基于异常外联的关基网络入侵检测方法研究

张增波 韩一剑 牛泽彬

1.公安部第一研究所 2.北京中盾安信科技发展有限公司

引言

关键信息基础设施安全保护要求的入侵防范要求中明确规定，应采取技术手段，提高对高级可持续威胁（APT）等网络攻击行为的入侵防范能力；应采取技术手段，实现系统主动防护，及时识别并阻断入侵和病毒行为。

关键信息基础设施中的网络对抗是一个动态相长的过程。这个过程中攻方占优势的情况通常以恶意软件、漏洞利用、病毒或其他攻击方式成功入侵了组织的网络或系统，当攻击者成功获取足够权限后，会构建远程控制隧道（Remote Control Tunnel），也称为“远控隧道”“反向隧道”或“外联隧道”。

防守方若要发现攻击控制的痕迹和通道，必须借助入侵检测的手段来发现、分析、溯源攻击者。本文提出的入侵检测方案主要是检测“敌已控我”的网络安全事件的线索。此时攻击者在实陷的目标设备与攻击者的控制服务器之间建立远程控制隧道后，它将被用来接收控制指令或将被盗的数据传至控制服务器中。

一、入侵检测

入侵检测技术是一种通过监控和分析系统活动情况来分析并提取入侵行为特征、对入侵行为进行实时响应的一种动态安全技术。通过监视计算机网络或系统中的活动，识别可能的恶意行为或未经授权的访问尝试。其主要目的是及时发现并响应安全威胁，保护计算机网络和系统堡垒。入侵检测参照攻击链模型，按照攻击发生的阶段可以划分为“敌在攻我”和“敌已控我”两个阶段的入侵检测。

“敌在攻我”顾名思义就是攻击者正在利用外部的网络基础设施对我相关系统发起扫描探测、漏洞利用、暴力破解等攻击。而“敌已控我”是指当一个组织或网络遭受入侵，被攻击者从内部网络连接到外部网络的情况通常被称为“入侵被控返联”（Compromished and Controlled Outbound Connectivity），也可以称为“出站控制”（Outbound Command and Control）。

（一）当前入侵检测的主要方法

入侵检测技术主要分为基于规则和基于行为分析两大类型。比如基于特征选择、贝叶斯推理、贝叶斯网络、模式预测、基于神经网络、贝叶斯聚类等方法很多学者均有研究；此外还有基于操作行为监控的入侵检测，例如有基于条件概率、状态迁移分析、键盘监控、规则等。

传统的检测方式已经不再适应当前的网络形势，基于机器学习的入侵检测方法不仅能够应对复杂的网络状况检测出未知攻击，而且在检测精度方面具有突出优势，能够有效提高检测率、降低误报率，是目前研究的主要方向。但随着目前网络规模的不断增大，检测过程也越来越复杂，如何提高通信效率，保障系统数据处理和响应速度需要进一步研究。

传统的基于规则的外联检测方法，过于依赖于漏洞规则的更新，以及对攻击者攻击方法的掌握，其时效性和未知威胁发现能力明显不足。

本文提出的异常外联入侵检测方法是一种基于规则的检测方法，但是采用了主动探测和被动检测的方式来主动发现外联行为，并有效结合了云端威胁情报能力，相对于传统基于规则的外联检测方法，本文的方法主动发现能力和时效性要高；相对机器学习的入侵检测方法，本文的检测方法其部署成本较低。

（二）主动探测和被动检测相结合的异常外联检测方法

本文提出的网络非法外联检测方案，是针对关键信息基础设施网络边界防护完整性检查的一种方法，在用户无感知、业务无影响前提下，通过主动探测与被动检测相结合的技术，实现事前预警、定位外联通道、定位外联终端、锁定证据、取证分析，提升网络边界完整性管控。

网络非法外联检测是一种主动防御方案，相对于网络防火墙、应用防火墙、终端防御系统等安全设备的被动防御措施，非法外联可以第一时间发现违反网络边界测量的外联行为，在入侵行为对信息系统发生影响之前，能够及时精准预警，及时切断外联通道，避免、转移、降低信息系统面临的风险。

