一種針對訪問控制系統(tǒng)的安全態(tài)勢感知模型

李琰 胡俊

摘要：針對高安全級別信息系統(tǒng)提出一種利用策略和審計(jì)日志信息進(jìn)行態(tài)勢感知的安全態(tài)勢感知模型。相比傳統(tǒng)通過入侵檢測系統(tǒng)采集網(wǎng)絡(luò)數(shù)據(jù)和系統(tǒng)數(shù)據(jù)進(jìn)行分析的方法，該模型對于威脅事件有較強(qiáng)的靈敏度，能夠在系統(tǒng)發(fā)生威脅事件的第一時間覺察。同時模型依托可信計(jì)算技術(shù)，使整個系統(tǒng)運(yùn)行在允許范圍內(nèi)，有效提升系統(tǒng)防護(hù)能力，對高安全級別信息系統(tǒng)的安全監(jiān)控有實(shí)際意義。

關(guān)鍵詞：態(tài)勢感知;訪問控制;可信計(jì)算

DOI.10.11907/rjdk.191167

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-7800（2019）012-0167-06

0引言

為了增進(jìn)人們對于整個系統(tǒng)安全態(tài)勢的了解，在網(wǎng)絡(luò)被攻擊后能夠及時發(fā)現(xiàn)并作出響應(yīng)，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)隨之誕生。它可以綜合多方面的安全因素，從大體上動態(tài)反映網(wǎng)絡(luò)態(tài)勢，并對其進(jìn)行分析。在發(fā)生安全事件時能夠及時預(yù)警，并展示其可能影響的范圍，從而達(dá)到有效提升網(wǎng)絡(luò)整體監(jiān)測、響應(yīng)與防護(hù)的能力。

目前，態(tài)勢感知技術(shù)主要通過采集網(wǎng)絡(luò)原始數(shù)據(jù)與系統(tǒng)運(yùn)行生成的動態(tài)安全數(shù)據(jù)等信息，再通過對數(shù)據(jù)進(jìn)行實(shí)時分析實(shí)現(xiàn)。這種方法適用于一般信息系統(tǒng)，而我國等級保護(hù)要求高安全級別系統(tǒng)需要以訪問控制機(jī)制為核心，并以可信計(jì)算功能作為訪問控制的支撐。在訪問控制規(guī)則、策略和審計(jì)日志中包含了系統(tǒng)安全方面的大量信息。因此，對高安全級別信息系統(tǒng)而言，進(jìn)行態(tài)勢感知應(yīng)當(dāng)以利用訪問控制相關(guān)信息為主。

本文著重研究以訪問控制為核心的信息系統(tǒng)安全態(tài)勢感知問題，采用與傳統(tǒng)系統(tǒng)類似的安全態(tài)勢感知步驟，但是分析對象與原理依據(jù)則由訪問控制機(jī)制和可信計(jì)算機(jī)制導(dǎo)出。通過對訪問控制和可信計(jì)算的原理分析，提出一種基于可信計(jì)算的適用于訪問控制策略的安全態(tài)勢感知方法，并用攻擊實(shí)例說明了方法的可靠性。該研究成果對高安全級別信息系統(tǒng)的安全監(jiān)控有實(shí)際意義。

1研究現(xiàn)狀

目前，人們對網(wǎng)絡(luò)安全態(tài)勢感知（Network Security Situ-ation Awareness，簡稱NSSA）的研究存在3種觀點(diǎn)：一種認(rèn)為NSSA是網(wǎng)絡(luò)安全事件應(yīng)用大數(shù)據(jù)處理和可視化技術(shù)的匯總結(jié)果，如傳統(tǒng)安全服務(wù)提供商（McAfee，Symantec）及新出現(xiàn)的重點(diǎn)關(guān)心APT攻擊的企業(yè)（FireEye，Mandiant）等，通過公開一些技術(shù)報告記錄APT的攻擊實(shí)例;一種認(rèn)為NSSA是基于網(wǎng)絡(luò)安全事件融合計(jì)算的網(wǎng)絡(luò)安全狀態(tài)量化表達(dá);還有觀點(diǎn)認(rèn)為NSSA作為一種網(wǎng)絡(luò)安全管理工具，是網(wǎng)絡(luò)安全檢測的一種實(shí)現(xiàn)形式，并提出了諸多模型。

