基于多重检测的关基终端安全防护技术研究

李海威 王文倩 李坤 公安部第一研究所

引言

网络攻击日益体现出规模化、精准化、高维化的趋势[1]，以多层次保护思路为代表的关键信息基础设施保护理念也在不断地实践与优化[2]。随着云、大、物、移、智的发展，原有的边界被打破，攻击突破口体现出更大的不确定性，已经不再主要集中于网络系统、重要服务器或数据库等，而是越来越多地出现在终端。伴随流量检测能力逐渐受限，市场、政策、技术推动国内终端安全市场重启，终端已成网络安全的必争之地，是关基保护中不可忽视的重要环节，也是《关键信息基础设施安全保护要求》（GB/T 39204-2022）中实现安全防护、主动防御能力要求不可或缺的重要部分。同时，除传统的台式计算机、笔记本电脑外，移动设备、IOT等类型设备也不断加入网络[3]，终端的形态与使用模式与以往相比更加复杂，而相应的攻击技术还在不断变化，攻击路径的选择更灵活，攻击工具持续在迭代，导致安全威胁更加隐蔽，更加难以识别与发现，最终形成了当前形势下终端安全保护工作的重大挑战。

一、终端安全形势分析

终端作为用户与关基系统交互的主要接口，同样是很多敏感数据处理、传输、存储的重要设备，在关基保护工作中十分重要，有问题的终端，如感染病毒的终端接入关基系统后对整体安全的影响十分巨大[4]。目前的终端保护工作中，以弱口令、老旧漏洞为代表的传统问题仍然大量存在，APT攻击、勒索病毒及其变种、新型后门攻击等新手段层出不穷，人工智能也已经被攻击方利用来加速攻击技术的迭代升级[5]，创建更复杂而高级的攻击模式。

当前关基系统终端安全面临的形势十分严峻，而针对终端的典型防御工作大多停留在原有的阶段，包括以补丁修复、特征库升级、安全策略优化和安全管理完善等预防措施，还有特征分析、日志分析、资产管控、准入控制等防御措施[6,7]。这些技术措施在以往的终端保护中起到了良好的作用，而在新形势下的终端安全保护方面已经越来越体现出不足。主要问题体现在两方面：（1）预防手段主要基于已知的威胁，必然会存在滞后性，只能起到缓解系统风险作用，无法从根本上解决问题；（2）防御手段对网络攻击的分析仅限于表面层的静态特征，对高级威胁的防护能力不足，特别是不具备检测出在系统底层出现的恶意攻击行为。

二、多重检测终端安全防护总体思路

（一）安全防护总体思路

建立新一代终端安全防护方案，通过轻量化客户端、海量情报分析、智能分析，建立“端网”协同机制，实现终端威胁检测、分析、取证、处置一体化能力。从攻击面分析，需对终端文件、进程、系统、内存、网络、CPU指令等层面信息进行全方位探针，为了有效应对无文件攻击、APT攻击等高级持续性攻击，同时保障终端轻量化，需要将全量信息集中上报至“云端”，并引入动态分析、智能分析、行为分析等新技术，实现对内外网威胁全面发现的能力。结合海量情报分析实现联防预警，整体框架如图1所示。

（二）多重检测技术路线

依据国家对关键信息基础设施保护提出的整体防护原则，需要对终端内存层、系统层、应用层、网络层实现立体防护，研究内存监控技术可实现二进制攻击检测，研究行为分析技术可实现未知恶意代码攻击、脚本攻击检测能力，研究智能分析可对终端采集信息进行学习，增强高级威胁发现能力，研究情报关联分析技术，可实现非法外联、APT攻击发现能力，并实现情报共享。

三、多重检测终端安全技术研究

（一）关键技术

1.内存检测技术

通过内存行为分析技术可以实现以下二方面保护能力：（1）漏洞防御能力：通过细粒度的监控内存读、写、执行行为，可实时检测内存中存在ROP、堆喷、堆栈属性攻击、内存Shellcode执行等异常行为，结合拦截模块进行漏洞防御。（2）暂态数据保护：存储在硬盘中数据可以称为“静态”数据，而在运行中数据为“暂态”数据，且为明文状态，基于内存检测技术可防止攻击者Dump内存中数据，从而实现保护作用。

2.行为分析技术

行为分析技术在国外又称NGAV下一代杀毒技术，通过行为分析技术可有效应对已知、未知威胁。病毒样本可能有无数，并不断衍生新的病毒程序，基于特征或签名方式难以有效应对，研究行为分析技术，核心识别病毒样本恶意行为，攻击者为了达成攻击目的必然会执行一系列恶意行为，而攻击行为数量是收敛的（每种类型大概200～300种），通过行为分析技术可实现主动防御，最终实现未知威胁检测及防护能力。

3.情报关联分析技术

威胁情报可弥补攻防两端信息不对称问题，已经成为终端安全必选项，成为新的“驱动力”。终端可发现组织内部更详细信息，而情报可更多挖掘APT攻击，从情报类型上可不断加强外联情报、文件情报能力建设，终端对文件信息、行为信息、网络信息进行实时采集与云端情报联动分析，实现对告警事件准确分析定位，通过终端威胁能力与云端情报结合，可形成内生性，实现情报的“消费”和“生产”不断循环，最终通过联动分析实现一点被攻破，全网共免疫的效果。

4.灰文件鉴定技术

首先需对全网终端黑文件、白文件进行识别，对系统中白文件聚合分析是重点，通过聚合分析技术实现对全网终端中系统白文件进行精准识别并归类，例如：系统中某个文件，在系统升级后其文件特征信息会改变，需要将其进行准确识别并归类至白名单中，再进行全网分析统计，一旦发现白文件仅存在于某个终端，需要对其进行重点分析，以确认其是否遭受潜在攻击。通过对黑白文件过滤、对全网“灰文件”可结合沙箱进行联动分析，从而实现灰文件鉴定，最终建立黑、白、灰、准白全息档案。

