面向APT攻擊的航天信息網(wǎng)絡(luò)安全預(yù)警模型研究

◆邵宇航 朱小朋 王子良 職小龍

面向APT攻擊的航天信息網(wǎng)絡(luò)安全預(yù)警模型研究

◆邵宇航 朱小朋 王子良 職小龍

（西安衛(wèi)星測(cè)控中心 陜西 710043）

本文通過(guò)分析了航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)在安全防護(hù)方面的建設(shè)現(xiàn)狀和APT威脅，提出了以引入人工智能算法的用戶行為特征提取技術(shù)作為其主要應(yīng)對(duì)手段。此技術(shù)能夠?qū)崿F(xiàn)對(duì)用戶異常行為的準(zhǔn)確感知與預(yù)警，對(duì)提升航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)的安全防護(hù)水平意義重大。

航天信息；行為特征；安全預(yù)警

航天技術(shù)作為我國(guó)戰(zhàn)略發(fā)展計(jì)劃中的前沿支柱技術(shù)，其在和平時(shí)期的技術(shù)共享和戰(zhàn)爭(zhēng)期間的信息支援作用必將受到競(jìng)爭(zhēng)對(duì)手或敵對(duì)勢(shì)力的高度關(guān)注。鑒于網(wǎng)絡(luò)攻擊活動(dòng)低成本、高收益的運(yùn)行特點(diǎn)，通過(guò)網(wǎng)絡(luò)滲透的形式刺探我國(guó)航天技術(shù)發(fā)展情報(bào)、掌握系統(tǒng)運(yùn)維規(guī)律、分析防護(hù)薄弱關(guān)節(jié)、制定深度破壞計(jì)劃的攻擊模式將成為敵對(duì)勢(shì)力的首選方案。

因此，我國(guó)航天系統(tǒng)需面對(duì)和防范的是一群在國(guó)家或財(cái)閥勢(shì)力支持下，具備高深網(wǎng)絡(luò)攻擊技能、并且攻擊目標(biāo)專(zhuān)一、行動(dòng)目的明確、持久性開(kāi)展網(wǎng)絡(luò)攻擊活動(dòng)的專(zhuān)業(yè)團(tuán)體。

1 航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)安全防護(hù)能力

目前，我國(guó)航天系統(tǒng)中各科研院所和商業(yè)團(tuán)體為節(jié)約自身運(yùn)營(yíng)成本，部署的各類(lèi)網(wǎng)絡(luò)安全防護(hù)設(shè)備在抵御低強(qiáng)度、非明確目標(biāo)的網(wǎng)絡(luò)攻擊時(shí)可發(fā)揮一定防護(hù)作用。但根據(jù)上文描述，從潛在的安全威脅來(lái)源、網(wǎng)絡(luò)攻擊組織方式以及攻擊手段綜合運(yùn)用的角度分析，我國(guó)航天系統(tǒng)面臨的最大網(wǎng)絡(luò)威脅與高級(jí)可持續(xù)性威脅（Advanced Persistent Threat，APT）的攻擊樣式高度吻合。APT攻擊作為傳統(tǒng)網(wǎng)絡(luò)入侵、滲透手段的集成和綜合運(yùn)用，其攻擊目標(biāo)極為明確，具有極強(qiáng)的組織性和反偵察能力。攻擊者可通過(guò)操作系統(tǒng)Zero Day漏洞、社交媒介、物理擺渡等多種途徑侵入被攻擊者系統(tǒng)。

由于APT使用的攻擊工具多數(shù)獨(dú)立開(kāi)發(fā)，攻擊行為往往持續(xù)幾個(gè)月甚至數(shù)年，導(dǎo)致在具有高速和大流量信息交互需求的網(wǎng)絡(luò)環(huán)境中，可疑流量常常湮沒(méi)于正常業(yè)務(wù)流量當(dāng)中，防病毒軟件和流量監(jiān)測(cè)系統(tǒng)很難發(fā)現(xiàn)并有效處理。而我國(guó)航天系統(tǒng)信息傳輸需求恰恰與之對(duì)應(yīng)，故可推斷現(xiàn)有人力資源和技術(shù)儲(chǔ)備難以滿足抵御敵對(duì)勢(shì)力開(kāi)展此類(lèi)高隱蔽和長(zhǎng)持續(xù)網(wǎng)絡(luò)攻擊的能力需求。

