基于經(jīng)典統(tǒng)計(jì)學(xué)的網(wǎng)絡(luò)安全威脅挖掘分析技術(shù)

摘 要：基于經(jīng)典統(tǒng)計(jì)學(xué)的威脅統(tǒng)計(jì)分析依然是網(wǎng)絡(luò)安全威脅分析及未知攻擊發(fā)現(xiàn)的重要技術(shù)。但傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)往往是線性的、從單一維度發(fā)起的分析，在網(wǎng)絡(luò)安全威脅及攻擊手段日益復(fù)雜的今天，傳統(tǒng)的分析方式帶來的缺點(diǎn)也顯而易見。因此研究新型的基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全威脅智能分析方法是十分必要的。本項(xiàng)從以下幾個(gè)方面研究網(wǎng)絡(luò)安全威脅的分析技術(shù)。

關(guān)鍵詞：統(tǒng)計(jì)學(xué)，機(jī)器學(xué)習(xí)

1）概率統(tǒng)計(jì)

對(duì)資產(chǎn)、重要信息系統(tǒng)、重點(diǎn)網(wǎng)站等保護(hù)對(duì)象，通過對(duì)資產(chǎn)類型統(tǒng)計(jì)、重要信息系統(tǒng)及網(wǎng)站的可用性統(tǒng)計(jì)、漏洞類型統(tǒng)計(jì)、漏洞類型及系統(tǒng)可用性分布統(tǒng)計(jì)等，從單一特征及多個(gè)分析特征相結(jié)合對(duì)威脅進(jìn)行分析。

2）聚類關(guān)聯(lián)

研究通過聚類技術(shù)對(duì)經(jīng)過預(yù)處理且融合后的網(wǎng)絡(luò)安全數(shù)據(jù)樣本進(jìn)行聚類分析，通過聚類分析可有效提取網(wǎng)絡(luò)安全威脅行為特征信息。同時(shí)由于聚類分析的技術(shù)特點(diǎn)，還可有效的對(duì)未知攻擊行為進(jìn)行有效的識(shí)別。關(guān)聯(lián)分析是對(duì)聚類分析后的特征進(jìn)一步進(jìn)行特征關(guān)聯(lián)分析，通過綜合性的關(guān)聯(lián)分析技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅的全面分析。

3）大數(shù)據(jù)分析算法

將多源安全信息融合后的數(shù)據(jù)，從數(shù)據(jù)量來看往往是巨大的、海量的，從數(shù)據(jù)本身的內(nèi)容及模式來講往往是不完整的、有噪聲的、模糊的、甚至還有一些隨機(jī)數(shù)據(jù)。針對(duì)數(shù)據(jù)的這些特點(diǎn)，應(yīng)用于大數(shù)據(jù)分析方法往往能取得較好的效果?；诖髷?shù)據(jù)的各種數(shù)據(jù)挖掘算法可實(shí)現(xiàn)數(shù)據(jù)高度自動(dòng)化的分析，作出歸納性的推理，發(fā)現(xiàn)數(shù)據(jù)中潛在的、隱含的關(guān)鍵安全信息[29]。同時(shí)基于大數(shù)據(jù)的分析方法還能對(duì)于安全知識(shí)的積累提供基礎(chǔ)性支持，構(gòu)建安全知識(shí)庫。

4）人工智能與機(jī)器學(xué)習(xí)技術(shù)

應(yīng)用人工智能與機(jī)器學(xué)習(xí)技術(shù)可對(duì)融合后的安全數(shù)據(jù)進(jìn)行智能建模，構(gòu)建威脅分析及預(yù)測(cè)模型。模型通過將融合數(shù)據(jù)與外部數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，在海量數(shù)據(jù)中發(fā)現(xiàn)關(guān)鍵威脅數(shù)據(jù)線索，通過對(duì)威脅數(shù)據(jù)的標(biāo)記，實(shí)現(xiàn)不斷完善可自學(xué)習(xí)的半自動(dòng)化威脅發(fā)現(xiàn)，同時(shí)隨著時(shí)間的推移，模型不斷完善，可減少威脅發(fā)現(xiàn)的誤報(bào)率。

5）可視化分析

融合后的安全信息數(shù)據(jù)由于數(shù)據(jù)來源較為分散、數(shù)據(jù)結(jié)構(gòu)不一致，若通過人工分析，很難形成固定的分析流程和模式。借助大數(shù)據(jù)可視化分析技術(shù)，可將數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析并作出完整的分析圖表。通過可視化分析可完整的展示數(shù)據(jù)分析的過程和數(shù)據(jù)鏈走向。

以實(shí)時(shí)監(jiān)測(cè)技術(shù)為基礎(chǔ)的大數(shù)據(jù)實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)感知

