基于OSSIM系统的APT***检测实践

0.背景

很多网络安全防御体系比较弱的计算机都遭受过APT，其中不乏一些重要领域的计算机，虽然一些被的目标早已安装了防病毒或者其他安全检测软件，但依然遭受APT的持续威胁，这种威胁可能持续一段很长时间不被发现。为了解决这些这种APT问题，本人曾经在计算机节点、接入层交换机、服务器、核心交换机和网络边缘的安全设备上提出了多种解决方案，可收效甚微，关键在于缺乏一种高效的检测技术，下文中提出的一种OSSIM平台（开源SIEM）的APT检测方法，通过这种解决方案能够实时检测APT***，为安全人员迅速做出响应，提升网络安全防护能力。

1. APT的显著特征

APT全称高级持续性威胁，通过长期潜伏找到有价值的特定目标，利用网络中存在的应用程序漏洞，发起持续性网络，带有很强的隐蔽性，不易发现。APT有以下3个特点：

隐蔽性：者通常潜伏在目标网络中进行数月甚至更长时间，收集用户信息，掌握目标的情况。
目标专一：在彻底掌握目标的精确信息后，寻找系统或者软件的漏洞，构造专门代码，对锁定的目标发送恶意链接、邮件等程序，时只针对一个目标，这一点和以前遇到的蠕虫病毒不同。
持续性：在不被察觉的情况下，者会不断尝试各种手段，甚至被阻断后，还会采用全新的方式再次发起。

**2. APT*的主要阶段

典型的APT***主要包括下列5个阶段：

情报收集：者有针对性地搜集特定组织的网络系统和人员信息。
突破：者在收集了足够的情报信息之后，开始采用恶意代码、漏洞等方式组织目标的终端设备。
控制通道：者在控制终端设备之后，会创建从被控终端到控制服务器之间的命令控制通道，以获得进一步指令，在维护该通道正常访问的基础上，还要不断提升访问权限，以获取更大的系统操作权限。
内部：者会优先攻陷普通PC（防御体系最差），作为跳板，利用口令窃听和漏洞等方法，在系统内部进行横向，从而获取组织内部其它包含重要资产的服务器的控制权限。
数据收集：者在过程中，会不断将搜集到的各服务器上的重要数据资产，进行压缩、加密和打包，然后通过控制通道将数据回传。

**3.APT分层*防御策略

者通常会针对特定目标创建一系列的链，即使装有Proxy Server、Firewalls、×××及防病毒软件等，也无法独自抵御APT。有效的检测和防御APT的方式是根据网络层级中***的核心技术环节进行持续监控，并建立一一对应的抑制点。

要监控APT，首先根据APT分层模型，因为任何APT都是基于对OSI协议栈上层或底层的，而且会在栈上多个层次寻找漏洞来实现的最终目的。因此，APT检测防御体系需要严格遵循纵深防御的安全理念，按照网络安全的分层方法，采取措施在每一层中检测威胁，对其做出反应并消除威胁，如图1所示。

图1中分别从物理层、网络层、应用层和数据层四个方面对APT***进行检测和防御，以部署防护硬件和软件探针的方式，在网络结构的不同层次监控和生成安全事件，推送至OSSIM数据分析引擎进行存储检索和关联分析。

图1 检测分层

4.检测与防御技术

在图1所示中专门针对物理层、网络层、应用层以及数据层进行检测与防御说明。

物理层，在网络及终端设备上安装防病毒软件，用于扫描流经网络中各节点上的所有网络数据包。
网络层，在网络边界处部署网络防火墙和防御系统，例如在物理网络层部署透明防火墙，根据拦截规则和默认通过规则，判断所有的数据包以决定数据包是否允许通过，如果这个数据包允许通过，就被转发到其他 网络接口，可以限制内部用户访问内部的资源。
应用层，实现Web应用防护、僵尸网络检测、沙箱检测等高级防御功能，以保障应用服务的安全运行。
数据层，对数据库的用户操作内部数据的流转进行审计。
通过对上述4个网络层次的安全监控，将主机及网络活动、漏洞信息、资产信息、远程访问等信息集中采集，并发送至OSSIM平台进行分析，不但能对整体网络安全态势进行监控，而且还能发现网络中更多未知的安全威胁，从而有效抵御APT。 OSSIM中通过动态数据建模技术，将异构数据通过一个关联数据模型将其集成在一起，形成关联分析平台。

OSSIM平台中还使用了包括深度学习等技术，需要通过累积经验进行持续监控、不断适应和学习。因此，还应该考虑基于神经网络，分别从可扩展的检测器、主机分类监控、***源监控、网络流量监控等方面，加强对企业内部数据流转的监控，从而在正常的网络流量中寻找异常行为。

