文/陳文智
隨著網(wǎng)絡(luò)空間安全重要性的不斷提高,網(wǎng)絡(luò)安全態(tài)勢感知(NSSA,network security situation awareness)的研究與應(yīng)用正在得到更多的關(guān)注。國家通過《“十三五”國家信息化規(guī)劃》明確提出建立國家網(wǎng)絡(luò)安全態(tài)勢感知平臺的要求,各大網(wǎng)絡(luò)安全廠商也紛紛發(fā)布網(wǎng)絡(luò)安全態(tài)勢感知解決方案,安全態(tài)勢感知也成為網(wǎng)絡(luò)安全的熱點(diǎn)。
傳統(tǒng)的安全檢測技術(shù)針對各類具體問題類別進(jìn)行處理,如入侵防御、威脅監(jiān)測、惡意文件識別、日志分析等技術(shù),每一類威脅處理技術(shù)都能通過特征碼、規(guī)則庫發(fā)現(xiàn)一部分具體的安全技術(shù)問題,提出解決辦法。但傳統(tǒng)安全防御技術(shù)各項(xiàng)孤立,缺乏評判整體安全狀態(tài)和發(fā)展趨勢的統(tǒng)一視角,面對靈活多變的新型網(wǎng)絡(luò)攻擊產(chǎn)生了大量疏漏點(diǎn)。以各類傳統(tǒng)安全技術(shù)判別的攻擊事件及攻擊線索的數(shù)據(jù)為基礎(chǔ),對安全大數(shù)據(jù)進(jìn)一步的分析和預(yù)測的研究工作,發(fā)展成了現(xiàn)在的網(wǎng)絡(luò)安全態(tài)勢感知研究。
態(tài)勢感知(SA,Situation Awareness)緣于軍事術(shù)語,意為在特定時(shí)空下,對動(dòng)態(tài)環(huán)境中各元素或?qū)ο蟮挠X察、理解以及對未來狀態(tài)的預(yù)測。網(wǎng)絡(luò)安全態(tài)勢感知將態(tài)勢感知的理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中,使網(wǎng)絡(luò)安全人員在動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境中宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀態(tài),是對網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的認(rèn)知過程, 包括對從系統(tǒng)中測量到的原始數(shù)據(jù)逐步進(jìn)行融合處理和實(shí)現(xiàn)對系統(tǒng)的背景狀態(tài)及活動(dòng)語義的提取, 識別出存在的各類網(wǎng)絡(luò)活動(dòng)以及其中異常活動(dòng)的意圖,從而獲得據(jù)此表征的網(wǎng)絡(luò)安全態(tài)勢和該態(tài)勢對網(wǎng)絡(luò)系統(tǒng)正常行為影響的了解,幫助安全人員采取針對性的響應(yīng)處置措施。
態(tài)勢感知的研究內(nèi)容主要分為三個(gè)方面:網(wǎng)絡(luò)安全態(tài)勢要素的提取、評估和預(yù)測。
網(wǎng)絡(luò)安全態(tài)勢要素提取是指從大規(guī)模網(wǎng)絡(luò)安全狀態(tài)數(shù)據(jù)源中抽取影響網(wǎng)絡(luò)安全態(tài)勢的基本元素的過程,它是網(wǎng)絡(luò)安全態(tài)勢評估和預(yù)測的基礎(chǔ)。態(tài)勢要素的提取處于網(wǎng)絡(luò)安全態(tài)勢感知底層,系統(tǒng)從主機(jī)、安全設(shè)備和網(wǎng)絡(luò)設(shè)備中獲取信息,并獲取與之相關(guān)的上下文信息(用戶、資產(chǎn)、業(yè)務(wù)等),通過采用一定的數(shù)據(jù)格式進(jìn)行統(tǒng)一,并對數(shù)據(jù)進(jìn)行約減、合并,去噪,形成從全局角度看到的現(xiàn)狀“態(tài)”。
