關(guān)鍵詞：淺層次規(guī)則；規(guī)則模型；網(wǎng)絡(luò)威脅；元數(shù)據(jù)

中圖分類號：TP393.08；TP311.13 文獻標(biāo)識碼：A

0 引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題日益成為全球關(guān)注的焦點。網(wǎng)絡(luò)威脅主要包括惡意軟件、釣魚攻擊、拒絕服務(wù)攻擊等，對個人隱私、企業(yè)運營乃至國家安全構(gòu)成了嚴重威脅。為了有效應(yīng)對這些威脅，網(wǎng)絡(luò)威脅分析技術(shù)應(yīng)運而生，成為網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵技術(shù)之一。

在傳統(tǒng)網(wǎng)絡(luò)安全防御中，網(wǎng)絡(luò)管理者花費了大量的資源購買防火墻、入侵檢測系統(tǒng)和防病毒軟件等網(wǎng)絡(luò)安全工具，以保障網(wǎng)絡(luò)的安全。將網(wǎng)絡(luò)安全工具的告警日志、網(wǎng)絡(luò)設(shè)備的系統(tǒng)日志作為網(wǎng)絡(luò)安全數(shù)據(jù)，按照特定條件生成關(guān)聯(lián)規(guī)則，構(gòu)建網(wǎng)絡(luò)安全事件分析模型[1]。但由于這些工具或設(shè)備產(chǎn)生的告警數(shù)據(jù)本身存在一定的誤報情況，這降低了關(guān)聯(lián)分析模型二次挖掘結(jié)論的可信度。

網(wǎng)絡(luò)威脅的多樣性和復(fù)雜性要求采用更為精細和靈活的分析方法。淺層次規(guī)則模型作為一種基于經(jīng)驗規(guī)則的分析方法，以其實現(xiàn)簡單、響應(yīng)快速的特點，在網(wǎng)絡(luò)威脅分析中發(fā)揮重要作用。然而，面對不斷演變的網(wǎng)絡(luò)攻擊手段，如何進一步提高淺層次規(guī)則模型的檢測能力和準(zhǔn)確性，成為當(dāng)前研究的重要課題。

本文旨在探討基于淺層次規(guī)則模型的網(wǎng)絡(luò)威脅分析技術(shù)，通過構(gòu)建和優(yōu)化規(guī)則集，提高對未知和已知威脅的識別能力。此外，本文還探索了如何將淺層次規(guī)則模型與其他分析技術(shù)相結(jié)合，以實現(xiàn)更全面的網(wǎng)絡(luò)安全防護。該技術(shù)可以為網(wǎng)絡(luò)威脅分析提供一種有效的技術(shù)手段，增強網(wǎng)絡(luò)安全防護能力，為相關(guān)領(lǐng)域的研究和實踐提供參考和指導(dǎo)。

1 基于淺層次規(guī)則模型的網(wǎng)絡(luò)威脅分析技術(shù)

淺層次規(guī)則模型是一種基于經(jīng)驗規(guī)則的分析方法，它在網(wǎng)絡(luò)威脅分析、入侵檢測和其他網(wǎng)絡(luò)安全領(lǐng)域中得到廣泛應(yīng)用。淺層次規(guī)則模型依賴于一系列預(yù)定義的規(guī)則，識別網(wǎng)絡(luò)流量或行為并進行分類，由于規(guī)則簡單明確，該模型通常易于實現(xiàn)和部署。該模型可以快速評估網(wǎng)絡(luò)行為是否違反了既定規(guī)則，實現(xiàn)對潛在威脅的快速響應(yīng)，并且可以根據(jù)特定環(huán)境或需求制定規(guī)則，以適應(yīng)不同的安全策略，而規(guī)則的制定通常依賴于安全專家的經(jīng)驗和知識。

對于已知的攻擊模式和行為，通過收集大量的網(wǎng)絡(luò)攻擊事件的數(shù)據(jù)包，研究攻擊過程中網(wǎng)絡(luò)流量變化的趨勢和通聯(lián)關(guān)系，并且利用數(shù)據(jù)庫強大的關(guān)聯(lián)查詢能力設(shè)計結(jié)構(gòu)化查詢語言（structured querylanguage，SQL）語句的規(guī)則模型。淺層次規(guī)則模型可以有效檢測威脅，盡管其主要基于人工制定的規(guī)則，但它也可以與機器學(xué)習(xí)技術(shù)結(jié)合，以提高檢測的準(zhǔn)確性和適應(yīng)性。由于其簡單、快速的特點，淺層次規(guī)則模型可以適用于實時網(wǎng)絡(luò)威脅分析。