2 信息安全預(yù)警方案論證

2.1 方案設(shè)想

信息安全業(yè)界對(duì)APT攻擊鏈的劃分并未形成統(tǒng)一意見(jiàn)，我國(guó)的譚韌、倪振華等人也在各自論文《APT攻擊分層表示模型》[3]、《面向APT攻擊的網(wǎng)絡(luò)安全防護(hù)體系能力分析》[4]中表述了不同觀點(diǎn)。但雙方均認(rèn)為APT攻擊者在實(shí)現(xiàn)攻擊行動(dòng)前，須與受攻擊網(wǎng)絡(luò)建立有線、無(wú)線、物理擺渡或社會(huì)工程等方式的聯(lián)系。而防御難點(diǎn)在于其用時(shí)間換空間的攻擊方式，使得編制數(shù)量少、防護(hù)技能累積不充分的技術(shù)人員難以長(zhǎng)時(shí)間保持對(duì)海量信息中異常流量的持續(xù)關(guān)注。

因此，若我們可有效識(shí)別并過(guò)濾掉航天信息地面通信網(wǎng)絡(luò)流量中的合法業(yè)務(wù)流量，同時(shí)對(duì)灰色流量采用用戶行為特征提取等分析方法，最后建立黑色流量特征庫(kù)，進(jìn)而構(gòu)建網(wǎng)絡(luò)安全預(yù)警系統(tǒng)，實(shí)現(xiàn)對(duì)航天系統(tǒng)信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知和應(yīng)急處置的技術(shù)串聯(lián)，將可極大壓縮APT的攻擊空間和時(shí)間，降低人工成本和技術(shù)門(mén)檻，具有較高的經(jīng)濟(jì)價(jià)值和社會(huì)效益。

2.2 可行性分析

2.2.1大量合法業(yè)務(wù)流量的有效識(shí)別

相較于Internet網(wǎng)絡(luò)，航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)具有工業(yè)網(wǎng)絡(luò)屬性，較為清晰的網(wǎng)絡(luò)邊界、簡(jiǎn)單的拓?fù)浼軜?gòu)以及標(biāo)準(zhǔn)的數(shù)據(jù)傳輸規(guī)程，這些為采集和有效識(shí)別網(wǎng)絡(luò)中的合法業(yè)務(wù)流量降低了技術(shù)難度和時(shí)間成本。

2.2.2非法網(wǎng)絡(luò)行為的捕獲

隨著網(wǎng)絡(luò)安全防護(hù)技術(shù)的迅猛發(fā)展，主機(jī)管控、安全過(guò)濾、智能密碼鑰匙等安全防護(hù)設(shè)備在航天信息承載網(wǎng)中廣泛應(yīng)用，有效提升社交攻擊、物理擺渡等方式的滲透侵入難度。安全管理系統(tǒng)、入侵檢測(cè)等設(shè)備可作為安全預(yù)警的信息源，經(jīng)安全預(yù)警系統(tǒng)研判后，可以作為防火墻安全策略、交換機(jī)訪問(wèn)控制策略更新的依據(jù)。

2.2.3安全預(yù)警技術(shù)的產(chǎn)品化

當(dāng)前，國(guó)內(nèi)外基于用戶行為特征分析的安全預(yù)警技術(shù)研究日臻成熟并走向產(chǎn)品化，經(jīng)實(shí)踐證明，該技術(shù)產(chǎn)品能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，在提高系統(tǒng)自主管理能力、降低網(wǎng)絡(luò)異常狀況的復(fù)雜性等方面顯現(xiàn)出了明顯優(yōu)勢(shì)。

2.3 基于用戶特征的異常流量提取方法

針對(duì)航天系統(tǒng)地面?zhèn)鬏斁W(wǎng)絡(luò)中業(yè)務(wù)流量的行為特征，可采用不同的特征提取技術(shù)，分別如下：

2.3.1依據(jù)航天信息傳輸規(guī)程設(shè)計(jì)進(jìn)行特征提取

目前業(yè)界關(guān)于APT等網(wǎng)絡(luò)攻擊的研究背景主要設(shè)定為以Internet網(wǎng)絡(luò)為代表的大型公共網(wǎng)絡(luò)，此類(lèi)網(wǎng)絡(luò)拓?fù)浼軜?gòu)復(fù)雜、業(yè)務(wù)類(lèi)別繁多、信息規(guī)程不一，使得區(qū)分網(wǎng)間流量的合法屬性極為困難。但航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)中信息流量相對(duì)穩(wěn)定，傳輸規(guī)程統(tǒng)一，便于網(wǎng)絡(luò)流量監(jiān)測(cè)系統(tǒng)的篩選過(guò)濾。