5.智能分析技术

AI驱动安全，在国内外已经成为新“聚焦点”，研究基于AI技术，可实现未知威胁检测、合规自动化检查、高级威胁智能定级、威胁取证溯源分析、高级威胁影响分析、安全自动化运营、AI防护等场景，将客户端广泛部署在客户生产环境，数据上报至“云端”，可对数据进行充分训练，通过大量威胁数据分析，可在威胁检测能力、误报率控制、检测性能上与传统检测产品拉开差距，提升对高级威胁行为的发现能力，同时提供描述性、诊断性、预测性以及指导性分析，以了解安全威胁并及时做出响应。

（二）核心功能

1.文件/外联全息建档功能

针对组织内部黑、白、“灰文件”及IP/域名实现全息档案建设，精确衡量与跟踪，在发现恶意程序后，分析人员可快速评估其严重程度、影响程度，快速查询其是否存在其他计算机上，从而判断其是否为系统性事件，了解入侵指标，实现“威胁全网排查”。

2.情报联动分析功能

解决流量设备发现威胁告警后证据链不完整问题，全面提升威胁发现及溯源能力，同时终端采集IP、域名、文件MD5等信息，可与情报进行联动分析，实现问题“精准定位”。

3.黑灰产外联检测功能

终端基于DNS的监测分析，与网络威胁情报联防处置平台（K01）实现联动，针对IP、域名发现黑灰产外联，实现“外联检测”。

4.威胁线索自动分析取证

发现攻击威胁后，需要能够对当时发生攻击事件相关信息进行实时取证，高级攻击样本具备自删除能力、非法外联请求具有时效性，事后检测方式即使发现告警，由于丢失威胁发生时的关键证据，难以定性。通过对终端病毒样本、进程链信息、内存Dump等类型信息进行实时取证，可解决关键固证信息不完整，难以分析定位问题。

5.新型/未知威胁检测

内存攻击具有难检测、难分析、难取证的问题，通过内存行为监控技术实现内存威胁发现能力，解决内存威胁防护不足问题。深入脚本解释器，监控程序内部执行行为，从而可以有效发现脚本攻击。通过行为分析技术，防范未知恶意代码攻击。

6.APT攻击检测

通过终端文件特征分析及行为分析，实现对疑似APT组织线索发现，结合威胁样本行为分析系统、情报系统实现“APT检测”。

7.清除顽固病毒

针对普通病毒木马程序，通过杀毒软件快速查杀即可，而当前笔者发现终端出现重新启动后病毒再次运行的情况，难以彻底根除。研究Antirootkit病毒处置工具，对进程、文件、启动项等清除，实现病毒“彻底根除”。

四、应用效果与验证

终端安全问题是关键信息基础设施的主要隐患。针对终端安全防护问题，基于本文思想与核心技术设计实现的终端安全防护系统（网鉴V01），具备终端威胁检测、分析取证、威胁处置、场景化防护一体化运营能力。通过联动能力建立终端联防联控体系，探针采集终端文件、进程、内存、指令、网络等不同层面数据上报云端，强化AI未知威胁检测效果，实现针对终端的新威胁、未知威胁的发现能力。系统适用于政府、金融和互联网等大型企事业单位VDI环境和办公终端的安全防护，致力于终端威胁闭环管理，结合联动能力提供集权系统一体化防护、社工钓鱼场景防护，能够有效应对终端僵木蠕及未知恶意代码防范，辅助关键信息基础设施运营单位抵抗APT组织攻击，缓解0day漏洞攻击，全面提升企业办公终端安全管理的水平。以某省大型国有能源企业应用为实例验证实践效果。

（一）系统部署方案

网鉴V01管理中心采用集群部署模式，部署在IDC区，采用B/S结构，通过浏览器即可实现对全网终端的安全管理与监控，探针部署在全网办公终端环境，包括主流Windows操作系统、VDI环境。部署终端3000点，实现文件全息建档，通过情报、沙箱联动等检测手段，全面覆盖已知、未知威胁。详细部署架构如图3所示。

（二）实践效果验证

系统部署后，7日内共计检测发现并建立白文件档案452130条，建立准白文件档案162850个，黑文件发现1230条，灰文件发现663个，威胁文件线索发现12135条，有效拦截率达99%。详细威胁分类见表1。

针对恶意文件线索的分析过程中发现，发现365台终端上存在未及时清理的恶意程序；在对文件的具体特征分析过程中发现内网存在蠕虫、后门软件病毒等恶意代码。通过内存攻击行为检测，发现在该企业内部存在大量具有高危行为的程序，协助该企业用户对高危行为的软件进行了摸底排查及应急处置。

五、总结与展望

为强化落实《关键信息基础设施安全保护要求》，有效防护终端安全，做好关键信息基础设施安全的最后一道屏障，有针对性地提升关键信息基础设施安全防护、监测预警和主动防御能力，基于多重检测的终端安全防护技术，结合AI驱动安全理念，将人工智能算法用于预测、鉴定、组织恶意程序，结合行为分析自动化检测组织异常行为，缓解零日攻击造成的破坏，有效提升我国关键信息基础设施终端安全防护水平。研究基于内存安全检测技术、未知威胁检测技术、关联分析技术、威胁情报联动分析等关键技术，捕获发生在终端内存、内核、文件、进程等不同层面中的异常行为，加强云端分析能力、联动分析能力，及时发现和拦截未知威胁，是关键信息基础设施运营单位未来网络安全建设的重点方向。