傳統的安全檢測技術針對各類具體問題類别進行處理,如入侵防禦、威脅監測、惡意文件識别、日志分析等技術,每一類威脅處理技術都能通過特征碼、規則庫發現一部分具體的安全技術問題,提出解決辦法。但傳統安全防禦技術各項孤立,缺乏評判整體安全狀态和發展趨勢的統一視角,面對靈活多變的新型網絡攻擊産生了大量疏漏點。以各類傳統安全技術判别的攻擊事件及攻擊線索的數據為基礎,對安全大數據進一步的分析和預測的研究工作,發展成了現在的網絡安全态勢感知研究。
态勢感知(SA,SituationAwareness)緣于軍事術語,意為在特定時空下,對動态環境中各元素或對象的覺察、理解以及對未來狀态的預測。網絡安全态勢感知将态勢感知的理論和方法應用到網絡安全領域中,使網絡安全人員在動态變化的網絡環境中宏觀把握整個網絡的安全狀态,是對網絡系統安全狀态的認知過程,包括對從系統中測量到的原始數據逐步進行融合處理和實現對系統的背景狀态及活動語義的提取,識别出存在的各類網絡活動以及其中異常活動的意圖,從而獲得據此表征的網絡安全态勢和該态勢對網絡系統正常行為影響的了解,幫助安全人員采取針對性的響應處置措施。
态勢感知的研究内容主要分為三個方面:網絡安全态勢要素的提取、評估和預測。
網絡安全态勢要素的提取
網絡安全态勢要素提取是指從大規模網絡安全狀态數據源中抽取影響網絡安全态勢的基本元素的過程,它是網絡安全态勢評估和預測的基礎。态勢要素的提取處于網絡安全态勢感知底層,系統從主機、安全設備和網絡設備中獲取信息,并獲取與之相關的上下文信息(用戶、資産、業務等),通過采用一定的數據格式進行統一,并對數據進行約減、合并,去噪,形成從全局角度看到的現狀“态”。
态勢要素信息來源主要有網絡信息、安全信息和主機信息。網絡信息獲取是通過網絡監聽捕獲所有網絡中的數據包,分析提取出IP報文五元組,并進一步協議分析提取出應用層數據包及内容,如HTTP請求包中的url、get、post參數等。DNS數據包作為一類高效的數據源,集中了全網的應用層域名請求,數據量相對實際網絡流較少,也能感知全網威脅态勢,是很好的補充。安全信息方面,傳統安全設備在網絡流數據抓取和分析方面比較成熟,可提供大量經過預先處理過的先驗信息,便于迅速開展後續研究。此外,基于主動掃描評估結果、病毒蠕蟲類的預警數據、安全公司及研究機構的威脅情報等也是重要的安全信息來源。主機信息方面,除用戶、資産、業務等信息外,基于主機的入侵檢測、日志采集技術能很好地反映實際業務系統的運行狀态,對跳闆攻擊、潛伏木馬等方式的APT類攻擊有很好的補充。如何統一不同技術架構、不同廠商、系統的差異化數據格式,融合處理分析是當前的難點。
網絡安全态勢要素的評估
評估技術基于識别出的攻擊活動及其特征,通過進一步分析這些攻擊活動的語義以及它們之間可能的關聯關系來推斷攻擊者的意圖,其主要任務包括識别這些攻擊活動的源頭、類型,并判斷攻擊者的能力、機會和攻擊成功的可能性等。攻擊行為的識别主要利用已有的檢測技術,包含以下五個方面的檢測能力:基于流量特征的實時檢測;基于流量日志的異常分析機制;針對内容的靜态、動态分析機制;基于終端行為特征的實時檢測;基于終端行為日志的異常分析機制。目前常見的全局評估思路為将同一個目标識别出的各類不同安全警報事件彙總,根據類型或時間分為攻擊準備、攻擊中、入侵成功等不同階段,給予不同的風險等級評價,分析相關攻擊活動對被保護目标造成的危害,并将前後所有攻擊過程進行可視化展現。
傳統評估方式通過預設的安全規則庫進行特征碼比對,新評估技術如語義分析、動态識别、AI處理等也在不斷發展,各安全組織也在積極發展雲服務,雲端不斷更新惡意IP列表、最新攻擊特征碼、威脅文件樣本等,提高終端産品的威脅識别能力。如何通過大數據技術集中分析海量異構數據,研究網絡活動特征提取和意圖識别的機器處理方法,提升分析技術的效能,提高攻擊行為識别的準确性,以提高網絡安全态勢感知系統的自治能力,實現全方位網絡安全态勢感知及自動響應,是态勢感知評估的研究重點。
網絡安全态勢要素的預測
安全态勢預測需要根據當前的網絡狀況,找出網絡安全隐患進行分析,對未來一定時間内的安全趨勢進行判斷,并提供相應的解決方法。安全态勢預測的目标不是産生準确的預警信息,而是要将預測結果用于決策分析與支持,特别是對網絡攻防對抗的支持。
