智能化網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺建設(shè)和運營思路探討

黃昌熙，朱磊，余潤澤，滕澤濱（華信咨詢設(shè)計研究院有限公司，浙江杭州 310052）

1 概述

隨著數(shù)字改革不斷深入，行業(yè)發(fā)展面臨巨大機遇，“新基建”打破了傳統(tǒng)的產(chǎn)業(yè)邊界，加速了產(chǎn)業(yè)間的融合創(chuàng)新，網(wǎng)絡(luò)信息量正呈現(xiàn)爆發(fā)性增長，新型的網(wǎng)絡(luò)攻擊威脅層出不窮，勒索病毒、APT 攻擊、數(shù)據(jù)泄露等安全事件頻發(fā)，政府和企業(yè)網(wǎng)絡(luò)的核心業(yè)務(wù)系統(tǒng)面臨嚴(yán)重的安全隱患。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）數(shù)據(jù)統(tǒng)計，境外APT 攻擊組織以“新冠肺炎疫情”“基金項目申請”等相關(guān)社會熱點投遞釣魚郵件，冒充我國衛(wèi)生機構(gòu)發(fā)起定向攻擊，造成了較為嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險。

面對嚴(yán)峻的網(wǎng)絡(luò)安全威脅，多國啟動了應(yīng)對措施。美國順應(yīng)網(wǎng)絡(luò)威脅與技術(shù)的發(fā)展演變，多舉措提升攻防能力；俄羅斯積極構(gòu)建網(wǎng)絡(luò)空間安全屏障，在加密貨幣、人工智能等領(lǐng)域加大投入；日本采取開發(fā)基于人工智能的系統(tǒng)抵御網(wǎng)絡(luò)攻擊；我國在“國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃”中明確提出提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測預(yù)警、應(yīng)急指揮、攻擊溯源能力，加強網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研發(fā)，加快人工智能安全技術(shù)創(chuàng)新，提升網(wǎng)絡(luò)安全產(chǎn)業(yè)綜合競爭力?？梢灶A(yù)見，智能化網(wǎng)絡(luò)安全監(jiān)測預(yù)警技術(shù)適應(yīng)未來發(fā)展趨勢。

2 網(wǎng)絡(luò)安全監(jiān)測預(yù)警技術(shù)分析

網(wǎng)絡(luò)安全監(jiān)測預(yù)警是通過對網(wǎng)絡(luò)和安全設(shè)備日志，系統(tǒng)運行數(shù)據(jù)等信息進(jìn)行實時采集，以關(guān)聯(lián)分析等方式對監(jiān)測對象進(jìn)行風(fēng)險識別、威脅發(fā)現(xiàn)、安全事件實時告警及可視化展示，對安全風(fēng)險和威脅快速定位、預(yù)警和響應(yīng)處置。

a）傳統(tǒng)技術(shù)。傳統(tǒng)網(wǎng)絡(luò)安全監(jiān)測預(yù)警是將各類安全設(shè)備日志、主機日志、網(wǎng)絡(luò)日志、Web 日志等采集到統(tǒng)一的日志存儲平臺，實現(xiàn)日志集中存儲分析，通過獲取互聯(lián)網(wǎng)已公開漏洞信息、惡意域名、代理攻擊IP 地址等信息與資產(chǎn)匹配，呈現(xiàn)網(wǎng)絡(luò)安全風(fēng)險狀況。傳統(tǒng)技術(shù)手段主要實現(xiàn)數(shù)據(jù)匯總和靜態(tài)呈現(xiàn)，統(tǒng)計圖形較為簡單，輸出的專業(yè)報表晦澀難懂，采用統(tǒng)計型、規(guī)則型和特征匹配型算法為主，關(guān)聯(lián)分析和智能分析技術(shù)應(yīng)用較少。

b）智能化技術(shù)。智能化網(wǎng)絡(luò)安全監(jiān)測預(yù)警是采用人工智能技術(shù)、大數(shù)據(jù)技術(shù)，加入?yún)f(xié)同聯(lián)動接口，基于多源數(shù)據(jù)采集，結(jié)合流量分析、日志分析、用戶和實體行為分析（UEBA）、大數(shù)據(jù)關(guān)聯(lián)分析、機器學(xué)習(xí)等技術(shù)，在監(jiān)測預(yù)警、響應(yīng)處置、溯源取證和可視化展示等方面更加高效智能，可以應(yīng)對復(fù)雜環(huán)境的網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)安全監(jiān)測預(yù)警技術(shù)對比如表1所示。

