一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次安全防護(hù)方案

李睿

摘 要 目前，隨著廣播電視數(shù)字化、網(wǎng)絡(luò)化的廣泛應(yīng)用，廣播電視信息網(wǎng)絡(luò)安全工作的重要性日益彰顯。而以高級(jí)持續(xù)威脅為代表的新型網(wǎng)絡(luò)攻擊，給網(wǎng)絡(luò)異構(gòu)、網(wǎng)絡(luò)訪問(wèn)和安全防護(hù)需求多元化的廣電網(wǎng)絡(luò)帶來(lái)了嚴(yán)重威脅。面對(duì)這些挑戰(zhàn)，本文提出了一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次安全防護(hù)方案，創(chuàng)新利用細(xì)粒度的安全域劃分、多層次安全防護(hù)和安全相關(guān)日志大數(shù)據(jù)分析等技術(shù)，靈活支持各業(yè)務(wù)域細(xì)粒度的安全防護(hù)需求，將高價(jià)值資產(chǎn)部署于防護(hù)框架的內(nèi)核范圍中，并利用大數(shù)據(jù)分析技術(shù)，形成協(xié)作防御、融合檢測(cè)和聯(lián)動(dòng)響應(yīng)。

關(guān)鍵詞 廣電網(wǎng)絡(luò)；大數(shù)據(jù)分析；多層次安全防護(hù)；高級(jí)持續(xù)威脅

中圖分類號(hào) TP3 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2018）218-0139-02

近年來(lái)，網(wǎng)絡(luò)攻擊逐漸向針對(duì)性強(qiáng)、復(fù)雜度高的方向演化，高級(jí)持續(xù)威脅（APT，？Advanced？ Persistent？Threats）作為這類攻擊的代表，更是頻繁占據(jù)安全事件新聞的頭條，使得對(duì)APT類攻擊的檢測(cè)和防護(hù)成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)之一。

廣電網(wǎng)絡(luò)業(yè)務(wù)域眾多，軟、硬件系統(tǒng)復(fù)雜多樣，安全防護(hù)等級(jí)要求和訪問(wèn)用戶群各不相同，是一個(gè)典型的異構(gòu)復(fù)雜網(wǎng)絡(luò)。在該類型網(wǎng)絡(luò)中，已部署的傳統(tǒng)信息安全防護(hù)方案主要存在如下4個(gè)方面問(wèn)題：1）難以與多樣化異構(gòu)軟、硬件系統(tǒng)兼容；2）主要基于安全網(wǎng)關(guān)等網(wǎng)絡(luò)邊界設(shè)備進(jìn)行安全域劃分，難以支持安全等級(jí)、業(yè)務(wù)類型和用戶訪問(wèn)等多維度需求的細(xì)粒度安全域劃分；3）主要基于邊界和網(wǎng)絡(luò)終端的安全防護(hù)技術(shù)，缺乏層次化；4）各安全設(shè)備基于不完整的網(wǎng)絡(luò)安全信息進(jìn)行單獨(dú)檢測(cè)，導(dǎo)致不能成有效的關(guān)聯(lián)和聯(lián)動(dòng)，容易造成防護(hù)孤島，難以應(yīng)對(duì)APT類高級(jí)網(wǎng)絡(luò)攻擊和竊密手段。

APT攻擊是一種分階段、長(zhǎng)期的復(fù)雜性攻擊，Hutchins？EM等人提出利用IKC（Intrusion？Kill？ Chain）模型來(lái)描述APT攻擊，該模型將APT攻擊按順序劃分為7個(gè)階段：網(wǎng)絡(luò)偵察、武器研制、攻擊體傳輸、初始入侵、通信和控制（C&C;）、橫向攻擊和竊取數(shù)據(jù)。而從攻擊事件發(fā)生的網(wǎng)絡(luò)層次而言，APT攻擊可發(fā)生在物理位面、網(wǎng)絡(luò)位面、用戶位面和應(yīng)用位面。此外，APT攻擊的持續(xù)性和高技術(shù)性，使其具備較強(qiáng)的防護(hù)規(guī)避和檢測(cè)逃逸能力，甚至有可能修改對(duì)網(wǎng)絡(luò)防護(hù)系統(tǒng)的安全日志，造成檢測(cè)信息的缺失。而且，APT攻擊具有針對(duì)性，是根據(jù)目標(biāo)定制的攻擊，很難從第三方獲取其歷史檢測(cè)數(shù)據(jù)和進(jìn)行基于簽名的檢測(cè)。因此，傳統(tǒng)的單視角的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)難以對(duì)APT進(jìn)行有效檢測(cè)。