文獻(xiàn)[7]給出了網(wǎng)絡(luò)安全態(tài)勢感知的目的，認(rèn)為它是將態(tài)勢感知的理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域，幫助網(wǎng)絡(luò)安全人員實(shí)時把握整個網(wǎng)絡(luò)的安全狀態(tài)，并提供決策支持，同時給出了網(wǎng)絡(luò)安全態(tài)勢感知的一般功能模型;文獻(xiàn)[8]強(qiáng)調(diào)數(shù)據(jù)融合是態(tài)勢感知的核心手段;文獻(xiàn)[9]將“網(wǎng)絡(luò)安全態(tài)勢感知視為態(tài)勢感知的一個子集，其主要關(guān)注的是網(wǎng)絡(luò)安全領(lǐng)域，數(shù)據(jù)源主要是IDS的警報、脆弱性信息等”;文獻(xiàn)[10]則是電力企業(yè)使用日志進(jìn)行異常檢測的應(yīng)用;文獻(xiàn)[11]提出了訪問控制的形式化和機(jī)制描述，引入了主體、客體和訪問控制矩陣的概念;文獻(xiàn)[12]描述了訪問控制是授權(quán)方通過設(shè)置訪問控制策略，限制請求方的行為和操作，進(jìn)而允許或禁止請求方進(jìn)行相應(yīng)服務(wù)請求的方法手段;文獻(xiàn)[13]介紹可信計(jì)算是一種包括可信硬件、可信軟件、可信網(wǎng)絡(luò)和可信計(jì)算應(yīng)用等諸多方面的信息系統(tǒng)安全技術(shù)，并對可信計(jì)算的思想、理論、技術(shù)進(jìn)行了相關(guān)闡述。

2相關(guān)概念

2.1網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢感知是對網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的認(rèn)知過程，它從系統(tǒng)中獲取測量到的原始數(shù)據(jù)并進(jìn)行分析，經(jīng)過融合處理和對系統(tǒng)背景狀態(tài)及活動語意的提取，識別系統(tǒng)的各類網(wǎng)絡(luò)活動并發(fā)現(xiàn)其中異?；顒拥囊鈭D，從而獲得系統(tǒng)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢和該態(tài)勢對網(wǎng)絡(luò)系統(tǒng)正常行為的影響情況。

圖1為文獻(xiàn)[7]中給出的網(wǎng)絡(luò)安全態(tài)勢感知模型，數(shù)據(jù)進(jìn)入系統(tǒng)后共分為網(wǎng)絡(luò)安全態(tài)勢覺察、網(wǎng)絡(luò)安全態(tài)勢理解、網(wǎng)絡(luò)安全態(tài)勢投射3個步驟。

網(wǎng)絡(luò)安全態(tài)勢覺察的主要目的是辨識出系統(tǒng)中的活動，通過對原始數(shù)據(jù)進(jìn)行降噪以及標(biāo)準(zhǔn)化處理，得到有效信息，然后對信息進(jìn)行關(guān)聯(lián)分析，進(jìn)一步識別出異?；顒印?/p>

網(wǎng)絡(luò)安全態(tài)勢理解的主要任務(wù)是根據(jù)異?；顒永斫馄湟鈭D，發(fā)現(xiàn)異常活動的攻擊手段與攻擊目標(biāo)等信息。

網(wǎng)絡(luò)安全態(tài)勢投射的基本任務(wù)是基于識別出的攻擊活動，評估已經(jīng)出現(xiàn)的攻擊行為對被管網(wǎng)絡(luò)的危害和可能發(fā)生的攻擊行為對被管網(wǎng)絡(luò)造成的潛在威脅。其主要任務(wù)是在上述基礎(chǔ)上分析并評估威脅事件對當(dāng)前系統(tǒng)中各對象的威脅情況，發(fā)現(xiàn)威脅事件已經(jīng)產(chǎn)生或可能產(chǎn)生的影響。

