浅谈能力对抗下的终端未知威胁检测

伴随着虚拟货币的疯狂炒作，勒索病毒和挖矿木马渐渐成为了近期终端安全的热点话题。这两种新型攻击形式依靠对数据和算力的“非法占用”来盈利。不少政企行业的服务器都被勒索或者变为“矿工”，导致业务运行受到影响。勒索和挖矿类攻击大行其道的同时，APT也不甘寂寞，海莲花等多个恶意组织也陆续被曝光其最新的攻击样本，新的APT攻击组织“寄生兽”也于5月3日被披露。随着美国国安局的部分攻击工具被“影子破坏者”组织披露并售卖，漏洞及攻击方式已经变为了攻击武器并成为恶意组织的标配，将0day漏洞的利用方式与变种的恶意样本结合起来就可以轻松构建起一种新的可规模传播的攻击链条，具有高穿透性、高传播性、高危害性的攻击将成为常态化的安全威胁。因此，我们需要思考一种更有效的手段来解决“杀毒软件没用”的问题。

终端安全的新背景

要解决问题首先要搞清楚问题的原因。对于APT来说，其非常重要的一个特征就是隐蔽性强、攻击特征难以提取。为了躲避传统检测手段，APT攻击更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测，或者通过伪造合法签名的方式避免恶意代码文件本身被识别，这就给传统基于签名的检测带来很大困难；对于勒索病毒和挖矿木马来说，每天的变种以指数级的数量在增长，而杀毒软件的病毒库更新之间的空窗期以及对未知威胁的“不敏感”就使得常规杀毒软件无法应对这种场景。因此现在终端所处的安全的背景是以勒索病毒和挖矿木马为主的恶意样本大量爆发，兼有高穿透性的APT攻击常态化发生的复杂场景。在这种情况下，如何在终端进行有效的未知威胁检测的工作？我们先就最新披露的“寄生兽”（由于少量恶意代码被插入到大量开源代码中，所以被命名为“寄生兽”）攻击的场景进行讨论：

某一企业的员工A误点开了精心构造的鱼叉邮件，邮件附件利用office漏洞执行脚本程序，由于恶意代码采取了绕过安全软件的手段而没有被及时查杀。恶意脚本通过下载木马及加载恶意插件的形式，定期将A的文件、截屏等上传到C&C控制端。同时，恶意样本也通过感染U盘中office文件的方式进行传播，最终由于某位员工电脑上重要文件的泄露给企业带来了巨额损失。IT管理员如何能够发现潜藏于终端上的安全事件并第一时间响应？

对未知威胁的处理说到底是企业、安全厂商共同构建的防御能力和恶意组织隐藏能力之间的对抗。恶意组织通过对恶意样本加壳、花指令、构造合法签名、隐匿通道等多种方式尝试绕过安全产品的防线，而企业和安全厂商则通过大数据、机器学习、威胁情报等方法尝试发现恶意组织的攻击意图和攻击手段。以解决上述场景的问题为例，我们首先要发现异常的行为，之后追溯到为此负责的终端和进程，通过对进程行为的动作取证判断是否为安全威胁。之后还需要在公司范围内确认受此恶意样本影响的终端范围，先在小范围内采取相应的管控措施对恶意进程进行查杀，如果不会影响业务再将响应方式推广到其余受影响到的终端。

对抗未知威胁的要点能力

一般来说，业界对未知威胁的处理可以归纳为“威胁核实—来源追溯—确定影响范围—灰度处置—持续遏制”五个流程，而我们在终端上制定的安全策略和基本防御基线主要提供了“评估”与“拦截”两方面的能力，对应于处理流程中的“灰度处置”和“持续遏制”。然而通过一成不变的安全策略和防御基线不可能将所有的未知威胁拒之门外，尤其是高穿透性的APT攻击。针对已经确认的安全事件，就需要运维人员及时对防御策略和基线进行调整，比如在终端上进行恶意进程的封杀、网络禁入等动作。同时我们必须意识到，通过动态调整安全防护能力来应对未知威胁的前提是我们要检测出未知威胁，针对其攻击路径进行封堵。但是仅仅凭借“评估”与“拦截”两种能力不能拓现出未知威胁的攻击链条，再加上企业用户的安全数据相对封闭，安全厂商也很难针对定向的高级威胁做出快速反应。

为了解决企业安全数据封闭的问题，安全厂商通常会把自身公有云的安全数据和处理能力，通过私有云的方式“前置”到企业内。这不光包括安全大数据存储和检索能力的前置，还包括安全厂商在云引擎中处理安全大数据“知识”的前置。通过私有云的模式，企业用户能够在本地对自身的安全大数据进行处理。同时在知识的引导下，配合安全产品的标准化业务流程，使企业用户获得针对未知威胁的“检测”和“响应”能力，对应于流程中的“威胁核实”和“来源追溯”，在第一时间发现未知威胁，并把对未知威胁的单次响应快速转化为对已知威胁的持续拦截。

所以在对抗未知威胁时，除了“评估”与“拦截”能力之外，企业用户应更注重“检测”与“响应”能力的建设。接下来将简单谈一下未知威胁检测的新思路新方法。

未知威胁检测的新思路新方法

当我们试图发现未知威胁的蛛丝马迹时，需要海量且多维度的终端信息作为支撑。为了拓现出未知威胁的感染途径和传播方法，这些信息需要涵盖终端基础信息、样本投递信息、内存活动信息、系统变更信息四个大类，具体可细分为移动存储文件传输、进程启停行为、DNS解析行为、URL访问行为、进程注入行为、文件访问行为等细化维度的信息。收集终端更多维度且更细化的数据可以给用户提供更丰富的终端描述，能够最大限度为检测能力提供支撑。

