探討安全大數(shù)據(jù)分析建模

信息安全涉及面較廣，信息安全控制點(diǎn)較為分散，信息安全管理的全面性要求實(shí)施了眾多的信息安全技術(shù)系統(tǒng)，如防火墻、IPS/IDS、WAF、網(wǎng)絡(luò)準(zhǔn)入、堡壘機(jī)、加密/DLP、終端管理、網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、上網(wǎng)行為管理等等。而這么多信息安全技術(shù)系統(tǒng)，每個(gè)系統(tǒng)都會(huì)產(chǎn)生大量的信息安全日志，比如文檔加密的文檔解密日志、終端管理的文檔拷出日志、網(wǎng)絡(luò)安全審計(jì)的文檔流轉(zhuǎn)日志、防火墻的攻擊攔截日志等等。

按照網(wǎng)絡(luò)安全法要求，這些日志都要保存6個(gè)月以上，并對(duì)日志要進(jìn)行分析，以發(fā)現(xiàn)其中的攻擊、泄密等安全隱患，并為處置信息安全事件提供證據(jù)。然而目前這些海量的日志如果單靠人力分析已經(jīng)不能滿(mǎn)足當(dāng)前的要求，而且也缺乏相應(yīng)的人力。

為了解決此信息安全業(yè)務(wù)的矛盾，提升IT對(duì)信息安全的預(yù)防、隱患排查和處置能力，我們需要利用大數(shù)據(jù)的技術(shù)，通過(guò)對(duì)海量信息安全日志進(jìn)行聚合、搜索、提取、分組、聯(lián)合、拆分、格式化和可視化。

下面筆者結(jié)合自己的工作實(shí)踐，對(duì)系信息安全大數(shù)據(jù)分析系統(tǒng)的建設(shè)和其中最重要的數(shù)據(jù)分析模型建立進(jìn)行一些闡述。

建立信息安全大數(shù)據(jù)分析系統(tǒng)，首先要收集日志數(shù)據(jù)，這里的日志除了包括傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備系統(tǒng)日志如防火日志、網(wǎng)絡(luò)交換機(jī)日志、操作系統(tǒng)日志之外，還要包括業(yè)務(wù)系統(tǒng)的日志，比如郵件系統(tǒng)的登錄日志（非主機(jī)系統(tǒng)登錄日志）、網(wǎng)絡(luò)行為日志、文件操作增刪改的日志、終端計(jì)算機(jī)USB口拷入拷出日志等等。在日志的收集過(guò)程中，需要注意一個(gè)問(wèn)題，日志的格式問(wèn)題。不同的平臺(tái)，日志格式也不一樣。國(guó)外網(wǎng)絡(luò)安全系統(tǒng)日志輸出大部分有接口，只需要做相應(yīng)的配置即可；而國(guó)內(nèi)網(wǎng)絡(luò)安全系統(tǒng)的日志輸出大多沒(méi)有標(biāo)準(zhǔn)接口，需要進(jìn)行日志接口開(kāi)發(fā)，如果開(kāi)發(fā)困難，就需要編寫(xiě)正則表達(dá)式，通過(guò)手工導(dǎo)出、自動(dòng)導(dǎo)入等半自動(dòng)化手段，將需要的日志導(dǎo)入到大數(shù)據(jù)分析平臺(tái)。

其次，信息安全大數(shù)據(jù)分析平臺(tái)要考慮性能問(wèn)題，按照1000人上網(wǎng)規(guī)模來(lái)算，筆者所在的單位產(chǎn)生的網(wǎng)絡(luò)安全相關(guān)日志能夠達(dá)到3000條/s。日志量的大小和企業(yè)的網(wǎng)絡(luò)業(yè)務(wù)繁忙程度以及業(yè)務(wù)系統(tǒng)多少有關(guān)系。上述數(shù)據(jù)供大家參考。

再次，信息安全大數(shù)據(jù)分析平臺(tái)還要考慮日志聚合去重、關(guān)聯(lián)分析能力及事件模型建立能力，其中建模能力是大數(shù)據(jù)分析平臺(tái)的重點(diǎn)。

下面筆者將重點(diǎn)介紹幾個(gè)信息安全事件分析模型供大家參考。

對(duì)于日志分析我們有幾個(gè)緯度重點(diǎn)考慮：時(shí)間、頻次、區(qū)域（地點(diǎn)）。模型也是從這幾個(gè)角度來(lái)考慮。

