基于機器學(xué)習(xí)的行為分析技術(shù)在下一代智能化網(wǎng)絡(luò)安全體系中的應(yīng)用*

陳 捷，叢 鍵，張海燕

（西南通信技術(shù)研究所，四川 成都 610041）

0 引 言

在當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域，安全防御技術(shù)和攻擊威脅技術(shù)以零和博弈為基本原則，通過快速且不斷變化的高強度相互對抗，彼此促進了相關(guān)技術(shù)的高速發(fā)展。而與物理空間如軍事斗爭中的攻防不同，由于網(wǎng)絡(luò)空間的虛擬化特征，攻擊方在很多方面先天占有較大優(yōu)勢。另一方面，鑒于能源、基礎(chǔ)設(shè)施、金融等領(lǐng)域的企業(yè)組織機構(gòu)在國家社會經(jīng)濟等方面的重要作用，經(jīng)常成為個人、組織甚至國家級網(wǎng)絡(luò)攻擊行為的高價值目標。從網(wǎng)絡(luò)惡意行為出現(xiàn)以來，它們一直備受攻擊方的關(guān)注。

傳統(tǒng)的企業(yè)網(wǎng)絡(luò)安全體系的設(shè)計實現(xiàn)部署，主要體現(xiàn)了兩方面思路。

第一，御敵于邊界之外的防御體系。傳統(tǒng)企業(yè)網(wǎng)絡(luò)安全體系的核心設(shè)計理念通常將企業(yè)園區(qū)網(wǎng)及信息系統(tǒng)之外，以互聯(lián)網(wǎng)為代表的外部網(wǎng)絡(luò)信息環(huán)境，定義為充斥著有組織黑客、惡意軟件、釣魚網(wǎng)站、病毒等各類安全威脅的高度威脅環(huán)境。因此，在企業(yè)網(wǎng)絡(luò)外部邊界即與外部威脅環(huán)境的連接點上，均部署了防火墻、入侵檢測防御系統(tǒng)、網(wǎng)絡(luò)防病毒等安全產(chǎn)品。對于涉及國家重大基礎(chǔ)設(shè)施、能源、軍事等領(lǐng)域的企業(yè)網(wǎng)絡(luò)，還采取物理隔離手段或VPN等基于密碼技術(shù)的隔離措施，將企業(yè)內(nèi)部信息系統(tǒng)、端點和網(wǎng)絡(luò)設(shè)施與外部高威脅環(huán)境隔離開來。

第二，基于已識別惡意行為簽名的特征檢測。傳統(tǒng)企業(yè)網(wǎng)絡(luò)安全體系對于采用了先進隱匿技術(shù)和0day漏洞的未知特征網(wǎng)絡(luò)攻擊行為，通常需要在破壞性結(jié)果或其他顯著的安全事件實際發(fā)生后，通過日志數(shù)據(jù)、專用工具，結(jié)合人工分析的方式，逐步定位威脅行為作用范圍，鎖定攻擊向量，并提取威脅行為的文件簽名、流特性和地址端口協(xié)議等網(wǎng)絡(luò)特征。這種機制需要內(nèi)部信息系統(tǒng)具有較高的魯棒性，能承受一定程度的網(wǎng)絡(luò)攻擊破壞性后果。

隨著定向社工、人工智能、高級隱匿、自適應(yīng)變形等新興網(wǎng)絡(luò)威脅技術(shù)的不斷發(fā)展，專業(yè)級黑客工具的廣泛擴散，以及用于0day漏洞交易的地下黑產(chǎn)市場日益成熟，傳統(tǒng)企業(yè)網(wǎng)絡(luò)安全體系在應(yīng)對未來新型網(wǎng)絡(luò)威脅和攻擊行為方面日益捉襟見肘，而以行為分析[1]為代表的一系列新一代網(wǎng)絡(luò)安全技術(shù)正被視為改變這一不利局面的重要力量和關(guān)鍵支撐技術(shù)，得到了國內(nèi)外安全產(chǎn)業(yè)界的高度關(guān)注和重點發(fā)展。

