基于對抗的智能態(tài)勢感知和預(yù)警模型

［李志強 邵艾青 何坤 李凱 肖巖軍 畢喜軍 馬潔］

?

基于對抗的智能態(tài)勢感知和預(yù)警模型

［李志強 邵艾青 何坤 李凱 肖巖軍 畢喜軍 馬潔］

摘要文章描述了一種基于持續(xù)監(jiān)控保障、態(tài)勢感知和安全計分技術(shù)的早期預(yù)警系統(tǒng)的整體模型，并對模型的態(tài)勢感知、持續(xù)監(jiān)控、風(fēng)險量化計分部分展開敘述，提出基于對抗的智能態(tài)勢感知預(yù)警模型--“基于攻擊行為建模的態(tài)勢理解方法”和“基于對抗的APT攻擊推理樹態(tài)勢預(yù)警方法”，基于保障的持續(xù)監(jiān)控模型，和基于6sigma的自動化安全量化模型。

關(guān)鍵詞：早期預(yù)警FISMACAESARS框架態(tài)勢感知風(fēng)險量化安全大數(shù)據(jù)

李志強

男，中國電信股份有限公司廣東分公司，從事電信網(wǎng)絡(luò)規(guī)劃工作。

邵艾青

男，中國電信股份有限公司廣東分公司，CISSP，CISP，從事網(wǎng)絡(luò)安全管理工作。

何坤

男，綠盟科技技術(shù)總監(jiān)，主要從事DDoS攻防研究和產(chǎn)品研發(fā)工作。

李凱

男，綠盟科技研發(fā)工程師，主要從事DDoS攻防研究和產(chǎn)品化工作。

肖巖軍

男，綠盟科技資深安全架構(gòu)師，主要研究態(tài)勢感知，早期預(yù)警，APT攻擊檢測，安全日志挖掘，云安全和安全量化。

畢喜軍

男，中國電信股份有限公司廣東分公司，CISSP，CISP，從事網(wǎng)絡(luò)安全運營工作。在網(wǎng)絡(luò)安全滲透與防護、DDoS攻擊防護方面有豐富的經(jīng)驗。

馬潔

女，中山大學(xué)工商管理碩士，高級工程師，中國電信廣東公司信息安全管理部，負責(zé)網(wǎng)絡(luò)與信息安全管理。

1　引言

隨著網(wǎng)絡(luò)重要性的逐步加強，網(wǎng)絡(luò)威脅日益嚴重，網(wǎng)絡(luò)安全的地位日益上升到國家層面，網(wǎng)絡(luò)戰(zhàn)逐漸從理論轉(zhuǎn)向?qū)崙?zhàn)。作為信息科技高度發(fā)達國家的美國，早在2010年的《四年防務(wù)評估》提出：“盡管網(wǎng)絡(luò)空間是一個人造領(lǐng)域，但它目前已和陸地、海洋、天空和太空等自然領(lǐng)域一樣，成為國防部的活動領(lǐng)域”。隨之而來的就是從戰(zhàn)爭的角度看待網(wǎng)絡(luò)安全，態(tài)勢感知（ Situation Awareness，SA）等一系列軍事名詞引用到網(wǎng)絡(luò)安全領(lǐng)域里，大量的創(chuàng)新圍繞在實戰(zhàn)或者近乎實戰(zhàn)的背景下如何用最小的代價，獲得最大的戰(zhàn)果。另外，在不對稱戰(zhàn)爭的背景下，美國作為防守方，對于未知對手的攻擊情報搜集和對自身的脆弱性的感知能力都是態(tài)勢感知研究的領(lǐng)域。Endsley將態(tài)勢感知定義為“在一定的時空條件下，對環(huán)境因素的獲取、理解以及對未來狀態(tài)的預(yù)測”，態(tài)勢感知可簡單描述為“始終掌握你周邊復(fù)雜、動態(tài)環(huán)境的變化”。態(tài)勢感知可以分成2類，1類是基于威脅的態(tài)勢感知（知彼），另一類是基于脆弱性的態(tài)勢感知（知己）。而不管是哪種，態(tài)勢感知強調(diào)實戰(zhàn)的原則顯得越來越重要，2009年2月，美國聯(lián)邦網(wǎng)絡(luò)安全專家聯(lián)盟發(fā)布網(wǎng)絡(luò)安全基線標準-最重要的二十項關(guān)鍵控制（共識審計指南 （CAG）：Consensus Audit Guidelines）。其中明確提出“必須讓防御了解攻擊”。他們把安全手段分成4類，第一類是快速取勝（Quick Wins），第二類是改善可見性和歸因（Improved Visibility and Attribution），第三類是硬化配置和改善信息安全保?。℉ardened Configuration and Improved Information Security Hygiene），第四類提升（Advanced）。