1.1 建模數(shù)據(jù)處理

以旁路方式實時采集網(wǎng)絡(luò)流量，利用數(shù)據(jù)平面開發(fā)套件（data plane development kit，DPDK）技術(shù)對網(wǎng)絡(luò)中傳輸?shù)母鞣N協(xié)議和數(shù)據(jù)包進行解碼分析，生成元數(shù)據(jù)日志。數(shù)據(jù)清洗過濾是指數(shù)據(jù)的正篩輸出、反篩丟棄，以及利用任意規(guī)則的與或非邏輯組合過濾，甄選上層網(wǎng)絡(luò)安全威脅分析所需的元數(shù)據(jù)。網(wǎng)絡(luò)傳輸文件還原是指對超文本傳輸協(xié)議（hypertext transfer protocol，HTTP）、郵件、證書進行還原，從而獲取傳輸?shù)奈募?。通過數(shù)據(jù)去重、規(guī)約化處理、錯誤數(shù)據(jù)丟棄等處理方式，對數(shù)據(jù)進行預(yù)處理和清洗，并將數(shù)據(jù)存儲在高性能的列式數(shù)據(jù)庫管理系統(tǒng)ClickHouse 上。元數(shù)據(jù)是網(wǎng)絡(luò)威脅分析中最優(yōu)質(zhì)和最具性價比的數(shù)據(jù)，馬赟等[2] 利用正常情況下對網(wǎng)絡(luò)流量的理想曲線描述，并且使用統(tǒng)計學(xué)方法創(chuàng)建大規(guī)模網(wǎng)絡(luò)流量數(shù)學(xué)模型，基于網(wǎng)絡(luò)流量元數(shù)據(jù)實現(xiàn)異常流量檢測。

ClickHouse 是一個高性能的列式數(shù)據(jù)庫管理系統(tǒng)，由俄羅斯的Yandex 公司開發(fā)，被設(shè)計用于在線分析處理場景，其能夠快速處理大量的數(shù)據(jù)查詢，特別是在數(shù)據(jù)倉庫和大數(shù)據(jù)分析領(lǐng)域表現(xiàn)出色。國內(nèi)360 公司的360 態(tài)勢感知與安全運營平臺也內(nèi)置了元數(shù)據(jù)專家分析組件，用戶直接在搜索框里輸入相關(guān)命令即可實現(xiàn)對海量日志的搜索、關(guān)聯(lián)、分析和可視化。

1.2 淺層次規(guī)則建模

通過搭建一些常見的攻擊模擬環(huán)境， 如WebShell（一種代碼執(zhí)行環(huán)境）利用、命令與控制（command and control，C&C）、木馬后門等環(huán)境，在采集攻擊模擬的網(wǎng)絡(luò)流量并提取元數(shù)據(jù)后，將解析后的元數(shù)據(jù)導(dǎo)入分析平臺進行分析?；贒ocker（一個開源平臺）搭建了漏洞環(huán)境，其包含大部分通用漏洞，也在外網(wǎng)搭建了部分常見的黑客工具，如Empire、Cobalt Strike 等常規(guī)工具，整理、收集機器學(xué)習(xí)訓(xùn)練的攻擊流量，同時也可以通過網(wǎng)絡(luò)安全實戰(zhàn)、互聯(lián)網(wǎng)渠道等獲取真實網(wǎng)絡(luò)安全事件流量。

首先，需要通過正態(tài)分布數(shù)學(xué)模型，描述自然界中許多隨機變量的分布情況。在網(wǎng)絡(luò)流量異常檢測中，正態(tài)分布可以確定一個正常的流量水平，并識別出與其相比較為異常的流量。

將內(nèi)網(wǎng)服務(wù)器間的源目標(biāo)IP 會話記錄作為統(tǒng)計對象，將交互數(shù)據(jù)量作為對象屬性，時間時序性分為時間分桶（小時、分鐘、天）和時段分類（日間、夜間）并且作為維度定位，分析數(shù)據(jù)主要通過傳輸控制協(xié)議（transmission control protocol，TCP）會話中的序列號與確認號（synchronize and acknowledge，SYN-ACK）來同步和確認元數(shù)據(jù)日志。

在實驗過程中，24 h 內(nèi)，每小時統(tǒng)計一次服務(wù)器A 和服務(wù)器B（x）總體網(wǎng)絡(luò)流量，其中x 為總數(shù)據(jù)量，代表單位小時內(nèi)IP 會話產(chǎn)生的總數(shù)據(jù)量。根據(jù)服務(wù)器A 和服務(wù)器B（x）每個單位小時IP 會話產(chǎn)生的總數(shù)據(jù)量，求出正態(tài)分布的標(biāo)準(zhǔn)差σ。利用特定形式的誤差函數(shù)，求出正態(tài)分布的累積分布函數(shù)F（x）的數(shù)值，F(xiàn)（x）計算公式：

將模型在實際網(wǎng)絡(luò)流量中進行驗證，當(dāng)F（x） ＜0.99 時，表示流量正常；當(dāng)F（x）≥ 0.99 時，表示可能出現(xiàn)了因網(wǎng)絡(luò)威脅事件導(dǎo)致網(wǎng)絡(luò)流量陡增等情況。