2.2訪問控制

訪問控制是授權(quán)者通過限制請求者的行為和操作，進(jìn)而允許或限制請求者訪問能力或范圍的方法手段。該技術(shù)通過既定策略組成策略庫，將系統(tǒng)中所有合法操作進(jìn)行標(biāo)識，從而準(zhǔn)許或限制所有主體對客體的訪問能力及范圍，達(dá)到保證整個系統(tǒng)時刻都運(yùn)行在規(guī)定權(quán)限內(nèi)的目的。其核心在于如果根據(jù)授權(quán)策略對用戶進(jìn)行授權(quán)，擁有權(quán)限的就是合法用戶，沒有權(quán)限的就是非法用戶，授權(quán)策略對所有訪問進(jìn)行統(tǒng)一控制。

因此，它具有防止非法用戶訪問受保護(hù)的資源、允許合法用戶訪問受保護(hù)的資源以及防止合法用戶對于受保護(hù)的資源進(jìn)行非授權(quán)訪問的特點(diǎn)。其作為實(shí)現(xiàn)安全操作系統(tǒng)的核心技術(shù)，既是系統(tǒng)安全的一個解決方案，又是保證信息機(jī)密性和完整性的關(guān)鍵技術(shù)。目前，對訪問控制的研究已經(jīng)成為計(jì)算機(jī)科學(xué)的熱點(diǎn)之一。

訪問控制系統(tǒng)一般使用引用監(jiān)視器模型，如圖2所示，它通過安全策略庫對訪問行為進(jìn)行驗(yàn)證，根據(jù)訪問控制策略判斷行為究竟是被允許還是禁止，同時整個過程中的訪問行為和訪問結(jié)果記錄在審計(jì)系統(tǒng)中。

2.3可信計(jì)算

可信計(jì)算是一種信息系統(tǒng)安全新技術(shù)，包括可信硬件、可信軟件、可信網(wǎng)絡(luò)和可信計(jì)算應(yīng)用等。系統(tǒng)在計(jì)算運(yùn)算的同時進(jìn)行安全防護(hù)，計(jì)算全程可測可控，并且不被干擾。通過這種方式可以使計(jì)算結(jié)果總是與預(yù)期結(jié)果相符。

可信度量機(jī)制在可信計(jì)算中扮演著重要角色，通過可信度量機(jī)制可以判斷系統(tǒng)是否仍然處于可信狀態(tài)。目前，國內(nèi)外對可信度量的研究主要集中在完整性檢測上。它通過對需要保護(hù)的程序、數(shù)據(jù)或者代碼進(jìn)行散列計(jì)算，將得到的散列值作為參考散列值，并在系統(tǒng)運(yùn)行過程中定期進(jìn)行重新計(jì)算、對比，為系統(tǒng)狀態(tài)是否可信提供重要判斷依據(jù)。

3模型提出

本文基于訪問控制與可信計(jì)算原理，提出了針對訪問控制系統(tǒng)的安全態(tài)勢感知模型及其工作步驟，并描述了不同步驟下安全態(tài)勢感知所實(shí)現(xiàn)的功能。

3.1理論分析

傳統(tǒng)安全態(tài)勢感知根據(jù)入侵檢測系統(tǒng)得到的信息，包括流量信息、主機(jī)運(yùn)行的動態(tài)信息等去尋找可能發(fā)生的威脅事件。其中，態(tài)勢覺察采集信息、態(tài)勢理解分析信息、態(tài)勢投射將分析結(jié)果映射到系統(tǒng)中，從而找到威脅事件，將其理解為獲取信息一分析信息一映射信息以判斷安全狀況的過程。在訪問控制系統(tǒng)中，這一過程同樣適用，因此認(rèn)為訪問控制系統(tǒng)的態(tài)勢感知也包括態(tài)勢覺察、態(tài)勢理解、態(tài)勢投射3個步驟。

在訪問控制系統(tǒng)中，安全策略已被部署，通過審計(jì)機(jī)制可獲得安全策略執(zhí)行情況相關(guān)信息，外部威脅利用訪控策略的不完善和訪控執(zhí)行機(jī)制的漏洞入侵系統(tǒng)，對訪問控制機(jī)制的安全態(tài)勢感知是根據(jù)安全策略和審計(jì)信息，判斷威脅事件的影響范圍，并追溯可能的攻擊源頭，查找威脅事件，而可信機(jī)制可以在這一過程中協(xié)助篩選。

