網路安全態勢感知技術研究與應用
摘要:在新的網路安全形勢下,網路安全態勢感知變得炙手可熱,已經成為政府、企業宣傳網路安全的高頻詞。但是,對於網路安全態勢感知的內容、針對不同用戶需求如何感知等具體問題卻缺乏清晰的認識。在詳細分析感知內容即網路資產、資產脆弱性、安全事件、網路威脅、網路攻擊和網路風險的基礎上,針對不同種類用戶即政府部門或企業、企業集團或行業主管部門、政府監管機構的不同網路安全保障需求和網路安全監管需求,提出了微觀、中觀和宏觀網路安全態勢感知的功能架構和部署方式,為不同用戶建設網路安全態勢感知平台提供參考。
0 引 言
網路攻擊手段日益複雜化,導致用戶在遭受攻擊時很難發現攻擊者的攻擊行為,甚至在事後無法追溯攻擊路徑,還原攻擊過程。在全球網路信息化程度高速發展的大背景下,具備隱蔽性、滲透性和針對性的高級持續性威脅,對各類高等級信息安全系統造成的威脅日益嚴重。針對特定目標的有組織的APT攻擊日益增多,國家、企業的網路信息系統和數據安全面臨嚴峻挑戰[1]。
傳統防火牆、防病毒和入侵防禦等以邊界防護和靜態防護為主的安全防護方式,已不能適應新的網路安全形勢,需要採用持續監控、大數據分析等新技術,全量採集網路相關數據、感知網路當前態勢,並預測網路安全趨勢。近年來,網路安全態勢感知可謂炙手可熱,在各種領導講話、會議發言、企業宣傳等場合頻頻出現。同時,有關網路安全態勢感知的論文也不斷增加,涉及態勢感知的概念、起源、內涵、指標以及框架架構等。本文旨在闡述「態勢感知」感知內容的基礎上,分別從微觀、中觀和宏觀三個層面提出態勢感知的功能架構和部署方式,即「態勢感知」如何感知,以釐清針對具體信息網路安全保障和網路安全監管的態勢感知之間的關係和側重點。
1 態勢感知的內容
1.1 感知網路資產
IT系統越來越複雜,從而產生大量的無主資產、殭屍資產,且這些資產長時間無人維護,存在大量的漏洞和配置違規,為用戶網路安全帶來了極大隱患。因此,首先要摸清資產家底。任何網路入侵和攻擊都是以資產為載體或目標,如果網路資產是一筆糊塗賬,那麼網路安全狀況將無法保障。
感知資產的方法主要有主動探測和被動分析。主動探測主要用於對未知網路下的資產發現探測,被動分析主要用於7×24小時持續性的監聽已知網路下的未發現資產。通過強大的資產指紋庫建立各類型資產的特徵,包括網路設備、安全設備、各類操作系統、資料庫和應用中間件等,進行識別資產並完成資產屬性的補全,最終實現未知資產的發現、識別與管理。同時,需要通過有代理或無代理方式監控資產的運行狀態,包括主機CPU、內存、磁碟佔用率變化情況、網路帶寬的佔用變化情況和交換機每個埠的流量情況。更進一步,可採集服務進程、線程數據、CPU和內存佔用率等[2],為安全檢測分析提供數據支撐。
1.2 感知資產脆弱性
網路安全脆弱性主要包括資產漏洞和弱密碼等配置不當。脆弱性已經成為網路攻擊者入侵網路竊取信息或者破壞系統的重要入口。因此,「摸清家底」的一個重點就是要摸清資產的脆弱性。如果資產漏洞和不合理配置不明確,將無法進行資產安全加固並採取防護措施。
對於資產漏洞,感知方法是基於已知的漏洞信息,採用埠探測等手段,對網路中指定的主機、網路設備等資產進行漏洞檢測,發現網路資產存在的漏洞;資產配置脆弱性感知方法是採用基線安全配置檢測工具,深度獲取主機、伺服器和網路設備等資產的配置信息,並與配置基線進行比較,發現資產配置的脆弱性。最終,在發現脆弱性基礎上,維護所有資產脆弱性的生命周期信息,並分析可能的攻擊面和攻擊路徑。
1.3 感知安全事件