在我們前期的研究中，我們也發(fā)現(xiàn)安全只有實戰(zhàn)對抗才有意義，對抗是本文方法的核心。網(wǎng)絡(luò)安全態(tài)勢感知都分為態(tài)勢要素的獲取、態(tài)勢理解和態(tài)勢預(yù)測三個部分。因此，本文重點在于闡述一種基于對抗的智能態(tài)勢感知預(yù)警模型，從對抗的角度來進行網(wǎng)絡(luò)安全態(tài)勢要素的獲取、態(tài)勢理解和態(tài)勢預(yù)測。

圖1　基于對抗的智能態(tài)勢感知預(yù)警模型組成

2　態(tài)勢感知遇到安全大數(shù)據(jù)難題

隨著WEB2.0、云計算、移動互聯(lián)網(wǎng)的快速發(fā)展，隨便找一臺虛擬化服務(wù)器都是雙萬兆網(wǎng)口上聯(lián)，動輒幾十G的出口帶寬，形成了安全大數(shù)據(jù)。根據(jù)經(jīng)驗，1臺IPS或者IDS的1G左右的流量1天告警量在20萬以上，而現(xiàn)實中，一個有經(jīng)驗的安全分析師一個小時也只能分析十個告警左右，大量的告警無法處置，往往事件發(fā)生后才能追溯。也因此網(wǎng)絡(luò)態(tài)勢感知獲得更大挑戰(zhàn)，各種不同源的告警，各種無用的無關(guān)告警，造成大量的告警風(fēng)暴。大量有用的告警被淹沒在海量日志告警。美國奧巴馬政府去年就已宣布推出 “大數(shù)據(jù)的研究和發(fā)展計劃”，將大數(shù)據(jù)上升到國家戰(zhàn)略，納入到Cyberspace戰(zhàn)略的核心能力。對企業(yè)而言，信息安全是為企業(yè)信息化服務(wù)，而信息化又服務(wù)于業(yè)務(wù)增長。只有將安全與業(yè)務(wù)數(shù)據(jù)相結(jié)合才能為企業(yè)帶來價值，這一層看似間接卻極為必要的關(guān)系在大數(shù)據(jù)時代被無限放大。Gartner報告指出，最終安全大數(shù)據(jù)將演化為IT商業(yè)智能發(fā)展趨勢的一部分，即結(jié)合信息安全情報和IT業(yè)務(wù)數(shù)據(jù)，以提供更高水平的業(yè)務(wù)情報。

而現(xiàn)實中多個廠家的告警不統(tǒng)一導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢要素的獲取都存在問題，別提態(tài)勢理解和態(tài)勢預(yù)測。國內(nèi)外安全廠家的SOC失敗印證了這一點，每個SOC都在不停的接入新的設(shè)備，結(jié)果接入設(shè)備，儲存告警花了大量的時間和資源。更重要的態(tài)勢理解和態(tài)勢預(yù)測卻沒有人做了。