根據(jù)分析統(tǒng)計(jì)，航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)中合法業(yè)務(wù)流量的具備14個(gè)行為特征量，通過(guò)流量監(jiān)測(cè)系統(tǒng)對(duì)具備正常行為特征的流量進(jìn)行梳理過(guò)濾，剩余灰色和黑色流量可作為網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的輸入。以航天網(wǎng)絡(luò)中的常用協(xié)議信息流量為例，可提取的行為特征量如表1所示。

表1 航天信息常用協(xié)議行為選擇特征量

據(jù)此可對(duì)航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)中各類(lèi)流量做初次篩除，判斷其行為是否合法。

2.3.2基于網(wǎng)絡(luò)流量結(jié)構(gòu)穩(wěn)定性的行為特征

對(duì)于符合航天信息傳輸規(guī)程的網(wǎng)絡(luò)流量，為避免不同鏈路通道、不同時(shí)間段、不同網(wǎng)絡(luò)安全預(yù)警系統(tǒng)部署點(diǎn)位、以及攻擊者偽裝欺騙等原因帶來(lái)的對(duì)非法業(yè)務(wù)流量的錯(cuò)檢、漏檢情況，再次進(jìn)行關(guān)于流量結(jié)構(gòu)穩(wěn)定性方面的行為特征提取。

利用歸一化和區(qū)間對(duì)齊等方法，通過(guò)比對(duì)歷史流量信息特征、當(dāng)前流量信息生成時(shí)間與設(shè)備工作計(jì)劃、流量接收頻次、重復(fù)概率、以及流量中具有物理意義的數(shù)值連續(xù)性等結(jié)構(gòu)穩(wěn)定性的行為特征，達(dá)到對(duì)航天信息地面?zhèn)鬏斁W(wǎng)中合法流量的準(zhǔn)確辨識(shí)和數(shù)據(jù)清洗目的。

3 航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)安全預(yù)警系統(tǒng)

3.1 系統(tǒng)架構(gòu)

航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)安全預(yù)警系統(tǒng)包括用戶行為數(shù)據(jù)源、數(shù)據(jù)采集與預(yù)處理、數(shù)據(jù)倉(cāng)庫(kù)、用戶行為分析、特征提取與建模、異常檢測(cè)與預(yù)警、系統(tǒng)配置與管理、系統(tǒng)界面顯示共八個(gè)模塊，系統(tǒng)架構(gòu)如圖1所示。

3.2 技術(shù)實(shí)現(xiàn)

（1）用戶行為采集模塊

通過(guò)對(duì)航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)中的數(shù)據(jù)流量，或已部署的主機(jī)管控、統(tǒng)一安全管理系統(tǒng)等安全防護(hù)設(shè)備上報(bào)的數(shù)據(jù)統(tǒng)計(jì)，了解網(wǎng)絡(luò)中固定區(qū)域或方向的業(yè)務(wù)參與程度和數(shù)據(jù)交互級(jí)別，從而實(shí)時(shí)采集用戶行為數(shù)據(jù)，為建立數(shù)據(jù)倉(cāng)庫(kù)提供可靠數(shù)據(jù)來(lái)源。

（2）數(shù)據(jù)采集與預(yù)處理模塊

將采集到的數(shù)據(jù)進(jìn)行預(yù)處理，經(jīng)過(guò)歸一化、時(shí)標(biāo)等區(qū)間對(duì)齊的方式對(duì)數(shù)據(jù)進(jìn)行識(shí)別和清洗，實(shí)現(xiàn)航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)中所有合法業(yè)務(wù)流量的有效分類(lèi)，剩余無(wú)法識(shí)別數(shù)據(jù)將根據(jù)用戶行為特征進(jìn)行解析研判。

（3）數(shù)據(jù)倉(cāng)庫(kù)模塊

數(shù)據(jù)倉(cāng)庫(kù)按照已經(jīng)識(shí)別確認(rèn)的正常業(yè)務(wù)數(shù)據(jù)、一時(shí)難以定性的灰色信息以及網(wǎng)絡(luò)安全人員預(yù)先配置的具有攻擊屬性特征的黑色流量進(jìn)行重新分類(lèi)并存儲(chǔ)，供安全預(yù)警系統(tǒng)其他模塊分析研判。

