基于異常感知的威脅綜合防護模型研究

劉 祺，黃 杰，王 捷

（1.國網湖北省電力公司電力科學研究院，湖北 武漢 430077；2.國網湖北省電力公司，湖北 武漢 430077）

基于異常感知的威脅綜合防護模型研究

劉 祺1，黃 杰2，王 捷1

（1.國網湖北省電力公司電力科學研究院，湖北 武漢 430077；2.國網湖北省電力公司，湖北 武漢 430077）

為了提升信息技術系統對威脅的感知能力，根據傳統信息安全威脅與新態勢下信息安全威脅的區別，基于異常流量分析、大數據分析和深度檢測技術構建了新一代威脅綜合防護模型。結合規則的自動生成和信譽庫的關聯，提升信息技術系統在應對攻擊時候的響應能力。通過內外兼修的方式強化系統在威脅檢測和威脅防御中的能力，通過綜合檢測和防御技術最大限度提升系統在防護外部威脅攻擊方面的綜合能力。

異常感知；異常流量；大數據分析；深度檢測

1 新態勢下的網絡信息安全

1.1 傳統威脅

信息安全傳統威脅是指在較早之前就已經存在，并且造成了很大危害的攻擊行為，現有的安全產品，如防火墻、IPS、Anti-DDoS、WAF等，能夠專門針對這些攻擊進行防御，常見的傳統威脅包括以下幾類：

Web應用攻擊。注入攻擊及跨站腳本攻擊（XSS）是最常見的Web應用攻擊方式。注入攻擊中攻擊者發送惡意數據欺騙解釋器，以執行計劃外的命令或訪問未被授權的數據。成功的注入攻擊可能導致網站內容被篡改，或者數據庫中的內容（如信用卡、密碼等）外泄。XSS允許攻擊者在受害者的瀏覽器上執行腳本，從而劫持用戶會話、危害網站、或者將用戶轉向至惡意網站。

溢出攻擊。在內存緩沖區寫入超出原本可以承受的數據量，造成部分內容溢出到鄰近的內存區域，進而獲得操作系統或應用程序的控制權限，以執行任意代碼，溢出攻擊被廣泛使用在蠕蟲和系統服務攻擊中。

分布式拒絕服務攻擊（DDOS）。指攻擊者通過控制大量互聯網上的機器（常稱為僵尸網絡），在瞬間同時向一個攻擊目標發動的攻擊。大量的攻擊報文導致被攻擊系統的鏈路被阻塞、應用服務器或網絡防火墻等系統資源被耗盡，無法為用戶提供正常業務訪問。

蠕蟲、木馬與病毒。蠕蟲是可在網絡上自行復制的惡意軟件，利用系統漏洞侵入，通常會通過消耗帶寬的方式破壞網絡通信，也可能通過感染更多的主機來竊取資料。木馬指通過偽裝成正常軟件騙取使用者電腦的存取權限，進而盜取所需信息的惡意程序，木馬常通過垃圾郵件或社交媒體傳播，也有可能偽裝成知名游戲或應用軟件的盜版安裝程序。電腦病毒附著在程序或文件上，在電腦間傳播，隨著傳播路徑感染其它電腦，和蠕蟲不同的是，病毒的傳播必須通過人為的操作引發。

1.2 新一代威脅

當前隨著信息技術的不斷發展，越來越多的攻擊者在發起攻擊前，會測試是否可以繞過目標網絡的安全檢測，因此會使用新型的攻擊手段，例如零日威脅、變形及多態等高級逃避技術、多階段攻擊、APT攻擊，這些新的攻擊方式，即是所謂的新一代威脅。

零日攻擊。包括零日漏洞攻擊和零日惡意軟件兩類。零日漏洞攻擊是基于未公開的操作系統或者應用程序的安全漏洞發動攻擊，由于攻擊時間處于安全廠商及大眾察覺安全漏洞之前的零日（ze?ro day）而得名。零日惡意軟件指的是為攻擊特定目標而定制的惡意軟件，由于這個惡意軟件是全新的，安全廠商無法得到相應的樣本，進而無法有效檢測。零日攻擊效果非常顯著，因為這些攻擊可長時間內不被發現。

多階段攻擊。通常一個組織的關鍵IT資產處于內部網絡的深處，設置了層層邏輯隔離及物理隔離防護，攻擊者無法直接訪問。為此攻擊者會采用多階段攻擊的方式，首先攻擊訪問互聯網的終端設備，通過控制終端設備在組織內網建立立足點，然后通過偵聽、探測等多種方式發現跟有價值的目標，再采取決定性的動作。