在態(tài)勢感知領(lǐng)域里，國外一些SIEM系統(tǒng)做的比較好，其強調(diào)了元語的研究，通過元語的方式將不同廠家的設(shè)備告警統(tǒng)一起來，從而實現(xiàn)態(tài)勢要素的獲取和態(tài)勢理解。但是實際上操作比較復(fù)雜，對安全人員要求也非常高。而且雖然實現(xiàn)了告警的統(tǒng)一，但是現(xiàn)實中的各種誤報等因素導(dǎo)致日志量得不到很有效的壓縮，而且經(jīng)常造成告警不可讀或者無法呈現(xiàn)。

而采用數(shù)學(xué)方法也是一種較好的方法。常見的安全大數(shù)據(jù)分析方法中主要是相關(guān)性分析，聚類/離群分析等算法。但是鑒于誤報、告警混淆等原因造成很大的困擾。如通過相關(guān)性分析，發(fā)現(xiàn)某木馬和某DDOS工具存在強相關(guān)，但是實際分析發(fā)現(xiàn)，是掃描觸發(fā)了這2個告警。因此，數(shù)學(xué)方法雖然能解決問題，但是也遇到較多現(xiàn)實的問題。本文后續(xù)舉例也證明了這一點。

基于行為方法是我們目前認為比較好的方法。在安全大數(shù)據(jù)方面，IBM在金融大數(shù)據(jù)分析的方法，在思路有很前的前瞻性和借鑒意義。IBM團隊對于每秒幾千筆的交易信息中，找出金融犯罪案件，其核心是一個強大的自然語言規(guī)則引擎，風(fēng)控部門風(fēng)控專家可以利用規(guī)則表、規(guī)則樹、自然語言、規(guī)則流來描述各種風(fēng)控規(guī)則。見圖2，風(fēng)控部門風(fēng)控專家通過歷史案件進行分析，梳理出規(guī)則，然后將規(guī)則加載在大數(shù)據(jù)分析引擎中，從而實現(xiàn)金融犯罪案件的即時監(jiān)控?？梢钥闯鯥BM的方法也是基于對抗的方法，雖然存在一定的滯后性，但是更加聚焦有效，和我們的方法不謀而合。

圖2　大數(shù)據(jù)中的實時精準營銷與風(fēng)險控制

而在現(xiàn)實中，公安人員辦案也是采用基于行為的分析方法，如發(fā)生失竊案件或者銀行搶劫案件都是調(diào)查案發(fā)前幾天的周圍攝像頭，同時封鎖周圍交通，因為顯示犯罪分子都遵循著踩點，下手，逃跑的步驟。雖然下手時可能蒙面，但是踩點時一般會避免別人注意，往往更容易發(fā)現(xiàn)不同，也更容易辨認。發(fā)現(xiàn)了犯罪分子相貌后，就比較容易讓封鎖交通的同事從海量人群中把逃跑的犯罪分子找到。在這里，公安使用了規(guī)則表（查找3天內(nèi)的行蹤可疑的徘徊者。）而踩點-＞下手-＞逃跑形成了規(guī)則樹（或者叫證據(jù)鏈）。