其次，從網(wǎng)絡(luò)信息安全保護的角度出發(fā)，科學(xué)分析網(wǎng)絡(luò)流量元數(shù)據(jù)背景下網(wǎng)絡(luò)流量分流平臺的構(gòu)建過程與元數(shù)據(jù)的處理過程[3]。淺層次規(guī)則模型可以降低依賴于建立大量復(fù)雜規(guī)則的檢測方式產(chǎn)生的誤報率，因此其可以用于構(gòu)建如掃描、爆破、WebShell 利用、C&C、木馬心跳等分析檢測模型。同時， 還可以針對域名服務(wù)系統(tǒng)（domain namesystem，DNS）、HTTP 等應(yīng)用建立分析模型，如統(tǒng)計域名請求頻率、域名訪問時間。在此過程中，需要資深的安全分析工程師對淺層次規(guī)則模型進行人工干預(yù)和修正，以提高模型的檢出率和準(zhǔn)確性，淺層次規(guī)則模型示例如表1 所示。

2 模型效果驗證

基于互聯(lián)網(wǎng)公開獲取的攻擊樣例，這些樣例包含網(wǎng)絡(luò)攻擊事件的詳細過程描述、截圖、數(shù)據(jù)包等。本文對樣例的攻擊過程和分析過程進行威脅建模和人工干預(yù)修正，形成檢測分析規(guī)則，元數(shù)據(jù)原始流量示意圖如圖1 所示。

步驟1：協(xié)議流量激增。通過聚合每日協(xié)議流量，對整體流量進行斜率對比，發(fā)現(xiàn)激增情況。如當(dāng)日SSH 協(xié)議產(chǎn)生1 MB，次日SSH 協(xié)議產(chǎn)生11.7MB，斜率比值為11.7，存在激增可疑情況。

步驟2：定位可疑IP 地址。通過協(xié)議進行IP地址流量的聚合，再利用SSH 協(xié)議定位可疑IP 地址，修改模型中的起止時間，以境外會話時間大于6 h、境內(nèi)會話時間大于8 h 的網(wǎng)絡(luò)流量作為分析對象，進一步判斷疑似長會話連接導(dǎo)致的流量激增。模型的部分關(guān)鍵代碼如下：

group by client_ip，client_country_id，server_ip，server_country_id，server_port

having total_payload_bytes <= 5*1024*1024*1024 and client_payload_bytes/total_payload_

bytes>0.5

and （client_country_id not in [0，48] or server_country_id not in [0，48]） and maxDurTime >= 6*360

將通過互聯(lián)網(wǎng)公開獲取到的攻擊數(shù)據(jù)包進行效果驗證比對，數(shù)據(jù)包包含分布式拒絕服務(wù)攻擊、數(shù)據(jù)庫爆破、郵件服務(wù)器竊取、內(nèi)網(wǎng)主機控制和Struts 2漏洞利用攻擊等5 種攻擊類型，利用數(shù)據(jù)包分析工具提取網(wǎng)絡(luò)元數(shù)據(jù)，通過淺層次規(guī)則模型進行網(wǎng)絡(luò)威脅分析。同時利用開源的網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort 和Suricata 進行威脅檢測分析，基于回放數(shù)據(jù)包，網(wǎng)絡(luò)入侵檢測系統(tǒng)可以對威脅進行快速檢測，記錄檢測分析結(jié)果。模型效果驗證對比如表2所示，相較于入侵檢測系統(tǒng)Snort 和Suricata，本模型在網(wǎng)絡(luò)攻擊和威脅行為的檢測上具有明顯優(yōu)勢。

3 結(jié)論與展望

本文成功構(gòu)建并驗證了一種基于淺層次規(guī)則模型的網(wǎng)絡(luò)威脅分析技術(shù)。通過深入分析網(wǎng)絡(luò)流量元數(shù)據(jù)，開發(fā)了一種能夠有效識別和響應(yīng)網(wǎng)絡(luò)威脅的模型。該模型利用半監(jiān)督學(xué)習(xí)算法對正常流量模式進行建模，并通過實際網(wǎng)絡(luò)環(huán)境測試，證明其在檢測未知網(wǎng)絡(luò)威脅方面的高效性。研究表明，本文開發(fā)的模型以網(wǎng)絡(luò)流量元數(shù)據(jù)為數(shù)據(jù)基礎(chǔ)，分析內(nèi)網(wǎng)或互聯(lián)網(wǎng)邊界網(wǎng)絡(luò)流量的網(wǎng)絡(luò)攻擊和竊取威脅事件時，相較于網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort 和Suricata，本模型表現(xiàn)出高檢出率、低誤報率和較強適應(yīng)性等特點。

淺層次規(guī)則模型仍有進一步改進和擴展的空間。一是淺層次規(guī)則模型依賴于經(jīng)驗豐富的網(wǎng)絡(luò)安全分析師編寫規(guī)則模型、調(diào)優(yōu)模型，限制了模型對于網(wǎng)絡(luò)威脅事件檢測類型的覆蓋度；二是淺層次規(guī)則模型由于需要對海量數(shù)據(jù)進行回溯分析，性能消耗較大。因此，提高模型的自動化水平，實現(xiàn)實時威脅檢測和響應(yīng)，是未來研究的方向。本文為網(wǎng)絡(luò)安全領(lǐng)域提供了新的視角和解決方案，但網(wǎng)絡(luò)安全是一個不斷發(fā)展的領(lǐng)域，需要持續(xù)的技術(shù)創(chuàng)新和方法優(yōu)化。