針對電子政務安全態勢檢測的新思路

湯煜康++田立

近年來，黑客攻擊技術開始從直接攻擊轉向以APT、定向魚叉、跳板滲透和社工結合為主，更加強調攻擊過程的政治和經濟收益，關注對敏感數據的搜集和竊取，攻擊者也更傾向于采取隱蔽的手段來執行攻擊行為。在這個過程當中，政務單位因其信息數據的敏感性和高附加值，往往非常容易成為首當其沖的目標，而多數政務單位的安全防御體系都還是傳統的邊界防御和規則檢測方式，難以應對這些新興的攻擊手段。

對于這些以竊密信息為目的的攻擊者，潛伏、搜集和竊取是其主要行為動機，很多單位都是在自己的重要信息已經通過暗網大范圍傳播，才被動得知網絡已經被黑的現狀，這就使得大量的國家敏感文件和信息暴露在惡意攻擊者和別有用心者的控制之下，需要引起足夠的重視并采取相應的技術檢測手段。

傳統技術體系之殤

傳統的安全保障手段往往采取“分析檢測、查殺封堵”的思路實現安全保障目標，包括防火墻基于IP、端口的阻斷策略、IPS基于特征庫的入侵防御策略、反病毒軟件基于病毒庫的惡意代碼處置都是基于此類思路，即阻斷威脅網絡安全和穩定運行的操作和行為。但根據Verizon的全球安全事件調查報告顯示，不計算前期偵察與信息獲取的過程，攻擊者從實施攻擊到入侵得手僅需要花費數小時的時間。但是62%以上的安全部門需要花上數周甚至超過一個月的時間才能發現黑客攻擊，隨后還需要數天至數周的時間完成響應和補救工作。

而在Mandiant最新的高級安全威脅報告中指出，政府機關和企事業單位發現潛藏攻擊者的平均時間為229天，更為嚴重的是，僅有33%的組織是自行發現攻擊事件的，更多的攻擊事件是在被監管機構通報、曝露在暗網甚至是互聯網上以后才被發現。

Ponemon Institute針對全球252個機構的1928起攻擊事件的統計發現，攻擊事件的平均解決時間為46天，而每延遲發現和解決攻擊事件一天的成本高達21155美元。針對目前的安全現狀，權威機構Gartner更是大膽指出，到2020年，企業安全部門應該將60%的預算投資到安全檢測與響應中來，以應對日趨復雜的網絡安全環境。

態勢感知成為業界新寵

信息安全從最初的以縱深防御為代表的靜態防御，逐步發展為近年來以檢測響應為核心的動態體系，經歷了一個長期的攻防雙方對抗和升級的過程。這個過程當中，防御者長期以來都是處于一個被動的位置，急需一種新的攻擊行為檢測理念和技術，來彌補傳統安全防護體系在黑客攻擊專業化、隱蔽化和組織化形勢下的不足。這個新理念就是安全態勢感知，最早由M.Endsley教授在1995年提出，認為“態勢感知是認知大量的時間和空間中的環境要素，理解它們的意義，并預測它們在不久將來的狀態”，防御者開始嘗試去理解攻擊的行為和動機，開啟了基于行為檢測技術的先河。

從基本的邏輯鏈分析，到近年來大數據分析技術的應用，行為檢測技術經歷了一個快速變化和發展的過程，大數據模型下的用戶行為特征的定義和識別涉及了極為復雜的立體化建模和關聯分析規則。這些研究內容都需要投入大量的科研力量，在廣泛收集海量原始數據的基礎上，進行深入的分析、學習和研究，才能實現較好的技術突破。

電子政務領域應用正當時

安全信息和事件管理系統（SIEM）作為新一代行為檢測技術的載體，雖然在大數據技術的支撐下獲得了快速的發展，但實際應用卻差強人意，海量數據采集即是優勢，但如果不能有效分析就只能是徒有其表了。在安全態勢感知的定義中，可以將對安全問題的理解分為三個階段：態勢認知、態勢理解和態勢預測，而多數SIEM只做到了海量數據采集，連認知都談不上更達不到理解的程度。

我們對態勢的理解和攻擊行為的分析在電子政務領域具備極好的契合性，主要是因為政務網絡管理規范，各機關單位的業務系統和業務數據流與普通公司或互聯網企業相比具備極為清晰的規律性，用戶行為特征的提取和數據流規律的分析更加準確快速，規避了普通網絡中相關領域研究的一大難題。同時，政務網絡與互聯網等外部網絡隔離的特性，也決定了網絡中主要的安全隱患來自于內部威脅，行為檢測技術可以有效地應對內部人員越權和違規操作的安全威脅，是現有安全保障體系的重要補充和完善手段。

