校园网中一种基于路径关联的APT检测系统关键技术研究

数字革命推动业务创新和经济增长已经成为新世纪的趋势，但是同时也带来了新威胁。在竞争激烈的市场下，以高级持续性威胁APT（Advanced Persistent Threat）攻击为核心的攻击方式正愈演愈烈。此类攻击发起者往往是雇佣的黑客团队，攻击手法非常高级，会使用到0day攻击、病毒、木马等组合攻击手段，从行为上看十分隐蔽，可以完美地绕过已有的基础安全设备，给校园网络或政府单位带来致命风险。

面对日益复杂的攻击形式，校园网中单一的防护无法发现复杂的攻击行为。高级持续性威胁的防御必须围绕组织内部核心资产开展基于大数据模型的风险计算，通过对恶意文件、恶意攻击行为、高级组合攻击、基于业务的逻辑攻击进行模型分析计算，实时得出风险提示。通过专家在线、现场服务做到风险跟踪关闭，为组织核心资产提供有力的保障。

1 高级持续性威胁分析

高级持续性威胁是指那些擅长复杂技术的攻击者，利用互联网、物理介质和欺诈等各种攻击媒介，通过丰富的资源创造实现目标的机会［1］。攻击者通常包括篡改目标单位的信息应用系统，从而窃取重要数据，例如从外网向内网发送数据报文，从而在被攻击者的内网里执行相关程序，并在对方的服务器里窃取重要数据。

1.1 APT攻击基本原理

APT攻击不同于常见的网络攻击，与传统的普通攻击不同，APT攻击的目标性强，攻击时间长，组织能力强，它的攻击形式更为先进，由于它窃取所需要的特定机密，包含国家机密、商业机密等，从政治和威胁角度来讲，破坏性也更强，见表1。它的攻击原理是利用系统的漏洞，对目标系统中所有的业务流程和信息进行了准确的采集，在此过程中，这些黑客利用应用系统的漏洞主动侵入用户的系统和程序，攻击者根据这些漏洞形成所需的C＆C网络［2］，它更接近用户的系统或程序并不容易引起怀疑。因此，高级持续性威胁攻击被各种攻击者广泛利用。

第一，20世纪20年代之前，英美文学中陌生化的语言主要以描绘风景为主。在这一阶段，作家在创作中开始接受并将陌生化艺术形式引入对田园生活的描述，其作用主要体现在对作品创作手法的衬托上。英美作家在作品中开始尝试性地应用陌生化语言。

 

表1 APT与传统攻击的区别

  

对象 APT普通攻击时间 持续长时间攻击 长短不一定动机 窃取所需要的特定机密，包含国家机密、商业机密等 动机不一定，一般以大范围获取个人资料或账号以换取实际利益为主攻击者 有组织、计划性的团队，有极强的能力和大量资源可以调用一般的个人或者是小型的黑客组织攻击目标 无针对性、大范围，近年以具有大量个人资料的企业为主攻击方法 长期性、持续性、多样性，经常是基于0day漏洞的攻击，确保达成攻击目的有针对性、小范围，如政府、高校、高科技攻击、金融业，目前也逐步向其他有较高价值的部门和行业扩散多为速战速决，符合多种常见漏洞，以大量、快速、有效的单一手法入侵

1.2 APT 攻击特点

APT攻击往往与受攻击对象的可信程序、业务系统漏洞融合在一起，在系统内部很难发现这种侵入［3］。例如，最近，在中国南海问题上，一个有关APT攻击被发现，其攻击以中国政府的许多网站为目标。该APT攻击通过海外服务器IP为路径，使用的工具代码都是通过复制粘贴互联网公开代码组合而成，相对于其它攻击工具而言，比较独特。

如图1所示，APT攻击具有攻击持续性长、隐蔽性强、危害性大等特点。它是一种相对潜伏期比较长的攻击形式，在用户的网络潜伏期往往可以达到一年甚至好几年［4］。APT病毒不停地收集用户数据，直到收集到重要或机密信息为止。他们使用受控主机作为跳板持续爬取用户信息，是一种隐蔽性强却又能让用户难以发觉的攻击，所以这种攻击方式实质上是一种“恶意的间谍威胁”［5］。