3　基于對抗的智能態(tài)勢感知預(yù)警模型

3.1整體思路

基于對抗的智能態(tài)勢感知預(yù)警模型的核心思想是通過對抗來獲取自然語言行為規(guī)則，通過行為規(guī)則來解決不同告警源帶來的態(tài)勢要素獲取和態(tài)勢理解難題，從實踐來看，這種方法可以較好的跳過告警元語理解的步驟，實現(xiàn)高效的態(tài)勢理解和精準的態(tài)勢檢測，配合攻擊推理樹則能更好的實現(xiàn)態(tài)勢預(yù)警。見圖3整體模型，從下向上，我們能看到，針對我們保護的的信息資產(chǎn)的攻擊行為（知彼）和評估行為（知己），這些行為會造成各種告警（warning），這些告警都是基于特征的，可以用IDS、IPS、WAF、掃描器等各種設(shè)備實現(xiàn)。下一步告警（warning）需要形成事件（event），事件是人可讀的，可以響應(yīng)處置的。在這個階段，我們就用本文的基于對抗的智能態(tài)勢感知預(yù)警模型-基于攻擊行為建模的態(tài)勢理解方法。在本階段我們能輸出可信的事件，給下一步的態(tài)勢預(yù)警做支撐。而態(tài)勢預(yù)警采用證據(jù)鏈或者規(guī)則樹的方式，進行態(tài)勢預(yù)警。預(yù)警可能的結(jié)果，同時對當(dāng)前的態(tài)勢展開評判，這部分就是下一篇文章的范疇了。

圖3　基于對抗的智能態(tài)勢感知預(yù)警模型全貌

3.2基于攻擊行為建模的態(tài)勢理解方法

基于攻擊行為建模的態(tài)勢理解方法是一種大數(shù)據(jù)下分析方法，是在實踐中發(fā)現(xiàn)比較好的方法，他可以快速進行態(tài)勢理解，特別是在當(dāng)前大數(shù)據(jù)下，多源告警泛濫的現(xiàn)實中，這種方法體現(xiàn)的獨特性可以跳過安全元語的復(fù)雜設(shè)定，形成快速的態(tài)勢理解，實踐表明，在海量日志下，通過本方法可以將關(guān)注重點關(guān)注在我們關(guān)注事件上，有效的去除誤報和無用告警，把每日的事件告警數(shù)量形成人可以處置的水平。當(dāng)然，這種方法的前提是需要一定經(jīng)驗的安全專家，但是在其他安全大數(shù)據(jù)分析分態(tài)勢理解方法也同樣需要這些專家。具體流程見圖4。

3.2.1基于專家知識的攻擊行為建模

本階段重點是通過專家知識進行攻擊行為建模，來構(gòu)建相關(guān)的攻防場景，核心的核心是基于對抗，安全專家通過其專業(yè)知識對常見攻擊進行分析，構(gòu)建常見的攻防場景。一般而言，不建議做比較復(fù)雜的攻擊行為建模，一般而言，DDOS攻擊，網(wǎng)絡(luò)入侵、WEB入侵、暴力破解入侵、僵木蠕和APT高級持續(xù)性攻擊，是主要的攻防場景，可以針對這6種事件進行攻擊行為建模。至于攻擊結(jié)果，則可能是信息泄露、系統(tǒng)不可用、代理攻擊等不同的結(jié)果。針對不同的攻擊場景，我們需要采用不同安全設(shè)備進行告警采樣。當(dāng)然，如果是成熟客戶，有自己的SIEM和SOC，也可以參考這個方法進行開發(fā)自己的安全態(tài)勢感知平臺。

圖4　基于攻擊行為建模的態(tài)勢理解方法步驟

3.2.2實現(xiàn)攻擊告警采樣

在完成基于專家知識的攻擊行為建模后，安排相應(yīng)的安全攻防人員進行現(xiàn)場攻擊告警采樣，在采樣的同時，實現(xiàn)不同檢測設(shè)備的元語關(guān)聯(lián)。相對的，每種檢測設(shè)備的關(guān)注指標是不同的，如在DDOS攻擊方面，我們關(guān)注的流量，一個1G的DDOS和10M的DDOS顯然是不一樣的。但是入侵采用入侵檢測/防護設(shè)備來檢測DDOS，由于缺乏流量數(shù)據(jù)，一個1G的syn flood攻擊和10M的syn flood攻擊，其告警都是syn包每秒大于3K的告警xx多次，因此，我們更建議采用異常流量監(jiān)測系統(tǒng)來檢測DDOS攻擊。