本文針對先進的復(fù)雜威脅、內(nèi)部威脅等現(xiàn)有安全機制難以有效應(yīng)對的網(wǎng)絡(luò)攻擊行為，對用戶實體行為分析、網(wǎng)絡(luò)行為分析、端點行為分析等基于機器學(xué)習(xí)和安全態(tài)勢感知的新興網(wǎng)絡(luò)安全技術(shù)進行了研究，分析了行為分析的發(fā)展需求、應(yīng)用現(xiàn)狀和技術(shù)趨勢，研究和討論了其模型、架構(gòu)以及在下一代網(wǎng)絡(luò)安全體系中的應(yīng)用方式。

1 現(xiàn)有網(wǎng)絡(luò)安全體系難以有效應(yīng)對未知的網(wǎng)絡(luò)威脅發(fā)展的原因

1.1 邊界防御對抗機制

企業(yè)網(wǎng)絡(luò)信息環(huán)境的邊界防御機制通常在企業(yè)園區(qū)網(wǎng)周邊采取物理隔離手段，并在園區(qū)網(wǎng)與電信運營商網(wǎng)絡(luò)等外部網(wǎng)絡(luò)連接點處部署VPN的邏輯隔離網(wǎng)關(guān)和NGFW、NGIPS等高強度安全產(chǎn)品。這種“御敵于國門之外”的防御思路將安全重點和主要防御手段聚焦在企業(yè)網(wǎng)邊界和入口處。因此，從非合作博弈的角度思考，參考洛克希德馬丁的殺傷鏈模型[2]，在網(wǎng)絡(luò)武器的投放階段，網(wǎng)絡(luò)攻擊方最有利的應(yīng)對思路是選擇繞開安全體系防御強度最高的部分，而是選擇企業(yè)網(wǎng)絡(luò)信息環(huán)境攻擊界面相對薄弱的環(huán)節(jié)進入，如注入攻擊載荷建立C2通道，并進一步通過對企業(yè)內(nèi)部網(wǎng)絡(luò)的偵測，采取橫向移動方式移動到預(yù)定攻擊目標。由于移動辦公和自帶設(shè)備BYOD日益成為企業(yè)運營常態(tài)，而魚叉攻擊等定向社工技術(shù)的發(fā)展，使得過度依賴邊界防御的企業(yè)網(wǎng)絡(luò)安全體系將形同虛設(shè)。

1.2 特征檢測對抗機制

特征匹配檢測機制[3]對于未知特征的網(wǎng)絡(luò)威脅行為，理論上不具備檢測識別能力。在實際應(yīng)用環(huán)境中，它基于兩點安全假設(shè)，即沒有檢測到和沒有攻擊行為爆發(fā)的情況下系統(tǒng)是安全的。在這兩點前提下，當(dāng)網(wǎng)絡(luò)攻擊行為后果實際爆發(fā)時（如勒索軟件等），整個安全體系可以通過攻擊涉及范圍、攻擊外顯現(xiàn)象等因素，有效縮小搜索范圍，并通過人工分析，結(jié)合審計、日志等輔助工具，鎖定、捕獲攻擊代碼樣本，經(jīng)靜態(tài)或動態(tài)分析后提取相應(yīng)的攻擊指示器（IOC）添加到防火墻、AV、IDS等安全設(shè)備的特征匹配列表，用于后續(xù)的安全檢測防御工作。

從攻擊者的角度出發(fā)，自然會采用變形、多態(tài)、混淆、加密等方式有效對抗特征匹配檢測機制。從發(fā)展過程來看，攻擊方的策略明顯更為成功和占有優(yōu)勢。因為相對于整個cyber行為空間或特征空間而言，規(guī)模再大的白名單庫、病毒特征庫、IOC數(shù)據(jù)庫等，能有效覆蓋的范圍占比可以基本忽略不計，攻擊方具有非常充分的余地繞過特征檢測機制。

對于特定行業(yè)應(yīng)用如軍事應(yīng)用，在不考慮威懾平衡的前提下，依托國家級技術(shù)力量發(fā)動的網(wǎng)絡(luò)攻擊往往具有針對高價值目標、長期潛伏、集中爆發(fā)、造成不可逆損失的特點。它的攻擊向量通常不會反復(fù)使用，因此基于特征匹配的安全體系對這類網(wǎng)絡(luò)攻擊行為無論從事前還是從事后，基本上都不能發(fā)揮任何效用。

