APT生命周期模型（圖1），也稱為“殺傷鏈”，該模型使人們可以了解APT如何共同實(shí)現(xiàn)其參與者的目標(biāo)。典型的APT攻擊包括成功的滲透（例如，通過下載驅(qū)動(dòng)或魚叉式網(wǎng)絡(luò)釣魚攻擊），偵察，命令和控制（C＆C）通信（有時(shí)使用遠(yuǎn)程訪問木馬（RAT）），特權(quán)升級(jí)（通過利用漏洞），通過網(wǎng)絡(luò)的橫向移動(dòng)，機(jī)密信息的泄露等。

APT殺傷鏈????

1 介紹

如今，警報(bào)關(guān)聯(lián)通常使用安全信息和事件管理（SIEM）系統(tǒng)來執(zhí)行，例如Splunk [10]，LogRhythm [7]和IBM QRadar [6]。這些系統(tǒng)從多個(gè)來源收集日志事件和警報(bào)，并將它們關(guān)聯(lián)起來。這種相關(guān)性經(jīng)常利用容易獲得的指示符，例如時(shí)間戳。這些關(guān)聯(lián)方法很有用，但是它們通常缺乏（a）對(duì)警報(bào)和實(shí)際入侵實(shí)例之間存在的復(fù)雜關(guān)系的理解，以及（b）將長時(shí)間在不同主機(jī)上發(fā)生的攻擊步驟組合在一起所需的精度（幾周，有時(shí)甚至是幾個(gè)月）。

問題：

本文所解決的主要問題是實(shí)時(shí)檢測(cè)正在進(jìn)行的APT攻擊活動(dòng)（包括長時(shí)間跨許多主機(jī)的許多不同步驟組成），并向分析師提供攻擊情況的高級(jí)解釋，基于企業(yè)的主機(jī)日志和IPS警報(bào)。

此問題有三個(gè)主要方面，分別如下：

?警報(bào)生成：從主機(jī)的低級(jí)事件跟蹤開始，我們必須以有效的方式生成警報(bào)。我們?nèi)绾紊删瘓?bào)，以嘗試考慮攻擊者可能采取的任何重要步驟？此外，必須注意確保我們不會(huì)產(chǎn)生大量的嘈雜警報(bào)。

?警報(bào)關(guān)聯(lián)：這里的挑戰(zhàn)是將來自攻擊者多種活動(dòng)的警報(bào)組合成可靠的信號(hào)，以指示正在進(jìn)行的APT戰(zhàn)役。

?攻擊場景介紹：需要將正在進(jìn)行的APT活動(dòng)的指標(biāo)傳達(dá)給人類（網(wǎng)絡(luò)分析人員）。為了有效發(fā)揮作用，這種交流必須是直觀的，并且需要從高層次總結(jié)攻擊，以使分析人員迅速意識(shí)到戰(zhàn)役的范圍和規(guī)模。

方法和貢獻(xiàn)：

在本文中，我們提出了一個(gè)名為HOLMES的系統(tǒng)，該系統(tǒng)解決了上述所有方面。 HOLMES首先從主機(jī)審核數(shù)據(jù)（例如Linux審核或Windows ETW數(shù)據(jù)）開始，然后產(chǎn)生檢測(cè)信號(hào)，以描繪正在進(jìn)行的APT活動(dòng)的階段。在高層次上，HOLMES新穎地使用了APT殺傷鏈作為解決APT檢測(cè)上述三個(gè)方面所涉及的技術(shù)挑戰(zhàn)的關(guān)鍵參考。我們?cè)谙旅婷枋隽宋覀兊年P(guān)鍵思想及其意義，并在第三節(jié)中進(jìn)行了詳細(xì)的技術(shù)描述。

首先，HOLMES旨在將主機(jī)日志中發(fā)現(xiàn)的活動(dòng)以及企業(yè)中發(fā)現(xiàn)的任何警報(bào)直接映射到終止鏈。這種設(shè)計(jì)選擇允許HOLMES生成在語義上接近APT參與者的活動(dòng)步驟（“戰(zhàn)術(shù)，技術(shù)和程序”（TTP））的警報(bào)。通過這樣做，HOLMES可以提高警報(bào)生成過程在攻擊活動(dòng)的步驟級(jí)別上的工作，而不是在低級(jí)審核日志中如何體現(xiàn)出來。因此，我們解決了產(chǎn)生重要性警報(bào)的重要挑戰(zhàn)。在我們的實(shí)驗(yàn)中，我們發(fā)現(xiàn)，為期五天的審核日志集合包含大約3M個(gè)低級(jí)事件，而HOLMES僅從中提取86個(gè)可疑活動(dòng)步驟。

