以數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究

◆郭永和 劉 安 李 靜 張亞昊 程 杰

?

以數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研究

◆郭永和 劉 安 李 靜 張亞昊 程 杰

（國(guó)家電網(wǎng)有限公司信息通信分公司 北京 100761）

網(wǎng)絡(luò)安全是信息社會(huì)的重要問(wèn)題。隨著大數(shù)據(jù)、云計(jì)算和人工智能等新興技術(shù)的發(fā)展，網(wǎng)絡(luò)安全技術(shù)也面臨變革。數(shù)據(jù)驅(qū)動(dòng)安全已經(jīng)成為了網(wǎng)絡(luò)安全技術(shù)發(fā)展新方向。本文詳細(xì)探討了以數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)安全相關(guān)的關(guān)鍵技術(shù)，并對(duì)其發(fā)展前景和應(yīng)用中面臨的挑戰(zhàn)進(jìn)行分析。

數(shù)據(jù)驅(qū)動(dòng)；網(wǎng)絡(luò)安全；大數(shù)據(jù)；云計(jì)算；人工智能

0 引言

近年來(lái)，隨著大數(shù)據(jù)、云計(jì)算、人工智能等新一代信息技術(shù)的蓬勃發(fā)展，互聯(lián)網(wǎng)和信息產(chǎn)業(yè)開(kāi)始轉(zhuǎn)向以數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)的新型商業(yè)模式。同時(shí)，黑客們的目標(biāo)也在發(fā)生變化。以烏克蘭電網(wǎng)受攻擊停電事件、WannaCry勒索病毒事件、Facebook用戶(hù)信息泄露事件、萬(wàn)豪酒店顧客信息大規(guī)模泄露為代表的網(wǎng)絡(luò)安全事件表明，網(wǎng)絡(luò)上的攻擊行為已不再單純的為了炫耀技術(shù)，而是逐漸成為了實(shí)現(xiàn)政治目的或獲取經(jīng)濟(jì)上的收益的手段[1-2]。國(guó)際間網(wǎng)絡(luò)對(duì)抗日益加劇，各類(lèi)新型網(wǎng)絡(luò)安全威脅層出不窮。網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻。

傳統(tǒng)的企業(yè)信息安全體系以邊界防護(hù)和入侵檢測(cè)為技術(shù)基礎(chǔ)。即在企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)的邊界處部署防火墻、入侵防護(hù)系統(tǒng)和web應(yīng)用防火墻等策略對(duì)來(lái)自互聯(lián)網(wǎng)的攻擊進(jìn)行入侵檢測(cè)和訪(fǎng)問(wèn)控制。這種傳統(tǒng)的防護(hù)策略在面臨新型安全威脅時(shí)越來(lái)越力不從心。首先，隨著云計(jì)算、移動(dòng)互聯(lián)計(jì)算等新技術(shù)的興起，企業(yè)內(nèi)網(wǎng)和互聯(lián)網(wǎng)的邊界變得日益模糊，從而導(dǎo)致傳統(tǒng)防護(hù)體系效果大大降低。第二，技術(shù)高超的黑客可以通過(guò)APT攻擊、利用0day漏洞的方式繞開(kāi)邊界防護(hù)。而傳統(tǒng)的企業(yè)信息安全體系對(duì)已經(jīng)滲透進(jìn)內(nèi)網(wǎng)的攻擊往往缺乏監(jiān)控和發(fā)現(xiàn)的能力[3-4]。第三，傳統(tǒng)的企業(yè)信息安全體系無(wú)法應(yīng)對(duì)業(yè)務(wù)邏輯上的漏洞。

日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)催生了新的網(wǎng)絡(luò)安全需求，而新的網(wǎng)絡(luò)安全需求推動(dòng)了新的網(wǎng)絡(luò)安全技術(shù)的發(fā)展。“以數(shù)據(jù)驅(qū)動(dòng)的安全”被認(rèn)為是大數(shù)據(jù)時(shí)代應(yīng)對(duì)信息安全問(wèn)題最有前景的一條途徑。

1 以數(shù)據(jù)驅(qū)動(dòng)安全的目標(biāo)