現有網絡安全态勢預測方法主要分為以下三種:第一,基于時空序列的方法。該方法的假設條件為安全态勢值的變化具有規則和周期性,通過分析安全态勢的前後依賴關系,實現對網絡安全趨勢的預測;第二,基于圖論的方法。該方法利用網絡環境中的脆弱性信息生成狀态轉移圖,并從攻擊者角度出發,依據當前狀态對網絡未來可能出現的安全狀況進行預測;第三,基于博弈論的方法。該方法在攻防對抗環境中,利用博弈理論預測攻防雙方的下一步動作進而分析網絡的安全态勢,在态勢要素選擇上較為全面。
目前,網絡安全态勢預測研究還存在許多問題。預測過程對所有攻擊者無差别處理,然而不同攻擊者的實際漏洞利用能力不同,缺乏對攻擊者的區分;攻擊預測集中于分析攻擊意圖、目标、路徑和概率,缺乏對入侵時間的量化;如何合理地衡量攻擊威脅對網絡系統的影響,給出一種通用有效的安全态勢量化标準還有待進一步研究。目前網絡安全态勢感知在指導安全防禦方面作用有限,安全決策還是依靠安全專家、安全運營團隊的人工分析和判斷。
高校網絡安全工作中的态勢感知
高校在信息化過程中發展較快,如浙江大學智慧校園、網上浙大等信息化建設項目誕生了大量的校級信息化應用系統,各院系部處、科研團隊也有自己的網站和信息系統建設需求,校園網内運行站點數極多。高校信息化業務部門中網絡安全專門人才少,而校園網規模和用戶量龐大,網絡安全保障壓力大。建設安全防護體系過程中部署的各類軟硬件産品、系統需要安全技術團隊的運維,随着系統增多、規模擴大、防護縱深加大,管理難度不斷增加。安全運維工作局限于漏洞、攻擊事件的發現和響應,缺乏全局性視角和評估。
态勢感知技術能夠有效幫助解決部分上述問題。态勢感知技術會收集各類原始網絡信息,收集過程中能統計各類産生網絡流的未知IT信息資産,一定程度上消除了部分管理盲點;安全部門将同類安全運營數據收集至統一态勢感知平台平台,進行集中式分析及安全态勢感知展示,減輕安全運維工作量;未來,随着态勢感知技術發展,各類異構安全數據、運行數據也将逐步集中化,對校園全網的安全狀态感知會更加清晰。
具體來說,在高校安全工作中應用态勢感知技術,有以下幾個層面:
首先是包含态勢感知技術的校園網安全保障體系建設。近年來,各高校為應對互聯網安全風險,已部署安全廠商的各類防火牆、入侵檢測等安全設備,具有發展态勢感知的硬件基礎。廠商安全态勢感知産品部署後,将各類不同安全産品的告警、攔截信息統籌,集中式監控分析,一方面能統一處理各類安全設備信息,減輕安全運維工作量;另一方面也能集中展示校園網絡入侵情況,構建“風暴中心”式的安全監測中心,提升校園全網安全感知與威脅響應能力。在廠商安全态勢感知産品的使用過程中,安全技術團隊應多研究态勢感知系統所需的安全設備數據提取和原始數據提取工作,建立态勢感知的數據采集平台,逐步準備自己的态勢感知技術研究工作。
其次是通過大數據平台來發展自己的安全态勢感知技術研究工作。大數據工作是高校信息化建設的新熱點,網絡安全研究工作可以态勢感知為技術切入點,大數據平台為基礎,将全校信息化業務實際運營中産生的業務數據、安全數據集中至大數據平台,進行異構數據的關聯合并、網絡攻擊威脅辨識、安全态勢評估及展現等方面的研究工作。同時也可與校内信息安全學科研究團隊合作,整合校内優勢資源,建立專業網絡信息安全研究及應用團隊,分析脫敏後的原始業務數據、實際網絡流、安全日志數據,進行更深層次的APT潛伏攻擊、0day未知攻擊等技術研判,全校網絡安全态勢評估及預測,安全預警及應急處置工作等。研究中發現的安全事件、得出的安全結論既能産生科研成果,又能指導實際安全工作,實現多赢局面,共同提升校園網安全。
最後是參與教育行業以及全社會的安全态勢信息共享工作。“十三五”國家信息化規劃已明确指出:“建立政府和企業網絡安全信息共享機制,加強網絡安全大數據挖掘分析,更好感知網絡安全态勢,做好風險防範工作。”教育行業内各高校信息化建設趨勢相同,面臨的網絡安全風險相同,利害一緻。各行業安全信息共享中需要實現的信息交換、通信協議協商、标準數據結構統一、信息安全保護等,目前都是發展中的課題。高校之間網絡安全信息共享工作研究,能提升教育行業整體的安全态勢感知水平,推動全社會層面安全信息共享行為,維護國家網絡空間安全。(責編:王左利)
(本文作者系浙江大學信息技術中心主任)