打开文本图片集

摘要：随着物联网万物互联技术的发展，网络威胁带来的危害从网络空间穿透到现实世界，以高级持续性威胁为代表的未知复杂网络攻击严重影响了国计民生。网络空间安全已成为政府、国防安全的核心问题。此类攻击具有重点目标，长期潜伏的特点，如何利用各类安全设备捕获的信息进行关联分析，变得尤为重要。在分析复杂网络攻击原理和特点的基础上，提出了基于ATT&CK杀伤链模型结合长短期记忆网络对攻击行为进行时空关联的智能威胁检测方法。为检测复杂网络攻击的应用和实践提供了一种新的思路。

关键词：复杂网络攻击，入侵检测，ATT&CK框架，网络杀伤链，长短期记忆网络

1 引言

近年国家间网络空间对抗持续加剧，以乌克兰大停电，伊朗震网病毒等高级持续性威胁攻击事件为代表的复杂网络攻击行为频发，严重影响了国计民生。此类攻击的目标十分明确，通常是由高水平的专业黑客组织对特定对象展开的持续性的网络攻击活动。与传统网络攻击不同，未知复杂网络攻击行为具有“重点目标”和“长期潜伏”的特性，难以发现但造成的危害极其严重[1]。如何及时检测进而防御复杂网络攻击具有重要的理论和现实意义。

针对复杂网络攻击国内外学术界、研究机构等站在不同的视角开展了大量研究，其成果主要集中在入侵检测技术方面。入侵检测技术总体上可分为误用检测和异常检测，前者通过定义网络入侵的特征码签名，基于模式匹配判断网络系统中的流量、用户操作，系统调用等实体行为是否包含入侵行为[2-4];后者采用机器学习的方法，通过收集正常数据训练行为模型，当网络中出现偏离该模型限值的情况时会被认为是网络攻击行为[5，6]。上述研究成果对于改善高级持续性威胁事件的检测水平起到了重要作用，但是也仍然存在如下问题。一方面，基于签名的检测方法无法识别未知攻击行为。通常它们对网络中的各种行为与规则库中的行为特征码进行匹配，当匹配成功时，判定该行为是恶意活动并发出警报。这些系统都有一个限制，即如果攻击的签名在数据库中不存在，则无法对其进行检测[7]。另一方面，基于统计机器学习的检测方法，对未知威胁的检测具有一定的泛化能力，但是对于攻击持续时间长、攻击行为频率低的复杂网络攻击的检测仍然存在误报率较高的问题，很难在海量正常行为的数据中正确捕获异常行为信息[8]。

针对上述检测中存在的长时间间隔下未知复杂网络攻击准确检测难的问题，本文对复杂攻击原理进行分析研究，提出一种基于ATT&CK战术框架和长短期记忆网络的神经网络检测模型，通过对复杂网络杀伤链中相关的网络行为进行加权关联，并采用长短期记忆网络模型对攻击行为的时间维度特征进行捕获，提高对复杂网络攻击的检测识别性能。

2. 关键技术

2.1 网络杀伤链模型

复杂网络攻击行为不单纯的是破坏行为，通常攻击者分多个阶段逐步渗透，获得更多的资源和更高的权限，进而在目标系统内部创建持续据点并最终实现窃取数据和破坏重点目标的目的。因此需要引入复杂网络攻击行为模型，将攻击过程的各个阶段的攻击行为进行关联分析[9]。经典网络杀伤链也称为网络攻击生命周期，是美国航空航天制造商洛克希德·马丁公司开发的一个模型，用于描述有针对性的网络攻击的各个阶段，以便它们可以用于保护企业的网络。它分解了恶意软件攻击的每个阶段，协助防御者识别潜在攻击的每一阶段可疑活动。如果未能在某一阶段中发现攻击步骤，也可以在后续阶段中找到线索，以期尽早发现并阻止攻击行为，最大化防御效果。通过杀伤链模型对恶意攻击的逻辑关系进行建模，为网络安全事件攻击检测、追踪溯源、和攻击预测提供了先决条件。