對(duì)于安全運(yùn)維人員來(lái)說(shuō)，他們首先需要了解內(nèi)部的網(wǎng)絡(luò)存在的安全隱患。然而，隨著企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，加之人員流動(dòng)造成的工作交接脫節(jié)等問(wèn)題，安全運(yùn)維人員發(fā)現(xiàn)對(duì)面臨的安全風(fēng)險(xiǎn)的掌握會(huì)越來(lái)越困難。主要問(wèn)題如下：

（1）內(nèi)部資產(chǎn)模糊不清。目前普遍存在的一個(gè)問(wèn)題是，很多大型的企業(yè)和機(jī)構(gòu)都存在IT資產(chǎn)不清的問(wèn)題。企業(yè)內(nèi)網(wǎng)中會(huì)時(shí)不時(shí)出現(xiàn)一些不在IT資產(chǎn)列表中當(dāng)中的“野資產(chǎn)”。造成“野資產(chǎn)”出現(xiàn)的原因有可能是因?yàn)橘Y產(chǎn)上線(xiàn)時(shí)管理流程不完善而沒(méi)有進(jìn)行登記，也有可能是某一部門(mén)或個(gè)人出于某種需要而未經(jīng)批準(zhǔn)自己架設(shè)的服務(wù)器，甚至是個(gè)人自有的攝像頭、打印機(jī)等。由于這些資產(chǎn)不存在于企業(yè)的IT資產(chǎn)數(shù)據(jù)庫(kù)中，這就使得安全運(yùn)維人員無(wú)法及時(shí)掌握它們的位置、ip地址、端口開(kāi)放和存在的漏洞?！耙百Y產(chǎn)”的存在降低了企業(yè)內(nèi)網(wǎng)的安全性，在安全事件發(fā)生時(shí)會(huì)嚴(yán)重影響企業(yè)的應(yīng)急響應(yīng)速度。

（2）人員流動(dòng)造成的安全隱患。有些企業(yè)的IT部門(mén)人員流動(dòng)大，由于工作銜接上的問(wèn)題，造成了一些安全隱患和信息丟失問(wèn)題。例如，前一任安全運(yùn)維人員在離開(kāi)時(shí)，沒(méi)有將其配置的防火墻策略或者IPS策略詳細(xì)文檔化并交接給繼任者，這就導(dǎo)致后一任安全運(yùn)維人員無(wú)法了解這些策略配置的原因，也不敢修改這些策略。使得某些原本應(yīng)當(dāng)是臨時(shí)性的策略長(zhǎng)期有效，進(jìn)而成為了安全的風(fēng)險(xiǎn)點(diǎn)。

（3）人員能力不足。專(zhuān)業(yè)能力強(qiáng)的安全運(yùn)維人員永遠(yuǎn)是一種稀缺資源。很多大型的非互聯(lián)網(wǎng)企業(yè)普遍存在著安全人員能力不足、人手不夠的問(wèn)題。這就使得企業(yè)在日常安全運(yùn)維工作中捉襟見(jiàn)肘，難以及時(shí)發(fā)現(xiàn)隱藏在海量數(shù)據(jù)中的安全風(fēng)險(xiǎn)和隱蔽攻擊。甚至在接收到外界提供的安全威脅情報(bào)時(shí)，也不知道如何處置。

上述這些問(wèn)題在傳統(tǒng)的企業(yè)信息安全框架下很難得到徹底的消除。而大數(shù)據(jù)技術(shù)的發(fā)展，為解決這些問(wèn)題提供了一條可行之道。2013年RSA信息安全大會(huì)以“Mastering data. Securing the world”為主題，引發(fā)了信息安全業(yè)界對(duì)數(shù)據(jù)分析的重視[5]。一個(gè)企業(yè)的內(nèi)部網(wǎng)絡(luò)中每天都會(huì)產(chǎn)生大量數(shù)據(jù)，這些數(shù)據(jù)包括網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備日志、數(shù)據(jù)庫(kù)日志、業(yè)務(wù)系統(tǒng)日志以及各類(lèi)網(wǎng)絡(luò)流量等。一個(gè)大型企業(yè)每天甚至可以生產(chǎn)幾十甚至上百GB數(shù)據(jù)。如何利用好這些數(shù)據(jù)，從中發(fā)現(xiàn)隱藏的蛛絲馬跡，從而發(fā)現(xiàn)不在資產(chǎn)數(shù)據(jù)庫(kù)中的隱蔽資產(chǎn)，識(shí)別出被傳統(tǒng)安全設(shè)備所無(wú)法察覺(jué)的安全威脅和攻擊企圖，進(jìn)而對(duì)安全事件快速響應(yīng)，是數(shù)據(jù)驅(qū)動(dòng)安全的首要目標(biāo)。

