基于網絡流量學習的智能安全建模技術

◆董 磊 李秀峰 徐志鵬

（中國電信股份有限公司山東分公司 山東 250101）

基于網絡流量學習的智能安全建模技術

◆董 磊 李秀峰 徐志鵬

（中國電信股份有限公司山東分公司 山東 250101）

隨著IT及互聯網技術不斷的演進，安全威脅也在不斷的發生演變，新的威脅APT攻擊、0day攻擊、水坑攻擊等正在不斷涌現，單純依靠傳統的基于特征庫的靜態檢測防御技術已無法完全確保業務系統的安全性，通過研究一種基于業務系統網絡流量學習的智能安全流量建模技術和系統，可較快的建立符合業務系統自身特點的“Secure By Default”安全模型，完善對新安全威脅的檢測和防護能力。

流量學習；安全建模；Secure By Default

0 引言

安全的本質其實就是攻防技術的博弈，近年來隨著IT技術及互聯網技術不斷的演進，安全威脅也在不斷的發生演變，基于新的威脅APT攻擊、0day攻擊、水坑攻擊、魚叉式網絡釣魚攻擊的各種安全事件層出不窮，造成現有業務系統基于靜態特征庫的檢測防御體系已無法完全確保業務系統的安全性。為了能夠解決不斷出現的已知安全威脅和未知安全威脅，確保業務系統的資產和業務的安全性，越來越多的企業和單位意識到安全應該從基于經驗、粗放安全管理模式向精確、量化安全管理模式轉型的必要性，以及遵從“Secure By Default”原則的重要性，并已開始在安全運維工作中實踐。但依靠常規的人工訪談確認的方式去梳理業務系統的“Secure By Default”安全模型，往往效率不高，且準確性較差，如何通過高效的技術手段對現有業務系統的實際網絡流量進行學習、分析、量化形成準確的安全模型，已成為業界研究的熱點課題。運營商的業務系統由于其承載業務的特殊性、業務接口多而復雜、歷史運維移交不清等原因，造成其安全運維實施“Secure By Default”安全建模中存在各種實施困難。

（1）業務系統的資產信息、應用服務端口登記的準確性問題無法確認，是否存在未備案資產直接部署到業務系統的網絡中也無法確認。

（2）業務系統的的安全管控策略不知真實、精確的現網互連需求。無法對any to any、*** to any、any to ***等明顯錯誤之外的其它策略進行準確判斷和細化。

（3）業務系統的安全設備的策略只增不減將導致設備性能大幅下降，防護設備經過長時間使用后，經常會出現冗余、無效、控制粒度過于粗獷的策略。

本文通過研究一種基于業務系統的網絡流量學習的智能安全建模技術和系統，可準確的建立符合業務系統自身特點的“Secure By Default”安全模型。

1 模型設計

1.1 模型元素

“Secure By Default”原則說白了其實就是只有合法訪問行為的網絡環境。運營商的業務系統如何建立符合該原則的安全模型，業界對此已進行了很多研究和探索，關鍵是梳理出符合業務系統的自身現狀的資產、核心應用，核心應用的訪問策略這三類信息。

（1）資產

資產應包括業務系統所有資產信息，應包含了資產的名稱、資產的IP地址以及其承載的主要應用。資產的名稱對于安全運維人員非常重要，它能幫助運維人員開始識別出資產的價值和重要性，在大量告警事件中快速準確的找到應優先處理的告警。資產的IP地址和應用是核心應用訪問策略中源IP和目的IP的組成部分，如果沒有這部分內容，就無法定義出核心應用的訪問策略。

（2）核心應用

核心應用是指所有核心資產上的所有應用，之所以如此定義，是因為它們與承載核心數據的應用運行在一個環境下，它們如出現安全問題往往會直接引發數據的可用和竊取。核心應用的信息至少包括核心應用的名稱、應用所使用的協議類型及服務端口號。核心應用的名稱同樣可以幫助運維人員快速判斷應用脆弱性的危害性，從而準確決定脆弱性控制的策略。核心應用所使用的協議類型和服務端口號也是核心應用訪問策略的組成部分，也是檢查網絡中訪問行為是否合法的基礎依據。

（3）核心應用訪問策略

核心應用訪問策略是用來標識訪問核心應用的合法行為，其信息包括資產的IP地址、資產應用的協議和服務端口號以及訪問源IP地址。其中資產的IP地址、資產應用協議和服務端口號可以通過梳理核心資產獲取，訪問源IP地址可以根據業務訪問特性的來確認合法訪問源的信息。