表1 網(wǎng)絡(luò)安全監(jiān)測預(yù)警技術(shù)對比

3 網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺建設(shè)思路

3.1 平臺架構(gòu)設(shè)計

傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)和安全模型不能滿足新形勢的網(wǎng)絡(luò)安全需求，網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺在架構(gòu)上需要進(jìn)行融合設(shè)計，通過采集網(wǎng)絡(luò)流量、設(shè)備日志、資產(chǎn)和脆弱性數(shù)據(jù)、威脅情報等多源海量數(shù)據(jù)，運用機器學(xué)習(xí)、數(shù)據(jù)關(guān)聯(lián)分析等智能分析引擎，將人工智能技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，高效識別和預(yù)警安全威脅風(fēng)險，實時精準(zhǔn)可視化展示。智能化網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺總體上分為數(shù)據(jù)采集層、安全大數(shù)據(jù)中臺、安全服務(wù)層和展示層，具有第三方安全平臺對接接口，實現(xiàn)更大范圍網(wǎng)絡(luò)監(jiān)測預(yù)警、共享和協(xié)同處置。智能化網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺架構(gòu)如圖1所示。

圖1 智能化網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺架構(gòu)

3.2 多源數(shù)據(jù)采集方案

3.2.1 網(wǎng)絡(luò)流量采集

網(wǎng)絡(luò)流量采集是在互聯(lián)網(wǎng)出入口、云邊界等重要網(wǎng)絡(luò)出入口采集原始流量數(shù)據(jù)，為智能化安全分析提供基礎(chǔ)數(shù)據(jù)來源。網(wǎng)絡(luò)流量采集使用探針旁路部署模式，與路由器、交換機或防火墻等網(wǎng)絡(luò)安全設(shè)備鏡像端口相連，不改變原有的網(wǎng)絡(luò)結(jié)構(gòu)，數(shù)據(jù)采集獲得的是鏈路中流量數(shù)據(jù)的拷貝，主要用于監(jiān)聽和檢測網(wǎng)絡(luò)中的數(shù)據(jù)流及各類異常行為。

網(wǎng)絡(luò)鏡像流量首先需要進(jìn)行數(shù)據(jù)預(yù)處理，檢測識別所有接收到的流量，然后抓包把需要處理的應(yīng)用數(shù)據(jù)報文抓取到應(yīng)用層，經(jīng)探針處理后形成流量元數(shù)據(jù)，包括由TCP、UDP 等組成NetFlow 以及由四層以上的重要的協(xié)議如HTTP、DNS 組成的HTTPFlow、DNSFlow 等xFlow 形式元數(shù)據(jù)，并檢測輸出異常行為數(shù)據(jù)、文件樣本和檢測日志，為智能分析提供數(shù)據(jù)來源。網(wǎng)絡(luò)流量采集基本過程如圖2所示。

圖2 網(wǎng)絡(luò)流量采集基本過程

3.2.2 日志采集

系統(tǒng)日志是監(jiān)測預(yù)警平臺對接采集的各類安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機的告警、操作等日志信息。Flume 組件是一個高可靠和分布式的海量日志采集、聚合和傳輸組件，F(xiàn)lume 組件采集網(wǎng)絡(luò)中的文件、文件夾、syslog、socket 數(shù)據(jù)包等各類型數(shù)據(jù)，通過定制各類數(shù)據(jù)發(fā)送方，將數(shù)據(jù)格式化封裝到事件里，寫入數(shù)據(jù)傳輸通道，實現(xiàn)日志采集、過濾、緩存、中轉(zhuǎn)分發(fā)和調(diào)度。