針對(duì)以上問(wèn)題，參考國(guó)內(nèi)外相關(guān)領(lǐng)域的研究成果，根據(jù)廣電網(wǎng)絡(luò)安全防護(hù)的實(shí)際需求，本文提出了一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次安全防護(hù)方案。該方案創(chuàng)新利用多層次安全防護(hù)和大數(shù)據(jù)分析技術(shù)和細(xì)粒度安全域劃分技術(shù)，可有效融合多視角的安全相關(guān)日志數(shù)據(jù)，以檢測(cè)具有逃逸能力的網(wǎng)絡(luò)攻擊竊密行為。靈活適配多維度的細(xì)粒度安全域劃分，實(shí)施多元化的安全防護(hù)策略，能有效對(duì)抗高級(jí)網(wǎng)絡(luò)攻擊和竊密手段，具備攻擊前準(zhǔn)確預(yù)測(cè)、攻擊中精確檢測(cè)和聯(lián)動(dòng)安全響應(yīng)防護(hù)能力。

1 相關(guān)研究工作

《電視技術(shù)》編輯部對(duì)在開(kāi)放的網(wǎng)絡(luò)環(huán)境中如何保障安全播出的問(wèn)題進(jìn)行了研究，從安全播出的現(xiàn)狀，威脅安全播出的因素，技術(shù)應(yīng)對(duì)策略和管理應(yīng)對(duì)策略等方面進(jìn)行了闡述。劉娜對(duì)電視播控系統(tǒng)中存在的信息安全的重要性進(jìn)行了分析，深入研究了惡意軟件和網(wǎng)絡(luò)攻擊對(duì)播控系統(tǒng)的危害，并給出了相關(guān)解決方案。陸肖元等人對(duì)下一代廣電網(wǎng)絡(luò)網(wǎng)管系統(tǒng)的發(fā)展進(jìn)行了研究，分析了廣電網(wǎng)網(wǎng)管發(fā)展的主要需求，提出了適合廣電網(wǎng)的三層管理模型，并設(shè)計(jì)了基于Web技術(shù)的集成融合網(wǎng)管。

在安全域模型研究方面，Raimundas？ Matulevi？ius等人在2017年提出了一種信息系統(tǒng)安全威脅管理的域模型——ISSRM模型，該模型從安全威脅管理出發(fā)，依據(jù)信息資產(chǎn)、安全威脅、安全威脅防護(hù)策略、安全威脅響應(yīng)等維度，可有效對(duì)網(wǎng)絡(luò)安全域進(jìn)行劃分。

在多層次防護(hù)框架技術(shù)方面，Daesung？Moon等人在2015年提出了一種高級(jí)威脅檢測(cè)方法，以網(wǎng)絡(luò)各層次的安全相關(guān)日志為輸入，對(duì)異常事件進(jìn)行關(guān)聯(lián)，融合各防護(hù)層次系統(tǒng)日志，檢測(cè)APT等傳統(tǒng)防護(hù)系統(tǒng)無(wú)法應(yīng)對(duì)的高級(jí)威脅等。