下文通過基于訪問控制模型的理論分析確定訪問控制系統(tǒng)安全態(tài)勢感知的基本原理和每一步驟的主要功能。訪問控制機(jī)制可實(shí)現(xiàn)將計(jì)算機(jī)內(nèi)部主體對客體的訪問行為限制運(yùn)行在允許范圍內(nèi)，可用訪問控制矩陣描述訪問控制規(guī)則，如圖3所示。

但訪問控制策略的不完備性，使得訪問控制系統(tǒng)仍然存在被攻擊的可能，可信計(jì)算機(jī)制在整個過程中為其提供保障。在訪問控制系統(tǒng)中，通過對執(zhí)行程序、動態(tài)庫等主體進(jìn)行可信度量，可信度量可以確認(rèn)這些可執(zhí)行代碼的初始狀態(tài)是否被篡改。同時，訪問控制系統(tǒng)對所有可影響主體屬性及完整性的行為進(jìn)行審計(jì)。

如審計(jì)機(jī)制發(fā)現(xiàn)違法行為或可信度量機(jī)制發(fā)現(xiàn)被篡改的主體，則表示系統(tǒng)中存在攻擊行為，此時需要分析審計(jì)信息以確認(rèn)攻擊影響范圍，追溯攻擊源頭，這便是訪問控制系統(tǒng)態(tài)勢感知要解決的問題。系統(tǒng)中的主體集合s由不可信集合s*與可信集合s組成，即：

S=S*+S'（11）

在此過程中，記錄各主體的用戶屬性，那么s*集合中的主體所記錄的用戶屬性為嫌疑用戶，在s集合中的主體所記錄的用戶屬性為正常用戶。

3.2網(wǎng)絡(luò)安全態(tài)勢覺察

網(wǎng)絡(luò)安全態(tài)勢覺察的目的是為了發(fā)現(xiàn)威脅行為，系統(tǒng)可通過審計(jì)和可信度量獲得覺察信息，在審計(jì)信息中可以獲得違反p*的行為和p*中影響主體屬性與完整性的行為。

綜上所述，通過態(tài)勢投射模塊可以得到節(jié)點(diǎn)中易受威脅的資源集合Siner，以及節(jié)點(diǎn)現(xiàn)有策略對于威脅行為Acta→b的敏感程度，這些可以幫助系統(tǒng)管理員更好地掌握威脅事件對于系統(tǒng)各節(jié)點(diǎn)的影響，并且可以幫助管理員制定更加合適的防御策略。

由于態(tài)勢感知是基于原子攻擊行為對于策略庫白名單的影響，因此其感知結(jié)果與防護(hù)體系核心策略庫能夠直接進(jìn)行更新，從而態(tài)勢感知系統(tǒng)在輸出整個系統(tǒng)安全態(tài)勢的同時，也具有為防護(hù)體系輸出策略，提升整體系統(tǒng)防護(hù)能力的作用。

4模型驗(yàn)證

本文對2017年發(fā)生的Wannacry勒索病毒攻擊事件進(jìn)行復(fù)盤，從而證明該模型方案的有效性。此事件中，由于在病毒擴(kuò)散前期不能有效發(fā)現(xiàn)并阻止，導(dǎo)致其擴(kuò)散速度較快，產(chǎn)生了較大影響，而該系統(tǒng)可以在第一時間發(fā)現(xiàn)威脅事件并將更多信息反饋給管理員以便能夠及時響應(yīng)。

4.1病毒原理

Wannacry勒索病毒使用“永恒之藍(lán)”漏洞工具，利用cve-2017-0144漏洞進(jìn)行網(wǎng)絡(luò)端口掃描攻擊，目標(biāo)機(jī)器在被成功攻陷后會從攻擊機(jī)下載Wannacry木馬進(jìn)行感染，并將其作為新的攻擊機(jī)繼續(xù)掃描互聯(lián)網(wǎng)或者局域網(wǎng)內(nèi)的其它主機(jī)從而造成大范圍快速擴(kuò)散。