1.2 模型推導

以往業務系統運維人員大多是在系統上線后，通過廠家資料交維的方式人工記錄和維護該業務系統的資產、核心應用、核心應用訪問策略等信息，但該信息跟現網的實際情況是否相符往往難以驗證，并且隨著業務系統的發展變化其資產、應用、策略信息將會變化，這種人工被動梳理的方式無法滿足實際的需求。利用事物反向推理的方法理論，我們可以考慮通過基于業務系統現網流量的客觀信息，從中提取出業務系統相關的資產、核心應用、核心應用訪問的信息，與運維人員維護的現有信息對比分析，通過對少數不同步的信息進行人工判別，并對匯總的信息進行驗證和維護，經過一段時間反復的學習、分析、對比、更新的過程，最終可以快速、準確的形成完符合業務系統實際網絡流量的“Secure By Default”安全模型。

我們假設An代表某一資產，Anm代表某一資產上的某一核心應用，BnAnm代表某一資產上的某一核心應用的訪問策略。我們從業務系統的現網的上行或下行流量中實時提取出源IP地址、目的IP地址、目的端口、應用協議等信息數據，并可做如下推導過程：

（1）源IP地址或目的IP地址可作為資產信息Ai，可通過對每個資產信息Ai的是否歸屬于該業務系統的IP地址段，確定Ai是否為該業務系統的資產；

（2）目的地址、目的端口可作為核心應用信息Aij，可通過對該流量合法性的判斷可確認Aij是否為該業務系統的核心應用；

（3）通過對源地址、目的地址、目的端口、應用協議可作為核心應用訪問策略信息BiAij，可通過對該流量合法性的判斷可確認BiAij是否為該業務系統的核心應用訪問策略。

通過一段時間的不斷從業務系統的網絡流量中提取信息判斷，最終形成集合H{An，Anm，BnAnm}便是符合業務系統“Secure By Default”原則的信息集合，這也正是基于網絡流量學習的“Secure By Default”安全模型安全建模過程。

2 技術方案實現

有了基于業務系統的現網流量的“Secure By Default”安全模型的的解決思路，為了提高安全運維的工作效率和準確率，下面我們將設計了一套可行的基于網絡流量學習的“Secure By Default”安全建模系統。

2.1 系統設計

該系統由兩部分構成，分別是專用的流量采集器與運維管理平臺。流量采集器用于采集和解析訪問流量并將驗證結果以日志形式發送給運維管理平臺。運維管理平臺負責分析流量日志，對資產信息、核心應用信息以及訪問合法性進行分析和匯總，為安全運維人員呈現核心資產列表、核心應用列表以及合法、非法、未知的訪問行為。

圖1 系統架構圖

2.2 網絡部署

根據電信運營商的業務系統網絡結構，可將采集器旁路部署在業務系統核心交換機處，通過交換機的鏡像或分流技術實現對業務系統各安全域間流量的采集，運營管理平臺可按需部署在統一辦公區的某主機上，實現對采集流量信息的分類匯總分析，運維人員可使用自身終端通過B/S加密的HTTP協議登錄運營管理平臺，建立符合業務系統自身特點的“Secure By Default”安全模型。

圖2 系統網絡部署圖

2.3 使用流程

圖3 系統使用流程圖

（1）運維人員確定業務系統各安全區域的資產IP范圍，通過運營管理平臺下發流量采集監聽規則。

（2）采集器根據監聽規則采集業務系統網絡的流量信息，首先通過木馬檢測引擎可快速發現網絡中是否存在已知木馬信息，然后將流量信息解析成安全模型的元素信息，匯總分類給運營管理平臺的各分項模塊處理，將流量信息通過“蟲圖”和日志方式可視化，通過人工對合法流量和非法流量判別，將無法識別的“灰”流量轉為相應“白”流量和“黑”流量，進而系統自動更新安全模型的信息數據。

（3）通過一定時間反復自學習分析判斷，該系統的安全模型的信息數據不斷更新，當跟現網流量基本能達到95%以上的匹配，此時便建立符合業務系統自身特點的“Secure By Default”安全模型。