APT攻擊，也稱高級持續性威脅。高級可持續威脅的攻擊者為黑客入侵技術方面的專家，通過使用多種新型手段，結合多種滲透方法和工具，針對確定的攻擊目標，進行長期的滲透，在不被發現的情況下，持續攻擊以獲得最大的效果。

1.3 新一代威脅的特點

相對于傳統信息安全，新一代威脅的攻擊形式更加高級與先進，具備“潛伏性”“持續性”“針對特定目標”的特點，攻擊者會主動挖掘被攻擊對象系統或程序漏洞，利用漏洞組建攻擊者所需網絡，并利用0day漏洞進行攻擊，并且這種攻擊行為通常經過長期的經營策劃，具備高度隱蔽性。由于這些新的特性，導致新一代威脅是傳統安全機制無法有效檢測和防御的，因此往往會造成更大的破壞，成為當前各方關注的焦點。

針對當前新態勢下網絡與信息系統面臨的新一代威脅，本文提出基于異常流量分析、大數據分析和虛擬沙箱檢測技術，構建面向新一代威脅的安全防護模型。

2 異常流量分析技術

2.1 網絡異常流量定義

一個IT操作行為的屬性包括：行為人身份（Identity）、發生時間（Time）、發生位置(Location)、行為方式(Means)、行為的類型（Action）、行為對象（Re?source）。而基于網絡流量數據來檢測異常行為，異常行為的主體與客體都不是特別的明確，只能看到主、客體雙方鏈接的IP地址、端口以及相關的流量信息，并據此對IT操作行為進行近似映射。因此，為了從網絡流量數據中檢測到異常行為，需要基于網絡鏈接關系定義所能夠發現和檢測的流量異常，通過檢測這些異常來盡可能地發現內部用戶的誤操作、違規或越權使用等異常操作行為。

2.2 異常流量檢測分析方法

分析網絡流量日志記錄中關于srcip，srcport，destip，destport，protocol五個屬性間的關系，利用數據挖掘領域的經典關聯規則生成算法——apriori算法，發現網絡流量數據集中的潛在關聯規則，并據此找出源地址、目的地址對應主機之間的潛在頻繁訪問規則關系。然后由用戶管理員審核這些挖掘出來的關聯規則，這樣就可以輔助管理員整理網絡資源之間的訪問控制關系，確定網絡流量日志數據分析的白名單。

統計分析發現的關聯規則所對應頻繁網絡流量日志記錄的時間分布特征，作為該規則對應網絡連接流量的基于時間窗的統計特征，進而構建基于時間統計特征的網絡流量異常檢測模型。

分析時依據統計分析的時間粒度（周、日、時或分）在時間軸上分割出統計時間窗口（可以為等時間間隔），并根據記錄的時間戳統計符合規則的記錄落在各個時間窗口的統計值（日志記錄出現的頻度）即可以反映該規則對應網絡流量的在時間軸上的分布特征。因為日志數據具有周期性的特征，在建模訓練過程中，隨著時間的推進，同一時間窗口可能會重復收到新的統計數值，這樣針對每一個時間窗口都會出現周期出現的統計值序列，進一步計算這些統計值的均值、方差和分布特征，就可以得出每一個時間窗口更為精確的統計特征——以統計值序列的均值、方差表示的一個取值區間。

2.3 異常流量檢測實現

攻擊行為總是從異常的行為開始的，異常的行為伴隨著通信過程中存在的異常流量。通過對網絡中的流量信息進行統計、規則匹配以及分類分析，發現流量中存在的某些特性，檢測惡意數據。網絡流量數據看作是一種“流量行為”，其行為屬性可表示為〈身份、時間、地點、方式、對象、操作〉六元組。對于每一條流量數據，系統抽取出其流量屬性六元組 〈源IP、時間、IF端口、包數/包大小/包速率、目的IP、協議+目的端口〉，將其映射為流量行為六元組。正常流量行為規則據此流量行為六元組屬性來制訂，表示為“以正確的身份，在正確的時間，在正確的地點，以正確的方式，對授權的對象，進行正確的操作”。異常流量行為據此行為屬性六元組來制定，表示為“以不正確的身份，在不正確的時間，在不正確的地點，以不正確的方式，對非授權的對象，進行不正確的操作”。

基于上述網絡流量行為模型，系統將建立相應的黑、白名單規則以及流量行為統計特征，并基于這些規則匹配來檢測異常的網絡流量，規則匹配時的順序依次為：白名單規則、黑名單規則、流量行為統計特征。

白名單規則是針對已知的正常的流量行為，按照行為屬性六元組制定的規則，所有滿足此規則的流量數據為正常流量數據。

第1自然段：那是一個飄浮著橘黃色光影的美麗黃昏，我忽然對在一旁修剪茉莉花枝的母親問道：“媽媽，你愛爸爸？”