2 總體安全防護(hù)方案

基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次安全防護(hù)方案，利用細(xì)粒度域劃分技術(shù)，將電視臺(tái)的廣電網(wǎng)絡(luò)劃分為若干安全域，實(shí)施與域業(yè)務(wù)及安全防護(hù)需求相匹配的多元化需求的安全訪問(wèn)和防護(hù)策略；其次，系統(tǒng)采用多層次的防護(hù)技術(shù)，針對(duì)不同的安全域和防護(hù)目標(biāo)，部署如邊界防護(hù)、入侵檢測(cè)、授權(quán)認(rèn)證、安全審計(jì)等多種安全技術(shù)手段和設(shè)備，并通過(guò)安全管理中心有效協(xié)調(diào)聯(lián)動(dòng)各安全設(shè)備；此外，在各網(wǎng)絡(luò)位置部署安全相關(guān)日志采集器，采集各網(wǎng)絡(luò)節(jié)點(diǎn)產(chǎn)生的日志信息，規(guī)約化處理后存儲(chǔ)到大數(shù)據(jù)處理平臺(tái)，利用大數(shù)據(jù)分析與挖掘技術(shù)，進(jìn)行安全事件關(guān)聯(lián)分析，有效融合多視角的安全相關(guān)日志數(shù)據(jù)，以檢測(cè)具有逃逸能力的網(wǎng)絡(luò)攻擊竊密行為，并將檢測(cè)告警結(jié)果反饋給安全設(shè)備，進(jìn)行聯(lián)動(dòng)響應(yīng)以阻斷攻擊和清除惡意軟件，有效的保障電視臺(tái)的安全播出。

2.1 細(xì)粒度安全域劃分技術(shù)

傳統(tǒng)的安全域劃分技術(shù)，是先把網(wǎng)絡(luò)中所有的節(jié)點(diǎn)分組，再把各組放置到不同的區(qū)域中，利用安全網(wǎng)關(guān)對(duì)不同域的子網(wǎng)進(jìn)行邊界保護(hù)，實(shí)施不同的安全防護(hù)策略。對(duì)于網(wǎng)絡(luò)異構(gòu)、安全防護(hù)和訪問(wèn)需求多元化的廣電網(wǎng)絡(luò)而言，這種域劃分技術(shù)的缺點(diǎn)是：1）域劃分是基于網(wǎng)絡(luò)的物理位置，需要事先進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)和部署的規(guī)劃，不能適應(yīng)網(wǎng)絡(luò)虛擬化等新技術(shù)的需求；2）劃分是靜態(tài)的，調(diào)整能力和靈活度較差，難以適應(yīng)當(dāng)今網(wǎng)絡(luò)業(yè)務(wù)高頻度變更的需求；3）由于劃分的物理性和靜態(tài)性，域劃分的工作量非常大，同時(shí)出于網(wǎng)絡(luò)性能的考慮，其劃分粒度較粗，難以針對(duì)單項(xiàng)業(yè)務(wù)實(shí)施細(xì)粒度的針對(duì)性防護(hù)。

為了解決上述問(wèn)題，該安全防護(hù)方案，創(chuàng)新引入了細(xì)粒度的安全域劃分技術(shù)，支持安全等級(jí)、業(yè)務(wù)類型和用戶訪問(wèn)等多維度需求的細(xì)粒度安全域劃分，將廣電網(wǎng)絡(luò)主要?jiǎng)澐譃榫C合制作域、制播混合域、播出域和安全管理中心域等，實(shí)施與各業(yè)務(wù)安全防護(hù)需求相匹配的細(xì)粒度安全防護(hù)策略，在減少安全投入的同時(shí)，提高了安全防護(hù)的針對(duì)性和有效性。

2.2 多層次安全防護(hù)技術(shù)

針對(duì)現(xiàn)有安全防御體系主要采用基于邊界和網(wǎng)絡(luò)終端的孤立安全防護(hù)技術(shù)，缺乏層次化，容易造成防護(hù)孤島，難以應(yīng)對(duì)新興高級(jí)復(fù)雜威脅的問(wèn)題，該安全防護(hù)方案創(chuàng)新了多層次安全防護(hù)技術(shù)，其核心是利用安全大數(shù)據(jù)分析的優(yōu)勢(shì)，部署并融合邊界防護(hù)、主機(jī)防護(hù)、入侵檢測(cè)、授權(quán)認(rèn)證、滲透性測(cè)試、安全審計(jì)等多種安全技術(shù)手段和設(shè)備，并將日志信息提供給安全日志大數(shù)據(jù)處理平臺(tái)進(jìn)行處理分析。APT類復(fù)雜攻擊是一個(gè)多階段的持續(xù)性攻擊，攻擊者需要一段較長(zhǎng)的時(shí)間，以攻陷多個(gè)節(jié)點(diǎn)或獲取大量信息及資源才能達(dá)到其攻擊目標(biāo)。在該過(guò)程中，一個(gè)多層次的目標(biāo)網(wǎng)絡(luò)防護(hù)框架將高價(jià)值資產(chǎn)部署于防護(hù)框架的內(nèi)核范圍中，提高了捕捉到攻擊痕跡或信息的可能性。