5.复杂网络环境部署OSSIM

OSSIM的传感器安放位置，至关重要。很多人曾经都安装过sniffer嗅探器，在大型网络中这种做法并不像将主机接入网络那样简单。作为网络管理人员，应该清楚所管理网络环境的具体情况。如图 所示的就是一个某企业的网络拓扑结构。在交换式网络中采用端口镜像是捕获流量最简单的方法，但所使用的交换机必须支持端口镜像（Port Mirroring）功能，以及有一个空闲端口，可插入嗅探器。大多数中档以上的交换机都支持端口镜像功能，但支持程度不同。

图2 交换式网络中的Server/Sensor部署

• 注意：千兆网络环境中，在三层交换机上监控多个VLAN的流量有就有些吃力，交换机设置端口镜像后同样会是CPU占用率上升。具统计，当流量超过800MB/s时，在OSSIM分析数据包时会出现响应迟缓，伴随丢包现象出现，而且准确性迅速下降。

6.在特殊场景的应用

在一些特殊场合为了鉴别各种IDS的特性会同时使用多套IDS系统，比如安装OSSIM然后同时使用HP-Arcsight分析网络数据包（或IBM QRadar），这时传统端口镜像（SPAN）的方法无法满足。也就是说遇到需要将一个监测数据流传送给多台监测设备的情况采用SPAN无法满足。凡是需要将多个监测数据流传送到单台监测设备的情况SPAN同样无法满足。
• 注意：在网络核心设备上开启SPAN需慎重，如果CPU利用率长期超过20%,则不建议开启，以免影响网络性能。
对于这两种情况我们可以采用网络分流器的设备解决，它是一个独立的硬件，支持千兆甚至是万兆网络环境（比如Gigamon的方案），而且它不会对已有网络设备的负载带来任何影响，这与端口镜像等方式相比具有极大的优势,它的分流模式，是将被监控的UTP链路用TAP分流设备一分为二，分流出来的数据接入采集接口，为信息安全监控系统采集数据。

**7.利用OSSIM识别APT*****

许多遭受APT*的受害者所在单位拥有防火墙，防病毒系统，监控系统，但仍未能阻止威胁进入，这些系统未能感知到异常行为，直到损失被曝光。安全团队应考虑到当今复杂多变的网络威胁环境，可以假设其IT环境已被或间歇性遭受到不明来历的**，这时我们需要了解*的各个阶段的详细情况，包括对持续的威胁见识以及快速的检测。过去使用Cacti、Zabbix等工具，等到在系统中发现问题时已经到了完成阶段，者早已得手，并消失的无影无踪。要提高网络的可视化、提高对网络***的敏感性和处理高级威胁的速度，SIEM（安全信息和事件管理）是理想的平台，适合于目前企业中大规模集中数据安全分析。作为开源SIEM产品OSSIM具备了3个方面的能力：

（1）可视化-该技术获知异构的IT环境中，所发生的一切信息需要多种数据源，包括网络数据包捕获，和完整会话的重建以及来自网络设备、服务器、数据库的日志文件，需要将这些数据有效组织起来，通过图形化方式展现给用户，而且将各种视图统一的整合到一个位置，如图3所示。

图3 OSSIM中展示的各类***报警
（2）可扩展--收集安全数据的平台必须能在横向和纵向进行扩展，以处理来自企业内部和外部的海量安全事件，深入分析网络流量的同时会产生大量pcap文件，这会使安全分析平台的数据成倍增加，OSSIM通过分布式多层存储体系结构处理了密集型数据。

（3）可关联分析-具有一定的智能分析是因为内置的关联分析引擎的缘故。传统计算机安全机制偏重于静态的封闭的威胁防护，所以只能被动应对安全威胁，往往是安全事件发生后才处理，面对**，在过程中，检测到扫描、注入、暴力破解和漏洞利用时OSSIM的关联引擎从多数据源获得数据，通过抓包和多数据源收最大范围和深度收集有效信息，比如在应用系统日志中有相关登录失败等异常指标，进行主动安全分析，在事件发生阶段就发出预警信息，如图4~图6所示，通过这些可视化的报警以便管理员实现快速响应。

图4 发现网络扫描行为

图5 锁定可疑目标IP

图6 发现恶意程序

8.小结
虽然使用OSSIM系统可对我们了解发现APT有所帮助，在大型网络中对于APT防控仅通过一两套系统是不够的，检测和防御APT的研究工作需要长期、深入了解网络内部各个安全点之间的综合信息交换，加强硬件及软件的安全配置，加强相关安全人员的安全意识和技术培训，对网络流量及访问行为进行严格审计，制定更加详细的应对方案，并确保全面防护的高级预防和检测。