2 行為分析技術(shù)發(fā)展現(xiàn)狀與趨勢

2.1 行為分析在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用需求

2.1.1 基于行為的網(wǎng)絡(luò)威脅檢測識別

當(dāng)前，大部分安全公司開始在自身產(chǎn)品中引入人工智能和機器學(xué)習(xí)技術(shù)。這類技術(shù)可以有效提升安全產(chǎn)品檢測異常行為的能力，其中包含對網(wǎng)絡(luò)流量的檢測和對端點設(shè)備、用戶以及特定用戶在使用特定設(shè)備時的行為檢測。

安全分析引擎用以對來自網(wǎng)絡(luò)設(shè)備和終端設(shè)備的通信數(shù)據(jù)進行深度分析和檢測，并通過探測異常數(shù)據(jù)和行為來識別潛在的威脅。通過設(shè)定正常行為的安全基線，安全分析引擎可以將潛在惡意行為從正常行為中區(qū)分出來，并通過進一步的分析來確認這些行為是否屬于惡意攻擊活動。

2.1.2 內(nèi)部威脅防護

內(nèi)部威脅防護的主要目標包括惡意內(nèi)部人士、天真不設(shè)防的雇員、機會主義雇員、通過竊取合法憑證成為內(nèi)部人員的遠程攻擊者，其中最難以防御是惡意內(nèi)部人士。傳統(tǒng)安全控制機制如訪問控制和DLP，能起到微小的作用。近年來，開始通過用戶行為分析UBA技術(shù)，采用機器學(xué)習(xí)來檢測網(wǎng)絡(luò)中的異常用戶行為。

2017年，美國情報與國家安全聯(lián)盟INSA發(fā)布的報告提出，物理用戶行為分析應(yīng)更進一步，納入依據(jù)常規(guī)行為模式設(shè)置的心理分析。這不僅是網(wǎng)絡(luò)上可接受行為的基線，還結(jié)合了工作場所內(nèi)外生活事件的心理影響，目的不單是響應(yīng)已發(fā)生的異常行為，而是要未雨綢繆，在事發(fā)前預(yù)測到惡意行為。

2.2 行為分析技術(shù)發(fā)展歷程與概況

2014年，Gartner發(fā)布了用戶行為分析（User Behavior Analytics，UBA）市場指南，將目標市場聚焦在安全（竊取數(shù)據(jù)）和詐騙（利用竊取來的信息）方面，以幫助企業(yè)檢測內(nèi)部威脅，有針對地攻擊和金融詐騙。隨著數(shù)據(jù)竊取事件的增加，Gartner認為有必要將其從詐騙檢測技術(shù)中剝離出來。

2015年，Gartner將UBA更名為用戶與實體行為分 析（User and Entity Behavior Analytics，UEBA），并指出“要承認為了更準確地識別威脅，除了用戶外的其他實體也應(yīng)被經(jīng)常關(guān)注，這些實體的行為從某種程度上關(guān)聯(lián)了用戶行為”。UEBA關(guān)聯(lián)了用戶活動和其他實體，包括受控或非受控的終端、應(yīng)用（云、移動和其他內(nèi)部應(yīng)用）、網(wǎng)絡(luò)和外部威脅，通過實施UEBA，使得組織在內(nèi)部威脅已經(jīng)存在的情況下免受外部威脅的影響，從而達到保護數(shù)據(jù)不外泄的目的。

3 行為分析技術(shù)在網(wǎng)絡(luò)安全業(yè)界的應(yīng)用發(fā)展情況

3.1 賽門鐵克（Symantec）

Symantec的EPP產(chǎn)品（Symantec Endpoint Protection，SEP）對先進威脅的檢測阻斷能力可達99.9%，采用了人工智能和端點行為分析技術(shù)，以監(jiān)控端點事件并識別可疑行為，其中集成了威脅情報、機器學(xué)習(xí)、惡用阻斷、行為分析等技術(shù)，防護未知威脅并阻斷攻擊鏈。

3.2 惠普（HPE）

HPE在2017年2月表示計劃收購安全分析和網(wǎng)絡(luò)取證軟件提供商Niara。Niara的行為分析軟件可自動檢測企業(yè)組織內(nèi)部的攻擊和風(fēng)險行為，幫助安全團隊動態(tài)縮短調(diào)查和響應(yīng)安全事件的時間，減少所需的技能。該次收購增強了HPE的Aruba ClearPass網(wǎng)絡(luò)安全產(chǎn)品，使其具備圍繞下一代產(chǎn)品進行行為信息、可見性和攻擊檢測分析的關(guān)鍵能力。

