基于異常外聯的關基網絡入侵檢測方法研究

張增波 韓一劍 牛澤彬

1.公安部第一研究所 2.北京中盾安信科技發展有限公司

引言

關鍵信息基礎設施安全保護要求的入侵防范要求中明確規定，應采取技術手段，提高對高級可持續威脅（APT）等網絡攻擊行為的入侵防范能力；應采取技術手段，實現系統主動防護，及時識別并阻斷入侵和病毒行為。

關鍵信息基礎設施中的網絡對抗是一個動態相長的過程。這個過程中攻方占優勢的情況通常以惡意軟件、漏洞利用、病毒或其他攻擊方式成功入侵了組織的網絡或系統，當攻擊者成功獲取足夠權限后，會構建遠程控制隧道（Remote Control Tunnel），也稱為“遠控隧道”“反向隧道”或“外聯隧道”。

防守方若要發現攻擊控制的痕跡和通道，必須借助入侵檢測的手段來發現、分析、溯源攻擊者。本文提出的入侵檢測方案主要是檢測“敵已控我”的網絡安全事件的線索。此時攻擊者在實陷的目標設備與攻擊者的控制服務器之間建立遠程控制隧道后，它將被用來接收控制指令或將被盜的數據傳至控制服務器中。

一、入侵檢測

入侵檢測技術是一種通過監控和分析系統活動情況來分析并提取入侵行為特征、對入侵行為進行實時響應的一種動態安全技術。通過監視計算機網絡或系統中的活動，識別可能的惡意行為或未經授權的訪問嘗試。其主要目的是及時發現并響應安全威脅，保護計算機網絡和系統堡壘。入侵檢測參照攻擊鏈模型，按照攻擊發生的階段可以劃分為“敵在攻我”和“敵已控我”兩個階段的入侵檢測。

“敵在攻我”顧名思義就是攻擊者正在利用外部的網絡基礎設施對我相關系統發起掃描探測、漏洞利用、暴力破解等攻擊。而“敵已控我”是指當一個組織或網絡遭受入侵，被攻擊者從內部網絡連接到外部網絡的情況通常被稱為“入侵被控返聯”（Compromished and Controlled Outbound Connectivity），也可以稱為“出站控制”（Outbound Command and Control）。

（一）當前入侵檢測的主要方法

入侵檢測技術主要分為基于規則和基于行為分析兩大類型。比如基于特征選擇、貝葉斯推理、貝葉斯網絡、模式預測、基于神經網絡、貝葉斯聚類等方法很多學者均有研究；此外還有基于操作行為監控的入侵檢測，例如有基于條件概率、狀態遷移分析、鍵盤監控、規則等。

傳統的檢測方式已經不再適應當前的網絡形勢，基于機器學習的入侵檢測方法不僅能夠應對復雜的網絡狀況檢測出未知攻擊，而且在檢測精度方面具有突出優勢，能夠有效提高檢測率、降低誤報率，是目前研究的主要方向。但隨著目前網絡規模的不斷增大，檢測過程也越來越復雜，如何提高通信效率，保障系統數據處理和響應速度需要進一步研究。

傳統的基于規則的外聯檢測方法，過于依賴于漏洞規則的更新，以及對攻擊者攻擊方法的掌握，其時效性和未知威脅發現能力明顯不足。

本文提出的異常外聯入侵檢測方法是一種基于規則的檢測方法，但是采用了主動探測和被動檢測的方式來主動發現外聯行為，并有效結合了云端威脅情報能力，相對于傳統基于規則的外聯檢測方法，本文的方法主動發現能力和時效性要高；相對機器學習的入侵檢測方法，本文的檢測方法其部署成本較低。

（二）主動探測和被動檢測相結合的異常外聯檢測方法

本文提出的網絡非法外聯檢測方案，是針對關鍵信息基礎設施網絡邊界防護完整性檢查的一種方法，在用戶無感知、業務無影響前提下，通過主動探測與被動檢測相結合的技術，實現事前預警、定位外聯通道、定位外聯終端、鎖定證據、取證分析，提升網絡邊界完整性管控。

網絡非法外聯檢測是一種主動防御方案，相對于網絡防火墻、應用防火墻、終端防御系統等安全設備的被動防御措施，非法外聯可以第一時間發現違反網絡邊界測量的外聯行為，在入侵行為對信息系統發生影響之前，能夠及時精準預警，及時切斷外聯通道，避免、轉移、降低信息系統面臨的風險。