3.2.3 資產(chǎn)和漏洞數(shù)據(jù)采集

網(wǎng)絡(luò)資產(chǎn)包括終端、服務(wù)器、網(wǎng)絡(luò)安全設(shè)備、物聯(lián)網(wǎng)設(shè)備等，資產(chǎn)識別需要建立指紋特征庫，指紋特征庫包含設(shè)備基本信息、操作系統(tǒng)信息以及應(yīng)用程序詳情。完成建立相應(yīng)指紋特征庫后，使用正則表達(dá)式特征匹配識別出相應(yīng)的網(wǎng)絡(luò)資產(chǎn)情況。使用主動掃描、被動流量檢測發(fā)現(xiàn)存活的IP/URL 信息，識別內(nèi)容關(guān)聯(lián)、合并、去重和除錯處理，形成網(wǎng)絡(luò)的資產(chǎn)列表。

資產(chǎn)的漏洞識別分為主動掃描和被動掃描，主動掃描識別資產(chǎn)中的漏洞、配置、弱密碼、Web 明文傳輸?shù)蕊L(fēng)險，被動掃描是在分析用戶主機遭受攻擊后，識別出用戶主機的安全漏洞風(fēng)險。按照漏洞掃描結(jié)果、資產(chǎn)重要性及漏洞的威脅情報，排序漏洞重要性，以確定修復(fù)的優(yōu)先級。

3.2.4 威脅情報采集

威脅情報包括域名類、IP 類、文件類等，利用大數(shù)據(jù)技術(shù)收集獲取，平臺接入第三方專業(yè)的威脅情報數(shù)據(jù)，利用外源威脅情報指導(dǎo)內(nèi)源威脅信息，不斷積累形成新的威脅情報。威脅情報關(guān)聯(lián)網(wǎng)絡(luò)中的安全日志、流量，精準(zhǔn)檢測網(wǎng)絡(luò)和主機的威脅狀況，及時感知新型威脅。

3.3 智能安全大數(shù)據(jù)中臺構(gòu)建

數(shù)據(jù)融合處理是智能化網(wǎng)絡(luò)安全威脅感知的重點，具有支撐持續(xù)監(jiān)控、威脅預(yù)警、多角度可視化數(shù)據(jù)呈現(xiàn)的能力。安全大數(shù)據(jù)中臺包含數(shù)據(jù)集成、批流處理、機器學(xué)習(xí)、關(guān)聯(lián)分析等智能分析引擎。

3.3.1 數(shù)據(jù)集成引擎

按照數(shù)據(jù)標(biāo)準(zhǔn)化治理過程，完成數(shù)據(jù)格式轉(zhuǎn)換、數(shù)據(jù)解析、數(shù)據(jù)清洗、數(shù)據(jù)增強等數(shù)據(jù)泛化能力，可以對JSON、CSV、KV 和正則等數(shù)據(jù)格式進(jìn)行處理，涵蓋各類數(shù)據(jù)分析場景，能夠結(jié)合地理位置、資產(chǎn)信息、黑白名單和威脅情報信息添加標(biāo)簽。

3.3.2 批流處理引擎

批流處理引擎包括可視化建模和安全編排與自動化響應(yīng)（SOAR）?？梢暬＜夹g(shù)以拖拽控件的方式設(shè)計關(guān)聯(lián)規(guī)則分析流程，將安全算法靈活編排組合，實現(xiàn)針對特定安全場景完成關(guān)聯(lián)分析建模。SOAR 具有自動編排執(zhí)行能力，依據(jù)場景編排安全動作腳本，匹配不同安全需求，建立自動化風(fēng)險處置流程。SOAR基本流程如圖3所示。

