網(wǎng)絡(luò)安全感知系統(tǒng)技術(shù)研究與實(shí)踐

摘要：近年來，具備國家和組織背景的APT攻擊日益增多，傳統(tǒng)的相關(guān)網(wǎng)絡(luò)安全技術(shù)難以滿足日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，需要通過網(wǎng)絡(luò)安全感知系統(tǒng)用于我們實(shí)際工作中的信息網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)控，滿足網(wǎng)絡(luò)攻擊檢測(cè)和分析的需求。本文詳細(xì)論述了網(wǎng)絡(luò)安全感知系統(tǒng)的相關(guān)技術(shù)以及在實(shí)踐中的應(yīng)用。

關(guān)鍵詞：網(wǎng)絡(luò)安全，安全感知

0引言

傳統(tǒng)安全防御體系的設(shè)備和產(chǎn)品遍布網(wǎng)絡(luò)2～7層的數(shù)據(jù)分析。其中，與APT攻擊相關(guān)的7層設(shè)備主要是IDS、IPS、審計(jì)，而負(fù)責(zé)7層檢測(cè)IDS、IPS采用經(jīng)典的CIDF檢測(cè)模型，該模型最核心的思想就是依靠攻擊特征庫的模式匹配完成對(duì)攻擊行為的檢測(cè)。[1]反觀APT攻擊，其采用的攻擊手法和技術(shù)都是未知漏洞（0day）、未知惡意代碼等未知行為，在這種情況下，依靠已知特征、已知行為模式進(jìn)行檢測(cè)的IDS、IPS在無法預(yù)知攻擊特征、攻擊行為模式的情況下，理論上就已無法檢測(cè)APT攻擊。網(wǎng)絡(luò)安全感知系統(tǒng)及時(shí)發(fā)現(xiàn)潛藏在其網(wǎng)絡(luò)中的安全威脅，對(duì)威脅的惡意行為實(shí)現(xiàn)早期的快速發(fā)現(xiàn)，對(duì)受害目標(biāo)及攻擊源頭進(jìn)行精準(zhǔn)定位，對(duì)入侵途徑及攻擊者背景的研判與溯源，從源頭上解決網(wǎng)絡(luò)中的安全問題，盡可能地減少安全威脅對(duì)組織帶來的損失。

1相關(guān)技術(shù)

（1）分析平臺(tái)

分析平臺(tái)用于存儲(chǔ)傳感器提交的流量日志、告警日志以及文件威脅鑒定器提交的告警日志。其次分析平臺(tái)不僅可對(duì)所有數(shù)據(jù)進(jìn)行快速的處理并為檢索提供支持，還能將存儲(chǔ)的日志與威脅情報(bào)進(jìn)行碰撞以及進(jìn)行日志關(guān)聯(lián)性分析產(chǎn)生告警并能在4K的屏幕上展示威脅態(tài)勢(shì)，此外分析平臺(tái)支持對(duì)告警進(jìn)行深度分析，支持以告警字段進(jìn)行狩獵分析及可視化展示，以攻擊鏈的視角還原告警中的受害主機(jī)被攻擊的整個(gè)過程。[2]分析平臺(tái)承擔(dān)對(duì)所有數(shù)據(jù)進(jìn)行存儲(chǔ)、預(yù)處理和檢索的工作。由于傳統(tǒng)關(guān)系型數(shù)據(jù)庫在面對(duì)大量數(shù)據(jù)存儲(chǔ)時(shí)經(jīng)常出現(xiàn)性能不足導(dǎo)致查詢相關(guān)數(shù)據(jù)緩慢，分析平臺(tái)底層的數(shù)據(jù)檢索模塊采用了分布式計(jì)算和搜索引擎技術(shù)對(duì)所有數(shù)據(jù)進(jìn)行處理，可通過多臺(tái)設(shè)備建立集群以保證存儲(chǔ)空間和計(jì)算能力的供應(yīng)。結(jié)合全包存儲(chǔ)系統(tǒng)，分析平臺(tái)可以實(shí)現(xiàn)針對(duì)精確告警的全包取證分析和自定義數(shù)據(jù)包分析能力。

（2）流量傳感器

傳感器主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)流量的鏡像流量進(jìn)行采集并還原，還原后的流量日志會(huì)加密傳輸給分析平臺(tái)，流量鏡像中的PE和非PE文件還原后則加密傳輸給文件威脅鑒定器進(jìn)行檢測(cè)。傳感器通過對(duì)網(wǎng)絡(luò)流量進(jìn)行解碼還原出真實(shí)流量，提取網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的頭部信息，甚至是重要負(fù)載信息，這些信息將通過加密通道傳送到分析平臺(tái)進(jìn)行統(tǒng)一處理。傳感器中應(yīng)用的自主知識(shí)產(chǎn)權(quán)的協(xié)議分析模塊，可以在IPv4/IPv6網(wǎng)絡(luò)環(huán)境下，支持HTTP（網(wǎng)頁）、SMTP/POP3（郵件）等主流協(xié)議的高性能分析。