二、主要功能

主动探测和被动检测相结合的网络非法外联检测方法，主要包括两大部分：一部分是利用跨域访问探测方法，主动发送流量连通性测试数据测试跨网络边界访问可行性；另一部分是手机网络边界的跨边界流量，将数据访问流量在云中心与情报进行联动，碰撞对比恶意外联行为，如图1所示。

本文的网络非法外联检测系统具备以下能力：

1.违规外联被动检测能力

基于网络流量及协议的深度解析，无需部署Agent客户端，即可完成非法外联行为监控，包括一机两网、一机多用、VPN代理外联、VPN代理接入等非法外联行为。

2.加密流量检测能力

在原被动检测能力基础上，通过在TLS/SSL服务中对应用的前置写入，发现非法外联主机，覆盖面更广。

3.失陷资产发现能力

通过DPI技术，结合精准的威胁情报，对网络中因木马、勒索病毒、攻击控制（CC）、挖矿等失陷资产存在的被控反联行为进行检测。

4.规则匹配检测能力

系统中内置突破边界软件知识库，包括隐蔽隧道特征库、攻击工具特征库、高危漏洞特征库、代理工具规则库、主机状态库等，内置检测规则自动适配网内业务应用，完成违规行为特征检测，对网内业务应用无影响。

5.非法外联取证能力

针对具有非法外联的终端进行行为取证，可检测非法外联上网记录，并将取证信息统一上报。

6.域名自学习能力

系统可以自动从网络流量中学习用户单位的业务系统域名，用于过滤非法外联检测点，可自主进行检测点控制，提升检测范围和细粒度。

7.详细的事件记录

通过不同监测平台入口，可查看对应管理域内非法外联记录，包括外联时间、设备内网IP地址、源端口、MAC地址、外网IP地址、目的端口、外联协议、所在地区、使用的浏览器版本。

8.多维度事件统计

可统计单位当日非法外联事件次数、外联IP数量，当日外联事件较多的主机排行，以及此单位非法外联事件总数、外联IP总数。

9.细粒度事件查询

支持内网IP、外网IP精确匹配查询；MAC地址、设备编号、设备名称精确匹配查询；检测协议精确匹配查询，包括HTTP、TCP、UDP、DNS；时间范围查询；UserAgent、Refer、外网IP归属地模糊匹配查询；按组织机构查询，结果包括当前节点及其子节点信息。

10.灵活的检测方式

针对具有统一出口的关键信息基础设施单位，支持对外网出口IP的白名单进行添加、编辑、删除管理，白名单内的出口IP不进行检测。

三、实现原理

该检测方法在部署实施时采用旁路部署，无需安装软件客户端，不改变现有网络结构，用户无感知。同时结合应用层检测和主动探测技术，更准确、全面地发现非法外联行为。

（一）应用层检测

主机通过交换机访问内网网络地址（原始地址），向其发送http请求。网络非法外联检测系统监控请求流量，若流量命中了知识库中的规则（包含协议解析、请求特征判断等），则向内网主机发送探测违规行为的报文；若内网主机收到探测违规行为的报文，会尝试对另一侧网络服务器发送探测请求，如果连接成功，则上报主机内网IP、外网IP、User-Agent等信息。

网络非法外联检测系统收到非法外联信息后，会增加出口IP信息记录到系统中。应用层检测与正常的业务访问相结合，不受网络结构、防火墙设置的限制，检测准确率100%，但是存在一定的漏检情况。网络非法外联检测系统还结合TCP/UDP探测技术保证检测准确、全面。

（二）威胁情报检测

利用威胁情报是检测恶意程序非法外联的有效方法。通过安全运营中网络安全报警的分析，以及来自各个渠道的威胁情报信息，可有效发现已被标记为恶意程序的外联行为。本文的检测方法中，通过检测交换机的流量与威胁情报碰撞，可快速准确识别基于木马、勒索病毒、远控工具所引起的黑客或APT组织攻击而造成的失陷资产反联。