隨著網路技術的發展,網路安全威脅的方式層出不窮。病毒、蠕蟲、後門和木馬等網路攻擊方式越來越多,逐漸受到人們的廣泛關注。為了保證網路系統的安全運行,網路中廣泛使用了防火牆、入侵檢測系統、漏洞掃描系統和安全審計系統等安全設備。這些安全設備會產生大量違反安全策略和安全規則的告警事件。但是,這些安全告警事件信息中含有大量的重複報警和誤報警,且各類安全事件之間分散獨立,缺乏聯繫,無法給安全管理員提供在攻擊時序上和地域上真正有意義的指導。
實際中,大部分的安全告警事件並不是孤立產生的,它們之間存在一定的時序或因果聯繫。結合安全告警事件的運行環境,對原來相對孤立的低層網路安全事件數據集進行關聯整合,並通過過濾、聚合等手段去偽存真,發掘隱藏在這些數據之後的事件之間的真實聯繫[3],確定事件的時間、地點、人物、起因、經過和結果。
1.4 感知網路威脅
隨著技術的不斷進步,網路攻擊行為逐漸呈現分布化、遠程化與虛擬化等趨勢。傳統基於對攻擊行為進行特徵識別與比對的威脅感知和甄別機制,受到了來自新型攻擊手法的巨大挑戰。層出不窮的各類高危漏洞、0Day漏洞,使攻擊特徵庫的及時更新與長期維護面臨巨大困難[4]。此外,傳統的威脅檢測手段在應對APT攻擊時顯得力不從心,因為傳統的檢測手段主要針對已知的威脅,對未知的漏洞利用、木馬程序、攻擊手法無法進行檢測和定位。
面對層出不窮的網路攻擊和新的網路安全形勢,感知網路威脅的方法可以概括為「知己」和「知彼」兩個方面。「知己」方面是採集內部網路流量數據、日誌數據和安全數據等,進行基於大數據分析、人工智慧技術的異常行為檢測,發現隱藏在海量數據中的網路異常行為;「知彼」方面是通過監測、交換和購買等各種方式,搜集惡意樣板Hash值、惡意IP地址、惡意域名、攻擊網路或者主機特徵、攻擊工具、攻擊戰技術、攻擊組織等網路威脅情報數據,用於支撐安全運行維護、安全檢測分析和安全運營管理。
1.5 感知網路攻擊
在網路攻擊的一次迭代過程中,一般分為情報收集、目標掃描、實施攻擊、維持訪問和擦除痕迹5個階段[5]。感知網路攻擊是持續不斷地收集當前網路中的攻防對抗數據。一方面實時展現當前網路中的攻防對抗實況,深入挖掘各種攻擊行為,如埠掃描、口令猜測、緩衝區溢出攻擊、拒絕服務攻擊、IP地址欺騙以及會話劫持等;另一方面,藉助網路異常行為檢測和歷史攻擊信息,分析潛藏的高危攻擊行為和未知威脅,並協助安全分析師抽取高價值的威脅情報。
1.6 感知安全風險
網路安全風險感知是在感知網路資產、脆弱性、安全事件、安全威脅和安全攻擊的基礎上,進一步進行數據融合分析,建立全網的安全風險指標體系和風險評估模型,從抽象的高度來評估當前網路的整體安全風險。風險評估可採用定量與定性相結合的綜合評估方法。層次分析法(AHP)是一種典型的評估方法,是一種定性與定量相結合的多目標決策分析方法。這一方法的核心是將決策者的經驗判斷予以量化,從而為決策者提供定量形式的決策依據。
2 態勢感知的方法
2.1 微觀層面態勢感知
這裡所指的微觀層面,是針對具體企業或政府的信息網路而言的。作為網路安全的具體保障對象,企業信息網路態勢感知的目的是詳細掌握企業網路資產、脆弱性、告警事件、威脅、攻擊和風險,並進行應急響應、調查分析等閉環處置。具體方法是儘可能全面採集信息網路相關數據,包括網路設備數據、安全設備數據、主機設備數據、資料庫數據以及應用系統和中間件數據,融合威脅情報進行基於大數據平台的安全管理與安全分析,實現資產管理、漏洞管理、事件管理、威脅告警、調查分析和應急響應等業務功能,為安全運營(管理、分析、響應)團隊提供技術支撐,如圖1所示。
微觀層面的網路安全態勢感知平台的部署方式可根據信息網路的規模採用集中式部署(適用於中小企業信息網路),或者分布採集、集中運營管理的部署方式。常見的部署方式如圖2所示。