黑名單規則是針對已知的不允許的流量行為，按照行為屬性六元組制定的規則，所有滿足此規則的流量數據為異常流量數據。

流量行為統計特征是考慮到業務系統的復雜性，制定的黑白名單不可能過濾掉所有流量數據，因此將原始數據通過黑白名單規則過濾后的數據看作灰數據，并假定歷史灰數據為正常流量數據，對其進行數據挖掘與學習，按照行為屬性六元組的格式，找出其行為統計特征作為后續灰數據異常判斷的白名單規則，所有滿足基調的流量數據為正常流量數據，所有不滿足統計特征的流量數據為異常流量數據，所有找不到相應的判斷統計特征的流量數據為未知流量數據。

3 基于大數據的安全分析技術

3.1 大數據的定義

由數量巨大、結構復雜、類型眾多數據構成的數據集合，是基于云計算的數據處理與應用模式，通過數據的整合共享，交叉復用，形成的智力資源和知識服務能力。

3.2 基于大數據的安全分析方法

通過對大數據的分析來挖掘未感知的異常行為或攻擊事件來發現潛在的攻擊可能，如：異常的域名解析請求（域名異常、請求異常）、網絡掃描、頻繁登錄失敗、身份冒用、超量數據傳輸、非授權訪問、非法外聯行為、交易欺詐行為、Web攻擊行為和DDOS攻擊等。

聚類是將數據分類到不同的類或者簇這樣的一個過程，所以同一個簇中的對象有很大的相似性，而不同簇間的對象有很大的相異性。在實際網絡行為中，可以對網絡的IP進行聚類分析，通過聚類分析，發現部分沒有聚集的IP地址，則有可能屬于感染惡意程序的主機，聚在一起IP地址則具有相似的行為。將行為集合作為適當的項集，以適當的時間為周期，生成行為記錄庫，用關聯規則算法對行為記錄做分析，分析行為之間的相關度，如果行為之間的相關度很高，則由單點的異常可以判別相關行為異常。通過以上手段來支撐對潛在攻擊行為的分析，了解攻擊行為潛在的攻擊入口，為相關安全措施的部署提供有效的基礎資源。

4 深度檢測技術

4.1 虛擬沙箱技術

沙箱檢測是將文件放到一個由虛擬機構建的環境當中，觸發并觀察文件的行為特征，通過對行為的分析，來判定是否存在有惡意。但是攻擊者會采用多種的抗檢測逃避技術，可以繞過沙箱的惡意行為分析。因此我們需要一種更完善的技術來檢測高級惡意軟件，即在漏洞利用階段就可以檢測1。

4.2 信譽系統

通過虛擬沙箱技術檢測基于惡意軟件的來源地址以及回連命令控制服務器地址，生成企業本地信譽庫。企業信譽庫可以和云安全中心進行數據交換，也可以與外部的信譽卡進行數據分享，實現廣泛的信譽卡信息交換，提升對威脅的感知能力。企業信譽庫收集本地網絡虛擬沙箱的報警信息，提煉出惡意軟件的來源地址和相應命令控制服務器地址，進行整合形成的安全情報數據庫。而全球信譽庫處于云端，它可以歸并所連接的所有企業信譽庫的情報內容，并且通過第三方合作等方式，形成更全面、完整的威脅情報數據，再推送到各企業信譽庫。最終由相關的防護設備形成可防護的規則能力2。

利用云端信譽庫可以得到更完整的惡意軟件的情報數據，基于其中的惡意軟件來源地址數據可以防止用戶訪問惡意網站或郵件，而命令控制服務器地址數據可以用來檢測、阻斷已經進入內部的惡意軟件接受外部控制的通信，防止攻擊的進一步發展。威脅態勢是隨時變化的，因此具備良好效果的信譽庫不能是一個簡單的黑名單功能，必須具備以下特點：

自動生成。信譽數據的生成完全是自動化的過程，不需要人工干預，這就保障了信譽數據的及時性，從TAC產生報警，到生成信譽加載到IPS上，整個的過程可以在秒級的時間內完成，保障了防御的實時性。

信譽分級。信譽庫和黑名單不同，是用于處理介于“好”和“壞”之間的灰色區域。一個網絡對象是黑或者白，隨著時間有可能不斷變化。而要幫助安全產品在瞬間作出決定，就需要隨時提供最佳答案。由于存在不確定性，沒有信譽分級就意味著必然陷入對威脅攔截不足或者過度攔截的兩難境地。強大的信譽系統可以推算出動態信譽值，提供更高級別的準確性。最終用戶可以基于不同的安全策略要求，靈活的配置不同的信譽等級對應何種的動作，包括通過、報警或者阻截。