圖3 SOAR基本流程

3.3.3 機器學(xué)習(xí)引擎

基于機器學(xué)習(xí)框架的分類、聚類等算法，選擇合適的算法進(jìn)行模型訓(xùn)練，訓(xùn)練好的模型在真實環(huán)境探測網(wǎng)絡(luò)異常行為，按照配置的規(guī)則生成安全事件或者威脅告警。根據(jù)流的統(tǒng)計特征分類，避免了流量加密帶來的影響?？梢灾苯邮褂靡呀?jīng)封裝好的安全威脅檢測算法或模型而不需要關(guān)心其內(nèi)部邏輯實現(xiàn)。模型訓(xùn)練基本流程如圖4所示。

圖4 模型訓(xùn)練基本流程

3.3.4 關(guān)聯(lián)分析引擎

關(guān)聯(lián)分析引擎具有違規(guī)行為、數(shù)據(jù)泄露、漏洞利用、關(guān)聯(lián)告警等常用的關(guān)聯(lián)分析規(guī)則，關(guān)聯(lián)分析引擎使用多種模式的關(guān)聯(lián)分析模板，如過濾分析模板、計數(shù)模板、求和模板和Follow by 時序模板等，利用關(guān)聯(lián)分析規(guī)則模板配置各類關(guān)聯(lián)分析模型。

3.3.5 日志檢索引擎

從結(jié)構(gòu)化信息中定位出原始流量包數(shù)據(jù)，存儲經(jīng)過流計算關(guān)聯(lián)規(guī)則之后的安全事件信息，供上層安全態(tài)勢展示使用。日志檢索引擎以SPL 語句為查詢語言，SPL 是對全文檢索引擎查詢語句的封裝，通過關(guān)鍵字完成過濾、聚合、排序和數(shù)據(jù)量裁剪，提交搜索引擎進(jìn)行查詢和統(tǒng)計分析。

3.4 綜合安全分析和預(yù)警響應(yīng)

利用智能分析引擎綜合分析發(fā)現(xiàn)潛在的攻擊威脅，按照預(yù)先設(shè)定的規(guī)則和流程發(fā)布預(yù)警和應(yīng)急響應(yīng)。

3.4.1 綜合安全分析

a）異常流量分析。提取原始流量日志，基于機器學(xué)習(xí)、關(guān)聯(lián)分析引擎對未知異常流量檢測和未知攻擊事件的分析發(fā)現(xiàn)。

b）異常行為分析。利用UEBA 分析技術(shù)，結(jié)合威脅情報庫和主機訪問異常等各種異常行為事件，以聚類方式識別和劃分具有相似行為、屬性的群體，通過群體分析發(fā)現(xiàn)異常行為，預(yù)測未知風(fēng)險。

c）惡意代碼分析。監(jiān)測捕獲多種來源惡意代碼，分析樣本行為和同源性，獲得惡意代碼的演進(jìn)過程、行為特征、事件關(guān)聯(lián)等主要數(shù)據(jù)，建立入庫惡意代碼樣本和數(shù)據(jù)的索引查詢。

d）攻擊威脅溯源。從網(wǎng)絡(luò)流量、日志數(shù)據(jù)、威脅情報、惡意樣本等多維度，關(guān)聯(lián)分析攻擊者的入侵方式，還原攻擊事件的整個過程，實現(xiàn)安全溯源分析甚至是攻擊者畫像。

3.4.2 預(yù)警通告

通報預(yù)警消息輸入來源于自動分析產(chǎn)生或手工輸入的安全事件告警消息，在格式化安全事件告警消息后，評估關(guān)聯(lián)需要發(fā)送的對象，通過短信、郵件等方式發(fā)送預(yù)警通告，持續(xù)提醒安全管理人員快速跟蹤處置。

3.4.3 響應(yīng)處置

響應(yīng)處置模塊下達(dá)網(wǎng)絡(luò)安全事件處置指令，指令接收人員按照標(biāo)準(zhǔn)操作流程開展事件處置，進(jìn)行現(xiàn)場勘察，固定證據(jù)，快速恢復(fù)，消除危害和影響。對事件處置情況、現(xiàn)場勘察情況以及證據(jù)建檔、歸檔和入庫。