態(tài)勢要素信息來源主要有網(wǎng)絡(luò)信息、安全信息和主機(jī)信息。網(wǎng)絡(luò)信息獲取是通過網(wǎng)絡(luò)監(jiān)聽捕獲所有網(wǎng)絡(luò)中的數(shù)據(jù)包,分析提取出IP報(bào)文五元組,并進(jìn)一步協(xié)議分析提取出應(yīng)用層數(shù)據(jù)包及內(nèi)容,如HTTP請求包中的url、get、post參數(shù)等。DNS數(shù)據(jù)包作為一類高效的數(shù)據(jù)源,集中了全網(wǎng)的應(yīng)用層域名請求,數(shù)據(jù)量相對實(shí)際網(wǎng)絡(luò)流較少,也能感知全網(wǎng)威脅態(tài)勢,是很好的補(bǔ)充。安全信息方面,傳統(tǒng)安全設(shè)備在網(wǎng)絡(luò)流數(shù)據(jù)抓取和分析方面比較成熟,可提供大量經(jīng)過預(yù)先處理過的先驗(yàn)信息,便于迅速開展后續(xù)研究。此外,基于主動(dòng)掃描評估結(jié)果、病毒蠕蟲類的預(yù)警數(shù)據(jù)、安全公司及研究機(jī)構(gòu)的威脅情報(bào)等也是重要的安全信息來源。主機(jī)信息方面,除用戶、資產(chǎn)、業(yè)務(wù)等信息外,基于主機(jī)的入侵檢測、日志采集技術(shù)能很好地反映實(shí)際業(yè)務(wù)系統(tǒng)的運(yùn)行狀態(tài),對跳板攻擊、潛伏木馬等方式的APT類攻擊有很好的補(bǔ)充。如何統(tǒng)一不同技術(shù)架構(gòu)、不同廠商、系統(tǒng)的差異化數(shù)據(jù)格式,融合處理分析是當(dāng)前的難點(diǎn)。
網(wǎng)絡(luò)安全態(tài)勢感知將態(tài)勢感知的理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中,使網(wǎng)絡(luò)安全人員在動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境中宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀態(tài)。
評估技術(shù)基于識別出的攻擊活動(dòng)及其特征, 通過進(jìn)一步分析這些攻擊活動(dòng)的語義以及它們之間可能的關(guān)聯(lián)關(guān)系來推斷攻擊者的意圖, 其主要任務(wù)包括識別這些攻擊活動(dòng)的源頭、類型, 并判斷攻擊者的能力、機(jī)會和攻擊成功的可能性等。攻擊行為的識別主要利用已有的檢測技術(shù),包含以下五個(gè)方面的檢測能力:基于流量特征的實(shí)時(shí)檢測;基于流量日志的異常分析機(jī)制;針對內(nèi)容的靜態(tài)、動(dòng)態(tài)分析機(jī)制;基于終端行為特征的實(shí)時(shí)檢測;基于終端行為日志的異常分析機(jī)制。目前常見的全局評估思路為將同一個(gè)目標(biāo)識別出的各類不同安全警報(bào)事件匯總,根據(jù)類型或時(shí)間分為攻擊準(zhǔn)備、攻擊中、入侵成功等不同階段,給予不同的風(fēng)險(xiǎn)等級評價(jià),分析相關(guān)攻擊活動(dòng)對被保護(hù)目標(biāo)造成的危害,并將前后所有攻擊過程進(jìn)行可視化展現(xiàn)。
傳統(tǒng)評估方式通過預(yù)設(shè)的安全規(guī)則庫進(jìn)行特征碼比對,新評估技術(shù)如語義分析、動(dòng)態(tài)識別、AI處理等也在不斷發(fā)展,各安全組織也在積極發(fā)展云服務(wù),云端不斷更新惡意IP列表、最新攻擊特征碼、威脅文件樣本等,提高終端產(chǎn)品的威脅識別能力。如何通過大數(shù)據(jù)技術(shù)集中分析海量異構(gòu)數(shù)據(jù),研究網(wǎng)絡(luò)活動(dòng)特征提取和意圖識別的機(jī)器處理方法,提升分析技術(shù)的效能,提高攻擊行為識別的準(zhǔn)確性,以提高網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的自治能力,實(shí)現(xiàn)全方位網(wǎng)絡(luò)安全態(tài)勢感知及自動(dòng)響應(yīng),是態(tài)勢感知評估的研究重點(diǎn)。