該漏洞錯誤處理了網(wǎng)絡(luò)傳人的數(shù)據(jù)長度，導(dǎo)致復(fù)制數(shù)據(jù)時出現(xiàn)內(nèi)存溢出。溢出的數(shù)據(jù)覆蓋了用于接收數(shù)據(jù)的內(nèi)存區(qū)域指針，把合法地址修改成了系統(tǒng)保留區(qū)域（KI_USER_SHARED_DATA0xffdf0000）的地址，導(dǎo)致后續(xù)發(fā)來的數(shù)據(jù)覆蓋了系統(tǒng)保留區(qū)域。系統(tǒng)保留區(qū)域中存放了系統(tǒng)調(diào)用返回（systemCallReturn）地址，從而在網(wǎng)絡(luò)接收系統(tǒng)調(diào)用完成后會跳轉(zhuǎn)到攻擊者精心布置的代碼中，使攻擊者成功執(zhí)行shellcode獲得超級用戶權(quán)限。

4.2感知防御勒索病毒攻擊

4.2.1態(tài)勢覺察

攻擊成功需要具備4個必要條件：445端口開啟;下載病毒母體程序mssecsvc.exe;病毒母體程序mssecsvc.exe擁有運(yùn)行權(quán)限;相關(guān)勒索程序tasksche.exe、taskdl.exe、Wa-naDeeryptor@.exe擁有運(yùn)行權(quán)限。

如果445端口沒有開啟，則計(jì)算機(jī)不會感染勒索病毒。假設(shè)計(jì)算機(jī)的445端口是開啟狀態(tài)，那么在病毒攻擊階段，本系統(tǒng)可通過主動、被動兩種方式覺察到該威脅行為。

系統(tǒng)可主動通過定期進(jìn)行的可信度量，發(fā)現(xiàn)系統(tǒng)中存在的不可信應(yīng)用程序，即病毒母體程序，從而發(fā)現(xiàn)該威脅行為。同時也可在程序運(yùn)行過程中，由安全策略模型被動發(fā)現(xiàn)病毒程序運(yùn)行所需要的權(quán)限，不在系統(tǒng)當(dāng)前安全策略模型中。

4.2.2態(tài)勢理解

針對態(tài)勢覺察發(fā)現(xiàn)的主體程序，再次利用可信計(jì)算的完整性度量過濾沒有被篡改的內(nèi)容，從而留下被篡改的程序或進(jìn)程，得到其入侵路徑。

4.2.3態(tài)勢投射

根據(jù)態(tài)勢理解模塊得到的人侵路徑信息，利用資源是否存在與路徑是否存在，判斷系統(tǒng)中其它計(jì)算機(jī)是否會被該病毒感染，從而實(shí)現(xiàn)態(tài)勢投射功能。

至此，整個態(tài)勢感知系統(tǒng)運(yùn)行完畢，相比傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知，以訪問控制為核心安全保護(hù)機(jī)制的態(tài)勢感知對于判斷病毒或危險行為具有更高的靈敏度。

5結(jié)語

該研究能夠?yàn)橐栽L問控制為核心安全保護(hù)機(jī)制的信息系統(tǒng)提供符合訪問策略的網(wǎng)絡(luò)安全態(tài)勢感知功能。傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知依靠入侵監(jiān)測系統(tǒng)發(fā)現(xiàn)攻擊活動，但其存在大量誤報和漏洞的缺陷，有一定的滯后性。而訪問控制系統(tǒng)特有的策略信息與審計(jì)信息，則可以使整個態(tài)勢感知過程變得更加準(zhǔn)確，并且在可信計(jì)算環(huán)境下保證信息的完整性，能夠進(jìn)一步提升系統(tǒng)的安全防護(hù)能力。

本研究具有一定的使用場景，其威脅行為的發(fā)現(xiàn)與態(tài)勢投射環(huán)節(jié)均利用了訪問控制機(jī)制中的策略庫，未來可以考慮將其與防御機(jī)制更密切地相結(jié)合，使其防護(hù)能力得到進(jìn)一步提升。