3.2.3安全專家輸出行為規(guī)則

在本階段，由經(jīng)驗豐富的安全分析師來進行行為分析，傳統(tǒng)的檢測設(shè)備都是特征檢測的，如IDS、WAF等，但是基于特征的檢測很有可能遇到無法檢測的情況，如SSH，HTTPS的加密協(xié)議，或者web表單暴力破解，因為程序都是自行開發(fā)的，很難找到通用個規(guī)則來進行檢測。但是基于行為檢測，我們就能發(fā)現(xiàn)有趣的誤報。表2就是一個web表單暴力破解的告警（注：為了更好的體現(xiàn)效果，我們調(diào)整了NIDS告警歸并時間，調(diào)整成1分鐘。）

表1　攻擊告警采樣清單

可以看出，實際上用1.1.1.1對2.2.2.2的80端口的網(wǎng)站進行暴力破解，于是1.1.1.1開始隨機端口連接2.2.2.2 的80端口，于是IDS看起來像是2.2.2.2對1.1.1.1進行端口掃描（看看1.1.1.1的1-65535端口那個開放了）。從IDS設(shè)備本身基于特征的檢測方法來看，這沒有錯。但是現(xiàn)實確實是一個誤報。觀察完成后，寫下了如WEB表的行為規(guī)則。WEB表單暴力破解行為規(guī)則是：

3.2.4行為規(guī)則加載在海量數(shù)據(jù)中進行訓(xùn)練修正，形成修正規(guī)則

將寫好的WEB表單暴力破解行為規(guī)則，通過規(guī)則引擎，或者其他方式加載在態(tài)勢感知分析平臺進行實時分析，一旦發(fā)生此類事件，實時報警。同時安全分析師對分析結(jié)果進行訓(xùn)練修正。在本階段重點是編寫修正規(guī)則，修正規(guī)則的核心是通過關(guān)聯(lián)分析來修正可信度，滿足一定的可信度告警才會顯示在界面上。

如上例，WEB表單暴力破解行為規(guī)則在海量數(shù)據(jù)中訓(xùn)練時發(fā)現(xiàn)仍然存在誤報。我們發(fā)現(xiàn)，在對網(wǎng)站系統(tǒng)掃描攻擊和web掃描攻擊時，也會觸發(fā)這個規(guī)則，這個也很容易理解，系統(tǒng)掃描器和web掃描器在發(fā)現(xiàn)WEB表單后，都會進行暴力破解嘗試。修正規(guī)則通過修正可信度對結(jié)果進行修正，因此形成如下修正規(guī)則。

3.2.5可信可視結(jié)果輸出

經(jīng)過修正后的事件修正了可信度和攻擊烈度指標后，就可以輸出實時告警了，告警的輸出應(yīng)該遵循安全分析師可以盡快研判為主的原則，盡可能提供更詳細的信息，在部分情況下，可以隱藏可信度，以免對客戶造成困擾。

表2　WEB表單暴力破解攻擊告警采樣

4　結(jié)語

本文所述基于對抗的智能態(tài)勢感知預(yù)警模型--“基于攻擊行為建模的態(tài)勢理解方法”和“基于對抗的APT攻擊推理樹態(tài)勢預(yù)警方法”，都是基于對抗，看重實效，雖然可能不是很完美，但是確實非常有效。本文的態(tài)勢感知核心點還是基于威脅的態(tài)勢感知（知彼），因為威脅的態(tài)勢感知遭遇到安全大數(shù)據(jù)后變得非常復(fù)雜。

參考文獻

1王慧強.網(wǎng)絡(luò)安全態(tài)勢感知研究新進展.大慶師范學(xué)院學(xué)報，2010，30（3）:1-7

2賈焰，王曉偉，韓偉紅，李愛平，程文聰.YHSSAS:面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知系統(tǒng).計算機科學(xué)，2011，38（2）:4-8

DOI:10.3969/j.issn.1006-6403.2016.05 .001

收稿日期：（2016-05-04）