浅析企业安全中的失陷主机检测

        随着目前信息技术的迅猛发展，企业内部网络威胁形式呈现了多样化、复杂化的特点，也面临着如APT攻击等新一代威胁的挑战，这一类威胁不仅传播速度更快，其利用的攻击面也越来越宽广，在这种威胁的常态下仅仅依靠传统的防火墙、入侵检测等安全防护设备已经不能完全满足企业用户的网络安全防护需要。以网络安全PDR模型来看，传统网络安全还是以“防护（P）”为主，但是随着攻击技术的发展，原有的防御手段不能满足需求时，攻防的平衡被打破，整个安全体系出现了缺失，因此，为了满足企业应对新形势威胁的安全防护需求，需要加强PDR模型中“检测（D）”和“响应（R）的安全防御能力，以使得整个安全体系重新恢复平衡，这其中在现阶段又以检测能力最为关键。

        失陷主机检测，是企业应对新形势威胁的有效检测手段之一，其通过检测分析手段，快速定位攻击行为，并对攻击行为进行溯源，做到在攻击行为产生恶劣影响之前及时感知已失陷的主机，从而做到提前预警及快速响应，以降低恶意攻击行为对企业内网造成的影响和损失。失陷主机通常是指网络入侵攻击者以某种方式获得控制权的主机，在获得控制权后，攻击者可能以该主机为跳板继续攻击企业内网的其他主机；另外，失陷主机往往具有无规律性、高隐蔽性的特点，很多入侵动作本身难以识别或无法确认攻击是否成功，但通过攻陷后的各种动作可以判断该主机已经被攻陷。通常可以通过以下任一种行为，判断该主机可能已经失陷：

• 通过分析确认主机已经遭到了外部攻击，并发现有以该主机为发生源对内网发起攻击事件；
• 通过安全事件分析，发现主机行为异常，如外联可疑IP地址，对外或对内大流量数据传输，有蠕虫或木马传播行为等；
• 通过安全事件分析，能够识别出主机上存在多阶段攻击中的交互动作。

        一般的，内网环境下，只要有主机发起攻击，即说明该内网主机已失陷，而某些异常行为和动作需要配合其他攻击行为才能确认失陷。

        对于失陷主机的检测，通常需要通过传统的部署在企业内部网络边界的入侵检测/防护系统、Web应用防火墙等安全设备来捕获外部对企业内网各种入侵攻击事件的原始数据，然后对这些数据进行深度加工，关联分析处理后才能得到主机失陷的准确信息。但是往往由于传统安全设备上每日都会产生大量的安全事件和运行日志等安全数据，其数据量可能非常巨大，而且各设备之间以及同一设备各个数据之间缺乏有效关联，会形成信息孤岛，无法对大量数据进行整体性的关联分析，因此通过传统安全检测手段很难做到对新型攻击形势下主机失陷信息的准确分析和识别。

        那么，如何实现企业内网失陷主机的准确检测分析和识别呢？这就需要借助于企业安全管理平台基于大数据的事件关联分析，找出多条安全事件之间的相关性，从中发现恶意攻击行为不同阶段的潜在威胁，通过判断主机异常行为方式准确的识别网络中的失陷主机，并通过平台发出预警，做到快速及时响应。

        攻击链分析方法，是目前企业安全管理平台检测失陷主机的常用方法。入侵攻击链(Intrusion Kill Chain)，是洛克希德·马丁(Lockheed Martin)公司的安全专家，在2011年提出来的用来保护计算机及网络安全的框架。他们提到，网络攻击是分阶段发生，并可以通过在每个阶段建立有效的防御机制中断攻击行为。目前，攻击链已经成为黑客攻击行为分析的有效理论支撑。其基于防御思维将攻击事件划分为7个阶段，如下所示：

        侦查：选择目标，调研收集信息，并试图找出目标网络中的漏洞。

        工具制作：制作网络攻击相关工具，如病毒或蠕虫，甚至将这些嵌入到一些文件载荷中。

        投送：攻击者通过电子邮件或者其他的方式将恶意代码的载体发送给被攻击目标。

        攻击渗透：恶意代码执行、漏洞利用。

        安装工具：在被感染主机上安装恶意软件（比如木马,后门）。

        命令控制：攻击者创建命令和控制通道来持续操纵远程的网络资产。

        恶意活动：攻击者实施恶意活动，如数据泄露，数据销毁，或加密勒索。

 

        当网络入侵攻击者锁定目标后，会对目标网络中的主机进行“侦查”发现可利用漏洞，随后通过工具制作、投送、攻击渗透等阶段对目标主机发起攻击，其中“攻击渗透”会采用恶意代码执行、漏洞利用、暴力破解等手段，一旦攻击成功即进入“攻陷阶段”，目标主机被攻击者成功入侵，这时的目标主机就可以被确认为失陷主机。已失陷的主机，由攻击者持续控制，通过安装工具、命令控制阶段，获取失陷主机的更高权限，并与远端的C&C 服务器建立连接，实现对失陷主机完全控制，失陷主机沦为“肉鸡”，之后即开始利用“肉鸡”实施各种恶意活动，如窃取数据、销毁数据、加密勒索、DDoS攻击等。

        由此可见，当发现网络内的主机遭受安装工具、命令控制、恶意行动等攻击链后三个阶段的攻击时，我们即可以识别这个主机已经失陷或高度疑似失陷，当然这还要依靠企业安全管理平台精准的事件关联分析和判断。给企业内网造成严重破坏和重要损失的高危攻击，往往都是发生在目标主机失陷以后，而一台主机的失陷可能是几分钟、几小时、几天甚至是更长的时间，我们的目的就是要在主机的入侵过程中或失陷后，及时发现并发出告警，以便网络运维人员做出快速响应，尽可能将企业网络遭受外部攻击后所造成的损失降至最低。

        失陷主机检测能够帮助网络运维人员快速识别失陷主机并做到及时响应，可见其精准度尤为重要，为了增强失陷主机检测的精准度，我们还应该借助基于大数据的机器学习、用户异常行为分析、威胁建模等分析技术。另外，还可以运用威胁情报平台获取恶意IP、恶意攻击行为等情报作为失陷主机的检测依据，例如主机主动发起外连的目的IP如已被威胁情报标记为恶意IP，则可以识别该主机可能已经失陷，由此这也是提高失陷主机检测精准度的一种主要手段。