一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次安全防護方案

李睿

摘 要 目前，隨著廣播電視數(shù)字化、網(wǎng)絡(luò)化的廣泛應(yīng)用，廣播電視信息網(wǎng)絡(luò)安全工作的重要性日益彰顯。而以高級持續(xù)威脅為代表的新型網(wǎng)絡(luò)攻擊，給網(wǎng)絡(luò)異構(gòu)、網(wǎng)絡(luò)訪問和安全防護需求多元化的廣電網(wǎng)絡(luò)帶來了嚴重威脅。面對這些挑戰(zhàn)，本文提出了一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次安全防護方案，創(chuàng)新利用細粒度的安全域劃分、多層次安全防護和安全相關(guān)日志大數(shù)據(jù)分析等技術(shù)，靈活支持各業(yè)務(wù)域細粒度的安全防護需求，將高價值資產(chǎn)部署于防護框架的內(nèi)核范圍中，并利用大數(shù)據(jù)分析技術(shù)，形成協(xié)作防御、融合檢測和聯(lián)動響應(yīng)。

關(guān)鍵詞 廣電網(wǎng)絡(luò)；大數(shù)據(jù)分析；多層次安全防護；高級持續(xù)威脅

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2018）218-0139-02

近年來，網(wǎng)絡(luò)攻擊逐漸向針對性強、復(fù)雜度高的方向演化，高級持續(xù)威脅（APT，？Advanced？ Persistent？Threats）作為這類攻擊的代表，更是頻繁占據(jù)安全事件新聞的頭條，使得對APT類攻擊的檢測和防護成為網(wǎng)絡(luò)安全領(lǐng)域的研究熱點之一。

廣電網(wǎng)絡(luò)業(yè)務(wù)域眾多，軟、硬件系統(tǒng)復(fù)雜多樣，安全防護等級要求和訪問用戶群各不相同，是一個典型的異構(gòu)復(fù)雜網(wǎng)絡(luò)。在該類型網(wǎng)絡(luò)中，已部署的傳統(tǒng)信息安全防護方案主要存在如下4個方面問題：1）難以與多樣化異構(gòu)軟、硬件系統(tǒng)兼容；2）主要基于安全網(wǎng)關(guān)等網(wǎng)絡(luò)邊界設(shè)備進行安全域劃分，難以支持安全等級、業(yè)務(wù)類型和用戶訪問等多維度需求的細粒度安全域劃分；3）主要基于邊界和網(wǎng)絡(luò)終端的安全防護技術(shù)，缺乏層次化；4）各安全設(shè)備基于不完整的網(wǎng)絡(luò)安全信息進行單獨檢測，導致不能成有效的關(guān)聯(lián)和聯(lián)動，容易造成防護孤島，難以應(yīng)對APT類高級網(wǎng)絡(luò)攻擊和竊密手段。

APT攻擊是一種分階段、長期的復(fù)雜性攻擊，Hutchins？EM等人提出利用IKC（Intrusion？Kill？ Chain）模型來描述APT攻擊，該模型將APT攻擊按順序劃分為7個階段：網(wǎng)絡(luò)偵察、武器研制、攻擊體傳輸、初始入侵、通信和控制（C&C;）、橫向攻擊和竊取數(shù)據(jù)。而從攻擊事件發(fā)生的網(wǎng)絡(luò)層次而言，APT攻擊可發(fā)生在物理位面、網(wǎng)絡(luò)位面、用戶位面和應(yīng)用位面。此外，APT攻擊的持續(xù)性和高技術(shù)性，使其具備較強的防護規(guī)避和檢測逃逸能力，甚至有可能修改對網(wǎng)絡(luò)防護系統(tǒng)的安全日志，造成檢測信息的缺失。而且，APT攻擊具有針對性，是根據(jù)目標定制的攻擊，很難從第三方獲取其歷史檢測數(shù)據(jù)和進行基于簽名的檢測。因此，傳統(tǒng)的單視角的網(wǎng)絡(luò)入侵檢測系統(tǒng)難以對APT進行有效檢測。

針對以上問題，參考國內(nèi)外相關(guān)領(lǐng)域的研究成果，根據(jù)廣電網(wǎng)絡(luò)安全防護的實際需求，本文提出了一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次安全防護方案。該方案創(chuàng)新利用多層次安全防護和大數(shù)據(jù)分析技術(shù)和細粒度安全域劃分技術(shù)，可有效融合多視角的安全相關(guān)日志數(shù)據(jù)，以檢測具有逃逸能力的網(wǎng)絡(luò)攻擊竊密行為。靈活適配多維度的細粒度安全域劃分，實施多元化的安全防護策略，能有效對抗高級網(wǎng)絡(luò)攻擊和竊密手段，具備攻擊前準確預(yù)測、攻擊中精確檢測和聯(lián)動安全響應(yīng)防護能力。