（三）边界代理检测

在重大网络安全事件、攻防演练中提取攻击工具与回联特征，针对隐蔽隧道、远控工具、内网穿透等通过加密流量回联建立指纹知识库，通过对流量中相关协议的特征进行提取与分析，识别其通过伪装构造的外联流量，从而对有互联网合规出口场景的突破边界的反联行为进行检测与识别。

四、技术要点

网络非法外联检测系统主要具备以下技术特点：

（1）检测一机多用违规行为。实时检测计算机及网络设备，既连接内部网同时又连接国际互联网的一机多用行为，同时能够快速检测计算机在内部网络和互联网切换的一机多用行为。

（2）检测违规架设VPN。用户通过VPN用户接入内网并访问内网WEB服务器，系统监控到WEB访问流量，触发非法外联检测，访问互联网的过程会被自动检测为非法外联行为。

（3）被控反联。基于知识库对失陷资产发送的流量报文的检测。

（4）定位非法外联终端。非法外联记录包含了非法外联设备的内网IP、mac和互联网IP，方便管理者进行溯源定位。

（5）旁路部署不影响业务连续性。在进行非法外联监测的同时，原始请求会正常到达内网服务器，无论非法外联检测报文能否收到应答，内网服务器都能正常回应，不影响业务功能。

（6）非法外联取证。在发现非法外联行为后，系统可对非法外联行为进行取证，通过相应技术手段还原用户外联页面，提取用户信息。同时，便携式取证工具可在外联终端提取用户违规上网信息。

五、典型应用场景部署

（一）单点非法外联检测系统部署

针对于网络结构简单、网络监控范围小的场景，以单点设备形式部署网络非法外联检测系统，对接公有非法外联捕获服务器，完成网络非法外联监测及管理。同时，可根据不同的网络非法外联监测需求，如内网与内网隔离监控、内网与生产网间隔离监控，完成不同位置的非法外联捕获平台部署。

将检测系统设备部署于监控域内核心交换机旁路，通过“交换机镜像”及“NetworkTAPs设备复制流量”两种方式获取用户网络流量，部署详细描述如下：

第一种：交换机流量镜像

（1）检测设备需部署在核心交换机位置，每台交换机对应一台设备；

（2）每台检测设备需要接三个核心交换机网口。

第二种：NetworkTAPs设备复制流量

（1）外联检测设备需部署在核心交换机位置，每台交换机对应一台E01系统；

（2）每台外联检测设备需接两个核心交换机网口及NetworkTAPs设备一个镜像口。

（二）多级分布式非法外联监测系统部署

针对于分支单位数量较多、层级较多的场景，为满足“统规、统建、统管”等要求，非法外联监测需进行多级分布式系统建设，包括网络非法外联集中管理平台、多级网络非法外联检测系统，以及根据实际要求部署网络非法外联捕获服务器。

1.物理/逻辑隔离网络

网络非法外联集中管理平台部署于总部服务网，用于对各分支单位检测系统的集中管理。网络非法外联捕获服务器可根据不同网络非法外联监测需求，选择不同监测位置部署检测设备，完成总部及各分支单位非法外联的检测。例如，只监测非法外联互联网场景，则将外联捕获服务器部署于互联网侧（互联网侧可以服务形式使用公安部第一研究所的云分析平台），如总体部署图4所示；检测内网与内网之间违规互联场景，则外联捕获服务器部署于内网侧，如总体部署图5所示。

2.统一出口网络

网络非法外联集中管理平台部署于总部服务网，用于对各分支单位检测设备的集中管理，非法外联捕获平台部署于互联网侧（互联网侧可以服务形式使用云分析平台），完成总部及各分支单位非法外联的检测。检测设备部署于地区分支单位汇聚交换机旁路，基于网络流量分析完成日常化非法外联监测。

六、结语

基于异常外联的关基网络入侵检测方法已经在交通、能源、金融等领域进行了大量实践，实践表明该方法在检测发现“敌已控我”攻击行为、检测受控外联通道方面具有良好的应用效果，同时在发现单位内部网络私搭乱建、破坏网络边界完整性等方面也具有广阔的应用前景。