HOLMES中的第二個(gè)重要思想是使用系統(tǒng)中低級(jí)實(shí)體（文件，進(jìn)程等）之間的信息流作為警報(bào)關(guān)聯(lián)的基礎(chǔ)。要看到這一點(diǎn)，請(qǐng)注意，殺傷鏈的內(nèi)部偵察步驟取決于成功的初步妥協(xié)和立足點(diǎn)。特別是，偵查步驟通常使用攻擊者在立足點(diǎn)建立過程中安裝的命令和控制代理程序（過程）啟動(dòng)，從而展現(xiàn)出兩個(gè)階段所涉及的過程之間的流動(dòng)。此外，偵查通常涉及運(yùn)行在立足點(diǎn)建立階段下載的惡意軟件（文件），從而說明了文件到流程的流程。同樣，成功的橫向移動(dòng)階段以及滲透階段都使用偵察階段收集的數(shù)據(jù)。因此，通過檢測(cè)與APT步驟相關(guān)的低級(jí)事件并使用信息流將它們鏈接起來，可以構(gòu)造APT參與者使用的新興殺傷鏈。

HOLMES的第三項(xiàng)主要貢獻(xiàn)是開發(fā)了高級(jí)方案圖（HSG）。 HSG的節(jié)點(diǎn)對(duì)應(yīng)于TTP，并且邊緣表示在TTP中涉及的實(shí)體之間的信息流。 HSG為高置信度檢測(cè)APT提供了基礎(chǔ)。為此，我們提出了一些新的想法。首先是HSG中祖先覆蓋的概念。我們將展示此概念如何幫助評(píng)估HSG節(jié)點(diǎn)之間的依賴關(guān)系強(qiáng)度。然后可以刪除弱依賴性，以消除許多錯(cuò)誤警報(bào)。其次，我們開發(fā)了降噪技術(shù)，進(jìn)一步降低了與良性活動(dòng)相關(guān)的依賴性。第三，我們開發(fā)了排名和優(yōu)先級(jí)排序技術(shù)，以修剪掉與APT活動(dòng)無關(guān)的大多數(shù)節(jié)點(diǎn)和邊緣。這些步驟在IV-D，IV-E和IV-F節(jié)中有詳細(xì)說明。使用這些技術(shù)，我們證明了HOLMES能夠在攻擊和良性場景之間做出清晰的區(qū)分。

最后，HSG隨時(shí)可以提供有關(guān)活動(dòng)的非常緊湊的直觀摘要，從而為攻擊理解做出了重要貢獻(xiàn)。例如，從一個(gè)10M審計(jì)記錄的數(shù)據(jù)集開始，我們能夠使用僅16個(gè)節(jié)點(diǎn)的圖形來總結(jié)一次高級(jí)攻擊活動(dòng)。網(wǎng)絡(luò)分析人員可以使用提出的HSG相對(duì)輕松地快速推斷出攻擊的總體情況（范圍和程度）。

評(píng)估。我們根據(jù)DARPA透明計(jì)算程序生成的數(shù)據(jù)對(duì)HOLMES進(jìn)行了評(píng)估，該程序由專業(yè)的紅隊(duì)模擬在由不同平臺(tái)組成的網(wǎng)絡(luò)上的多個(gè)網(wǎng)絡(luò)攻擊。我們?yōu)長inux，F(xiàn)reeBSD和Windows實(shí)現(xiàn)了適當(dāng)?shù)南到y(tǒng)審核數(shù)據(jù)解析器，以處理它們的審核數(shù)據(jù)并將其轉(zhuǎn)換為通用的數(shù)據(jù)表示和分析格式。使用系統(tǒng)審核數(shù)據(jù)的優(yōu)勢(shì)在于，它是可靠的信息源，并且沒有未經(jīng)授權(quán)的篡改（在不受威脅的內(nèi)核威脅模型下）。

對(duì)HOLMES在9個(gè)真實(shí)APT攻擊場景上的評(píng)估以及在為期兩周的實(shí)時(shí)實(shí)驗(yàn)中將其作為實(shí)時(shí)入侵檢測(cè)工具運(yùn)行表明，HOLMES能夠清楚地區(qū)分攻擊和良性情況，可以發(fā)現(xiàn)高精度的網(wǎng)絡(luò)攻擊并進(jìn)行召回（第六節(jié)）。