本发明涉及数据安全领域。更具体地,本公开的实施例涉及发现和识别高级持续性威胁(apt)的系统。
背景技术:
高级持续性威胁(apt)是以特定个体为目标并旨在提取已知可供定义的目标访问的特定信息集的恶意软件的类型。目标可包括具有高价值信息的个人和组织。
通常认为受害者网络受到损害,并且检测重点在横向移动。
针对该问题,存在两种解决方案:
-监测并详细检查受保护系统中的所有内容,但这会带来非常高且望而却步的成本,特别是在性能(劣化)和操作维护方面。
-部署许多陷阱(作为伪造资源),其本质上是有限的且不能得到所有的攻击。高效的此类解决方案需要进行彻底的部署,需要大量的关注和管理。
因此,需要能够检测和预测高级持续性威胁的改进技术。
技术实现要素:
提供本发明内容以便介绍与本发明主题内容相关的概念。本发明内容不旨在识别所要求保护的主题的基本特征,也不旨在用于确定或限制所要求保护的主题的范围。
根据一个实施例,提供了用于在信息系统基础设施中检测持续性攻击的方法,该信息系统基础设施包括与能够向管理装置发送通知的传感器相关联的资源,该通知包括关于访问相关联的资源的报告,该方法包括在管理装置中的以下步骤:
根据接收到具有在威胁等级的评估中的低权重的通知,对针对给定资源集合检测到的正在进行的攻击,评估威胁等级,
如果威胁等级小于截留阈值,则激活与信息系统基础设施的作为正在进行的攻击的潜在后续目标的资源相关联的传感器,将从所激活的传感器发送的通知的权重设置为在威胁等级的评估中的平均权重,以及进一步根据接收到的从所激活的传感器发送的通知来评估正在进行的攻击的威胁等级,
如果威胁等级大于截留阈值,则在信息系统基础设施中部署陷阱,该陷阱是正在进行的攻击的潜在后续目标并且能够向管理装置发送通知;将从所部署的陷阱发送的通知的权重设置为在威胁等级的评估中的高权重,以及进一步根据接收到的从所部署的陷阱发送的通知来评估正在进行的攻击的威胁等级。
有利地,本发明提供了采用对一组诱捕陷阱的管理来管理一组真实资源通知,对一组诱捕陷阱的管理提供对持续性攻击的有效检测并且在必要时通过截留对其作出反应。
传感器的激活/停用以及诱捕陷阱的部署的规则是适应性的,并且基于诸如触发事件的性质、区域等的决策标准,并且逐步地获得最优检测,同时保持最优性能。
在实施例中,陷阱包括作为伪造资源的陷阱和作为合法资源的诱捕陷阱。
在实施例中,如果威胁等级大于缓解阈值,缓解阈值大于截留阈值,则管理装置向安全管理平台发送警报,该警报指示正在进行的攻击是持续性攻击。
在实施例中,管理装置将作为伪造资源的陷阱部署为正在进行的攻击的潜在后续目标,以减轻所述正在进行的攻击的进度。
在实施例中,给定资源集合和作为正在进行的攻击的潜在后续目标的资源是相互关联的资源。
在实施例中,相互关联的资源基于获取资源之间的相关性的规则而使用距离测量来定义。
在实施例中,持续性攻击是高级持续性威胁。
在实施例中,所部署的陷阱被激活或创建。
在实施例中,通知包括关于访问相关联的资源或陷阱的报告。
本发明还涉及用于在信息系统基础设施中检测持续性攻击的装置,该信息系统基础设施包括与能够向管理装置发送通知的传感器相关联的资源,该通知包括关于访问相关联的资源的报告,该装置包括:
用于根据接收到的具有在威胁等级的评估中的低权重的通知对针对给定资源集合检测到的正在进行的攻击评估威胁等级的装置;
用于如果威胁等级小于截留阈值则激活与信息系统基础设施的作为正在进行的攻击的潜在后续目标的资源相关联的传感器,用于将从所激活的传感器发送的通知的进一步权重设置为在威胁等级的评估中的平均权重,以及用于根据接收到的从所激活的传感器发送的通知来评估正在进行的攻击的威胁等级的装置;
用于如果威胁等级大于截留阈值则在信息系统基础设施中部署陷阱,该陷阱是正在进行的攻击的潜在后续目标并且能够向管理装置发送通知,用于将从部署的陷阱发送的通知的权重设置为威胁等级的评估中的高权重,以及用于进一步根据接收到的从所部署的陷阱发送的通知来评估正在进行的攻击的威胁等级的装置。
本发明还涉及能够在装置内实现的计算机程序,该程序包括当程序在该装置内执行时执行根据本发明的方法的步骤的指令。
附图说明
本发明及其好处将通过参考附图研究以下的描述而被更好地理解,在附图中:
-图1是根据本发明的一个实施例的用于高级持续性威胁检测的通信系统的示意性框图;以及
-图2是根据本发明的一个实施例的用于高级持续性威胁检测的方法的算法。
具体实施方式
如在此所使用的,术语“攻击”是指信息系统中违反系统的正常授权使用或者故意或意外地利用系统中的漏洞的事件,例如网络扫描、密码破解、发送恶意电子邮件(也称为垃圾邮件)、发送格式错误的互联网协议(ip)数据包。
高级持续性威胁(apt)是信息系统攻击,其中未经授权的人或攻击者获得访问信息系统的资源并保持长时间不被检测到(避免可能导致其检测到的损害信息系统的任何行为)。例如,apt的动机是窃取数据或将信息系统用作访问另一个关注的信息系统的网关。
参考图1,管理装置md能够监测信息系统基础设施isi,尤其是能够监测信息系统基础设施的资源rs,并且受到管理程序安全平台hsp的监督。
信息系统基础设施isi可能是攻击者的apt或其它持续性安全威胁的目标,例如经由信息系统基础设施isi的前端服务器。信息系统基础设施isi可以包括多个服务器以及多个存储装置。服务器可以是任何类型的提供不同服务的服务器。例如,运行web应用的服务器是文件传输协议(ftp)服务器。
信息系统基础设施isi的架构可以被设计为包含不同类型的资源。可以在信息系统基础设施中部署不同类型的陷阱。
信息系统的资源可以具有不同的性质,物理的或虚拟的,诸如文件、目录、网络驱动、登录服务、帐户、如vpn(虚拟专用网络)的网络资源。
陷阱也可以具有不同的性质,包括作为伪造资源的陷阱和作为合法资源的诱捕陷阱。
诱捕陷阱是旨在通过攻击者的行为在不知情的情况下触发的装置或设置。诱捕陷阱的目的是形成旨在引诱攻击者朝向它的诱饵。在第一示例中,诱捕陷阱是文档(如pdf)中可以在特定时刻(诸如打开或关闭文档时)执行的脚本。在第二示例中,当在将用户朝相应的网页发送之前点击url时,可以执行脚本。
作为伪造资源的陷阱可以是伪造网络共享或伪造文件。
信息系统基础设施的资源rs与能够向管理装置发送通知的传感器相关联。
传感器可以能够检测攻击并能够生成并发送通知。传感器可以由特定的电子装置(微控制器、专用集成系统(asic)......)构成,或在信息技术环境中,传感器可以简单地是由计算机、服务器或路由器运行的软件。
通知包括关于访问资源的报告。传感器通过监测输入到资源的数据流来监测资源的任何类型的访问,例如为了读取、复制或修改与资源相关联的内容。传感器可以处于有效模式或处于非有效模式。
基于获取资源之间的相关性的规则而使用距离测量,可以将资源布置为相互关联的资源集合。资源集合可以在区域平面中定义。
信息系统基础设施的陷阱tp也与能够向管理装置发送通知的传感器相关联。
陷阱可能被误认为资源或与资源相关联。
管理装置md包括关联引擎(correlationengine)ce和传感器管理器sm。
关联引擎ce负责接收信息系统发出的每个通知。关联引擎ce保持跟踪每个通知并将它们关联到一个或多个正在进行的攻击(“攻击上下文”)中。跟踪和对应的通知被存储在专用于正在进行的攻击跟踪的数据库中。关联引擎计算每个正在进行的攻击的威胁等级,并在针对给定的正在进行的攻击的威胁等级变化时触发传感器管理器sm。
传感器管理器sm基于正在进行的攻击的威胁等级来决定启用一些资源的通知能力,以激活陷阱或创建新的陷阱并且在信息系统基础设施中强制执行陷阱,或者将警报发送到信息系统基础设施的安全管理平台。
鉴于由管理装置md提供的信息,管理程序(hypervisor)安全平台hsp能够做出减轻apt的决定。
参考图2,根据本发明的一个实施例的用于高级持续性威胁检测的方法包括由监测信息系统基础设施的管理装置md执行的步骤s1至s5。
鉴于可能持续数天甚至数月的apt的性质,该方法的每一步骤之间的时间也可能持续数天或数月。
在步骤s1中,关联引擎ce评估在给定资源集合处检测到的每个正在进行的攻击的威胁等级,威胁等级与正在进行的攻击的标识符ida相关联。当对于给定的正在进行的攻击,威胁等级发生变化时,关联引擎触发传感器管理器sm。
在步骤s2中,如果威胁等级小于截留阈值,则传感器管理器sm处于检测阶段。在该阶段期间,由于正在进行的攻击上下文和区域计划,传感器管理器sm激活了一些资源的传感器。与激活的传感器相关联的资源是正在进行的攻击的潜在的后续目标。