安全態(tài)勢預(yù)測需要根據(jù)當(dāng)前的網(wǎng)絡(luò)狀況,找出網(wǎng)絡(luò)安全隱患進(jìn)行分析,對未來一定時(shí)間內(nèi)的安全趨勢進(jìn)行判斷,并提供相應(yīng)的解決方法。安全態(tài)勢預(yù)測的目標(biāo)不是產(chǎn)生準(zhǔn)確的預(yù)警信息,而是要將預(yù)測結(jié)果用于決策分析與支持,特別是對網(wǎng)絡(luò)攻防對抗的支持。
現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法主要分為以下三種:第一,基于時(shí)空序列的方法。該方法的假設(shè)條件為安全態(tài)勢值的變化具有規(guī)則和周期性,通過分析安全態(tài)勢的前后依賴關(guān)系,實(shí)現(xiàn)對網(wǎng)絡(luò)安全趨勢的預(yù)測;第二,基于圖論的方法。該方法利用網(wǎng)絡(luò)環(huán)境中的脆弱性信息生成狀態(tài)轉(zhuǎn)移圖,并從攻擊者角度出發(fā),依據(jù)當(dāng)前狀態(tài)對網(wǎng)絡(luò)未來可能出現(xiàn)的安全狀況進(jìn)行預(yù)測;第三,基于博弈論的方法。該方法在攻防對抗環(huán)境中,利用博弈理論預(yù)測攻防雙方的下一步動(dòng)作進(jìn)而分析網(wǎng)絡(luò)的安全態(tài)勢,在態(tài)勢要素選擇上較為全面。
目前,網(wǎng)絡(luò)安全態(tài)勢預(yù)測研究還存在許多問題。預(yù)測過程對所有攻擊者無差別處理,然而不同攻擊者的實(shí)際漏洞利用能力不同,缺乏對攻擊者的區(qū)分;攻擊預(yù)測集中于分析攻擊意圖、目標(biāo)、路徑和概率,缺乏對入侵時(shí)間的量化;如何合理地衡量攻擊威脅對網(wǎng)絡(luò)系統(tǒng)的影響,給出一種通用有效的安全態(tài)勢量化標(biāo)準(zhǔn)還有待進(jìn)一步研究。目前網(wǎng)絡(luò)安全態(tài)勢感知在指導(dǎo)安全防御方面作用有限,安全決策還是依靠安全專家、安全運(yùn)營團(tuán)隊(duì)的人工分析和判斷。
高校在信息化過程中發(fā)展較快,如浙江大學(xué)智慧校園、網(wǎng)上浙大等信息化建設(shè)項(xiàng)目誕生了大量的校級信息化應(yīng)用系統(tǒng),各院系部處、科研團(tuán)隊(duì)也有自己的網(wǎng)站和信息系統(tǒng)建設(shè)需求,校園網(wǎng)內(nèi)運(yùn)行站點(diǎn)數(shù)極多。高校信息化業(yè)務(wù)部門中網(wǎng)絡(luò)安全專門人才少,而校園網(wǎng)規(guī)模和用戶量龐大,網(wǎng)絡(luò)安全保障壓力大。建設(shè)安全防護(hù)體系過程中部署的各類軟硬件產(chǎn)品、系統(tǒng)需要安全技術(shù)團(tuán)隊(duì)的運(yùn)維,隨著系統(tǒng)增多、規(guī)模擴(kuò)大、防護(hù)縱深加大,管理難度不斷增加。安全運(yùn)維工作局限于漏洞、攻擊事件的發(fā)現(xiàn)和響應(yīng),缺乏全局性視角和評估。
態(tài)勢感知技術(shù)能夠有效幫助解決部分上述問題。態(tài)勢感知技術(shù)會收集各類原始網(wǎng)絡(luò)信息,收集過程中能統(tǒng)計(jì)各類產(chǎn)生網(wǎng)絡(luò)流的未知IT信息資產(chǎn),一定程度上消除了部分管理盲點(diǎn);安全部門將同類安全運(yùn)營數(shù)據(jù)收集至統(tǒng)一態(tài)勢感知平臺平臺,進(jìn)行集中式分析及安全態(tài)勢感知展示,減輕安全運(yùn)維工作量;未來,隨著態(tài)勢感知技術(shù)發(fā)展,各類異構(gòu)安全數(shù)據(jù)、運(yùn)行數(shù)據(jù)也將逐步集中化,對校園全網(wǎng)的安全狀態(tài)感知會更加清晰。