通過對合法應用數據流和用戶行為進行深入檢測，分析關聯后得出“合法、干凈”的網絡流量和行為特征，阻斷所有不符合類似特征的網絡數據，從而在根本上解決傳統安全防護手段的弊端。無論終端用戶訪問業務系統，還是業務系統之間的調用和聯動，都離不開網絡層的信息交互，是任何黑客攻擊所無法繞過的交通樞紐；而如果通過操作系統之上的日志和行為分析，都會面臨和攻擊者競爭root權限的問題，容易出現日志本身失真的情況，但網絡層面進行的數據包鏡像采集則具備更好的真實性和完整性。

用戶和實體行為分析

用戶和實體行為分析是一種不同于傳統基于特征庫的黑名單式的攻擊檢測技術，通過定義合法和正常用戶的行為，建立基于行為白名單的安全檢測能力，其核心思路是違規和異常行為的檢測。

所謂違規，是指網絡行為違反了一定的“規范”，例如業務科室主動訪問財務系統數據庫服務器，即使明顯違背了人員正常行為的規范。這里的規范可以是現實世界行為關系在IT系統中的抽象，也可以是既有行為規律的機器自學習；

所謂異常，是指網絡行為明顯不同于“正常”數據的范式，包括兩個維度的內容，一個是數據包關聯的用戶行為不同于其他大多數正常用戶視為異常，另一個是數據包管理的用戶行為不同于自身在過去的行為習慣，異常檢測主要以機器自學習為主。

具體的實現包括以下特征提取和行為建模兩個層面的內容，即上面提到的態勢認知和態勢理解：

行為特征提取

傳統的網絡行為分析對象包括源IP地址、源端口、目的IP地址、目的端口和傳輸層協議這五個量組成的集合，稱之為網絡通信的五元組。在同一時間五元組能夠區分不同會話，并且對應的會話是唯一的，并在一定程度上能夠表明通信雙方的身份信息。但這種檢查策略的缺點是，由于無法對數據包內容進行實時檢測導致無法檢測合法用戶進行的非法網絡攻擊行為。

針對目前許多政務單位和核心部門的網絡通信特點，行為特征提取可以通過“三層立體”方式實現從物理層到應用層的立體流量監測。“三層立體”指的是物理層（物理接口和二層協議+ 網絡層（源IP地址、源端口、目的IP地址、目的端口、三層協議）+應用層（數據內容模式）這八個參量，能夠全面的描述通信雙方及其行為的合法性：

首先違規和異常策略能夠針對不同方向（In/Out）的網絡數據進行傳輸層協議分析，允許的數據將進行網絡層合法性檢查環節，網絡層合法性檢查是針對網絡IP包的五元組信息進行匹配檢查，只有IP地址和通信端口在允許范圍內的數據包會進入到應用層檢查，否則將直接判斷為訪問關系違規；通過網絡層合法性檢查后，IP包的凈負荷將進入應用層異常檢測環節，對業務數據進行內容識別，通過強大的高速字符搜索引擎和靈活的策略語法，可以完成應用層的業務處理。

行為分析建模

攻擊者的行為往往不是以病毒、漏洞利用等明顯的惡意特征出現。攻擊者會通過社會工程學、釣魚、以失陷主機為跳板等手段獲取高級管理員的賬號與權限；內部潛藏的惡意用戶也會通過竊取、窺探等手段獲得合法權限。

此外，黑客在嗅探、突破、滲透、橫移、會話維持、捕獲占領的整個攻擊鏈條中，均會非常小心地隱藏自己的攻擊行為，將關鍵文件進行打包加密甚至隱寫，所有的網絡會話也會在加密通道上傳輸，而會話維持以及遠程控制服務器的通信會夾雜在代理、VPN隧道、NTP、DNS等正常網絡協議中混淆視聽。專業的網絡分析人員可以根據經驗完成數據流分析工作，然而普通運維人員卻并沒有類似的技術儲備，而實際網絡中的海量數據決定了分析量也是人力所不及的，所以必須實現對數據流特征的自學習。

主要包括以下幾個方面：

第一，黑客攻擊往往是由一系列行為完成的，因此可以通過監測其行為序列來描述攻擊過程和用戶交互行為，這本身就是一個典型的狀態機模型，通過分析網絡行為在不同狀態之間的切換概率，就可以描述正常用戶和異常用戶之間的不同特征；

第二，絕大多數信息系統總是面向多個海量用戶提供服務的，那么對于業務的訪問來說，攻擊行為相對屬于小概率事件，通過識別這些和大多數用戶行為不同的離散異常行為即可發現攻擊者。這種離散行為檢測過程適用于機器學習中的無監督異常監測算法，為了避免單點異常的干擾，iForest算法的魯棒性特點具備更好的適用性；

第三，每個用戶行為自身具備相對的規律性，同樣可以通過對其過去一段時間內的行為特征進行比對，形成用戶行為規律的判斷依據，分析用戶是否為其生成的主體，是否存在權限冒用或者被惡意攻擊者控制的情況。

（作者單位：浙江嘉興市保密技術檢查中心、上海信息安全工程技術研究中心）