同時(shí)，傳感器內(nèi)置的威脅檢測(cè)引擎，可檢測(cè)多種網(wǎng)絡(luò)協(xié)議中的攻擊行為，提供網(wǎng)頁漏洞利用、webshell上傳、網(wǎng)絡(luò)攻擊、威脅情報(bào)多種維度的告警展示，可檢測(cè)如網(wǎng)絡(luò)應(yīng)用、木馬、廣告、exploit等多種網(wǎng)絡(luò)攻擊行為，也可檢測(cè)如sql注入、跨站、webshell、命令執(zhí)行、文件包含等多種web攻擊行為，內(nèi)置的webshell沙箱和webshell機(jī)器學(xué)習(xí)模塊可以精準(zhǔn)檢測(cè)php、asp、jsp等后門并記錄相關(guān)信息[3]，擁有威脅情報(bào)實(shí)時(shí)匹配能力，能發(fā)現(xiàn)惡意軟件、APT事件等威脅，產(chǎn)生的多種告警都會(huì)加密，并傳輸給分析平臺(tái)進(jìn)行統(tǒng)一分析管理。

（3）文件威脅鑒定器

文件威脅鑒定器主要負(fù)責(zé)對(duì)傳感器、手動(dòng)提交、FTP、SMB、URL等多數(shù)據(jù)來源通道的樣本進(jìn)行檢測(cè)。整個(gè)檢測(cè)過程中文件進(jìn)行威脅情報(bào)匹配、沙箱檢測(cè)、靜態(tài)檢測(cè)與動(dòng)態(tài)檢測(cè)等多種檢測(cè)，及時(shí)發(fā)現(xiàn)有惡意行為的文件并告警，告警日志可傳給分析平臺(tái)供統(tǒng)一分析。通過文件威脅鑒定器對(duì)文件進(jìn)行高級(jí)威脅檢測(cè)，文件威脅鑒定器可以接收還原自傳感器的大量PE和非PE文件，使用靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)、沙箱檢測(cè)等一系列無簽名檢測(cè)方式發(fā)現(xiàn)傳統(tǒng)安全設(shè)備無法發(fā)現(xiàn)的高級(jí)威脅，并將威脅相關(guān)情況以報(bào)告行為提供給安全管理人員。文件威脅鑒定器上的相關(guān)告警也可發(fā)送至分析平臺(tái)實(shí)現(xiàn)告警的統(tǒng)一管理和后續(xù)的進(jìn)一步分析。[1]

2功能作用

（1）響應(yīng)處置

威脅處置能力在信息安全建設(shè)中具有重要作用，系統(tǒng)為完善威脅分析后續(xù)的處置閉環(huán)，引入了響應(yīng)處置能力，以模塊化形式在系統(tǒng)內(nèi)置了一套自動(dòng)化編排響應(yīng)模型，通過標(biāo)準(zhǔn)的API/openc2接口與處置設(shè)備聯(lián)動(dòng)，連接暢通的情況下支持自動(dòng)/手動(dòng)方式的響應(yīng)指令下發(fā)。主要實(shí)現(xiàn)的功能是根據(jù)告警信息對(duì)相應(yīng)的設(shè)備構(gòu)建完整的響應(yīng)處置工作流進(jìn)行聯(lián)動(dòng)與處置，實(shí)現(xiàn)安全設(shè)備間的協(xié)同防御。

根據(jù)不同使用場(chǎng)景，系統(tǒng)響應(yīng)處置模塊提供不同級(jí)別的處置手段，主要包括以下場(chǎng)景：

加白名單：針對(duì)判定為誤報(bào)的告警數(shù)據(jù)，支持以添加白名單形式進(jìn)行處理，后續(xù)產(chǎn)生的告警將不再通知給用戶，降低誤告警數(shù)量，提升事件處置的效率。

深度分析：基于SOAR的自動(dòng)化處置編排能力，響應(yīng)處置模塊結(jié)合各類告警和日志進(jìn)行攻防場(chǎng)景的深度分析，提煉高價(jià)值告警和威脅溯源分析拓線，并將分析結(jié)果回注系統(tǒng)生成新的告警。

聯(lián)動(dòng)處置：通過接口與處置設(shè)備聯(lián)動(dòng)，支持自動(dòng)/手動(dòng)方式的響應(yīng)指令下發(fā)，實(shí)現(xiàn)對(duì)威脅事件的處置動(dòng)作。

