【免费】一种APT攻击分层表示模型1资源-CSDN文库

需积分: 0 10 浏览量 2022-08-04 12:23:04 上传评论收藏 354KB PDF 举报

一种APT攻击分层表示模型 APT（Advanced Persistent Threat，高级可持续性威胁）攻击是一种复杂的网络攻击形式，近年来越来越多地被应用于各种信息系统和工业控制系统中。然而，传统的攻击链模型无法很好地表示APT攻击的复杂性和多样性，无法准确地描述攻击的各个阶段和攻击手段。本资源提出了一个APT攻击分层表示模型（APT-HARM），该模型将APT攻击分为攻击链和攻击树两个层次。攻击链由侦察、渗透、行动和撤出四个阶段组成，每个阶段都有其特点和攻击手段。攻击树则是根据攻击链的逻辑关系组成的，描述了攻击的具体步骤和攻击手段。 APT-HARM模型的优点是可以更好地表示APT攻击的复杂性和多样性，提供了一个更加准确和细粒度的攻击表示方式。该模型可以用于APT攻击的预测和防范，提高信息系统和工业控制系统的安全性。 APT攻击的特点： 1. 复杂性：APT攻击具有复杂的攻击链和攻击树，攻击者可以使用多种攻击手段和技术来实现攻击。 2. 多样性：APT攻击可以应用于各种信息系统和工业控制系统，攻击目标和攻击手段多样化。 3. 持续性：APT攻击可以长时间地存在于目标系统中，攻击者可以不断地更新和改进攻击技术。 APT-HARM模型的组成： 1. 攻击链：由侦察、渗透、行动和撤出四个阶段组成，每个阶段都有其特点和攻击手段。 2. 攻击树：根据攻击链的逻辑关系组成的，描述了攻击的具体步骤和攻击手段。 APT-HARM模型的应用： 1. APT攻击预测：通过分析APT攻击的特点和攻击手段，可以预测攻击的可能目标和攻击方式。 2. APT攻击防范：通过使用APT-HARM模型，可以更好地防范APT攻击，提高信息系统和工业控制系统的安全性。 APT-HARM模型是一种有效的APT攻击表示模型，可以更好地描述APT攻击的复杂性和多样性，提高信息系统和工业控制系统的安全性。

资源详情

资源评论

资源推荐

Journal of Computer Applications ISSN 1001-9081 2016-【-10

计算机应用

,2016,

【

(

【

CODEN JYIIDU http://www.joca.cn

收稿日期: 2016-00-00; 修回日期:2016-00-00。基金项目: 国家自然科学基金资助项目（61402510）；陕西省工业科技攻关项

目（2016GY-087）

作者简介: 谭韧(1993—)，男，湖南娄底人，硕士研究生， CCF 学生会员(会员号 73493G)，主要研究方向：网络与信息安全；

殷肖川(1961—)，男，湖北武汉人，硕士生导师，博士，主要研究方向：网络与信息安全，数字水印技术；廉哲(1993—) 男，

山西运城人，硕士研究生，主要研究方向：网络与信息安全；陈玉鑫

(1993

—

)

男，甘肃兰州人，硕士研究生，主要研究方向：

网络与信息安全。

文章编号

:1001-9081(2016)

【

-0000-00 doi:10.11772/j.issn.1001-9081.2016.

【

.0000

一种 APT 攻击分层表示模型

谭韧

，殷肖川

，廉哲

，陈玉鑫

(1.空军工程大学信息与导航学院，陕西西安 710077)

(*通信作者电子邮箱 redstorm@live.cn)

摘要

针对攻击链模型攻击阶段划分过细且无法表示攻击手段的问题，提出了一种

APT

攻击分层表示模型

（APT-HARM）。通过总结分析大量公开的 APT 事件报告和参考 APT 攻击链模型与分层攻击表示模型（HARM），将 APT

攻击分为攻击链和攻击树上下两层，并将其形式化定义。首先将 APT 攻击分为由侦察、渗透、行动和撤出四个阶段组成的攻

击链，并研究了各阶段特点；然后研究各阶段中采取的攻击手段，并依据其逻辑关系组成攻击树。APT 攻击按照攻击链分阶

段依次进行，各阶段按照攻击树流程依次执行。案例分析表明，本模型相较攻击链模型具有粒度划分合理，攻击描述完备准

确的优点。

APT-HARM

形式化地定义了

APT

攻击，为

APT

攻击的预测和防范提供了一种思路。

关键词: 高级可持续性威胁；攻击链；攻击树；分层攻击表示模型

中图分类号

:TP309

文献标志码

: A

A Hierarchical Representation Model of APT Attack

TAN Ren

1,2

, YIN Xiaochuan

, LIAN Zhe

, CHEN Yuxin

(1. Information and Navigation College, Air Force Engineering University, Xi’an 710077, China)

Abstract: The attack chain model was too small-grained in representing APT attack phase and cannot indicate the attack method. To

solve this problem, a hierarchical attack representation model of APT attack (APT-HARM) was proposed. By analyzing the APT event

report and referring to the APT attack chain model and the hierarchical attack representation model (HARM), the APT attack was

divided into two layers, the upper layer attack chain and the lower layer attack tree. Firstly, the APT attack was divided into four phases

of reconnaissance, infiltration, operation and exfiltration and the characteristics of each stage were studied. Then, the attacking method

in each stage was analyzed, and the attack tree was composed according to its logical relations. APT attacks were carried out in stages

according to the attack chain, and the attack of each stage was performed in accordance with the attack tree. The case study shows that

the model has the advantages of reasonable granularity classification and better attack description compared to the attack chain model.