在APT攻击中，经常使用0day对目标发起攻击。很多APT中不惜使用多个高级的0day，所以在APT攻击中利用0day也是一个非常重要的特点［6］。

文华斋的裴主事是个书生，固然想不出什么扑救良策，就连那两名忠心耿耿的护卫，仓促间也是手足无措，只能眼睁睁看着峋四爷燃烧。随后峋四爷就停止了喊叫，接着就停止了挥手踢脚，很快就倒在地上，手足蜷缩，烧成一躯黑黢黢的怪物残骸。最后，室内弥漫起一股异香，这就显得更诡异。本来，人体含有油脂，焚烧后会散发出难闻的气息。而现在，不但不臭，反而有异香。一切皆违背常理。

1.3 APT 攻击路径

APT攻击除了利用网络设备、安全设备和应用程序的漏洞，还善于运用社会工程学，在发动攻击前会对攻击对象进行精确的情报采集，通过电子邮件、社交网站等员工个人日常行为进行攻击渗透，而普通的非IT从业者安全意识比较薄弱，更容易被黑客渗透，再以此为跳板，一步一步入侵企业的网络和服务器。当攻击受阻时，还会启用昂贵的0Day漏洞攻击，轻易绕过传统的安全设备［7］。由此可见，高级持续性威胁APT的攻击原理相对于其他网络攻击行为要显得更为高级和先进。

对于当下中国家电行业的发展形势和对未来的展望，奥维云网（AVC）副总裁郭梅德表示，在过去的三十年里，家电的发展经历了普及增长期、政策扶持期、消费升级期三个阶段。在“天时”、“地利”不再的市场情势下，市场比拼的焦点逐渐转向“人和”。“因此，在新的时期，谁能更清楚洞察消费者的需求，谁能提供迎合他们需求的产品，谁能摸索出最受消费者青睐的推广方式，谁才能在竞争激烈的家电市场中立于不败之地！”

整个APT攻击过程可归纳为攻击、控制和内部扩散三个阶段，图2为APT攻击流程示意图。

  

图1 APT攻击特点

  

图2 APT攻击流程

攻击者攻击Web Server的主要目的是为了充当进一步入侵的跳板，因此针对EMAIL的攻击行为通常会执行如下工作：发送钓鱼邮件：窃取用户ID与密码；执行恶意脚本：扫描终端用户使用环境，发掘可利用的攻击资源；植入恶意软件：针对用户环境中应用程序漏洞，注入恶意代码，构建僵尸网络。在针对邮件系统的APT攻击的过程中，攻击者通常会利用各种办公系统所支持的各类文档0day，例如WORD、PDF、PPT等，越是频繁使用的文档，越有可能降低用户安全意识［8］。

2 基于路径关联的高级持续性威胁APT攻击检测

Step3 设立攻击路径：

本文通过一种基于路径关联的APT检测方法，将其与APT攻击检测模型进行路径匹配，并通过对IP路径的匹配和应用系统的连接数来发现潜在的安全攻击行为，其检测思路如下：

（1）通过数据接收引擎中探针接收的数据，并对接收过来的流量进行协议识别，将数据存储在服务器的数据分析平台中，之后经过行为分析，通过与黑客攻击行为模型和IP特征库进行匹配，来检测系统是否受到攻击。

（2）将目标源设置为起点，反过来确定攻击路径，识别目标源完整攻击路径的攻击源，通过日志记录的目标IP来建立多个网络攻击路径。

（3）攻击者在攻击过程中，对获取到的相关信息进行路径匹配关联，并判断这些APT攻击是否产生了有效的攻击路径，以确定是否存在APT攻击，并确定APT的攻击类别和范畴，最后再断定攻击信息的完备性。