终端信息多且杂，以上述涉及到的终端信息的收集为例，正常使用情况下每个终端每天大约要产生13M的日志，多达20000余条，如果在终端上同时进行数据的采集和分析则会给终端性能带来很大的挑战。因此一个有效的做法是将收集信息的工作下放到终端，而分析和响应的动作则后置于缓存服务器或数据分析平台。那么基于终端海量的行为数据，如何发现未知威胁的线索呢？以下将探讨三种寻找未知威胁线索的方法。

基于异常知识的检测

在海量的终端数据中寻找线索虽然十分困难，但并不是无迹可寻的。好比有经验的警察可以根据一个人表情的异常、微小的动作来判断一个人是否有嫌疑一样，基于异常知识的检测需要根据文件、进程等信息的偏离情况对收集上来的终端信息进行检查，从而发现异常情况。按照偏离的属性或关系，我们可以先将异常的情况总结为文件静态属性偏离、进程动态属性偏离和敏感激进的活动（如敏感的内存活动或磁盘变更）三大类。以“寄生兽”为例，我们发现终端上启动了powershell并执行了脚本，这就属于敏感激进活动的异常情况。基于这样的思路找到线索之后，我们就需要根据进程的行为动作来判断是否为安全威胁。如果确定为安全威胁，则可以通过进程查杀等动作将未知威胁的“检测”落地为对已知威胁的“评估”和“拦截”。

基于异常知识的“检测”对安全人员的知识储备和能力要求较高，另一方面依赖人力进行海量数据的比对和分析效率太低，那么是否有一种相对高效的方式来发现异常信息并以自动化的方式处理呢？答案是肯定的，这就是基于威胁情报的安全治理。

基于威胁情报的检测

威胁情报可以帮助用户快速识别安全威胁并做出明确决定，通常包含了安全威胁的行为描述和攻击特征。现如今安全厂商提供的威胁情报多用于网关类设备，对于处于潜伏期的恶意样本或者内网扩散不经网关的安全威胁就有了很大的漏点。因此，若要建设终端的“检测”能力，威胁情报就需要在终端落地并与终端数据进行碰撞比对。通过这种方式，安全产品可以对明确的已知威胁进行自动化处置，同时把潜在的未知威胁通过告警的方式提示安全运维人员。运维人员则可以通过对历史相关的已知威胁的学习，对此风险告警进行人工介入，缩短未知威胁响应时间。在威胁情报的引导下，不但企业用户可以学习和了解生产环境中发现的已知威胁，终端安全产品同样可以通过威胁情报检出潜在的未知威胁，并协助安全运维人员进行安全决策。而通过最终决策结果，安全运维人员可以通过矫正或更新威胁情报的方式，实现终端安全治理中知识的管理和积累。通过这种本地知识的积累和云端知识的传递的方式，企业中的终端安全产品会不断向未知威胁检出与响应流程自动化的目标前进。而企业中的安全运维人员，会不断提升自身的安全运维能力。最终，终端安全治理得以向智能化的方向发展，而威胁情报将成为智能化的核心驱动力。

威胁情报是由安全厂商提供的，在这种安全能力传递到客户之前将会存在一段“空窗期”。如何弥补在这一段“空窗期”对未知威胁的检测能力不足？机器学习将会是非常好的补充。

基于机器学习的检测

参考各大安全厂商的监测数据，新恶意样本的产生越来越快，绕过终端防护基线的手段层出不穷，使用机器学习的方法来弥补客户“空窗期”检测能力的不足已经成为业界趋势之一。简单来说，机器学习先要建立一个分析模型，之后对分析模型进行大量的训练。这类模型的建立过程首先基于行为样本或者网络访问样本进行聚类，之后建模出初次判断模型（包含大量参数），然后根据大量的正负样本通过神经网络的算法对参数进行调整，使其偏离率越来越低。那么要想获得一个准确的判断模型，神经网络的层数和样本的训练量就很重要：神经网络的层数如果过少，对样本的分析就会不够细化，导致误漏报率的提高，但是从另一方面，也需考虑到神经网络层数过多对于性能的影响，如果神经网络层数过多，则会使训练周期和判断时间大大延长。一般来说，业界的最佳实践是采用六层的神经网络算法。另一个涉及模型能力重要因素是样本的训练量。通过大量样本的分析训练，判断模型会通过神经网络自动对判断的参数进行调节，使之偏离率最小。如果样本规模过小，则会使得模型的参数调整不够成熟，产生大量误报漏报。因此，神经网络层数和样本训练量是建立机器学习机制的重要考量因素，二者缺一不可。

但是不管机器学习的模型如何成熟，样本训练量如何巨大，其对未知样本的检测偏离率只能尽可能小，仍然会存在误报漏报的情况，这个时候就需要安全人员再结合威胁情报或知识积累加以确认，辅助机器学习的完善过程。

最后

在终端安全的新态势下，检测能力是对抗未知威胁的关键。大数据分析、威胁情报和机器学习等新技术的引入可以减少大量的分析工作，提高对未知威胁检测的效率。同时安全人员对大数据的运营、对机器学习模型和威胁情报的有效管理将极大的保障对抗未知威胁的准确性和可靠性，毕竟“人，才是安全的尺度”。

作者：张泰宁，360企业安全技术专家

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。