（2）惡意代碼檢測(cè)

基于人工智能的殺毒引擎，依靠海量數(shù)據(jù)挖掘、引入機(jī)器智能學(xué)習(xí)算法，[3]能夠有效準(zhǔn)確識(shí)別未知惡意軟件，能夠根據(jù)已知的正常軟件和惡意軟件的大量樣本，通過數(shù)據(jù)挖掘找出兩類軟件最具有區(qū)分度的特征，建立機(jī)器學(xué)習(xí)模型，使用機(jī)器學(xué)習(xí)算法，得到惡意軟件的識(shí)別模型。通過獲得的模型對(duì)未知程序進(jìn)行分析判斷，即可獲得軟件的惡意概率，從而在可控的誤報(bào)率之下盡可能多的發(fā)現(xiàn)惡意程序。

（3）動(dòng)態(tài)沙箱檢測(cè)

動(dòng)態(tài)沙箱引擎采用基于硬件模擬的虛擬化動(dòng)態(tài)分析技術(shù)，對(duì)APT攻擊的核心環(huán)節(jié)“惡意代碼植入”進(jìn)行檢測(cè)，這種利用對(duì)惡意代碼的行為進(jìn)行動(dòng)態(tài)分析的方法，可以避免因?yàn)闊o法提前獲得未知惡意代碼特征而漏檢的問題，[1]亦即在無需提前預(yù)知惡意代碼樣本的情況下仍然可以對(duì)惡意代碼樣本進(jìn)行有效的檢測(cè)，因?yàn)槲粗獝阂獯a是APT攻擊的核心步驟，因此對(duì)未知惡意代碼樣本的有效檢測(cè)，可以有效解決APT攻擊過程的檢測(cè)問題。[1]

安全感知系統(tǒng)最大特點(diǎn)在于：將會(huì)提供了非常豐富的沙箱環(huán)境，這種規(guī)?；纳诚洵h(huán)境可以有效保障每種待檢測(cè)的文件樣本都有其適合打開、運(yùn)行的沙箱環(huán)境，同時(shí)采用了高級(jí)優(yōu)化技術(shù)，可以有效降低樣本文件在沙箱之中打開、運(yùn)行過程中的內(nèi)存資源消耗、CPU資源消耗，可以以最小的資源消耗、最快的速度得出準(zhǔn)確的檢測(cè)結(jié)果。

安全感知系統(tǒng)需要模擬沙箱環(huán)境包括：PDF沙箱、Word沙箱、瀏覽器沙箱、郵件沙箱、圖片沙箱等。同時(shí)，借助于安全感知系統(tǒng)的多核平臺(tái)，安全感知系統(tǒng)中的各種規(guī)?；诚淇梢越壎ㄔ谔幚砥鞯奈锢砗诵纳线M(jìn)行快速運(yùn)行，這種進(jìn)程與處理器綁定的方式可以有效降低進(jìn)程在處理器的不同處理核心上切換所帶來的資源開銷，降低并發(fā)檢測(cè)線程之間的資源競(jìng)爭(zhēng)，有效提高資源利用率。

3實(shí)踐意義

（1）解決對(duì)未知威脅檢測(cè)和行為分析的問題

傳統(tǒng)的APT防護(hù)技術(shù)專注于從自身流量和數(shù)據(jù)中通過沙箱或關(guān)聯(lián)分析等手段發(fā)現(xiàn)威脅。由于攻擊者的逃逸水平也在不斷的進(jìn)步發(fā)展，本地設(shè)備會(huì)經(jīng)常性的出現(xiàn)誤報(bào)和漏報(bào)現(xiàn)象，經(jīng)常需要人工的二次分析進(jìn)行篩選。同時(shí)因APT攻擊的復(fù)雜性和背景的特殊性，僅依賴于單一的數(shù)據(jù)經(jīng)常無法有效的發(fā)現(xiàn)APT攻擊背景，難以做到真正的追蹤溯源。[5]

安全感知系統(tǒng)創(chuàng)新性的從互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行發(fā)掘和分析，用威脅情報(bào)的形式對(duì)各種攻擊中常出現(xiàn)的特點(diǎn)和背景信息進(jìn)行記錄和傳輸，所以從互聯(lián)網(wǎng)進(jìn)行挖掘攻擊線索可極大提升未知威脅和APT攻擊的檢出效率。基于廣闊的數(shù)據(jù)覆蓋面，系統(tǒng)的威脅檢測(cè)和行為分析有了足夠的數(shù)據(jù)基礎(chǔ)，可以做到更精準(zhǔn)的攻擊溯源，極大程度上解決了對(duì)未知威脅檢測(cè)和行為分析的難題。