2 以數(shù)據(jù)驅(qū)動(dòng)安全的關(guān)鍵技術(shù)

2.1 數(shù)據(jù)獲取

數(shù)據(jù)驅(qū)動(dòng)安全的第一步是獲取數(shù)據(jù)。根據(jù)數(shù)據(jù)的來(lái)源可以分為內(nèi)部數(shù)據(jù)和外部數(shù)據(jù)。內(nèi)部數(shù)據(jù)包括內(nèi)部的流量、網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備日志、主機(jī)日志、數(shù)據(jù)庫(kù)日志、業(yè)務(wù)系統(tǒng)日志、域名信息、已發(fā)現(xiàn)漏洞、資產(chǎn)負(fù)責(zé)人、基線(xiàn)配置及安全設(shè)備配置等。外部數(shù)據(jù)則主要以外部威脅情報(bào)、廠(chǎng)商提供的規(guī)則庫(kù)升級(jí)等。

獲取到的原始數(shù)據(jù)往往包含大量無(wú)效和冗余的信息，因此需要進(jìn)行初步處理后方能進(jìn)行持久化和進(jìn)一步分析。例如，對(duì)于內(nèi)部資產(chǎn)不清的問(wèn)題，可以對(duì)流量中的報(bào)文進(jìn)行分析，確定ip地址段歸屬、端口訪(fǎng)問(wèn)關(guān)系，并通過(guò)指紋比對(duì)的方法，確定主機(jī)的操作系統(tǒng)、運(yùn)行的服務(wù)等。結(jié)合主動(dòng)掃描技術(shù)，可以有效的發(fā)現(xiàn)隱藏于企業(yè)內(nèi)網(wǎng)的“野資產(chǎn)”。而對(duì)各類(lèi)日志在去重之后可以按照時(shí)間關(guān)聯(lián)，形成在某個(gè)時(shí)間點(diǎn)上的整個(gè)信息系統(tǒng)運(yùn)行情況的快照。

2.2 數(shù)據(jù)持久化

初步處理后的數(shù)據(jù)需要進(jìn)行持久化以供深度關(guān)聯(lián)分析。傳統(tǒng)數(shù)據(jù)持久化的主要手段是通過(guò)關(guān)系數(shù)據(jù)庫(kù)存儲(chǔ)。然而，采集的原始數(shù)據(jù)種類(lèi)繁多，數(shù)據(jù)量巨大，且大多為非結(jié)構(gòu)化數(shù)據(jù)。因此，在解決數(shù)據(jù)持久化問(wèn)題時(shí)候可以考慮應(yīng)用分布式NoSQL數(shù)據(jù)庫(kù)，如HBase、MongoDB、Cassandra、Neo4j等等。由于增加額外物理存儲(chǔ)是一筆不小的支出，企業(yè)可以考慮租用云計(jì)算服務(wù)商的云存儲(chǔ)服務(wù)來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)的持久化。

2.3 數(shù)據(jù)分析

數(shù)據(jù)分析是數(shù)據(jù)驅(qū)動(dòng)安全技術(shù)的核心。數(shù)據(jù)分析技術(shù)包括模式匹配、數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)等。應(yīng)用數(shù)據(jù)分析技術(shù)解決安全問(wèn)題包含下面三個(gè)層次。

（1）入侵檢測(cè)。從技術(shù)原理上講入侵檢測(cè)技術(shù)包括基于異常的檢測(cè)和基于誤用的檢測(cè)。傳統(tǒng)的安全設(shè)備如IPS、WAF和防病毒系統(tǒng)大多應(yīng)用基于誤用檢測(cè)的原理對(duì)包含在流量中的惡意攻擊載荷進(jìn)行檢測(cè)，即通過(guò)匹配已知攻擊的特征進(jìn)行識(shí)別。基于誤用的入侵檢測(cè)技術(shù)誤報(bào)率低，但是無(wú)法檢測(cè)未知攻擊。另一種入侵檢測(cè)技術(shù)是基于異常的檢測(cè)。這種技術(shù)的基本原理是構(gòu)建一個(gè)正常行為的統(tǒng)計(jì)模型，然后將待檢測(cè)的數(shù)據(jù)與該模型進(jìn)行匹配，若不在正常行為的范圍之內(nèi)即認(rèn)為是異常?；诋惓５臋z測(cè)提供了檢測(cè)未知攻擊的可能性，但是誤報(bào)率較高[6]。