對於中小型企業,可以採用集中部署的方式,在中心集中部署採集器集群;對於中大型企業,則採用分散式採集部署方式。
2.2 中觀層面態勢感知
這裡所指的中觀層面,是針對具有多個微觀管理域職能的企業集團或行業主管部門而言的。作為企業集團或行業主管部門,既有自身信息網路安全保障的職責,也有下級網路安全監管職責,其網路安全態勢感知平台應該是一個分級分域的架構,其功能架構與微觀層面態勢感知平台類似。但是,上級平台除具有微觀態勢感知的全部功能外,需要對匯聚的下級平台態勢信息進行統計分析和關聯分析,並向下級平台預警等,部署方式如圖3所示。
圖3中,下級平台向上級平台上報網路安全態勢、重要安全事件、運行狀態和知識庫更新等信息,上級平台向下級平台下發預警、級聯狀態和知識庫更新等信息[6]。在中觀層面,上級平台匯聚了多個下級平台的態勢信息和事件信息,可以實現多域聯動和協同響應。
2.3 宏觀層面態勢感知
這裡所指的宏觀層面,是針對政府監管機構而言的,關注的重點是管轄範圍內的宏觀網路安全態勢。宏觀網路安全態勢感知需要匯聚轄區內中觀態勢感知平台個獨立的微觀態勢感知平台的態勢信息、重要事件信息,同時結合互聯網大範圍監測的DDoS攻擊態勢、WEB攻擊態勢、僵木蠕態勢以及第三方網路威脅情報中心的情報信息,分析、研判轄區內宏觀網路安全態勢,針對重大、特別重大網路安全事件進行預警通報和應急指揮。功能架構如圖4所示。
圖4中,中觀網路安全態勢感知平台、微觀網路安全態勢感知平台通過網路,將本平台的態勢信息、重大或特別重大網路安全事件上報宏觀態勢感知平台。宏觀態勢感知平台進行統計分析、關聯分析和攻擊鏈分析,結合威脅情報進行威脅判斷,下發安全預警通報,並針對重大或特別重大安全事件進行應急處置,實現全域聯動和協同響應。
3 結 語
本文在詳細闡述網路安全態勢感知內容的基礎上,針對不同用戶的不同目的,提出了微觀、中觀和宏觀網路安全態勢感知的功能架構和部署方式。其中,微觀網路安全態勢感知平台適用於政府、企業針對具體信息網路的安全保障,可以作為政府、企業的網路安全運營管理中心的重要支撐平台;宏觀網路安全態勢感知則適用於政府監管機構對一定區域內或國家的宏觀網路的安全監管,可以作為監管機構的技術支撐平台;中觀網路安全態勢感知則介於微觀和宏觀之間,適用於企業集團或者行業主管部門自身信息網路安全保障和對下級企業網路的安全監管。
參考文獻:
[1] 許敬偉,何慶,鄧曉東.基於網路安全態勢感知的高級持續性威脅檢測和研究[J].電腦編程技巧與維護,2017,14(29):83-86.
[2] 鄧曉東,何慶,許敬偉.大數據網路安全態勢感知中數據融合技術研究[J].網路安全技術與應用,2017(08):79-80.
[3] 琚安康,郭淵博,朱泰銘.網路安全事件關聯分析技術與工具研究[J].計算機科學,2017(02):38-43.
[4] 單琳.網路威脅情報發展現狀綜述[J].保密科學技術,2016(08):28-33.
[5] 劉龍龍,張建輝,楊夢.網路攻擊及其分類技術研究[J].電子科技,2017,30(02):169-172.
[6] 潘峰,張電.一個實用、高效網路安全態勢感知系統的設計[J].保密科學技術,2012(02):65-69.
作者簡介:
宋 進,中國電子科技集團公司第三十三研究所工程師,碩士,主要研究方向為網路信息安全;
唐光亮,中國電子科技網路信息安全有限公司高級工程師,碩士,主要研究方向為網路信息安全。
(本文選自《通信技術》2018年第六期)
原創聲明 >>>
本微信公眾號刊載的原創文章,歡迎個人轉發。未經授權,其他媒體、微信公眾號和網站不得轉載。