2.4 測試效果

為驗證該建模系統的可用性，我們選取運營商某業務系統部署該安全建模系統進行現網測試，測試過程和效果如下：

（1）定義核心資產范圍（172.21.42.*，172.21.40.*），下發流量采集策略。

只會對核心資產范圍內的源IP或者目的IP的流量進行監聽和分析，為保證資產發現的全面，對資產進行整個段監控。

（2）快速瀏覽業務系統的流量。

從運維管理平臺下發采集策略生效后，該業務系統網絡中的流量信息便會在系統中直觀的呈現，流量信息分為未知流量（灰）和已知流量（白、黑）。以查看灰流量為例，通過二級的網絡流量信息“蟲圖”可以快速查看網絡中的未知流量。

圖4 第一級網絡流量信息“蟲圖”

上圖為一級“蟲圖”顯示了未知流量中HTTP上傳9080端口服務應用的情況，左側為源地址信息，右側為目的地址，共有67條流量日志。如需查看更詳細的流量信息，可查看下圖的二級“蟲圖”。

（3）建立合法流量白名單策略

①根據運營人員現有ACL列表進行創建。通過系統導入現有ACL列表完成訪問策略建立，系統會自動進行匹配，將未處理的灰日志轉變成已處理。

②手動逐條創建。運維人員通過網絡流量信息“蟲圖”直觀展示，對未知流量判定為合法流量，可直接加入白名單。

圖5 第二級網絡流量信息“蟲圖”

（4）梳理遺漏的灰流量

建立完大部分核心資產的白名單策略后，但是隨著“蟲圖”的不斷變化，還是有些細小的流量還是被忽略掉了，可通過日志分析功能里的灰日志分析最多排名進行處理。通過“轉白”或“轉黑”操作，將該條信息加入白策略或黑策略。

（5）對已建策略進行分析和優化

經過以上步驟，已經將核心資產訪問策略建立完備，也對日志分析中的流量進行了梳理，接下來可通過系統對已有的策略進行優化，細化策略和清除閑置策略。

（6）通過一定時間段的運維人員對流量分析優化確認后，訪問策略信息和現網流量基本能達到95%以上的匹配，便形成符合該業務系統自身特點的“Secure By Default”安全模型，信息如下圖所示：

圖6 資產和核心應用（即開放端口）

圖7 資產172.21.42.14的核心應用訪問策略

（7）通過該業務系統的“Secure By Default”安全模型解決的部分安全問題：

①發現該業務系統未備案的資產和服務端口，包括172.21.42.14、172.21.42.13、172.21.40.53、172.21.40.52，詳細信息如下圖所示。②自動優化該業務系統現有安全ACL控制策略。優化前某條ACL策略。

圖8 發現的未備案資產和服務端口

動作源IP 目的IP 目的端口 協議允許172.21.40.* 172.21.38.* any TCP

經系統通過自動學習優化后ACL策略。

圖9 優化后的防火墻的ACL策略

3 結束語

本文研究的一種基于網絡流量學習的智能“Secure By Default”安全建模技術和系統，不僅可以快速準確的建立建立符合業務系統自身特點的“Secure By Default”安全模型，還可以提升安全管理工作的效率，提升安全運維的效果，幫助企業縮短發現攻擊、抑制攻擊行為的時間，減少攻擊行為帶來的損失。

[1]李方偉，張新躍，朱江，張海波．基于信息融合的網絡安全態勢評估模型[J]．計算機應用，2015．

[2]王選宏，肖云．基于信息融合的網絡安全態勢感知模型[J]．科學技術與工程，2010．

[3]陳秀真，鄭慶華，管曉宏，林晨光．層次化網絡安全威脅態勢量化評估方法[J]．軟件學報，2006．

[4]崔艷娜．網絡流量態勢感知研究[D]．廣州：華南師范大學，2013．

[5]謝錦彪．內網安全態勢感知技術的研究與實現[D]．廣州：廣東工業大學，2015．

[6]趙威，李光昱，安銳．白環境管理在企業安全運維中的應用[J]．電力信息與通信技術，2015．

[7]史磊．網絡安全態勢感知模型研究[D]．蘭州：蘭州大學，2012．

[8]黃昆，倪雅琦，李靜．基于白環境模型的網絡攻擊分析技術在信息安全等級保護中的應用研究．[A]．全國信息安全等級保護技術大會會議，2013．

[9]郭海，郭義喜，李海林．網絡安全建模與仿真研究[J]．網絡安全技術與應用，2006．

[10]魏浩，陳性元，王超，杜學繪．一種基于數據流分析的網絡行為檢測[J]．計算機應用研究，2013．