基于活动行为特征的APT攻击检测方法研究

JournalofHenanScienceandTechnology

信息技术

基于活动行为特征的APT攻击检测方法研究

赵刚朱丽肖毅

（成都川大科鸿新技术研究所，四川

成都610064）

摘要：作为网络运营环境中的一项安全隐患，APT攻击凭借专业性、隐匿性的攻击模式，非法窃取网络用户

的数据信息，严重扰乱整体网络环境。基于此，本文论述了APT攻击行为，分析了APT攻击检测形式，并以活动行为特征为载体，对APT攻击检测方法进行研究。关键词：活动行为特征；APT；攻击检测方法中图分类号：TP309

文献标识码：A

文章编号：1003-5168（2020）17-0038-03

ResearchonAPTAttackDetectionMethodBasedonActiveBehavior

Characteristics

（ChuandaKehongNewTechnologyInstituteofSichuanUniversity，ChengduSichuan610064）

ZHAOGangZHULiXIAOYi

Abstract:Asapotentialsecurityhazardinthenetworkoperatingenvironment,APTattacksrelyonprofessionalandvironment.Basedonthis,thispaperdiscussedtheAPTattackbehavior,analyzedtheAPTattackdetectionform,andtooktheactivitybehaviorcharacteristicsasthecarriertostudytheAPTattackdetectionmethod.Keywords:activitybehaviorcharacteristics；APT；attackdetectionmethod开源式、分布式的网络运营环境中，数据信息传递呈现一定的规律性。对于用户来讲，此类规律特征属于一种定向化的指令操控行为；对于具有记忆功能的网络系统来讲，它将实现自主优化，为用户提供更为便捷的模式。但受用户操作行为的差异性影响，它将为网络病毒及攻击者提供可乘之机，进而令网络用户的数据信息丢失。现阶段，网络安全影响性最大的网络攻击行为是APT攻击模式，此类攻击手段可全方位地渗透到网络结构中，针对信息目标进行全过程跟踪，查验数据信息存在进行窃取。APT攻击模式具有周期性长、隐蔽性高、影响面大特点［1-2］，对于综合性、复杂性运营的网络结构来讲，将带来一定的挑战。为保证网络环境下用户信息安全，相关技术部门必须针对APT攻击特性进行分析，查证出APT攻击路径及攻击预期行为，以制定多方位的安全保

收稿日期：2020-05-11

的运行规律，然后潜伏在数据库内，对网络结构内的信息

covertattackmodestoillegallystealdatainformationfromnetworkusersandseriouslydisrupttheoverallnetworken⁃

障机制，提高网络运营质量。

1

APT攻击行为概述

2008年底，网络间谍组织对很多国家的计算机系统进行攻击，窃取关键信息，此类攻击形式具有针对性、复杂性。攻击者具备专业的计算机知识，通过建立网络结构的信息节点，入侵既定的网络攻击目标，达到非法窃取信息的目的。此类攻击形式具有一定的潜伏特性，现有的网络安全防护机制难以查验出攻击行为所产生的异常状态。APT攻击过程一般可分为三个阶段。

1.1

在对网络系统发起攻击前，攻击者先收集网络系统目标的相关信息，如系统信息、软件信息、整体配置等。当然，因目标用户所在网络环境中的运行行为不同，攻击

前期准备阶段

高级持续威胁攻击（APT）形式的出现最早可追溯到

基金项目：四川省科技计划项目“自组织广域应急通信无线覆盖系统的设计与产业化”（2016FZ0005）；四川省科技计划项目“融合网络空间的高级持续性威胁（APT）深度动态防御解决方案及产业化”（2016GZ0042）。作者简介：赵刚（1966—），男，硕士，教授，研究方向：信息与通信工程；朱丽（1990—），女，本科，研究方向：艺术设计；肖毅（1986—），男，本科，研究方向：专业方向为计算机科学与技术（软件工程）。

Copyright©博看网 www.bookan.com.cn. All Rights Reserved.第17期

基于活动行为特征的APT攻击检测方法研究

·39·

者收取情报的手段呈现出多变性。例如，采用人工记录形式、网络爬虫形式等，获取与分析目标在网络环境中产生的信息行为，进一步找出网络结构内系统存在的漏洞，并以此漏洞为核心，制定多方位的入侵计划。