如图1所示，网络杀伤链模型包含以下7个攻击阶段。侦查跟踪通常将充分利用社会工程学了解目标系统和网络信息。武器构建主要是指制作定向攻击工具，例如带有恶意代码的pdf文件或office文件。载荷投递将输送攻击工具到目标系统上，常用的手法包括邮件的附件、网站、U盘等。攻击利用是利用目标系统的应用或操作系统漏洞，在目标系统触发已制作的攻击工具运行。安装植入与互联网控制器服务器建立一个命令与控制信道。通信控制是指执行所需要得攻击行为，例如偷取信息、篡改信息等。最后达成目标阶段创建攻击据点，持续潜伏，扩大攻击战果。

2.2 长短期记忆网络

与典型神经网络不同，循环神经网络[10]内置循环的网络，允许信息持续存在，从而能够对输入时间点前后的事件进行关联。循环神经元网络结构允许信息从网络的一个步骤传递到下一个步骤。可以将RNN视为一个网络的在不同时刻的复制，每个复制都将消息传递给下一个时刻，因此RNN具备处理事件序列“长期依赖性”问题。然而在实践中RNN模型对于学习“长期依赖”的能力仍然存在不足，并且会存在梯度消失的问题。因此，一种特殊结构的RNN，即长短期记忆网络结构被提出[11]。如图2所示，LSTM对RNN中的神经单元进行了扩展，引入了3个门，即输入门、遗忘门和输出门，以及记录额外的信息的记忆细胞。

具体来说，令隐藏单元个数为h，给定时间步为t，输入为Xt，上一时间步隐藏状态Ht−1， 时间步t的输入门It、遗忘门Ft和输出门Ot，计算过程如公式1所示。

其中的Wxi， Wxf， Wxo， Wxc和Whi， Whf， Who， Whc是对应的权重参数，bi， bf， bo， bc是对应的偏差参数。

3. 复杂网络攻击检测框架

3.1 ATT&CK模型

前面所述经典网络杀伤链模型在高维度理解攻击过程有帮助，但是无法有效描述对手在单个漏洞的行为。ATT&CK模型[12]，是一个MITRE提出的站在攻击者的视角来描述攻击中各阶段用到的技术的模型。将已知攻击者行为转换为结构化列表，将这些已知的行为汇总成战术和技术，并通过几个矩阵以及结构化威胁信息表达式、指标信息的可信自动化交换来表示。由于此列表相当全面地呈现了攻击者在攻击网络时所采用的行为，因此对于各种进攻性和防御性度量、表示和其他机制都非常有用。多用于模拟攻击、评估和提高防御能力、威胁情报提取和建模、威胁评估和分析。

ATT&CK战术框架模型将入侵期间可能发生的情况，做出更细的画分，区隔出11个策略阶段。包括：入侵初期、执行、权限提升、防御逃避、凭证访问、发现、横向移动、收集、渗透、指挥与控制。同时，针对攻击方在每个阶段，MITRE也将所使用的手法工具搜集起来，归类为知识库，如此一来，将有助于我们理解攻击者具备的能力。本文提出将ATT&CK战术框架所提供的攻击行为知识库与网络杀伤链模型相结合，对复杂网络攻击中涉及的安全相关战术和技术进行更好的覆盖。基于ATT&CK战术框架对复杂攻击的渗透行为进行系统性建模，分别将其中涉 及的攻击技术与ATT&CK中的“技术”或“子技术”进行对应，涵盖8种“战术”，共涉及42 种“技术”或 “子技术”，具体分布情况如图3所示。

3.2 LSTM自编码器

如图4所示，编码-解码模型[13]，常应用于序列建模。其中编码器将输入序列转化成一个固定长度的向量，解码器解码，将之前生成的固定向量再转化成输出序列，并基于模型重新创建输入序列的能力来评估模型的性能。该模型框架本质是实现直观表示（例如词序列或图像）和语义表示之间往返映射。编码器和解码器都不是固定的，例如可以在编码时选择使用经典循环神经网络（RNN），解码时使用长短期记忆网络（LSTM）。自编码器计算流程如公式2所示。