APT-HARM formally defines the APT attack, which provides an idea for the prediction and prevention of APT attacks.

Keywords: Advanced persistent threat(APT); attack chain; attack tree; hierarchical attack representation model(HARM)

引言

现代社会的运转已经愈发离不开互联网，各类信息及工

业控制系统，例如金融、交通、电力系统等，都需要互联网

支撑其正常运转。而高级可持续性威胁（Advanced Persistent

Threat

，

APT

）

[1]

攻击的出现，给网络空间安全提出了一个棘

手的挑战。APT 的类型可分为两种：其一是窃密型，即入侵

目标系统后窃取知识产权及其他信息，例如

2011

年

月发

生的 Duqu APT 攻击

[2]

；其二是破坏型，即入侵目标系统后

破坏数据，软件甚至是硬件设施，例如

2010

年发生的

Stuxnet

APT 攻击

[3]

。无论是窃密型还是破坏型 APT 攻击都能给运行

在互联网上的信息系统造成严重危害。

Symantec 和 ANRC 相继发布白皮书指出

[4,5]

，APT 攻击

目标极为明确，具有很强的反侦察能力，同时拥有高级而复

杂的攻击工具与手段，一般使用一个或多个 0day 漏洞

[6]

实施

攻击，因此防病毒软件很难检测并从系统中清除恶意代码。

而

APT

攻击往往持续几个月甚至几年，可疑流量基本隐藏在

正常流量当中，这给传统的入侵防御系统提出了极大的挑战。

因此，为了增强对

APT

攻击的防御能力，有必要对

APT

攻

2 计算机应用第 35 卷

击的攻击阶段，攻击目标和攻击方法展开研究，建立形式化

模型，从而有针对性地防范

APT

攻击。

Hutchins 等人

[7]

针对常规的网络防御手段（例如入侵检

测系统和防病毒系统）难以防范手段复杂多样的

APT

攻击的

问题，以阻止

APT

攻击为目标，通过对各阶段攻击特点的分

析，最先提出了

APT

攻击

阶段攻击链模型（

Intrusion Kill

Chain

，

IKC

）。第一阶段是侦察，进行信息搜集和目标选择；

第二阶段是武器化，进行 APT 恶意程序制作；第三阶段是传

播，将恶意程序释放到目标系统；第四阶段是漏洞利用，运

用操作系统和应用程序的漏洞触发恶意程序；第五阶段是安

装，即安装远程控制软件或者后门程序；第六阶段是指控，

即恶意程序与外部攻击者建立指控通路，使得攻击者能够控

制内部网络；最后一个阶段是行动与目标，即实施破坏或是

窃取信息。文中指出，攻击链中各阶段均按照顺序执行，任

一阶段被阻止都会使得攻击失败。IKC 模型使用攻击链来同

时描述 APT 攻击的各个阶段以及其攻击手段，这样带来了从

攻击阶段考虑表示粒度过细，而从攻击手段考虑表示粒度过

粗的问题。

Symantec

公司先后在文献

[4]

和文献

[8]

中提到了

APT 攻击链，前者依次包含入侵，发现，获取和渗出四个阶

段，后者在入侵阶段之前加入了侦察阶段。该攻击链模型较

好的说明了 APT 攻击各阶段特点及典型的攻击方法，但是没

有对 APT 攻击进行形式化描述，难以对其进行有效运用。Li

等人

[9]

更进一步地提出了 APT 攻击 4 阶段攻击模型，分别是

准备阶段，进入阶段，驻留阶段和收割阶段。准备阶段主要

完成信息搜集和恶意软件开发；进入阶段主要完成社会工程

学攻击和直接攻击；驻留阶段完成内网信息搜集、提升权限、

远程控制和横向移动

[10]

；收割阶段主要完成信息回传和痕迹

清理工作。文中也介绍了最新的社会工程学方法，如鱼叉式

网络钓鱼

[11]

和水坑攻击

[12]

。但是该模型只分析了窃密型

APT

攻击而没有对破坏型 APT 攻击进行分析，也没有对 APT 攻

击进行形式化定义。业界提出的渗透测试标准

PTES

[13]

以攻

击者的视角详细说明了一次网络攻击的攻击流程，包括情报

搜集，威胁建模，漏洞分析，渗透攻击和后渗透攻击等。在

每一个流程阶段都有相应的攻击要素和攻击方法，这对针对

性防范 APT 攻击提供了参考。廉哲等

[14]