3.5 多維度安全態(tài)勢展示

提取系統(tǒng)安全特征和指標(biāo)，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險，匯總成有價值的情報，將網(wǎng)絡(luò)安全風(fēng)險通過可視化技術(shù)直觀地展示出來，綜合呈現(xiàn)網(wǎng)絡(luò)安全整體態(tài)勢情況。具備多維度圖表展示，如總體態(tài)勢展示，資產(chǎn)概況展示、預(yù)警信息展示、安全事件展示等，可以獲取詳細(xì)信息軌跡，高效支撐決策指揮。

4 安全運營服務(wù)方案設(shè)計

信息保障技術(shù)框架（IATF）提出了安全保障依賴于人、技術(shù)和操作等3個要素，人是信息保障體系的核心。要以駐場安全人員和遠(yuǎn)程專家協(xié)同運營服務(wù)為基礎(chǔ)，借助智能化監(jiān)測預(yù)警平臺，從安全風(fēng)險資產(chǎn)、威脅和脆弱性出發(fā)，覆蓋云、網(wǎng)、應(yīng)用、數(shù)據(jù)和終端的安全，掌握網(wǎng)絡(luò)空間安全防御技術(shù)，了解網(wǎng)絡(luò)安全實戰(zhàn)技能，周期性開展安全風(fēng)險評估、滲透測試和應(yīng)急演練，加強組織與能力保障，實現(xiàn)事前、事中、事后全生命周期安全運營。網(wǎng)絡(luò)安全運營架構(gòu)如圖5所示。

圖5 網(wǎng)絡(luò)安全運營架構(gòu)

安全運營可以分為3 個階段，第1 階段為初期運營，完成網(wǎng)絡(luò)中各類融合數(shù)據(jù)的統(tǒng)一接入與管理，具備基礎(chǔ)威脅檢測、分析和響應(yīng)能力；第2階段為優(yōu)化階段，根據(jù)業(yè)務(wù)場景，建立安全分析模型，實現(xiàn)智能融合檢測和關(guān)聯(lián)分析，建立標(biāo)準(zhǔn)化安全運營體系；第3階段為持續(xù)安全運營階段，不斷優(yōu)化模型檢測規(guī)則，優(yōu)化運營流程，評估安全風(fēng)險并持續(xù)改進(jìn)。全流程的安全運營服務(wù)項目和內(nèi)容如表2所示。

表2 安全運營服務(wù)項目和內(nèi)容

安全運營是不斷優(yōu)化檢測規(guī)則和運營流程、評估安全風(fēng)險并持續(xù)改進(jìn)的過程。安全運營服務(wù)應(yīng)當(dāng)具備全過程安全保障、事件閉環(huán)處置能力，隨著安全運營的深入和效能的提升，安全事件的數(shù)量將越來越少，最后在可接受的范圍內(nèi)波動，安全運營成熟度不斷提高。

5 結(jié)束語

信息爆炸時代對網(wǎng)絡(luò)安全提出了新的要求，傳統(tǒng)網(wǎng)絡(luò)安全防護手段無法應(yīng)對新型網(wǎng)絡(luò)攻擊威脅，智能化安全技術(shù)是當(dāng)前安全研究的重點，以大數(shù)據(jù)和人工智能為代表的智能化網(wǎng)絡(luò)安全監(jiān)測預(yù)警技術(shù)在應(yīng)對復(fù)雜的網(wǎng)絡(luò)環(huán)境時安全防護效果顯著。安全攻擊威脅的技術(shù)在不斷演變，智能安全算法和安全檢測模型也需要持續(xù)優(yōu)化，提升攻擊檢測效率和準(zhǔn)確率。安全離不開人的因素，安全運營服務(wù)需要順應(yīng)新時期安全形勢，加強網(wǎng)絡(luò)安全風(fēng)險評估和攻防對戰(zhàn)演練是有效的主動防御措施。需要從組織和機制上做好網(wǎng)絡(luò)安全保障，提升人員安全意識，健全安全管理制度，加強安全領(lǐng)域的合作，更好地支撐數(shù)字經(jīng)濟社會發(fā)展。