（4）用戶行為分析模塊

用戶行為分析包括對(duì)用戶行為習(xí)慣、用戶來(lái)源、用戶分布、用戶動(dòng)態(tài)、用戶關(guān)聯(lián)、系統(tǒng)訪問(wèn)等方面的分析功能。通過(guò)對(duì)網(wǎng)絡(luò)歷史流量的無(wú)監(jiān)督或半監(jiān)督學(xué)習(xí)，完成對(duì)網(wǎng)絡(luò)流量屬性、分布等信息的分類(lèi)、統(tǒng)計(jì)等工作。

（5）特征提取與建模模塊

特征提取與建模模塊是整個(gè)系統(tǒng)架構(gòu)的核心部分，通過(guò)用戶行為分析模塊獲得用戶行為數(shù)據(jù)，再利用基于人工智能的機(jī)器學(xué)習(xí)方法對(duì)用戶的行為特征建模，并構(gòu)建一個(gè)行為特征庫(kù)，作為用戶行為新數(shù)據(jù)合法性的匹配對(duì)象。

（6）異常檢測(cè)與預(yù)警模塊

異常檢測(cè)與預(yù)警模塊采用誤用檢測(cè)和異常檢測(cè)相結(jié)合的兩層混合異常檢測(cè)模型，使用基于簇中心位置變化的異常檢測(cè)方法和基于K近鄰的異常檢測(cè)算法，將用戶實(shí)時(shí)行為數(shù)據(jù)與行為模式庫(kù)中的模式進(jìn)行比對(duì)與檢測(cè)，并將異常結(jié)果報(bào)告給界面模塊。

（7）系統(tǒng)配置與管理模塊

系統(tǒng)配置和系統(tǒng)管理模塊負(fù)責(zé)系統(tǒng)中各種參數(shù)的設(shè)置、對(duì)數(shù)據(jù)庫(kù)的管理和維護(hù)等工作。

（8）系統(tǒng)界面顯示模塊

系統(tǒng)界面顯示模塊負(fù)責(zé)完成預(yù)警系統(tǒng)監(jiān)聽(tīng)結(jié)果的可視化顯示、模式挖掘的結(jié)果顯示、異常分析報(bào)告顯示以及用戶命令的輸入等工作。

5 結(jié)論

本文分析了航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)在安全防護(hù)方面面臨的威脅，結(jié)合威脅樣式和航天系統(tǒng)通信網(wǎng)絡(luò)工作特點(diǎn)，提出了以提取用戶行為特征為主要應(yīng)對(duì)手段的網(wǎng)絡(luò)安全預(yù)警系統(tǒng)架構(gòu)及其關(guān)鍵技術(shù)。同時(shí)，在系統(tǒng)架構(gòu)的設(shè)計(jì)中引入人工智能算法，建立合法、非法以及灰色三種行為特征庫(kù)，通過(guò)機(jī)器迭代對(duì)庫(kù)中特征和結(jié)構(gòu)進(jìn)行優(yōu)化，從而實(shí)現(xiàn)安全預(yù)警模型的自動(dòng)升級(jí)，對(duì)提升航天信息地面?zhèn)鬏斁W(wǎng)絡(luò)整體安全防護(hù)水平有著重要的現(xiàn)實(shí)意義。

[1]樊世杰，陳剛，郭巍，邵峰.航天測(cè)控系統(tǒng)網(wǎng)絡(luò)安全評(píng)估與建設(shè)方法研究[J].宇航動(dòng)力學(xué)學(xué)報(bào)，2017，（4）：62-65.

[2]雷璟.用戶行為特征提取及安全預(yù)警建模技術(shù)[J].中國(guó)電子科學(xué)研究院學(xué)報(bào)，2019（4）：368-372.

[3]譚韌，殷肖川，廉哲，陳玉鑫.APT攻擊分層表示模型[J].計(jì)算機(jī)應(yīng)用，2017（9）：2551-2556.

[4]倪振華，劉靖旭，王澤軍，劉鵬.面向APT攻擊的網(wǎng)絡(luò)安全防護(hù)體系能力分析[J].兵器裝備工程學(xué)報(bào)，2017（4）：127-131.