面向 5G 网络的 APT 攻击检测系统研究

5G网络作为国家重要的基础设施，不仅能更好地服务于移动互联网，还能够赋能社会的其他垂直行业。其承载的业务已经融入人民生活和社会生产的方方面面。随着5G时代的到来，5G网络与垂直行业深度融合的特点将导致5G安全问题不仅影响人和人之间的通信，还会影响到各行各业，甚至可能威胁到人们的生命财产安全乃至国家安全。5G安全成为移动网络建设者和使用者共同面临的问题，已引发全社会的广泛关注。高级持续性威胁（AdvancedPersistentThreat，APT）专指针对特定组织所做的复杂且多方位的高级渗透攻击，区别于传统意义上的黑客执行注入、上传、挂马或者篡改网页等攻击动作，APT攻击具有极强的隐蔽能力、目标针对性和特殊的背景性，攻击手段更加丰富，攻击手法更加高明。目前披露的APT攻击事件都经过精心策划且影响巨大。对于5G网络而言，其边缘计算、能力开放等新的特性在给运营商带来巨大业务增量的同时，也增大了其攻击面，暴露的5G终端和下沉的移动边缘计算技术（MobileEdgeComputing，MEC），使得原本封闭且遥不可及的5G核心业务也进入了APT的攻击视野。并且，采用传统的安全检测技术的5G网络很难发现攻击持续时间长、攻击范围大、防范难度高的渗透行为。APT攻击者通常利用网络中受信的应用程序漏洞来形成攻击者所需的指挥与控制（CommandandControl，C&C）通道。这些C&C通道大多是私有或者加密的，在没有获得密钥的情况下，难以通过内容解析的方式检测出其具体含义。攻击者对C&C通道的使用也格外小心，使用频率低、持续时间长，是C&C通道的另一特征。攻击者的攻击手段更加丰富和高明，在一次成功的APT攻击事件中，可能使用多个0day漏洞，多个精心构造的远程访问木马（RemoteAccessTrojan，RAT），这些RAT也都是基于0day漏洞而特制的。针对0day漏洞和漏洞利用的检测不仅是传统安全检测技术所欠缺的，也是5G网络安全检测技术所缺乏的。因此，对于此类新型网络攻击行为，原有的防御体系、检测策略已经显现出不足，需要一种新的检测手段对其提升与完善。1相关工作攻击检测是APT攻击防御工作的前提和依据，也是整个防御过程中最困难的部分。近年来，基于网络流量的大数据分析技术成为APT攻击检测领域的研究热点。其中，针对APT攻击体现的特征，通常采用两种方式来对攻击进行感知与识别，再通过复杂分析予以判定。一种方式是通过对可疑文件的综合分析，发现其是否存在0day利用。通过解析出网络应用中传输的文件，如邮件附件、Web上传下载、5G终端的升级固件等，对文件进行静态和动态分析，发现文件是否内嵌恶意代码或者具有恶意行为等。另一种方式是通过对网络可疑流量的综合分析，发现其是否存在恶意攻击行为，该检测技术包括网络流量特征分析和全流量储存分析两类。目前业界主要采用的是网络流量特征分析技术，它以网络流量统计特性作为数据属性，匹配分析网络行为，检测发现网络中的异常流量。该技术需要具有一定的知识库积累，对网络行为特征有比较精确的识别和判断。针对某些特征确定的对象、应用、协议具有非常强的分析能力，但对于特征未知的APT威胁，则几乎束手无策。全流量储存分析技术的分析对象是全包捕获的数据包，该技术是当前信息安全领域最为关注的方向，即将机器学习与APT检测相融合。采用这种技术，需要对全网流量进行规整、过滤和清洗，并对协议进行一定程度的识别和还原。安全分析人员综合利用流量的时间与空间相关性，对已经发生的攻击行为进行多角度、全方位、可反复回溯的深度检测，构建模型，从而更容易和精准地检测出潜在的威胁行为。本文结合了网络流量特征分析和全流量储存分析两类技术的优点，并针对5G网络的流量进行特征化定制，对其进行全面分析评估，在针对5G网络的APT攻击事件发生的过程中提前预警，将威胁和破坏程度尽可能降低。2设计思路与关键技术2.1系统模型系统采集海量的5G网络流量作为基础，方案主要围绕网络流量中的行为特征开展分析和预测工作。信誉库（知识库）是检测已知威胁的有效手段。对于未知威胁和部分加密通道网络流量，方案采用建模、数学分析方法处理。模型设计了系统具备机器学习能力，可以对5G网络进行流量分析、统计、特征提取、建模，并可将系统分析的结果与情报反馈至病毒库、信誉库、威胁情报等现有库中。系统还可采集其他设备的数据分析信息，用于系统对网络的综合评估分析。系统也可将自身的分析结果发送至其他设备，提供响应策略。此外，系统还可以与传统网络安全设施进行联动，对于高可信度的告警直接进行处理，大幅减少威胁处理响应时间。系统模型流程如图1所示。图1系统模型流程网络流量是系统核心，流量传感器将采集到的5G网络流量进行整理、标准化等相应预处理后，形成系统可以分析利用的数据报文。