2.3 安全相關(guān)日志大數(shù)據(jù)分析技術(shù)

在基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次防護(hù)方案中，安全相關(guān)日志大數(shù)據(jù)處理平臺(tái)部署于安全管理中心，通過(guò)分布在網(wǎng)絡(luò)各域或關(guān)鍵節(jié)點(diǎn)上的日志采集器，收集并規(guī)約這些網(wǎng)絡(luò)安全相關(guān)日志，利用數(shù)據(jù)關(guān)聯(lián)分析的方法將來(lái)自多視角維度的安全相關(guān)數(shù)據(jù)融合，形成協(xié)作防御，聯(lián)動(dòng)響應(yīng)，能有效對(duì)抗和緩解APT類多階段、復(fù)雜化、逃逸性高級(jí)網(wǎng)絡(luò)攻擊和竊密手段，使得安全防護(hù)系統(tǒng)具備攻擊中準(zhǔn)確檢測(cè)、及時(shí)聯(lián)動(dòng)安全響應(yīng)和事后安全審計(jì)與追蹤的網(wǎng)絡(luò)安全防護(hù)能力。

在云計(jì)算、虛擬化和大數(shù)據(jù)分析技術(shù)高速發(fā)展的背景下，大數(shù)據(jù)采集、存儲(chǔ)、處理過(guò)程的成本急劇削減，使得利用網(wǎng)絡(luò)安全相關(guān)大數(shù)據(jù)分析的檢測(cè)高級(jí)攻擊的方法變得切實(shí)可行。

3 結(jié)論

文章分析了當(dāng)前廣電網(wǎng)絡(luò)的網(wǎng)絡(luò)環(huán)境特點(diǎn)、安全防護(hù)需求和面臨的新型網(wǎng)絡(luò)安全威脅和挑戰(zhàn)，提出了一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次安全防護(hù)方案，該方案創(chuàng)新利用細(xì)粒度安全域劃分、多層次安全防護(hù)和大數(shù)據(jù)分析技術(shù)，與異構(gòu)的廣電網(wǎng)絡(luò)環(huán)境和安全防護(hù)需求高度兼容，充分利用網(wǎng)絡(luò)各層次部署的網(wǎng)絡(luò)安全防護(hù)設(shè)備及安全相關(guān)日志數(shù)據(jù)，形成協(xié)作防御、融合檢測(cè)和聯(lián)動(dòng)響應(yīng)，能有效對(duì)抗高級(jí)網(wǎng)絡(luò)攻擊和竊密手段，提升廣電網(wǎng)絡(luò)的安全防護(hù)能力。

參考文獻(xiàn)

[1]Richard Bejtlich. What Is APT and What Does It Want？ http：//taosecurity.blogspot.be/2010/01/what-is-aptand-what-does-it-want.html， 2010.

[2]R. Langner，“Stuxnet： Dissecting a cyberwarfare weapon，”IEEE Secu. & Privacy，vol.9， no. 3， pp. 49–51， 2011.

[3]《電視技術(shù)》編輯部.廣電網(wǎng)絡(luò)信息安全現(xiàn)狀及未來(lái)發(fā)展[J].電視技術(shù)，2014， 38（20）：2-11.

[4]劉娜.信息安全技術(shù)在播控系統(tǒng)中的應(yīng)用[J].電視技術(shù)， 2015，39（10）：88-90.

[5]梁玉婷.三網(wǎng)融合背景下廣電網(wǎng)絡(luò)信息安全現(xiàn)狀及防護(hù)措施[J].山西電子技術(shù)，2016（3）：69-70.

[6]陸肖元，朱列.面向下一代廣電網(wǎng)絡(luò)（NGB）的集成融合網(wǎng)管架構(gòu)研究[J].計(jì)算機(jī)應(yīng)用與軟件， 2012，29（9）：81-82.