1 相關(guān)研究工作

《電視技術(shù)》編輯部對在開放的網(wǎng)絡(luò)環(huán)境中如何保障安全播出的問題進行了研究，從安全播出的現(xiàn)狀，威脅安全播出的因素，技術(shù)應(yīng)對策略和管理應(yīng)對策略等方面進行了闡述。劉娜對電視播控系統(tǒng)中存在的信息安全的重要性進行了分析，深入研究了惡意軟件和網(wǎng)絡(luò)攻擊對播控系統(tǒng)的危害，并給出了相關(guān)解決方案。陸肖元等人對下一代廣電網(wǎng)絡(luò)網(wǎng)管系統(tǒng)的發(fā)展進行了研究，分析了廣電網(wǎng)網(wǎng)管發(fā)展的主要需求，提出了適合廣電網(wǎng)的三層管理模型，并設(shè)計了基于Web技術(shù)的集成融合網(wǎng)管。

在安全域模型研究方面，Raimundas？ Matulevi？ius等人在2017年提出了一種信息系統(tǒng)安全威脅管理的域模型——ISSRM模型，該模型從安全威脅管理出發(fā)，依據(jù)信息資產(chǎn)、安全威脅、安全威脅防護策略、安全威脅響應(yīng)等維度，可有效對網(wǎng)絡(luò)安全域進行劃分。

在多層次防護框架技術(shù)方面，Daesung？Moon等人在2015年提出了一種高級威脅檢測方法，以網(wǎng)絡(luò)各層次的安全相關(guān)日志為輸入，對異常事件進行關(guān)聯(lián)，融合各防護層次系統(tǒng)日志，檢測APT等傳統(tǒng)防護系統(tǒng)無法應(yīng)對的高級威脅等。

2 總體安全防護方案

基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次安全防護方案，利用細粒度域劃分技術(shù)，將電視臺的廣電網(wǎng)絡(luò)劃分為若干安全域，實施與域業(yè)務(wù)及安全防護需求相匹配的多元化需求的安全訪問和防護策略；其次，系統(tǒng)采用多層次的防護技術(shù)，針對不同的安全域和防護目標，部署如邊界防護、入侵檢測、授權(quán)認證、安全審計等多種安全技術(shù)手段和設(shè)備，并通過安全管理中心有效協(xié)調(diào)聯(lián)動各安全設(shè)備；此外，在各網(wǎng)絡(luò)位置部署安全相關(guān)日志采集器，采集各網(wǎng)絡(luò)節(jié)點產(chǎn)生的日志信息，規(guī)約化處理后存儲到大數(shù)據(jù)處理平臺，利用大數(shù)據(jù)分析與挖掘技術(shù)，進行安全事件關(guān)聯(lián)分析，有效融合多視角的安全相關(guān)日志數(shù)據(jù)，以檢測具有逃逸能力的網(wǎng)絡(luò)攻擊竊密行為，并將檢測告警結(jié)果反饋給安全設(shè)備，進行聯(lián)動響應(yīng)以阻斷攻擊和清除惡意軟件，有效的保障電視臺的安全播出。

2.1 細粒度安全域劃分技術(shù)

傳統(tǒng)的安全域劃分技術(shù)，是先把網(wǎng)絡(luò)中所有的節(jié)點分組，再把各組放置到不同的區(qū)域中，利用安全網(wǎng)關(guān)對不同域的子網(wǎng)進行邊界保護，實施不同的安全防護策略。對于網(wǎng)絡(luò)異構(gòu)、安全防護和訪問需求多元化的廣電網(wǎng)絡(luò)而言，這種域劃分技術(shù)的缺點是：1）域劃分是基于網(wǎng)絡(luò)的物理位置，需要事先進行網(wǎng)絡(luò)設(shè)計和部署的規(guī)劃，不能適應(yīng)網(wǎng)絡(luò)虛擬化等新技術(shù)的需求；2）劃分是靜態(tài)的，調(diào)整能力和靈活度較差，難以適應(yīng)當今網(wǎng)絡(luò)業(yè)務(wù)高頻度變更的需求；3）由于劃分的物理性和靜態(tài)性，域劃分的工作量非常大，同時出于網(wǎng)絡(luò)性能的考慮，其劃分粒度較粗，難以針對單項業(yè)務(wù)實施細粒度的針對性防護。

為了解決上述問題，該安全防護方案，創(chuàng)新引入了細粒度的安全域劃分技術(shù)，支持安全等級、業(yè)務(wù)類型和用戶訪問等多維度需求的細粒度安全域劃分，將廣電網(wǎng)絡(luò)主要劃分為綜合制作域、制播混合域、播出域和安全管理中心域等，實施與各業(yè)務(wù)安全防護需求相匹配的細粒度安全防護策略，在減少安全投入的同時，提高了安全防護的針對性和有效性。