態(tài)勢(shì)感知是以網(wǎng)絡(luò)安全事件與威脅風(fēng)險(xiǎn)監(jiān)測(cè)為驅(qū)動(dòng)，對(duì)網(wǎng)絡(luò)空間安全相關(guān)信息進(jìn)行匯聚融合，形成針對(duì)人、物、地、事、關(guān)系的多維視圖，從不同視角出發(fā)感知網(wǎng)絡(luò)安全態(tài)勢(shì)。

態(tài)勢(shì)感知（下圖9）主要包括綜合態(tài)勢(shì)、資產(chǎn)態(tài)勢(shì)、威脅風(fēng)險(xiǎn)態(tài)勢(shì)、攻擊態(tài)勢(shì)、內(nèi)容態(tài)勢(shì)、預(yù)警處置態(tài)勢(shì)六大視角。

1）資產(chǎn)態(tài)勢(shì)感知技術(shù)

以資產(chǎn)角度出發(fā)，包括重要信息系統(tǒng)、網(wǎng)站、終端等不同資產(chǎn)類型?？蓪?shí)時(shí)獲取當(dāng)前資產(chǎn)總數(shù)，按區(qū)域、類型、高危資產(chǎn)分布。重點(diǎn)監(jiān)控資產(chǎn)的可用性情況，尤其針對(duì)重點(diǎn)網(wǎng)站進(jìn)行重點(diǎn)實(shí)時(shí)關(guān)注。并結(jié)合地圖、表單、趨勢(shì)曲線圖進(jìn)行生動(dòng)化展現(xiàn)?？梢圆榭促Y產(chǎn)詳細(xì)信息，包括資產(chǎn)所屬的IP或IP段、操作系統(tǒng)、端口、中間件、服務(wù)器類型等。

2）威脅態(tài)勢(shì)感知技術(shù)

以安全威脅角度出發(fā)，包括漏洞、木馬、變更、關(guān)鍵字、可用性等不同威脅類型。結(jié)合對(duì)本地重要信息系統(tǒng)運(yùn)營、使用單位的系統(tǒng)的監(jiān)測(cè)、第三方信息安全企業(yè)、網(wǎng)安歷史數(shù)據(jù)積累等多個(gè)數(shù)據(jù)來源，后期還支持其他數(shù)據(jù)來源接入，形成實(shí)時(shí)的大數(shù)據(jù)支撐源。

可實(shí)時(shí)獲取當(dāng)前安全威脅總數(shù)、各類型數(shù)量、按區(qū)域、數(shù)據(jù)來源分布、可用性分布、典型0day、心臟滴血、僵木蠕漏洞等獲取分布信息。最新監(jiān)測(cè)發(fā)現(xiàn)的威脅詳情，如存在威脅風(fēng)險(xiǎn)的URL、監(jiān)測(cè)發(fā)現(xiàn)時(shí)間、等級(jí)、詳細(xì)描述及威脅處理建議等信息。

3）攻擊態(tài)勢(shì)感知技術(shù)

以攻擊角度出發(fā)，從攻擊、訪問兩個(gè)維度，可實(shí)時(shí)獲取當(dāng)前攻擊、訪問總體情況，并結(jié)合地圖展現(xiàn)攻擊實(shí)況，包括攻擊時(shí)間、攻擊源IP、目標(biāo)IP、攻擊類型方式、攻擊路線圖。最近24小時(shí)，訪問、攻擊曲線趨勢(shì)走向。結(jié)合環(huán)形、條形、熱力圖，對(duì)主要攻擊類型、攻擊源、被攻擊目標(biāo)、訪問源、被訪問對(duì)象分布、排行進(jìn)行實(shí)時(shí)、可交互的動(dòng)態(tài)展現(xiàn)。

4）內(nèi)容態(tài)勢(shì)感知技術(shù)

以安全內(nèi)容角度出發(fā)，主要包括反共、博彩、色情、暗鏈、黑頁等安全事件類型?？蓪?shí)時(shí)獲取不同事件類型總量，支持按地域、行業(yè)、時(shí)間分布，結(jié)合取證式抓取技術(shù)進(jìn)行證據(jù)留存積累。可查看最新安全事件發(fā)生時(shí)間、事件類型、涉及的單位重要信息系統(tǒng)IP、所在地區(qū)、行業(yè)、來源、取證截圖等信息。結(jié)合平臺(tái)預(yù)警處置功能，還可關(guān)聯(lián)查看對(duì)該事件的應(yīng)急處置記錄及處理結(jié)果。

5）內(nèi)容安全事件處置態(tài)勢(shì)感知技術(shù)

以內(nèi)容安全事件、威脅風(fēng)險(xiǎn)預(yù)警處置的角度出發(fā)，主要包括預(yù)警、處置兩種類型。針對(duì)存在威脅風(fēng)險(xiǎn)隱患，通常進(jìn)行預(yù)警通報(bào)，針對(duì)已經(jīng)發(fā)生的內(nèi)容安全事件，可發(fā)布內(nèi)容安全事件通報(bào)，要求單位、屬地公安配合開展應(yīng)急響應(yīng)工作。產(chǎn)生的預(yù)警處置數(shù)據(jù)可實(shí)時(shí)傳輸?shù)狡脚_(tái)。結(jié)合預(yù)警處置各類型分布、時(shí)間趨勢(shì)分布、區(qū)域、行業(yè)響應(yīng)處理效率、最新預(yù)警處置處理進(jìn)度等信息進(jìn)行實(shí)時(shí)展現(xiàn)，把握預(yù)警處置工作開展情況。