数据报文中，有一部分是5G专有的协议报文，如用于N3/N9接口上承载的协议数据单元（ProtocolDataUnit，PDU）会话流量GTP-U协议报文，也有传统的IT类报文，如电信网管超文本传输安全协议（HypertextTransferProtocoloverSecureSocketLayer，HTTPS)报文等。不过，无论是上述的哪种报文，都属于传输控制协议（TransmissionControlProtocol，TCP）/用户数据报协议（UserDatagramProtocol，UDP）范畴，都可以采用同一的处理策略。本系统不考虑针对无线空口等非互联网协议（InternetProtocl，IP）的攻击检测。系统通过各种检测、分析策略，对报文进行深度解析。首先利用信誉库检测发现数据报文中是否存在已知的、明确的攻击行为，通过检测规则识别出常见的网络攻击事件；其次利用关联分析算法和机器学习算法等高级分析技术处理，从中发现高级攻击事件或未知攻击事件；最后将告警信息和关键数据入库，待回溯和攻击行为复现及提供关联分析。2.2网络流量采集识别采集器对于收到的数据报文按照需要进行识别与判断，比如：只收集GTP-U协议报文，用于分析N3/N9接口上承载的PDU会话流量。采集器将符合规范的网络流量提交到缓冲池。为提高采集性能与数据处理性能，系统也可以指定识别与处理部分协议，比如：只处理NGRAN与5GC间的非接入层（NonAccessStratum，NAS）/下一代应用协议（NextGenerationApplicationProtocol，NGAP）报文，用于分析N1/N2接口上用户终端（UserEquipment，UE）和接入移动性管理网元（AccessandMobilityManagementFunction，AMF）之间的移动性管理流程。流量采集处理流程如图2所示。图2流量采集处理流程缓冲池中存放分片报文，容量可根据性能需求和流量大小设定，可以是固定大小，也可以动态按需增减。由于缓冲池容量有限，所以需要对缓冲池中的分片报文按相应策略进行移出操作。缓冲池中的TCP分片报文根据序列号等协议字段判断是否能将多个分片报文组成会话，如果会话完整，则移出缓冲池，释放空间。缓冲池中的UDP分片报文根据应用层协议约定，还原UDP会话，将完整的会话移出缓冲池。其他分片报文按照TCP/UDP协议、IP地址、端口进行重组会话，在无法判断是否会话完成的情况下，按照以下策略进行移出操作：一是超时策略。设定统一时间阈值，当某一会话在缓冲池中驻留时间达到此阈值时，将该会话移出缓冲池。二是存满策略。当缓冲池存满后，将最早进入缓冲池的会话移出缓冲池。此外，也可以将占据缓冲池空间最大的会话移出缓冲池。2.3威胁存储与回溯系统对会话存储容器中的会话采取实时检测分析，结果存储在相应的容器中。威胁行为存储如图3所示。图3威胁行为存储威胁事件存储容器中存放可以定性的威胁行为，至少包括威胁行为名称、基础五元组信息，以及威胁行为特征标识等。保存完整的存储会话可以提供原包下载。可疑行为存储容器中存放疑似的威胁行为，这类威胁行为通过检测分析策略中的综合算法分析得出，尚不能完全定性。存储容器中至少包括可疑行为名称、聚类数量、基础五元组信息等。根据需要，不是必须提供全部的完整会话包下载。一般行为存储容器中存放的是暂时无法判定的会话，根据性能、扩展等因素考虑保留基础五元组信息和负载Payload数据报文，供机器学习和关联分析。2.4检测分析策略检测分析策略是5G网络检测APT攻击方案中的关键部分，包括检测引擎、分析引擎和机器学习引擎3个部分。检测引擎利用信誉库对已知攻击行为进行检测，基本信誉库中包含黑名单、白名单、网络行为和信令特征码，可以对基础五元组（恶意域名类的黑名单）、协议报文负载Payload和信令字段进行检测（针对已知特征）。构建与维护信誉库是长期的，信誉库的结构会影响到系统对于已知攻击行为的检测与判定，如信誉库的检索效率和模式匹配效率。因此需要兼顾检索和匹配效率。分析引擎利用多种分析算法对5G网络内的会话流量进行分析。在大量会话中找到小众浅层特征作为可疑事件，并待进一步判定确认。机器学习引擎是系统重要的附加值部分，通过分析并积累引擎的分析结果后，用训练好的模型对5G特定场景下的异常行为进行判定，将一些确认的结论自动（或需要人工干预）添加到信誉库中，作为可直接定性的攻击行为判定依据。细节部分需要进一步研究。2.5关联分析关联策略包括系统内部关联分析和系统间关联分析。系统内部关联分析将相互独立的威胁事件通过一些因子建立关联关系，如同一攻击源、相同的攻击手法等。关联分析进一步分析疑似的可疑行为，解析出可信度较高的可疑行为，提高系统判定的准确性，最终通过关联分析可以给系统上报确定的威胁告警及情报。