2.2 多層次安全防護技術(shù)

針對現(xiàn)有安全防御體系主要采用基于邊界和網(wǎng)絡(luò)終端的孤立安全防護技術(shù)，缺乏層次化，容易造成防護孤島，難以應(yīng)對新興高級復(fù)雜威脅的問題，該安全防護方案創(chuàng)新了多層次安全防護技術(shù)，其核心是利用安全大數(shù)據(jù)分析的優(yōu)勢，部署并融合邊界防護、主機防護、入侵檢測、授權(quán)認證、滲透性測試、安全審計等多種安全技術(shù)手段和設(shè)備，并將日志信息提供給安全日志大數(shù)據(jù)處理平臺進行處理分析。APT類復(fù)雜攻擊是一個多階段的持續(xù)性攻擊，攻擊者需要一段較長的時間，以攻陷多個節(jié)點或獲取大量信息及資源才能達到其攻擊目標。在該過程中，一個多層次的目標網(wǎng)絡(luò)防護框架將高價值資產(chǎn)部署于防護框架的內(nèi)核范圍中，提高了捕捉到攻擊痕跡或信息的可能性。

2.3 安全相關(guān)日志大數(shù)據(jù)分析技術(shù)

在基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次防護方案中，安全相關(guān)日志大數(shù)據(jù)處理平臺部署于安全管理中心，通過分布在網(wǎng)絡(luò)各域或關(guān)鍵節(jié)點上的日志采集器，收集并規(guī)約這些網(wǎng)絡(luò)安全相關(guān)日志，利用數(shù)據(jù)關(guān)聯(lián)分析的方法將來自多視角維度的安全相關(guān)數(shù)據(jù)融合，形成協(xié)作防御，聯(lián)動響應(yīng)，能有效對抗和緩解APT類多階段、復(fù)雜化、逃逸性高級網(wǎng)絡(luò)攻擊和竊密手段，使得安全防護系統(tǒng)具備攻擊中準確檢測、及時聯(lián)動安全響應(yīng)和事后安全審計與追蹤的網(wǎng)絡(luò)安全防護能力。

在云計算、虛擬化和大數(shù)據(jù)分析技術(shù)高速發(fā)展的背景下，大數(shù)據(jù)采集、存儲、處理過程的成本急劇削減，使得利用網(wǎng)絡(luò)安全相關(guān)大數(shù)據(jù)分析的檢測高級攻擊的方法變得切實可行。

3 結(jié)論

文章分析了當前廣電網(wǎng)絡(luò)的網(wǎng)絡(luò)環(huán)境特點、安全防護需求和面臨的新型網(wǎng)絡(luò)安全威脅和挑戰(zhàn)，提出了一種基于大數(shù)據(jù)分析的廣電網(wǎng)絡(luò)多層次安全防護方案，該方案創(chuàng)新利用細粒度安全域劃分、多層次安全防護和大數(shù)據(jù)分析技術(shù)，與異構(gòu)的廣電網(wǎng)絡(luò)環(huán)境和安全防護需求高度兼容，充分利用網(wǎng)絡(luò)各層次部署的網(wǎng)絡(luò)安全防護設(shè)備及安全相關(guān)日志數(shù)據(jù)，形成協(xié)作防御、融合檢測和聯(lián)動響應(yīng)，能有效對抗高級網(wǎng)絡(luò)攻擊和竊密手段，提升廣電網(wǎng)絡(luò)的安全防護能力。

參考文獻

[1]Richard Bejtlich. What Is APT and What Does It Want？ http：//taosecurity.blogspot.be/2010/01/what-is-aptand-what-does-it-want.html， 2010.

[2]R. Langner，“Stuxnet： Dissecting a cyberwarfare weapon，”IEEE Secu. & Privacy，vol.9， no. 3， pp. 49–51， 2011.

[3]《電視技術(shù)》編輯部.廣電網(wǎng)絡(luò)信息安全現(xiàn)狀及未來發(fā)展[J].電視技術(shù)，2014， 38（20）：2-11.

[4]劉娜.信息安全技術(shù)在播控系統(tǒng)中的應(yīng)用[J].電視技術(shù)， 2015，39（10）：88-90.

[5]梁玉婷.三網(wǎng)融合背景下廣電網(wǎng)絡(luò)信息安全現(xiàn)狀及防護措施[J].山西電子技術(shù)，2016（3）：69-70.

[6]陸肖元，朱列.面向下一代廣電網(wǎng)絡(luò)（NGB）的集成融合網(wǎng)管架構(gòu)研究[J].計算機應(yīng)用與軟件， 2012，29（9）：81-82.