二、主要功能

主動探測和被動檢測相結合的網絡非法外聯檢測方法，主要包括兩大部分：一部分是利用跨域訪問探測方法，主動發送流量連通性測試數據測試跨網絡邊界訪問可行性；另一部分是手機網絡邊界的跨邊界流量，將數據訪問流量在云中心與情報進行聯動，碰撞對比惡意外聯行為，如圖1所示。

本文的網絡非法外聯檢測系統具備以下能力：

1.違規外聯被動檢測能力

基于網絡流量及協議的深度解析，無需部署Agent客戶端，即可完成非法外聯行為監控，包括一機兩網、一機多用、VPN代理外聯、VPN代理接入等非法外聯行為。

2.加密流量檢測能力

在原被動檢測能力基礎上，通過在TLS/SSL服務中對應用的前置寫入，發現非法外聯主機，覆蓋面更廣。

3.失陷資產發現能力

通過DPI技術，結合精準的威脅情報，對網絡中因木馬、勒索病毒、攻擊控制（CC）、挖礦等失陷資產存在的被控反聯行為進行檢測。

4.規則匹配檢測能力

系統中內置突破邊界軟件知識庫，包括隱蔽隧道特征庫、攻擊工具特征庫、高危漏洞特征庫、代理工具規則庫、主機狀態庫等，內置檢測規則自動適配網內業務應用，完成違規行為特征檢測，對網內業務應用無影響。

5.非法外聯取證能力

針對具有非法外聯的終端進行行為取證，可檢測非法外聯上網記錄，并將取證信息統一上報。

6.域名自學習能力

系統可以自動從網絡流量中學習用戶單位的業務系統域名，用于過濾非法外聯檢測點，可自主進行檢測點控制，提升檢測范圍和細粒度。

7.詳細的事件記錄

通過不同監測平臺入口，可查看對應管理域內非法外聯記錄，包括外聯時間、設備內網IP地址、源端口、MAC地址、外網IP地址、目的端口、外聯協議、所在地區、使用的瀏覽器版本。

8.多維度事件統計

可統計單位當日非法外聯事件次數、外聯IP數量，當日外聯事件較多的主機排行，以及此單位非法外聯事件總數、外聯IP總數。

9.細粒度事件查詢

支持內網IP、外網IP精確匹配查詢；MAC地址、設備編號、設備名稱精確匹配查詢；檢測協議精確匹配查詢，包括HTTP、TCP、UDP、DNS；時間范圍查詢；UserAgent、Refer、外網IP歸屬地模糊匹配查詢；按組織機構查詢，結果包括當前節點及其子節點信息。

10.靈活的檢測方式

針對具有統一出口的關鍵信息基礎設施單位，支持對外網出口IP的白名單進行添加、編輯、刪除管理，白名單內的出口IP不進行檢測。

三、實現原理

該檢測方法在部署實施時采用旁路部署，無需安裝軟件客戶端，不改變現有網絡結構，用戶無感知。同時結合應用層檢測和主動探測技術，更準確、全面地發現非法外聯行為。

（一）應用層檢測

主機通過交換機訪問內網網絡地址（原始地址），向其發送http請求。網絡非法外聯檢測系統監控請求流量，若流量命中了知識庫中的規則（包含協議解析、請求特征判斷等），則向內網主機發送探測違規行為的報文；若內網主機收到探測違規行為的報文，會嘗試對另一側網絡服務器發送探測請求，如果連接成功，則上報主機內網IP、外網IP、User-Agent等信息。

網絡非法外聯檢測系統收到非法外聯信息后，會增加出口IP信息記錄到系統中。應用層檢測與正常的業務訪問相結合，不受網絡結構、防火墻設置的限制，檢測準確率100%，但是存在一定的漏檢情況。網絡非法外聯檢測系統還結合TCP/UDP探測技術保證檢測準確、全面。

（二）威脅情報檢測

利用威脅情報是檢測惡意程序非法外聯的有效方法。通過安全運營中網絡安全報警的分析，以及來自各個渠道的威脅情報信息，可有效發現已被標記為惡意程序的外聯行為。本文的檢測方法中，通過檢測交換機的流量與威脅情報碰撞，可快速準確識別基于木馬、勒索病毒、遠控工具所引起的黑客或APT組織攻擊而造成的失陷資產反聯。