（2）安全信息與事件管理。安全信息與事件管理（Security Information and Event Management）將不同入侵檢測(cè)系統(tǒng)和產(chǎn)品的報(bào)警信息統(tǒng)一收集和集中關(guān)聯(lián)分析，挖掘出有效的、具備可行動(dòng)能力的信息提供給安全專(zhuān)家，從而輔助運(yùn)維和管理人員采取及時(shí)有效的安全響應(yīng)措施，應(yīng)對(duì)更為復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢(shì)變化。安全信息與事件管理系統(tǒng)使長(zhǎng)期碎片化的攻擊行為有機(jī)會(huì)被關(guān)聯(lián)和復(fù)原出來(lái)，大量試探性?huà)呙韬托畔⑹占袨橐材芨玫呐c實(shí)質(zhì)入侵行為區(qū)分開(kāi)來(lái)，避免海量低危報(bào)警淹沒(méi)了真正的高危行為。

（3）基于人工智能的自動(dòng)化安全事件分析與處置。安全信息與事件管理系統(tǒng)將應(yīng)用數(shù)據(jù)分析的思路解決網(wǎng)絡(luò)安全問(wèn)題提升至全局層次，縮短安全事件的響應(yīng)周期，大大提高安全運(yùn)維的效率。然而，用好安全信息與事件管理系統(tǒng)要求分析人員具備很高的專(zhuān)業(yè)水平。面對(duì)不斷增長(zhǎng)的網(wǎng)絡(luò)數(shù)據(jù)量和告警事件數(shù)量、日益復(fù)雜的網(wǎng)絡(luò)威脅形勢(shì)，依賴(lài)安全分析團(tuán)隊(duì)的人力分析是無(wú)法持續(xù)提供安全檢測(cè)和防護(hù)能力的。日益發(fā)展的人工智能技術(shù)為實(shí)現(xiàn)安全事件的自動(dòng)化分析和處置提供了可能。目前人工智能技術(shù)的基礎(chǔ)為機(jī)器學(xué)習(xí)。其根本思想是從假設(shè)空間 H中尋找假設(shè)函數(shù)f近似目標(biāo)函數(shù) f’。目前人工智能技術(shù)已經(jīng)廣泛應(yīng)用于自動(dòng)駕駛、圖像識(shí)別、機(jī)器翻譯等各領(lǐng)域。通過(guò)在網(wǎng)絡(luò)安全領(lǐng)域運(yùn)用人工智能技術(shù)，可以將網(wǎng)絡(luò)安全專(zhuān)家的力量從海量的低價(jià)值重復(fù)的安全事件分析和處置工作中解脫出來(lái)，能夠更好聚焦于那些真正重要的重大威脅事件的分析。

3 數(shù)據(jù)驅(qū)動(dòng)安全的實(shí)踐及面臨的挑戰(zhàn)

“以數(shù)據(jù)驅(qū)動(dòng)安全”這一個(gè)概念一經(jīng)提出，就得到了各大IT廠(chǎng)商和互聯(lián)網(wǎng)公司的積極響應(yīng)。目前已經(jīng)有多種產(chǎn)品和服務(wù)在實(shí)際中得到了應(yīng)用。CISCO研究人員研究了數(shù)百萬(wàn)不同流量上惡意流量和良性流量在使用TLS、DNS和HTTP等協(xié)議上的差異，提煉出了惡意軟件最明顯的一系列特性，在此基礎(chǔ)上推出了具備加密流量分析功能交換機(jī)和路由器產(chǎn)品，解決了傳統(tǒng)安全設(shè)備無(wú)法對(duì)加密流量檢測(cè)的問(wèn)題[7]。騰訊優(yōu)圖運(yùn)用人工智能技術(shù)實(shí)現(xiàn)對(duì)色情圖片的鑒別，大幅度降低企業(yè)因色情違規(guī)收到通報(bào)的次數(shù)。百度安全利用機(jī)器學(xué)習(xí)技術(shù)分析網(wǎng)頁(yè)，可以發(fā)現(xiàn)釣魚(yú)網(wǎng)站、網(wǎng)頁(yè)掛馬等威脅。阿里巴巴提供基于云計(jì)算和機(jī)器學(xué)習(xí)的安全服務(wù)，為部署在阿里云上的企業(yè)服務(wù)提供防護(hù)。支付寶利用大數(shù)據(jù)技術(shù)通過(guò)對(duì)歷史交易數(shù)據(jù)構(gòu)建風(fēng)險(xiǎn)模型，通過(guò)智能風(fēng)險(xiǎn)控制實(shí)現(xiàn)對(duì)用戶(hù)賬戶(hù)安全的保護(hù)[8]。

