網(wǎng)絡(luò)流量，發(fā)現(xiàn)APT攻擊過程的外聯(lián)、滲透、擴(kuò)散等異常網(wǎng)絡(luò)行為，在不影響電信核心網(wǎng)絡(luò)業(yè)務(wù)的同時及時發(fā)現(xiàn)潛在的高級持續(xù)性威脅。主機(jī)環(huán)境采用CentOS7.2操作系統(tǒng)，EalsticSearch6.1搜索服務(wù)器，以及MySQL5.5數(shù)據(jù)庫。中央處理器為IntelXeonE5-2640V3，內(nèi)存為64GB，硬盤為8TB。在現(xiàn)網(wǎng)環(huán)境中，系統(tǒng)穩(wěn)定運(yùn)行在2Gbit/s流量下，日處理流量包約2TB，日處理流10億條，從異常發(fā)現(xiàn)到檢出平均耗時1分鐘。主機(jī)