（三）邊界代理檢測

在重大網絡安全事件、攻防演練中提取攻擊工具與回聯特征，針對隱蔽隧道、遠控工具、內網穿透等通過加密流量回聯建立指紋知識庫，通過對流量中相關協議的特征進行提取與分析，識別其通過偽裝構造的外聯流量，從而對有互聯網合規出口場景的突破邊界的反聯行為進行檢測與識別。

四、技術要點

網絡非法外聯檢測系統主要具備以下技術特點：

（1）檢測一機多用違規行為。實時檢測計算機及網絡設備，既連接內部網同時又連接國際互聯網的一機多用行為，同時能夠快速檢測計算機在內部網絡和互聯網切換的一機多用行為。

（2）檢測違規架設VPN。用戶通過VPN用戶接入內網并訪問內網WEB服務器，系統監控到WEB訪問流量，觸發非法外聯檢測，訪問互聯網的過程會被自動檢測為非法外聯行為。

（3）被控反聯?；谥R庫對失陷資產發送的流量報文的檢測。

（4）定位非法外聯終端。非法外聯記錄包含了非法外聯設備的內網IP、mac和互聯網IP，方便管理者進行溯源定位。

（5）旁路部署不影響業務連續性。在進行非法外聯監測的同時，原始請求會正常到達內網服務器，無論非法外聯檢測報文能否收到應答，內網服務器都能正?；貞?，不影響業務功能。

（6）非法外聯取證。在發現非法外聯行為后，系統可對非法外聯行為進行取證，通過相應技術手段還原用戶外聯頁面，提取用戶信息。同時，便攜式取證工具可在外聯終端提取用戶違規上網信息。

五、典型應用場景部署

（一）單點非法外聯檢測系統部署

針對于網絡結構簡單、網絡監控范圍小的場景，以單點設備形式部署網絡非法外聯檢測系統，對接公有非法外聯捕獲服務器，完成網絡非法外聯監測及管理。同時，可根據不同的網絡非法外聯監測需求，如內網與內網隔離監控、內網與生產網間隔離監控，完成不同位置的非法外聯捕獲平臺部署。

將檢測系統設備部署于監控域內核心交換機旁路，通過“交換機鏡像”及“NetworkTAPs設備復制流量”兩種方式獲取用戶網絡流量，部署詳細描述如下：

第一種：交換機流量鏡像

（1）檢測設備需部署在核心交換機位置，每臺交換機對應一臺設備；

（2）每臺檢測設備需要接三個核心交換機網口。

第二種：NetworkTAPs設備復制流量

（1）外聯檢測設備需部署在核心交換機位置，每臺交換機對應一臺E01系統；

（2）每臺外聯檢測設備需接兩個核心交換機網口及NetworkTAPs設備一個鏡像口。

（二）多級分布式非法外聯監測系統部署

針對于分支單位數量較多、層級較多的場景，為滿足“統規、統建、統管”等要求，非法外聯監測需進行多級分布式系統建設，包括網絡非法外聯集中管理平臺、多級網絡非法外聯檢測系統，以及根據實際要求部署網絡非法外聯捕獲服務器。

1.物理/邏輯隔離網絡

網絡非法外聯集中管理平臺部署于總部服務網，用于對各分支單位檢測系統的集中管理。網絡非法外聯捕獲服務器可根據不同網絡非法外聯監測需求，選擇不同監測位置部署檢測設備，完成總部及各分支單位非法外聯的檢測。例如，只監測非法外聯互聯網場景，則將外聯捕獲服務器部署于互聯網側（互聯網側可以服務形式使用公安部第一研究所的云分析平臺），如總體部署圖4所示；檢測內網與內網之間違規互聯場景，則外聯捕獲服務器部署于內網側，如總體部署圖5所示。

2.統一出口網絡

網絡非法外聯集中管理平臺部署于總部服務網，用于對各分支單位檢測設備的集中管理，非法外聯捕獲平臺部署于互聯網側（互聯網側可以服務形式使用云分析平臺），完成總部及各分支單位非法外聯的檢測。檢測設備部署于地區分支單位匯聚交換機旁路，基于網絡流量分析完成日?；欠ㄍ饴摫O測。

六、結語

基于異常外聯的關基網絡入侵檢測方法已經在交通、能源、金融等領域進行了大量實踐，實踐表明該方法在檢測發現“敵已控我”攻擊行為、檢測受控外聯通道方面具有良好的應用效果，同時在發現單位內部網絡私搭亂建、破壞網絡邊界完整性等方面也具有廣闊的應用前景。