具体如下：

定义1 建立目标源：

A＝｛a1｛s1，s2，…｝，…，ai｛s1，s2，…，si，…｝，…｝；

日前，在美国举行的世界啤酒品评大赛“世界啤酒锦标赛”中，青岛黑啤以出色的口味与品质征服评委味蕾，一路“过关斩将”夺得金奖。无独有偶，11月14日，“2018欧洲啤酒之星”大赛颁奖仪式在德国南部城市纽伦堡会展中心举行，青岛啤酒皮尔森从来自全球51个国家、2344款啤酒产品中脱颖而出，荣获“欧洲啤酒之星”大奖。

T＝｛t1，t2，t3，…｝；

定义2 所有信息输入输出节点：

A＝｛a1｛s1，s2，…｝，…，ai｛s1，s2，…，si，…｝，…｝，其中 si表示可能发生的类。

21世纪以来，信息技术水平得到显著提升，网络信息技术手段也在全新的社会背景下得到了发展，成为了人们生活中不可忽视的重要手段之一，其中，网络购物作为一种全新的购物方式，逐渐融合和应用在人们的日常生活中。与此同时，网络购物平台竞争也日趋激烈，因此利益驱使也将是最终的发展方向。当前双边市场的研究在我国属于新兴课题，研究工作处于起步阶段，需要不断进行完善，只有这样才能实现对经济水平的稳定提升。经过实际考察发现，在当前双边市场特征中，广大用户存在明显的转换成本思想，这种思维对电商平台发展带来极大的负面影响，为此本文对进行详细研究，希望本文的研究对电子商务发展提供有效的帮助。

定义3 集合E｛e1，e2，e3，…｝表示有向边，如果节点的脆弱性较强，那么在APT攻击时，该节点和被攻击节点之间存在一条有向边。比如，节点a1＝｛s1，s2，…｝可被节点a2利用，当脆弱点s1攻击时，则存在一条 a2到 a1的有向边（ai，aj）；集合 P｛p1（ai，an，am，…），…｝表示攻击路径， aI、 an、 am表示攻击节点，有向边由 ai指向 an，an指向 am；Pre（pn， am）表示路径 pn中 am节点的前驱节点序列，如对于路径 pn＝ （ai，an，am，…）， Pre（pn，am）＝ （ai，an）， Pre（pn，ai） ＝ ∅ ； Post（pn，ai）表示路径 pn中 ai节点的后续节点序列，如对于路径 pn＝ （…，ai， an， am），Post（ pn，ai） ＝ （an，am），Post（ pn， am） ＝ ∅ ；Btw（pn，an，am）表示路径 pn中 an与 am节点之间的节点，如对于路径 pn＝ （an，ai， am，…）， Btw（ pn，an，am） ＝ （ai），Btw（pn，an，am）＝ ∅ 。

定义4 图G（T，A，E，P）表示建立的攻击检测有向图。

Step1 检测有向图初始化：

T＝｛t1，t2，t3，…｝；E＝｛ ｝；P＝｛ ｝；

本文针对绝热加速量热仪在测试样品反应过程中存在热电偶动态特性和炉体加热系统动态响应滞后等问题,提出了一种对其进行动态补偿的方法,通过仿真进行了绝热反应过程中影响因素分析,并利用PSO算法搜索优化出动态补偿器参数,最后,通过标准样品实验对该方法进行了验证,实验补偿效果与仿真结果相吻合,表明对绝热加速量热仪中的热电偶动态特性和炉体加热系统动态响应进行补偿能有效提高绝热性能,减小在动力学参数求取过程中所产生的误差,研究成果对化学反应机理研究和化学品热安全评估具体重要意义。

Step2 划分目标源节点：

划分T＝｛t1，t2，t3，…｝，根据网络中的相应位置，将目标源T中的元素划分在不同的网络节点上，记为a1｛s1，s2，s3，…｝，a2｛s1，s2，s3，…｝，…，an｛s1，s2，s3，…｝，即目标源节点。 节点上所划分的目标源记为 T1，T2， …Tn，且满足当 1≤i≠j≤n 时，Ti∩Tj＝ ∅ ，T1∪T2∪…∪Tn＝T｛t1，t2，t3，…｝。