3.3 检测框架

结合以上定义，基于扩展杀伤链和LSTM的复杂网络攻击检测方法的总体框架如图5所示，具体可以分为以下四个步骤。

（1）ATT&CK杀伤链映射 将宽度为j的窗口内的网络事件序列ei-j，…ei-1，ei输入至LSTM，与此同时，对事件与扩展杀伤链模型进行映射;

（2）事件权重更新 根据杀伤链映射的结果获得各个事件ei的权重wi，并将其更新至（1）已输入至LSTM模型的事件序列中;

（3） 事件序列表示学习 使用LSTM模型来结合不同时刻事件的信息提取事件的变化特征，并进行表示向量的学习，将该窗口内的整个事件序列表示成一维的向量;

（4）流数据的异常检测 使用成熟的数据流上的异常检测算法RRCF[14]给出异常分数。为了确定异常事件序列，可以设定一个阈值并认为分数超过阈值的序列存在异常。

4. 结语

现有网络攻击防御措施主要侧重于检测固定模式的网络攻击行为，对复杂网络攻击检测效果不佳。本文在分析复杂网络攻击原理和攻击特点的基础上，提出了一种新的复杂网络攻击检测的方法。在经典网络杀伤链模型基础上，考虑内部威胁部分，提出了扩展杀伤链模型，并结合LSTM神经网络模型对网络行为进行广泛关联，为复杂网络攻击检测的应用实践提供了一种新的思路。

虽然本文提出的方法在时间和空间上对复杂网络杀伤链条中相关的网络行为进行关联，从而一定程度上可以提高对复杂网络攻击的识别能力，但是一方面扩展杀伤链模型的仍然存在颗粒度不够精细的问题。另一方面，随着网络事件序列长度的增长，检测的准确率将出现下降趋势。在今后的工作中，我们将寻找解决这些问题的方法。

参考文献：

[1] 孙增. 高级持续性威胁（APT）的攻防技术研究[D]. 上海交通大学.

[2]陶晓玲， 周理胜， 龚昱鸣. 基于角标随机读取的Snort报警数据聚合方法：， CNKI：SUN：GLDZ.0.2019-04-008[P]. 2019.

[3]Karim I， Vien Q T . Snort-based intrusion detection system for practical computer networks： implementation and comparative study[J]. 2017.

[4]More S， Matthews M ，  Joshi A ， et al. A Knowledge-Based Approach to Intrusion Detection Modeling[M]. 2012.

[5]王竹晓，张彭彭，李为，等. 基于深度Q网络的电力工控网络异常检测系统[J]. 计算机与现代化， 2019， 000（012）：114-118.

[6]张蕾， 崔勇， 刘静，等. 机器学习在网络空间安全研究中的应用[J]. 计算机学报， 2018（9）.

[7]高昆仑，辛耀中，李钊，等.智能电网调度控制系统安全防护技术及发展[J].电力系统自动化，2015，39（1）：48-52. DOI： 10.7500/AEPS20141014013.

[8]刘海波， 武天博， 沈晶，等. 基于GAN-LSTM的APT攻击检测[J]. 计算机科学， 2020， v.47（01）：287-292.

[9]Hutchins EM， Cloppert MJ， Amin RM. Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains. Leading Issues in Information Warfare & Security Research. 2011 Apr;1（1）：80.

[10] Elman JL. Finding structure in time. Cognitive science. 1990 Mar;14（2）：179-211.

[11] Hochreiter S， Schmidhuber J. Long short-term memory. Neural computation. 1997 Nov 15;9（8）：1735-80.

[12] Strom BE， Applebaum A， Miller DP， Nickels KC， Pennington AG， Thomas CB. Mitre att&ck： Design and philosophy. InTechnical report 2018 Jul. The MITRE Corporation.

[13] Liou CY， Cheng WC， Liou JW， Liou DR. Autoencoder for words. Neurocomputing. 2014 Sep 2;139：84-96.

[14] Guha S， Mishra N， Roy G， et al. Robust random cut forest based anomaly detection on streams. In： Proc. of the Int’l Conf. on Machine Learning （ICML）. 2016. 2712−2721.