安全風(fēng)險(xiǎn)智能研判及內(nèi)容安全事件的通報(bào)預(yù)警機(jī)制

1）通報(bào)預(yù)警信息來源

通報(bào)預(yù)警是根據(jù)態(tài)勢(shì)感知、安全監(jiān)測(cè)、追蹤溯源、情報(bào)信息、偵查調(diào)查等模塊獲取的態(tài)勢(shì)、趨勢(shì)、攻擊、威脅、風(fēng)險(xiǎn)、隱患、問題等情況，利用通報(bào)預(yù)警機(jī)制匯總、分析、研判，并及時(shí)將情況上報(bào)、通報(bào)、下達(dá)，進(jìn)行預(yù)警及快速處置。

2）預(yù)警處置方式

當(dāng)態(tài)勢(shì)感知平臺(tái)監(jiān)測(cè)到重要信息系統(tǒng)運(yùn)營、使用單位的系統(tǒng)存在重大風(fēng)險(xiǎn)威脅隱患，或受到攻擊、入侵、已被植入后門、篡改、植入暗鏈、拖庫等形成重大安全事件時(shí)，根據(jù)屬地管理原則，屬于其他省、單列市管轄的重要信息系統(tǒng)可通過平臺(tái)將事件情況通過預(yù)警、通報(bào)處置等流程手段進(jìn)行通報(bào)下發(fā)，再由省、單列市通報(bào)機(jī)構(gòu)進(jìn)行通報(bào)處置，并反饋處置結(jié)果。

安全事件匯總分析平臺(tái)的構(gòu)建

根據(jù)安全監(jiān)測(cè)發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊、重大安全隱患等情況以及相關(guān)部門通報(bào)的情況，下達(dá)網(wǎng)絡(luò)內(nèi)容安全事件快速處置指令。指令接收部門按照處置要求和規(guī)范進(jìn)行事件處置，及時(shí)消除影響和危害，開展現(xiàn)場(chǎng)勘察， 固定證據(jù)，快速恢復(fù)。對(duì)事件處置情況、現(xiàn)場(chǎng)勘察情況以及證據(jù)等方面情況及時(shí)建檔、歸檔并入庫?？焖偬幹米酉到y(tǒng)支持與應(yīng)急處置專用設(shè)備進(jìn)行對(duì)接，可將應(yīng)急處置專用設(shè)備收集的數(shù)據(jù)進(jìn)行固定、管理。內(nèi)容安全事件的調(diào)查處置包括以下幾個(gè)方面的工作：

1）安全事件數(shù)據(jù)采集

通過對(duì)事發(fā)單位情況及內(nèi)容安全事件信息進(jìn)行登記、現(xiàn)場(chǎng)快速分析（事件原因）、證據(jù)收集（源碼、日志）及各種漏洞驗(yàn)證工具實(shí)現(xiàn)安全事件的數(shù)據(jù)采集，為后續(xù)的分析工作提供數(shù)據(jù)支撐及線索來源。

2）安全事件數(shù)據(jù)分析

對(duì)于內(nèi)容安全事件的分析需要依賴事件分析知識(shí)庫（如日志分析知識(shí)庫），構(gòu)建自動(dòng)分析知識(shí)庫可為安全事件分析提供自動(dòng)化的支持。另外，由于內(nèi)容安全事件的分析往往較為復(fù)雜、事件的特性化程度往往較高，因此有必要提供更加靈活的專家分析模式以便提高事件分析的可定制性。

將采集的日志及鏡像數(shù)據(jù)與調(diào)查對(duì)象（服務(wù)器、網(wǎng)絡(luò)設(shè)備、日志存儲(chǔ)設(shè)備）進(jìn)行關(guān)聯(lián)并可進(jìn)行自動(dòng)分析與專家分析。

3）安全事件處置結(jié)論

通過內(nèi)容安全事件原因分析、內(nèi)容安全事件事發(fā)過程記錄和分析、內(nèi)容安全事件電子證據(jù)分析確定安全事件的原因并形成出事報(bào)告。對(duì)于安全威脅隱患提供整改建議，對(duì)于系統(tǒng)恢復(fù)提出處置措施。

作者簡(jiǎn)介：

翟立超（1993-），男，山西靈石人，山西財(cái)經(jīng)大學(xué)信息管理學(xué)院計(jì)算機(jī)應(yīng)用技術(shù)研究生，研究方向：網(wǎng)絡(luò)安全態(tài)勢(shì)感知.