针对 APT 防御态势

获取问题，使用软件定义网络（

Software Defined Networking

，

SDN）技术架设虚拟蜜网。通过诱骗诱骗攻击者对网内节点

进行攻击，可记录攻击行为并加以分析。

从 Hutchins 等人提出 APT 攻击链的 7 个阶段开始，IKC

模型便广泛运用在

APT

攻击的表示中。该模型能够十分清晰

的描述 APT 攻击进行的流程以及各个阶段的主要特点，但是

没有对各阶段的主要攻击手段进行详细分析，同时也没有对

模型进行明确的形式化描述。而

APT

攻击与传统的网络攻击

有着较多不同，各阶段攻击手段之间存在着较为复杂的组合

关系，单纯使用攻击链模型难以对其进行描述。针对上述问

题，本文通过总结大量公开的 APT 攻击分析报告，结合

HARM

模型

[15]

提出一种

APT

攻击分层表示模型

APT-HARM(APT Hierarchical Attack Representation Model)，

给出了

APT

攻击的形式化定义，并利用相关

APT

攻击案例

对模型进行了对比说明。

1 APT

攻击表示模型

本文形式化的定义了两层的 APT 攻击分层表示模型

APT-HARM

。分别为上层的攻击链和下层的攻击树。

1.1 相关定义

定义

1 APT-HARM

由三元组

( , , )L AC AT M

表示。

指模型上层的攻击链，

指攻击链中某一阶段。

指

模型下层的攻击树，

表示某一攻击阶段对应的攻击树。

M AC AT 

指

到

的映射关系。

定义

攻击链

位于

APT-HARM

的上层，由有向图

( , )C S E

表示。其中

是攻击链中

的有限集；

{( , , )}

i j i

E ac ac O

，表示

阶段完成目标

后可以迁移到

阶段。

定义

攻击树

位于

APT-HARM

的下层，由三元组

( , , )T M W G

表示。其中

表示可能采取的攻击手段或攻

击子树的有限集，

表示集中元素；

指以

{( , )}children gate

形式表示的二元组，其中

children

表示当

前子树中的

{ }

，

{ , }gate AND gate OR gate - -

；

为当前

攻击树的目标，整棵树的目标是完成

中的攻击目标

。

定义

原子攻击是指

APT

攻击中不可再分的攻击形态。

一种攻击手段只可能是或不是原子攻击，非原子攻击由原子

攻击组成。

1.2 攻击链

本文提出了以侦察（

Reconnaissance

）、渗透（

Infiltration

）、

行动（Operation）和撤出（Exfiltration）的 4 攻击阶段攻击

链

RIOE

。

1.2.1 侦查阶段

侦察阶段

主要完成对攻击目标的信息搜集工作的目

标

。手段主要包括主动信息侦察、被动信息侦察和半被动

信息侦察。在主动信息侦察中，攻击者要主动连接目标进行

侦察，其主要的行为特点是扫描（Scanning），这种侦察方

式能够获取到第一手且准确的信息，但由于主动信息侦察可

能会被目标系统的网络防护设备发现，因此较少运用。在被

动信息侦察中，攻击者不会发送任何流量给目标，只使用公

开的第三方信息，这种侦察方式足够隐蔽，但是通过第三方

获取到的信息可能过时甚至不正确。尽管如此，由于不会被

目标系统所发现，被动信息侦察往往是 APT 攻击者的首选。

剩余7页未读，继续阅读

评论收藏

内容反馈

蓝洱

粉丝: 28
资源: 316

一种APT攻击分层表示模型1

评论0

最新资源

一种APT攻击分层表示模型1

评论0

基于分类模型的APT攻击检测与场景构建

基于危险理论的APT攻击实时响应模型

基于大数据的APT攻击检测.pptx

[APT攻击]深度科技的-anything快速检索”技术研究.zip

爱建证券_20161031_多因子系列之一：多因子模型梳理探索.pdf

基于进化神经网络模型的网络安全态势要素提取方法研究.pdf

车联网（智能网联汽车）网络安全分析与发展建议.pdf

论文研究-无线Ad hoc分层攻击仿真模型.pdf

一种基于分层模型的TSP构建算法

面向分布式网络结构的APT攻击双重博弈模型.pdf

动态不确定环境下的决策：一种分层决策模型*) (2005年)

「技术分析」Folk_Theories_of_Security_&_Privacy - 安全活动.zip

16.MQTT篇1

HPLFlowNet:我们的 CVPR 2019 论文 HPLFlowNet 的代码

Python web接口开发与测试

分层深度视频中一种新的表示与压缩方法

一种适用于分层卫星网络的区分服务模型 (2011年)

一种基于深度学习的半监督分层模型.pdf

华为unix 培训资料

Python Web 接口开发与测试

liunx资料 liunx资料 liunx资料 liunx资料

计算机操作系统（基于UNIX）

linux实验指导书

最新资源