这几年，大部分APT检测方案针对性都较强，例如黄永洪等采用了基于攻击图的APT脆弱节点评估方法变更控制的方法，计算网络节点的整体脆弱性，及时发现系统中的漏洞［9］；VANCE A在云计算技术的基础上，提出了一种流量监控算法对APT攻击进行检测，但是该算法存在较高的误报率，目前仍未解决［10］。

AT＝｛a1｛s1，s2，…｝，a2｛s1，s2，…｝，…，an｛s1，s2，…，si，…｝，…｝；

AD＝｛a1｛s1，s2，…｝，a2｛s1，s2，…｝，…，an｛s1，s2，…，si，…｝，…｝；

（1）若 A≠ ∅ ， ∀ ai∈A，Atmp ＝AT。

（2）如果∃ aj∈ Atmp 且ai可利用其脆弱性对aj进行攻击时，则ai到aj间存在一条有向边（ai，aj），E＝E∪｛（ai，aj）｝。

① 对 P 所有路径 pn，若 ∃ an∈pn且 an＝aj，若 Post（ pn，aj） ≠ ∅ ，且（ai，aj，Post（ pn，aj））∉P 或不存在路径 pm满足（ai，aj，Post（ pn，aj））是 pn子序列，则 P＝P ∪｛（ai，aj｝；

安和庄有压倒性优势，萧飞羽会接受天问大师的赌约吗？尤其是生死攸关，怎可用本庄安危赌天问大师和紫阳道长昔日的言行！

利用现有的实时数据，采集了SDN网络下（以H3C-125K为核心的数据中心）某高校2017年10、11、12月总计3个月的WEB应用防护系统（Waf）的数据，在Waf上的APT攻击活动报告收集APT攻击病毒样本。利用现有的数据一共获取了1000多个APT攻击病毒样本，根据本文需求，具体实验网络系统拓扑图如图3。

抗生素与肠道菌群：养殖和临床上滥用抗生素现象普遍严重。抗生素是导致肠道菌群失调的重要原因，几乎所有的抗生素在治疗疾病的同时都会导致肠道菌群失调。用抗生素处理小鼠所建立的肠道菌群失调模型已经被广泛验证和使用。

（3）如果 ∃ aj∈Atmp 且 ai到 aj存在一条有向边（ai，aj），E＝E∪｛（ai，aj）｝。

①对 P 所有路径 pn，若 ∃ an∈pn且 ank＝aj，若 Pre（ pn，aj） ≠ ∅ ，且（Pre（pn，aj）aj，ai）∉P 或不存在路径 pm 满足（Pre（pn，aj）aj，ai）是 pm子序列，则 P＝P ∪｛（Pre（pn，aj）aj，ai｝；

为了探究初始围压对峰后蠕变的影响，分别进行了两组10MPa与15MPa初始围压下的峰后蠕变试验，两组试验采用Boltzmann叠加原理处理后，分别加载峰后蠕变曲线如图5所示，整理试验结果在表2中。

②否则 P＝P ∪｛（aj，ai）｝。

在第3部分具有调节机体功能的食品的教学过程中，为了提高学生自主学习的积极性，使学习内容更加与实际生活结合，每个知识点都会安排1个或多个实验。例如，具有抗衰老作用的功能性食品，这个部分对应的实验内容为茶多酚含量的测定。众所周知，茶多酚具有抗衰老、防辐射等功能，茶叶的品种繁多，不同茶叶样品中茶多酚的含量不尽相同，实验过程中在保证安全的前提下，可以让学生自主进行实验，选择不同的茶叶样品进行测定，对不同的样品进行分析得出结论。

（4）Atmp＝Atmp-｛ai｝；若 Atmp ≠ ∅ ，返回 Step2 继续计算。

从图5可以得出，随着天数的持续增长，在部署了高持续威胁防御系统的服务器活动连接数相对比较稳定。而靶机的活动连接数随着天数的增长逐渐增大，且增长的速率较大，可持续威胁的系数也不断增大。