1.2

前期入侵方案制定完毕以后，攻击者便选取适当的攻击手段来入侵目标所在的网络环境。通常，攻击者会对不具备网络安全意识的用户采取攻击行为。例如，发送带有病毒的窗口链接或者是带有病毒的电子邮件，当员工邮件或网页被浏览时，内部存在的恶意代码或病毒将自动由网络协议入侵到用户的信息业务层，以抓取用户的信息传输路径。此类恶意代码及病毒属于安全协议下的传输行为，以操作系统的漏洞来实现病毒渗透，一旦用户打开邮件或网页，即对内部信息的传输进行认可，而此时计算机安全防护系统将把此类信息界定为安全信息。

1.3

持续攻击阶段攻击入侵阶段

毒渗透，可直接侵入顶层权限设备，以窃取计算机设备内的各类信息资源。当完成数据资源的窃取时，病毒仍然不会停止对计算机的攻击，甚至将进一步扩大病毒损害，对计算机设备的物理层进行毁灭性打击，计算机设备内的数据信息完全丢失。

2

APT攻击检测形式

信息化时代，大型网络攻击事件频发，APT高级持续威胁攻击也逐渐成为一种定性的攻击框架。依据各类攻击事件的回顾，大多数APT攻击具有潜伏性和持续性，通过潜入特定病毒，分析系统内部信息变化规律，然后通过信息传输路径找寻和盗取核心数据。目前，网络安全防护对于APT攻击行为的检测主要分为两种形式［3-5］。

2.1

网络入侵检测模式主要界定APT攻击信息的边缘范畴，将防护与检测相结合。其检测机理是以APT内的恶意代码建构指令为框架，对APT攻击行为进行检测。尽管此类检测机制可对APT在网络边界处的入侵行为进行检测，但是其无法正确诊断APT攻击方式，在多元化攻击方式下，将难以对APP攻击行为进行针对性检测。

2.2

恶意代码检测模式是一种基础检测手段，主要作用

恶意代码检测模式网络入侵检测模式

此类攻击阶段可以看成是病毒在网络系统中的纵向发展阶段。当系统未发现内部信息所存在的病毒时，病毒将沿着网络结构内信息传输路径渗透到各个信息承载节点上，然后将数据设备的承接载体进行程序化控制。当控制完设备以后，逐步对权限进行开放设定，令后续病

表1计算机用户数据行为

数据行为ExtractModifiedReaddirTouchWrithttpRemoveOpenLoad

名称进程加载释放文件文件打开文件修改文件删除遍历目录文件重命名文件创建截断文件文件写入协议请求数据包发送内存释放进程写入内存属性修改内存读取内存写入注册表创建注册表读取设备打开窗口查找

频率0.0008970.0008170.2013510.0030150.0015880.0581260.0009490.0030450.0079540.0047800.0009250.0092480.0041850.0778360.0031220.0322690.0008360.0069350.4865180.0265780.002430

频数1202411938420011039390149211878668289471098299341127106

RenameTruncate

6295

FreevmPaprotOpen

Send

WritevmOpenkeyOpendevFindwndMkkey

Readvm

482961864184

Copyright©博看网 www.bookan.com.cn. All Rights Reserved.·40·

基于活动行为特征的APT攻击检测方法研究

第17期

于APT，分析网络内单体节点的攻击，其针对APT网络环境下的恶意代码传输进行检测，有效防护计算机用户的硬件设备。恶意代码检测模式具有很强的针对性，可精准查验出APT攻击行为，但大数据时代，网络数据信息趋于整合，其将为恶意代码的输入提供耦合场所。恶意代码检测机制将消耗大量资源来核验内部数据信息，增加网络运营模式的冗余性，降低数据信息在网络内的传输质量。