模型一：密碼泄漏（被盜）模型

日志對(duì)象：應(yīng)用系統(tǒng)登錄成功日志

時(shí)間：30分鐘內(nèi)（時(shí)間窗口可調(diào)整）

區(qū)域：2個(gè)（含）以上

頻次：2次（含）以上

模型規(guī)則：

當(dāng)同一ID登錄某個(gè)應(yīng)用系統(tǒng)成功，30分鐘出現(xiàn)了2次，且2次成功登錄的源IP并不在同一區(qū)域，即判定為該應(yīng)用系統(tǒng)此ID密碼被盜用。

比如來(lái)源IP，一個(gè)是在內(nèi)網(wǎng)、一個(gè)在公網(wǎng)；或者一個(gè)在北京，一個(gè)在上海。在該模型中，應(yīng)用不同，時(shí)間窗口可以不同。因?yàn)橥粋€(gè)人不可能在短時(shí)間內(nèi)出現(xiàn)空間瞬移，即在北京又在上海。

模型二：DDOS攻擊模型

圖1 欺詐者病毒發(fā)現(xiàn)模型實(shí)例

日志對(duì)象：外網(wǎng)單個(gè)IP主機(jī)觸發(fā)防火墻ACL規(guī)則

時(shí)間：10秒鐘

頻次：500次以上

模型規(guī)則：

主要對(duì)防火墻日志進(jìn)行分析，發(fā)現(xiàn)同一外網(wǎng)IP，短時(shí)間內(nèi)出現(xiàn)大量的連接請(qǐng)求，即判斷為DDoS攻擊，可以及時(shí)進(jìn)行攔截和清洗。

模型三：病毒主機(jī)發(fā)現(xiàn)模型

日志對(duì)象：內(nèi)網(wǎng)單個(gè)IP主機(jī)觸發(fā)的連接請(qǐng)求

時(shí)間：30分鐘

頻次：1000次以上

模型規(guī)則：

當(dāng)內(nèi)網(wǎng)單個(gè)IP主機(jī)短時(shí)間內(nèi)有大量的訪(fǎng)問(wèn)多個(gè)IP地址的某一個(gè)端口或者多個(gè)端口，日志頻次達(dá)到1000次以上即觸發(fā)該模型規(guī)則，判斷為異常告警，然后通過(guò)人力干預(yù)判斷是否為異常，比如中毒或者對(duì)外進(jìn)行端口掃描。

此模型建立之后，在欺詐者病毒的排查上啟到了積極作用。如圖1所示。

通過(guò)模型匹配日志發(fā)現(xiàn)，有較多的內(nèi)網(wǎng)IP，在訪(fǎng)問(wèn)諸多國(guó)外IP的445端口，30分鐘內(nèi)出現(xiàn)了15萬(wàn)條以上，模型匹配成功，即刻告警。我們收到告警后進(jìn)一步找到該IP主機(jī)，發(fā)現(xiàn)該主機(jī)未修復(fù)補(bǔ)丁，殺毒軟件病毒庫(kù)也未及時(shí)升級(jí)，通過(guò)病毒查殺發(fā)現(xiàn)，該機(jī)器中了欺詐者病毒，即刻進(jìn)行了后續(xù)處置。

模型四：暴力破解模型

日志對(duì)象：登錄失敗日志

時(shí)間：24小時(shí)

頻次：50次

模型規(guī)則：

當(dāng)一天內(nèi)某一ID的登錄失敗次數(shù)超過(guò)了50次，即判斷為暴力破解。該模型比較簡(jiǎn)單，但是模型建立后，就發(fā)現(xiàn)了暴力破解現(xiàn)象，比較實(shí)用。

筆者所在的單位建立該模型后就發(fā)現(xiàn)了子公司存在大量的防火墻口令暴力破解現(xiàn)象（24小時(shí)破解784次），發(fā)現(xiàn)該現(xiàn)象后，我們通過(guò)對(duì)防火墻口令，設(shè)置較高的復(fù)雜度，從而增加破解難度；禁用默認(rèn)管理員用戶(hù)，比如禁用Netscreen，創(chuàng)建自定義的管理員用戶(hù)名；設(shè)置防火墻登錄IP范圍，如僅允許分/子公司內(nèi)網(wǎng)IP訪(fǎng)問(wèn)，或者固定某一段IP訪(fǎng)問(wèn)防火墻；增加管理員登錄失敗鎖定時(shí)間等四個(gè)修復(fù)措施，防止了信息安全事件的擴(kuò)大升級(jí)。采取措施之后，觸發(fā)的告警就隨之消失。