Step 4 检测集合 P 中的路径，若不存在节点 pn，则 P＝P-｛pn｝；若 ∃ an满足 Btw（pn，an，an） ≠∅ ，即路径 pn中存在圈，则 pn＝pn-（an，Btw（pn，an，an））。 例如，路径 pn（a1，a2，…，a4，a2，a5） 中存在 a2节点之间的圈，Btw（pn，a2，a2）＝ （a3，…，a4）， pn＝（a1，a2，a5）。 重复操作所有路径中的集合 P，当检测到没有路径时，圈即停止。

在测试中还可以看出，如果系统运行时间越久，服务器的连接数越少，安全风险级别也就越小，且系统可以在校园网这种较为复杂环境下稳定运行。

Step 6 在通过攻击事件关联分析，将收集到的攻击路径中检测到的IP与攻击事件关联，然后将病毒样品相关事件分析的源IP与APT攻击检测的目的IP进行匹配，从而检测到网络有没有受到APT攻击。

3 模型验证及实验分析

3.1 模型验证

对本文中的模型进行验证，先将攻击检测有向图G（T，AT，E，P）建立在可能发生的攻击节点，然后沿着某一条攻击路径到达目标源，主要的影响因素包括目标源、攻击节点以及攻击节点脆弱属性的数量，其中任意一种的数量增长都将导致有向图的复杂度增长；在攻击路径匹配方面，通过调整路径的方向，经过关联分析得到的攻击路径越完整、路径长度越长，则与检测有向图的匹配度越高，进而能够更准确地判断APT攻击是否存在。当目标源、攻击节点及其脆弱属性数量均有很大增长时，检测有向图的建立时间会有指数级的增加；在路径匹配时造成的时间消耗将呈线性增长。

本文选择了目标源、攻击节点数量较少，攻击节点脆弱属性明确的网络环境对检测模型进行原理性验证。在APT攻击检测中加入相关靶机，限定攻击过程的特定路径节点。检测过程体现了APT攻击的各个主要阶段，较完整地体现出APT攻击流程。

3.2 系统功能测试

②否则 P＝P∪｛（ai，aj）｝。

  

图3 实验网络系统拓扑图

然后，将这些APT攻击病毒样本安装在校园网的某台终端机上，再利用该校园网Waf获取各个样本产生的源IP地址，保存在实验服务器（靶机1和靶机2）上，获取了将近500多兆的数据流量文件。为了防止误报，需要一部分正常的背景数据。其背景数据来源于校园网一台OA服务器近3个月访问日志流量，这台服务器IP为内网IP，不做对外使用，基本可以保证这台服务器不包含恶意代码。

表2是对部分APT攻击病毒样本IP路径的统计结果，从统计表中可以看出，根据目的IP对应匹配规则，相关APT样本被成功检测。

 

表2 IP路径匹配结果

  

名称 是否匹配（是／否） C＆C IP 目的IP 危险程度Carrto 否 N／A 218.5.241.28：80 低Winnti 否 N／A 218.5.241.28：80 低Snake 否 N／A 218.5.241.18 中Lxeshe 是 114.99.116.63 218.5.241.11 高Mirage 是 114.99.116.89 218.5.241.28：80 中Skykipot 否 N／A 218.5.241.28：80 低Lurid 是 114.99.115.53 218.5.241.16 高Taidoor 是 106.39.10.175 218.5.241.16 高

由于本检测系统运行在校园网的出口和数据中心之间的位置，在检测过程中，系统需要对应用区域的服务器APT恶意样本进行检测分析，根据不同时间段服务器的连接数和检测率的变化来测试系统的性能。我们测试了不同时间下系统的性能如图4、图5，由此看出，随着天数的增加，匹配率逐渐提高，这很可能是因为越来越多的APT恶意样本和C＆C服务器建立了越来越多的的连接，导致流量和连接并发数增加。其中图4得到的是四类APT恶意样本的检测率随检测时间的变化而变化，测试规则以校园网服务器采集时间段10 d的数据为标准。图5为靶机和服务器的活动连接数在不同时间段的变化。