（2）解決網(wǎng)絡(luò)流量數(shù)據(jù)實(shí)時(shí)采集、分析、存儲(chǔ)及回溯的難題

傳統(tǒng)的安全事件分析思路是遍歷各個(gè)安全設(shè)備的告警日志，嘗試找出其中的關(guān)聯(lián)關(guān)系。但在實(shí)戰(zhàn)過程中，尤其是攻擊者采用某些手段進(jìn)行證據(jù)銷毀工作后，依靠傳統(tǒng)的分析方式、傳統(tǒng)安全設(shè)備通常都無法對(duì)APT攻擊的各個(gè)階段進(jìn)行有效的檢測(cè)。而且，通常情況下存在以下難點(diǎn)，一方面是存儲(chǔ)不方便，每天產(chǎn)生的全流量數(shù)據(jù)會(huì)占用過多的存儲(chǔ)空間，另一方面是全流量數(shù)據(jù)包含了結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)及多種格式的數(shù)據(jù)，無法直接進(jìn)行格式化檢索，安全人員也就無法從海量的數(shù)據(jù)中找到有價(jià)值的信息。

換個(gè)角度來看攻防實(shí)戰(zhàn)，真相往往隱藏在網(wǎng)絡(luò)的流量中，安全感知系統(tǒng)采用網(wǎng)絡(luò)流量實(shí)時(shí)采集的思路，可以實(shí)現(xiàn)基于流量的威脅行為的實(shí)時(shí)采集與分析，有效解決了未知威脅的發(fā)現(xiàn)難題。配套的全包存儲(chǔ)組件，能提供靈活的存儲(chǔ)能力擴(kuò)展，能對(duì)網(wǎng)絡(luò)原始數(shù)據(jù)進(jìn)行全流量完整保存，能對(duì)外秒級(jí)提取海量歷史流量，還原網(wǎng)絡(luò)事件發(fā)生時(shí)的全部網(wǎng)絡(luò)通訊內(nèi)容，實(shí)現(xiàn)數(shù)據(jù)包級(jí)的數(shù)據(jù)取證和責(zé)任判定，在解決海量數(shù)據(jù)全包存儲(chǔ)的同時(shí)保證了威脅事件溯源的及時(shí)性與準(zhǔn)確性。從綜合的維度上解決了網(wǎng)絡(luò)流量數(shù)據(jù)實(shí)時(shí)采集、分析、存儲(chǔ)及回溯的難題。

（3）解決未知惡意文件檢測(cè)的問題

目前傳統(tǒng)的文件檢測(cè)大多使用基于簽名特征庫匹配的機(jī)制，面對(duì)惡意代碼的復(fù)雜性和多樣性，傳統(tǒng)的靜態(tài)檢測(cè)技術(shù)體現(xiàn)出了局限性，已無法完全檢測(cè)新出現(xiàn)的惡意代碼。

為解決此問題，安全感知系統(tǒng)通過靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)相結(jié)合的形式，通過動(dòng)態(tài)執(zhí)行對(duì)文件進(jìn)行細(xì)粒度的行為檢測(cè)，能夠從行為層面進(jìn)行細(xì)致分析，精準(zhǔn)全面分析文件屬性，解決用戶對(duì)未知惡意文件檢測(cè)的需求。

4結(jié)論

安全的對(duì)抗是動(dòng)態(tài)的過程，業(yè)務(wù)在發(fā)展，網(wǎng)絡(luò)在變化，技術(shù)在革新，人員在更替，網(wǎng)絡(luò)安全絕不是一勞永逸的工作。在實(shí)戰(zhàn)攻防對(duì)抗中，監(jiān)測(cè)分析是防范攻擊行為的主要方式，在第一時(shí)間發(fā)現(xiàn)攻擊行為，可為應(yīng)對(duì)提供及時(shí)支撐、為響應(yīng)處置爭(zhēng)取充足時(shí)間，安全感知系統(tǒng)必將發(fā)揮越來越重要的作用。

參考文獻(xiàn)

[1]徐影.面向大型企業(yè)信息安全建設(shè)的虛擬化威脅感知技術(shù).電信科學(xué)期刊.2016年

[2]鐘煜明.網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)綜合研究.現(xiàn)代信息科技期刊.2020年

[3]趙夢(mèng).基于大數(shù)據(jù)環(huán)境的網(wǎng)絡(luò)安全態(tài)勢(shì)感知.信息網(wǎng)絡(luò)安全期刊.2016年

作者簡(jiǎn)介

林秀明，女，漢，1982年6月生，福建莆田人，碩士，高級(jí)工程師，研究方向：信息安全。