3

基于活动行为特征的APT攻击检测方法

量之间的相关性，然后将特征向量数据信息模型中映射出的值量从大到小进行有序排列，分析出木马病毒在网络数据结构中的向量表性特征。在进行数据界定时，针对网络结构内的可疑程序，可建构一种虚拟映射环境，将信息行为所表现出的特征量同步转移到虚拟环境的网络架构中，然后将此类信息节点所呈现的特征向量当成病毒与程序器之间的输入载体，最后通过相关算法，正确界定出信息节点特征量所呈现出的线性关系。

APT攻击检测体系一般可分为两个系统。一是采集

系统，对网络架构内的信息流量业务、协议传输模式、特

在对网络用户进行攻击时，APT攻击行为信息网络环境中的传输模式呈现出对等话。在查验网络系统内的病毒环境时，人们需要分析计算机用户不存在病毒的数据行为，以便更加精准地分析出病毒。在某一时间段内，计算机用户的数据行为如表1所示。

由表1数据可知，用户使用计算机设备时，各项数据呈现出一定的规律性，即便数据偏差出现变动，变动范围也将呈现出一定的区域性。在对计算机用户进行入侵时，APT攻击发起的是针对性攻击行为，依据用户信息获取形式，将病毒渗透到信息传输路径中，但在攻击存在的生命周期内，病毒及恶意编码程序的侵入将在网络运营路径中留下相关痕迹。以木马病毒的侵入为例，从活动行为特征来看，木马病毒在侵入内部系统时将会在网络结构内植入数据信息，其内部活动行为产生的向量特征与计算机程序呈现分离特性，这就为计算机内木马病毒的合法实现路径提供有效载体。在具体识别中，计算机安全防护体系未能针对木马病毒的特征向量，分析出木马病毒的行动轨迹。从木马病毒的生存特点来看，其在计算机网络体系中可分为三个层面，即病毒植入、病毒潜伏、病毒触发，每个病毒执行层面都有与之相对应的向量特征。例如，病毒植入方面，承接计算机设备运行的遍历目录与注册创建，两者的出现频数、出现频率与基准参数有一定偏差，当然，此类偏差与计算机用户正常操作所产生的动态差异相比，相差较为明显，一旦此类数据表现异常，应针对此类信息节点所产生的特征向量进行测定。

为最大限度地提高木马与计算机内程序之间的分离效率，依托特征向量算法与模糊识别算法，对数据库内信息参数的特征向量进行维数分析。人们可以通过信息量之间的恒定差别来界定出特征向量组与信息节点基准向

征匹配等信息进行整合。二是分析系统，对采集系统传递的信息进行写入，然后对信息内特征向量与基准向量进行比对，判定信息安全事件，如果信息存在安全问题，将自动触发告警事件并将其写入系统。APT攻击检测系统是针对攻击行为而设定的，考虑到APT攻击行为的不可避免性，要想最大限度地检测攻击行为，必须结合网络运营环境来制定完整的防护计划，避免因用户操作不当而造成病毒进入系统，最终提高网络运营质量。

4

结语

网络运营环境下，APT攻击行为对网络用户造成的影响较为严重。网络安全技术部门必须针对APT攻击行为制定全方位的管控机制，深入分析APT攻击行为，结合网络运营模式，制定有效的解决措施。未来，要从技术、人员操控以及法律法规角度来建构多维度的安全防控机制，为网络安全环境的常态化运行提供基础保障。

参考文献：

［1］余建，肖香梅，余琼.校园网中一种基于路径关联的APT检测系统关键技术研究［J］.龙岩学院学报，2018（2）：53-60.会2017年学术年会.2017.

［3］郑生军，范维，李大威，等.一种基于特征检测的APT攻击防御方案［J］.信息技术，2017（7）：87-90.

［4］宋庆峰.基于全流量大数据分析技术构建电视台总控APT攻击检测系统方法初探［C］//中国新闻技术工作者联合会2015年学术年会.2015.

［5］胡楠，冉冉，吕旭明，等.基于网络APT攻击防护的网络［2］菅华.浅谈APT攻击的检测和防御［C］//内蒙古通信学

安全预警技术［J］.电气应用，2015（1）：340-342.

Copyright©博看网 www.bookan.com.cn. All Rights Reserved.