具體來說,在高校安全工作中應(yīng)用態(tài)勢感知技術(shù),有以下幾個(gè)層面:
首先是包含態(tài)勢感知技術(shù)的校園網(wǎng)安全保障體系建設(shè)。近年來,各高校為應(yīng)對互聯(lián)網(wǎng)安全風(fēng)險(xiǎn),已部署安全廠商的各類防火墻、入侵檢測等安全設(shè)備,具有發(fā)展態(tài)勢感知的硬件基礎(chǔ)。廠商安全態(tài)勢感知產(chǎn)品部署后,將各類不同安全產(chǎn)品的告警、攔截信息統(tǒng)籌,集中式監(jiān)控分析,一方面能統(tǒng)一處理各類安全設(shè)備信息,減輕安全運(yùn)維工作量;另一方面也能集中展示校園網(wǎng)絡(luò)入侵情況,構(gòu)建“風(fēng)暴中心”式的安全監(jiān)測中心,提升校園全網(wǎng)安全感知與威脅響應(yīng)能力。在廠商安全態(tài)勢感知產(chǎn)品的使用過程中,安全技術(shù)團(tuán)隊(duì)?wèi)?yīng)多研究態(tài)勢感知系統(tǒng)所需的安全設(shè)備數(shù)據(jù)提取和原始數(shù)據(jù)提取工作,建立態(tài)勢感知的數(shù)據(jù)采集平臺,逐步準(zhǔn)備自己的態(tài)勢感知技術(shù)研究工作。
其次是通過大數(shù)據(jù)平臺來發(fā)展自己的安全態(tài)勢感知技術(shù)研究工作。大數(shù)據(jù)工作是高校信息化建設(shè)的新熱點(diǎn),網(wǎng)絡(luò)安全研究工作可以態(tài)勢感知為技術(shù)切入點(diǎn),大數(shù)據(jù)平臺為基礎(chǔ),將全校信息化業(yè)務(wù)實(shí)際運(yùn)營中產(chǎn)生的業(yè)務(wù)數(shù)據(jù)、安全數(shù)據(jù)集中至大數(shù)據(jù)平臺,進(jìn)行異構(gòu)數(shù)據(jù)的關(guān)聯(lián)合并、網(wǎng)絡(luò)攻擊威脅辨識、安全態(tài)勢評估及展現(xiàn)等方面的研究工作。同時(shí)也可與校內(nèi)信息安全學(xué)科研究團(tuán)隊(duì)合作,整合校內(nèi)優(yōu)勢資源,建立專業(yè)網(wǎng)絡(luò)信息安全研究及應(yīng)用團(tuán)隊(duì),分析脫敏后的原始業(yè)務(wù)數(shù)據(jù)、實(shí)際網(wǎng)絡(luò)流、安全日志數(shù)據(jù),進(jìn)行更深層次的APT潛伏攻擊、0day未知攻擊等技術(shù)研判,全校網(wǎng)絡(luò)安全態(tài)勢評估及預(yù)測,安全預(yù)警及應(yīng)急處置工作等。研究中發(fā)現(xiàn)的安全事件、得出的安全結(jié)論既能產(chǎn)生科研成果,又能指導(dǎo)實(shí)際安全工作,實(shí)現(xiàn)多贏局面,共同提升校園網(wǎng)安全。
最后是參與教育行業(yè)以及全社會的安全態(tài)勢信息共享工作?!笆濉眹倚畔⒒?guī)劃已明確指出:“建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制,加強(qiáng)網(wǎng)絡(luò)安全大數(shù)據(jù)挖掘分析,更好感知網(wǎng)絡(luò)安全態(tài)勢,做好風(fēng)險(xiǎn)防范工作?!苯逃袠I(yè)內(nèi)各高校信息化建設(shè)趨勢相同,面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相同,利害一致。各行業(yè)安全信息共享中需要實(shí)現(xiàn)的信息交換、通信協(xié)議協(xié)商、標(biāo)準(zhǔn)數(shù)據(jù)結(jié)構(gòu)統(tǒng)一、信息安全保護(hù)等,目前都是發(fā)展中的課題。高校之間網(wǎng)絡(luò)安全信息共享工作研究,能提升教育行業(yè)整體的安全態(tài)勢感知水平,推動(dòng)全社會層面安全信息共享行為,維護(hù)國家網(wǎng)絡(luò)空間安全。