模型五：運(yùn)維堡壘機(jī)繞過(guò)模型

日志對(duì)象：操作系統(tǒng)登錄日志、應(yīng)用系統(tǒng)管理臺(tái)登錄日志

時(shí)間：即時(shí)

頻次：1次

模型規(guī)則：

該模型較為復(fù)雜。首先,我們需要將監(jiān)控的服務(wù)器和應(yīng)用管理臺(tái)Web URL 加入到監(jiān)控目錄表；

其次,建立監(jiān)控的管理員ID目錄，比如Admin、Administrator、Root等；

然后對(duì)登錄日志進(jìn)行分析，對(duì)于操作系統(tǒng)主機(jī)的登錄日志，我們不區(qū)分ID，只要發(fā)現(xiàn)登錄來(lái)源IP非堡壘機(jī)地址的，即進(jìn)行報(bào)警，發(fā)現(xiàn)有非法者直接繞過(guò)堡壘機(jī)遠(yuǎn)程運(yùn)維服務(wù)器；

對(duì)于Web登錄日志，當(dāng)?shù)卿汭D為管理員且來(lái)源地址IP非堡壘機(jī)地址的，即進(jìn)行報(bào)警。

此模型規(guī)則相對(duì)前四個(gè)模型較為負(fù)責(zé)，判斷條件較多，但對(duì)于外包維護(hù)能啟到較好的審計(jì)作用，并能及時(shí)告警和發(fā)現(xiàn)。目前的外包運(yùn)維為做好審計(jì)都需要用堡壘機(jī)進(jìn)行跳轉(zhuǎn)，對(duì)外違規(guī)操作能起到震懾作用。

模型六：泄密發(fā)現(xiàn)模型

日志對(duì)象：終端計(jì)算機(jī)文檔操作記錄（增刪改，關(guān)注更名記錄）、文檔的解密記錄、文檔的傳輸記錄（郵件發(fā)送、拷出、網(wǎng)盤(pán)等）

時(shí)間：24小時(shí)

頻次 ：1/50 次

模型規(guī)則：

此模型細(xì)分為兩個(gè)，一是一天內(nèi)當(dāng)某用戶(hù)對(duì)某一個(gè)文件進(jìn)行更名（比如取消密級(jí)標(biāo)識(shí)），然后又對(duì)該文件進(jìn)行了解密，隨后又通過(guò)郵件、USB、網(wǎng)盤(pán)等形式有發(fā)送日志，即判斷為有泄密風(fēng)險(xiǎn)，即刻告警；

二是一天內(nèi)某一用戶(hù)解密文件數(shù)量超過(guò)50個(gè)（數(shù)量根據(jù)業(yè)務(wù)來(lái)判斷，需通過(guò)前期日常業(yè)務(wù)的大數(shù)據(jù)分析判斷一個(gè)平均值），同時(shí)伴隨著這些文件的外發(fā)，即判斷為有泄密風(fēng)險(xiǎn)。通過(guò)該模型的建立我們發(fā)現(xiàn)了較多的員工離職預(yù)警，即只要匹配該模型成功，在接下來(lái)的一個(gè)月內(nèi)被匹配的員工就會(huì)提交離職報(bào)告。對(duì)此我們根據(jù)此預(yù)警信息提前采取相應(yīng)的安全措施，防止了公司文件的外泄。

信息安全大數(shù)據(jù)的分析模型還有很多，其中離職模型還可以從員工的日常上網(wǎng)行為日志中來(lái)進(jìn)行挖掘，比如瀏覽求職網(wǎng)站、搜索關(guān)鍵字、終端文檔操作信息文檔名有簡(jiǎn)歷、薪資等內(nèi)容等幾個(gè)緯度來(lái)建立模型。信息安全大數(shù)據(jù)分析模型的建立需要我們和業(yè)務(wù)相結(jié)合，來(lái)發(fā)現(xiàn)業(yè)務(wù)的共同點(diǎn)，建立多維模型。

筆者上述的六個(gè)模型并不一定適用于所有的場(chǎng)景，僅供各位專(zhuān)家參考，希望在此能拋磚引玉給大家提供一些思路，也為信息安全中的信息安全風(fēng)險(xiǎn)的預(yù)判和監(jiān)測(cè)提供一些幫助。