盡管“數(shù)據(jù)驅(qū)動(dòng)安全”的概念已經(jīng)被安全業(yè)界廣泛接受，并且被認(rèn)為前景光明。然而，在真正實(shí)踐的過(guò)程中，依然面臨著諸多挑戰(zhàn)。要真正實(shí)現(xiàn)以數(shù)據(jù)驅(qū)動(dòng)安全的目標(biāo)，單單依靠網(wǎng)絡(luò)安全廠(chǎng)商的努力是不夠的。這是因?yàn)閿?shù)據(jù)驅(qū)動(dòng)的安全與企業(yè)信息網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)聯(lián)系緊密，需要各個(gè)企業(yè)根據(jù)自己自身情況定制開(kāi)發(fā)，這對(duì)沒(méi)有自主開(kāi)發(fā)能力的非IT或非互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō)是個(gè)巨大的挑戰(zhàn)。此外，在運(yùn)用機(jī)器學(xué)習(xí)技術(shù)對(duì)安全事件進(jìn)行分析需要大量的訓(xùn)練數(shù)據(jù)。而標(biāo)記數(shù)據(jù)獲取成本高、難度大，導(dǎo)致網(wǎng)絡(luò)安全領(lǐng)域的標(biāo)記數(shù)據(jù)非常稀有，相比較于在圖像識(shí)別、語(yǔ)音識(shí)別等領(lǐng)域更容易獲取標(biāo)記數(shù)據(jù)，安全攻防領(lǐng)域能標(biāo)記數(shù)據(jù)的人只有安全專(zhuān)家，獲取標(biāo)記數(shù)據(jù)的人力成本和時(shí)間成本更高。

4 結(jié)束語(yǔ)

習(xí)近平同志提出“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”。WannaCry勒索病毒、Mirai蠕蟲(chóng)等層出不窮的嚴(yán)重安全事件為我們敲響警鐘。本文對(duì)“以數(shù)據(jù)驅(qū)動(dòng)安全”的概念、關(guān)鍵技術(shù)及面臨的挑戰(zhàn)進(jìn)行了詳細(xì)的論述。盡管“以數(shù)據(jù)驅(qū)動(dòng)安全”被認(rèn)為是應(yīng)對(duì)未來(lái)安全威脅的一條可行路徑，其最終的實(shí)現(xiàn)依然需要克服諸多困難。這需要安全廠(chǎng)商和用戶(hù)的共同努力。

[1]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2014年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告[EB/OL]. http://www.cert.org.cn/publi sh/main/upload/File/2014%20secirity%20situation%20report.pdf.

[2]CHEN P, DESMET L, HUYGENS C. A study on advanced persistent threats[C]. Communications and Multimedia Security-15th International Conference. 2014.

[3]付鈺，李洪成，吳曉平，王甲生.基于大數(shù)據(jù)分析的APT攻擊檢測(cè)研究綜述[J].通信學(xué)報(bào)，2015.

[4]TANKARD C. Advanced persistent threats and how to monitor and deter them[J]. Network Security, 2011.

[5]YORAN A,COVIELLO A.Big Data Transforms Security [EB/OL].https://www.rsaconference.com/vid eos/big-data-transforms-security-video.

[6]賴(lài)英旭, 劉增輝, 蔡曉田等.工業(yè)控制系統(tǒng)入侵檢測(cè)研究綜述[J].通信學(xué)報(bào), 2017.

[7]ANDERSON B, PAUL S, MCGREW D. Deciphering malware’s use of TLS (without decryption)[J]. Journal of Computer Virology & Hacking Techniques, 2016.

[8]支付寶風(fēng)險(xiǎn)引擎首次公開(kāi)展示 AlphaRisk首秀Money20/20 Asia [EB/OL].https://www.csdn. net/article/a/2018-03-29/15944331.