新激活的传感器的标识符ids被发送回关联引擎ce并且与正在进行的攻击的标识符ida相关联。该想法是试图让攻击者触发新激活的传感器,以便识别攻击者的技能和目标,因此针对正在进行的攻击传感器在(通过预定规则计算的)“一个非常可能的路径”上被激活。传感器管理器sm将来自所激活的传感器的通知的权重设置为由关联引擎ce对威胁等级的评估中的平均权重。
关联引擎ce进一步根据接收到的从激活的传感器发送的通知而评估正在进行的攻击的威胁等级。
在步骤s3中,如果威胁等级大于截留阈值但小于缓解阈值,则传感器管理器sm处于截留阶段。在该阶段期间,传感器管理器sm通过激活陷阱或创建新陷阱而在信息系统基础设施中部署陷阱,并在信息系统基础设施中强制执行陷阱。所部署的陷阱是正在进行的攻击的潜在后续目标。
所部署的陷阱包括作为伪造资源的陷阱和作为合法资源的诱捕陷阱。可以首先部署诱捕陷阱对攻击者向合法资源引诱,并且然后再使用伪造资源部署陷阱以确认攻击的本质。
目标与检测阶段相同,但通知可能来自陷阱。新激活的陷阱或创建的陷阱的标识符idt被发送回关联引擎ce并且与正在进行的攻击的标识符ida相关联。传感器管理器sm将来自所部署的陷阱的通知的权重设置为由关联引擎ce评估威胁等级时的高权重。
如果该陷阱被触发,则来自陷阱的通知是误报的可能性相当没有。因此,关联引擎将计算出非常高的威胁等级。
关联引擎ce进一步根据接收到的从部署的陷阱发送的通知,评估正在进行的攻击的威胁等级。
在步骤s4中,如果威胁等级通过缓解阈值,则传感器管理器sm处于缓解阶段,这意味着正在进行的攻击肯定不是误报并且是持续性攻击。
缓解阈值被第一次达到时,传感器管理器sm向信息系统基础设施的安全管理平台发送警报,其中具有在正在进行的攻击上收集的所有信息,该警报至少指示正在进行的攻击是持续性攻击。在安全管理平台评估情况时,传感器管理器sm将继续激活传感器并将陷阱部署为伪造资源,不仅可以更好地分析正在进行的攻击,还可以通过将攻击者引诱向无用的路径来尝试缓解攻击:当攻击者失去时间攻击陷阱时,信息系统的真实资源仍然是安全的。攻击者到达合理的区域和资源越多,试图伪装真实资源而被激活的陷阱就越多。
在步骤s5中,在安全管理平台应用响应之后,传感器管理器sm就可以接收命令以停用已针对给定的正在进行的攻击而激活的每个传感器和陷阱。传感器管理器sm将遵守排序。专用于正在进行的攻击跟踪的数据库然后清除与正在进行的攻击相关的每个数据。
管理装置md保持跟踪观察到的攻击路径并可相应地改进传感器激活规则。
鉴于apt可能持续数天甚至数月的性质,管理装置md将不自动超时正在进行的攻击,而是将通知安全官员,安全官员将被要求手动清理数据库,停用所选择的通知和陷阱或采取其它适当的动作。
管理装置md因此允许以最有效的方式利用组合的监测和捕获机制来检测apt及其横向移动,即apt攻击的下一阶段。这两种机制的适应性组合使保护逐渐达到最优效率,最终进入截留和缓解。
在一个示例中,针对给定目录中的给定文件,正在进行的攻击被检测。由于正在进行的攻击的威胁等级低于截留阈值,因此激活与给定目录中的相邻文件相关联的传感器,以报告对这些相邻文件的任何类型的访问。当正在进行的攻击的威胁等级超过截留阈值时,部署诱捕陷阱和陷阱来引诱攻击者,以便确认正在进行的攻击的apt性质。陷阱可以涉及具有与相邻文件的性质类似的敏感信息的文件的可用性,并且位于另一个目录中。
在缓解阶段的另一示例中,诱捕陷阱可以是登录服务,作为敏感服务器的合法资源。在诱捕陷阱被激活之后,即攻击者感觉到诱捕陷阱,攻击者就“位于”服务器中。然后可以部署陷阱作为伪造资源,并且可以伪造目录共享。
本文描述的发明涉及用于高级持续性威胁检测的方法和装置。根据本发明的一个实施方式,本发明的步骤由结合到装置(例如管理装置md)中的计算机程序的指令来确定。该程序包括程序指令,当该程序在装置内被加载和执行时程序指令执行本发明方法的步骤。
因此,本发明也适用于计算机程序,特别是适用于实施本发明的信息介质上或其内的计算机程序。该程序可以使用任何编程语言,并且可以采用源代码、目标代码、或者源代码和目标代码之间的中间代码的形式,例如以部分编译的形式,或以实现本发明方法所需的任何其它形式。