（5）AT＝AT ∪｛ai｝；A＝A-｛ai｝；若 A ≠ ∅ ，返回 Step1 重新返回计算。

  

图4 APT恶意样本10 d内的检测率

  

图5 靶机和服务器的活动连接数对比图

3.3 性能对比

为了验证路径关联算法相对于其它传统检测匹配算法的先进性，在仿真环境下对该算法与异常流量检测算法进行了性能对比。图6是两种算法的运行时间的对比图，通过大量的IP报文与APT病毒样本特征库中的特征进行匹配，根据不同的时间来验证运行时间变化的关系图。假设运行时间与概率X关联时，可以看出在概率X为50%时，路径关联匹配算法的检测时间远远小于异常流量分析检测算法。因此路径关联检测算法在时间上有显著优势。

  

图6 不同算法概率与运行时间的关系

3.4 实验结果分析

从以上测试得知，通过对校园网中高持续威胁检测系统防御测试，可以建立一个基于路径关联的APT检测解决方案，该方案及时有效，可以在校园网中形成一个可靠的安全闭环。通过对实验的仿真结果分析，该检测技术运行的时间越长，检测率越高，实验中的靶机的连接数也越高。这就可以帮助我们较早地在校园网络中发现存在的APT威胁，及时地预防和处理网络中的威胁，并大大提高网络的安全防御能力。

经济转型农业结构调整的主要内容之一就是发展蔬菜保护地生产，而大力推广保护地蔬菜生产高产、优质、高效集成技术可有力地促进农业产业化进程和县域经济发展。

Step 5 攻击检测有向图 G（T，AT，E，P）建立。

4 结束语

高级持续性威胁APT防御系统能够检测发现传统防护手段漏过的未知威胁，在隔离网络环境下检测未知威胁，对各个单位内的海量数据进行安全分析，对单位内部已发现的安全问题进行攻击回溯，能切实有效地为用户解决校园网络安全问题。

参考文献：

对于突发事件的出现，教师要迅速做出反应，根据问题的实际情况采取合理的措施。把事态扼制住，避免对课堂产生进一步的影响。例如：在足球教学比赛中，因为犯规而引起的学生间的争执。教师要及时阻止事态发展，引导学生“友谊第一，比赛第二”。

［1］徐远泽，张文科，尹一桦，等.APT 攻击及其防御研究［J］.通信技术，2015，48（6）：740-745.

［2］付钰，李洪成，吴晓平，等.基于大数据分析的 APT 攻击检测研究综述［J］.通信学报，2015，36（11）：1-14.

［3］陈剑锋，王强，伍淼.网络 APT 攻击及防范策略［J］.信息安全与通信保密，2012，25（7）：24-27.

根据地表出露的隐爆-侵入角砾岩特征分析，现阶段出露的角砾岩部位应为角砾岩筒的上部或旁侧，深部可能存在隐爆角砾岩筒或斑岩型矿体。

［4］张帅.对 APT 攻击的检测与防御［J］.信息安全与技术，2011，36（9）：125-127.

［5］闫张浩.提高防御APT攻击性能的入侵检测系统的设计与实现［D］.北京：北京交通大学，2016.

［6］权乐，高姝，徐松.APT 攻击行动研究［J］.信息网络安全，2013，12（4）：4-7.

［7］刘怡文，黄琼，余静，等.APT 安全检测体系架构及关键技术研究［J］.安防技术，2015，3（3）：24-29.

［8］GAMBi J M， PINO M L G D.Autonomous shooting at middle size space debris objects from space-based APT laser systems［J］.Acta Astronautica， 2017， 131：83-91.

［9］黄永洪，吴一凡，杨豪璞，等.基于攻击图的APT脆弱节点评估方法［J］.重庆邮电大学学报（自然科学版），2017， 29（4）：535-541.

［10］ VANCE A.Flow based analysis of advanced persistent threats detecting targeted attacks in cloud computing［C］ ／／2014 First International Scientific-Practical Conference on Problems of Infocommunications Science and Technology IEEE，2014：173-176.