動態更新。隨著系統不斷獲得有關某個對象的更多信息，應該使用這些信息作為基礎持續調整信譽。例如，一臺合法計算機受特洛伊木馬程序惡意軟件感染后，變成發送垃圾郵件的僵尸網絡的一部分，然后該計算機得到清理后又恢復安全。這個過程中，該計算機完成了一個循環，從低風險到高風險，然后再回到低風險。信譽系統能夠隨時反映計算機的精確狀態。

只有這種基于動態信譽機制的系統，才能有效的分享安全情報，才能夠形成全網協同的安全防護能力。

5 威脅綜合防護模型

攻擊者總是會想盡一起辦法來規避檢測，通過實踐也會找到相關方法。因此一個完整的防御方案不能依賴某個單一的檢測點，或者某種單一的技術來控制重大的安全風險，在新一代威脅防御方面更是如此。因此需要建立的是一個縱深的、多層次檢測防御體系，通過多種技術，對攻擊整個生命周期的各個階段都提供檢測能力，最大程度防止攻擊發生了而攻擊者卻一無所知的狀況出現。基于前面提到的高級惡意軟件防御及內網安全檢測兩部分的內容，提出一套綜合防護的技術方法。

如圖1所示，異常檢測技術的核心就是建立符合業務需要的行為基線，檢測對這個行為基線的偏離來發現攻擊或濫用行為，可以發現沒有傳統攻擊特征，但又實際產生危害的活動。通過應用基于大數據的安全檢測技術對系統中行為進行建模，發現潛在的攻擊行為，同時建模的數據又可以作為異常檢測的輸入，來提升異常檢測的準確性和完整性。

圖1 威脅綜合防護模型Fig.1 Comprehensive threat protection model

在異常檢測和基于大數據的安全檢測系統中存在一定的異常數據或者異常通信行為時，會提取相關的樣本特征，該樣本特征會傳遞到虛擬沙箱中，應用虛擬沙箱技術提供和實際環境已知的虛擬化軟件環境模擬的真實運行環境，來對具備相關特征的數據在虛擬沙箱中執行。通過查看相關執行的效果來檢測是否存在惡意的攻擊行為，虛擬沙箱技術可以有效的檢測出系統中需要特定條件觸發的威脅動作。在有效檢測到攻擊行為后，虛擬沙箱會通知相關的防護設備來更新規則，同時會把相關預警推送到本地信譽庫中。本地信譽庫通過與云端信譽庫的交互，及時更新內部的規則，及時提升防護能力。

6 結語

針對傳統信息安全威脅與新態勢下的信息安全威脅區別，本文提出基于異常流量分析、大數據分析和深度檢測技術構建新一代威脅綜合防護模型，通過內外兼修的方式，來強化系統在威脅檢測和威脅防御中的能力，尤其各種信息安全威脅層出不窮的今天，通過綜合檢測和防御技術最大限度提升系統在防護外部威脅攻擊方面的綜合能力。

（References）

[1]蔣誠智，余勇，林為民.基于智能Agent的電力信息網絡安全態勢感知模型研究[J].計算機科學,2012,39（12）：98-101.

JIANG Chengzhi,YU Yong,LIN Weimin.Research on Electric Information Netwrok Security Situation Awareness Model Based on IntelligentAgent[J]. Computer Science,2012,39（12）：98-101.

[2]胡東星.基于人工智能的信息網絡安全態勢感知技術[J].信息通信，2012(6)：80-81.

HU Dongxing.Information network security situa?tional awareness technology based on artificial in?telligence[J].Information and Communications,2012 (6)：80-81.

Research on the Model of Comprehensive Protection Based on Abnormal Perception

LIU Qi1，HUANG Jie2，WANG Jie1
（1.State Grid Hubei Electric Power Research Institute，Wuhan Hubei 430077,China; 2.State Grid Hubei Electric Power Company，Wuhan Hubei 430074,China）

In order to improve the perceived ability of the information technology system,accord?ing to the different information security threats under the traditional and the new situation,based on the abnormal flow analysis technology,big data analysis technology and virtual sandbox technolo?gy,a new generation comprehensive threat protection model is constructed.The automatic genera?tion of rules and the association of reputation database are combined to promote the ability of IT system in response to attack.The system capability in threat detection and threat defense is strengthened by internally and externally,the comprehensive ability in the protection of external threats attack is improved to maximum with the aid of comprehensive detection and Defense Tech?nology.

abnormal perception;abnormal flow;big data analysis;deep inspection

TP393.08

A

1006-3986(2016)07-0042-05

10.19308/j.hep.2016.07.010

2016-06-10

劉 祺（1983），男，湖北荊州人，工程師。