3.3 Cylance

Palo Alto Networks在2017年2月進軍火熱的行為分析市場，宣布收購以色列初創(chuàng)公司LightCyber。LightCyber的泄露檢測和修復(fù)產(chǎn)品為Active Breach Detection。Cylance的安全產(chǎn)品利用行為分析來了解高級攻擊、有目標性的攻擊、內(nèi)部威脅以及繞過了傳統(tǒng)控制措施的攻擊。

3.4 山石網(wǎng)科（HillStone Networks）

HillStone Networks的云影沙箱將特征匹配無法識別的文件傳送到沙箱進行動態(tài)行為分析。云影可以模擬文件的真實運行環(huán)境，并通過觸發(fā)文件的各種行為來發(fā)現(xiàn)隱藏其中的高級未知威脅，以實現(xiàn)對未知威脅和惡意軟件的檢測。

3.5 Acalvio

安全公司Acalvio的ShadowPlex平臺的核心技術(shù)，是對手行為分析（ABA）功能。ABA提供對手行為上下文，以回顧并確定攻擊者侵入網(wǎng)絡(luò)的路徑。ABA幫助確定攻擊發(fā)生的根源分析，從攻擊者侵入誘餌的過程收集已知事實，然后從公司部署的SIEM（安全信息與事件管理）處獲取所需信息，查出事件全貌。

4 基于機器學(xué)習(xí)的行為分析技術(shù)在下一代網(wǎng)絡(luò)安全體系中的應(yīng)用

行為分析技術(shù)從數(shù)據(jù)維度上如圖1所示，可分為端點、網(wǎng)絡(luò)、人員實體和非人員實體等4個維度。從具體發(fā)展應(yīng)用情況看，目前它可分為用戶實體行為分析、端點行為分析、網(wǎng)絡(luò)行為分析三個方向。其中，用戶實體行為分析通常采用監(jiān)督和非監(jiān)督機器學(xué)習(xí)技術(shù)檢測異常行為和發(fā)現(xiàn)威脅。監(jiān)督機器學(xué)習(xí)模型通常利用海量數(shù)據(jù)樣本進行訓(xùn)練，并用于提供快速的威脅指示。非監(jiān)督學(xué)習(xí)模型提供自學(xué)習(xí)能力，能隨著網(wǎng)絡(luò)威脅行為的變化，持續(xù)、自適應(yīng)、準確地識別異常行為。

圖1 網(wǎng)絡(luò)安全體系的行為分析模型

行為分析主要基于網(wǎng)絡(luò)安全態(tài)勢感知廣泛采集端點、用戶、應(yīng)用、服務(wù)等企業(yè)網(wǎng)絡(luò)信息環(huán)境中的人員實體和非人員實體的行為數(shù)據(jù)及相關(guān)安全事件數(shù)據(jù)，通過上下文技術(shù)構(gòu)建包含復(fù)雜行為模式的全局性的實體行為場景（如圖2所示），并運用深度學(xué)習(xí)和強化學(xué)習(xí)等機器學(xué)習(xí)技術(shù)，對全局行為數(shù)據(jù)進行智能化分析，實現(xiàn)對未知復(fù)雜威脅行為模式的自動提取和檢測識別。

5 結(jié) 語

相比傳統(tǒng)基于特征簽名或統(tǒng)計學(xué)的網(wǎng)絡(luò)威脅檢測機制，行為分析在威脅分析機制方面對所依據(jù)的特征范圍進行了極大擴展，包括主機行為、網(wǎng)絡(luò)寬度、上下文情景、用戶操作等，更大程度地保留了網(wǎng)絡(luò)威脅的原始數(shù)據(jù)特征，并且利用機器學(xué)習(xí)對采集的海量安全數(shù)據(jù)和事件進行更大尺度、更細粒度的智能化分析和自動化行為模式挖掘，因此更有利于檢測采用先進隱匿技術(shù)的高級威脅和未知攻擊行為，并將成為未來有可能改變網(wǎng)絡(luò)安全攻防不對稱局勢的關(guān)鍵性技術(shù)，極具發(fā)展?jié)摿蛻?yīng)用前景。

圖2 行為分析在下一代網(wǎng)絡(luò)安全體系中的應(yīng)用方式