系统间关联分析将系统的威胁告警发布到共同平台，与其他安全防御设备共享。威胁告警中的威胁内容、特征与资产具有相关性，资产属性（如操作系统、应用程序、漏洞信息等）对于判定威胁行为、提高威胁行为可信度有很高的价值。通过关联策略将多类告警信息进行汇聚，是提高APT识别率的有效方法。关联分析策略架构如图4所示。图4关联分析策略架构3系统实现与测试3.1系统架构面向5G网络的APT攻击检测系统（简称5GADS）逻辑架构如图5所示，包括分布式流量传感器、异常流量检测引擎、管理中心3个主要部分。图55GADS系统逻辑架构分布式流量传感器用于5G网络流量采集保存，进行协议解析，生成流量摘要。5G网络流量采集主要实现将捕获到的网络流量进行整理和标准化，保留5G网络协议族规范的所有协议，包括TCP/IP协议、域名系统（DomainNameSystem，DNS）协议等，也可以指定系统接受的协议类型，如部分应用层协议、传输层协议等。协议解析功能实现将采集模块上传的分片报文进行重组，依据协议规范或者业务定义还原成完整的数据流会话。在此模块内部还包含缓冲池和会话存储容器两个内部部件。采集模块将采集到的网络流量直接放到缓冲池中。会话还原模块根据协议特点将流量分流为控制面信令数据和用户面数据，对N1~2/N4/N5/N7~8/N10~12/N14~16/N20~22/N24/N26/N40等5GC控制面接口数据进行处理，对NAS、NGAP和HTTP2等协议数据进行解码、合成、各协议关联、用户信息回填。对于有传输层安全性协议（TransportLayerSecurity，TLS）加密的信令数据，需要获取主设备的密钥信息，通过获取到的密钥对其进行解密。对于无法进行解密的数据将加密原始数据作为负载Payload直接保存。对N3用户面数据进行深度报文解析识别。将还原处理之后的控制面板和用户面会话存放进会话存储容器。异常流量检测引擎对数据进行基础统计和检索，依据检测模型自动进行异常检测，并提供流量特征深度分析、主机行为特征分析等辅助功能。其中，基于信誉库的检测引擎对会话进行检测，发现可以定性的攻击行为。分析引擎对大量会话进行深度分析，利用私有算法分析发现会话流量之间的规律，分析出疑似的可疑行为。内部关联分析引擎是更加复杂的分析技术，将多个攻击行为、疑似可疑行为通过一定的关联关系结合在一起，发现对于5G网络的深度攻击，同时提高攻击行为的检出可信度。管理中心是整个系统的控制中枢，进行各个组件的统一配置和管理，提供可视化展示、威胁统计、实时告警、回溯分析、威胁责任人定位等功能。对于已检出的众多孤立攻击事件，需要与其他安全防御设备共享、联动，实现从同源攻击中发现恶意攻击组织、从受攻击的目标类型中发现恶意组织的攻击意图和攻击趋势等，从而形成威胁预警与网络安全态势分析的能力。3.2系统主要功能5GADS系统通过分离寄生在5G网络中的异常流量行为，捕捉潜在的风险（例如，网元间异常访问、网元间异常报文风暴等）。提供5G网络流量可视化能力，帮助安全人员洞察5G网络安全态势，高效检测潜在的未知威胁，缩短威胁处置的响应时间。在保护5G资产的同时还可以在遭受攻击后对攻击事件进行回溯，为响应策略提供决策支撑及事后的调查取证。具体功能如下文所述。3.2.1针对APT攻击过程进行检测和分析对于已入侵到内部网络的恶意软件来说，为了达到进一步的攻击目的，通常会产生外联、渗透、扩散等后续行为。5GADS运用分布式大数据分析平台对网络流量进行检测，从网络的攻击行为入手发现潜在的未知威胁，并对威胁进行风险评估。系统重点分析对象及分析角度如表1所示。表1分析对象及分析角度3.2.2支持攻击事件过程的回溯、定位5GADS支持APT攻击历史数据的回溯分析，还原5G网络的整个攻击过程。通过定位查询系统确定内网攻击来源，锁定受侵害人员及网元，并实现同族判定和攻击溯源，为情报预警、应急响应和溯源反制等过程提供支持。3.2.3内网安全态势的可视化展示5GADS支持网络流量基础数据统计、威胁事件统计，着重展示近期发生的典型攻击事件。5GADS系统安全态势展示如图6所示。针对具体的攻击事件，提供包括威胁类型、威胁程度、威胁目标、威胁时间等内容的详细分析报告。图6GADS系统安全态势展示3.3实验测试5GADS采用旁路方式部署在网络关键节点处，分析检测镜像到的网络流量，发现APT攻击过程的外联、渗透、扩散等异常网络行为，在不影响电信核心网络业务的同时及时发现潜在的高级持续性威胁。主机环境采用CentOS7.2操作系统，EalsticSearch6.1搜索服务器，以及MySQL5.5数据库。中央处理器为IntelXeonE5-2640V3，内存为64GB，硬盘为8TB。在现网环境中，系统稳定运行在2Gbit/s流量下，日处理流量包约2TB，日处理流10亿条，从异常发现到检出平均耗时1分钟。主机