面向特定網絡安全事件響應的態勢評估方法

于普漪 褚智廣 滕征岑 趙 軼 汪 霞

1(中國石油集團東方地球物理勘探有限責任公司信息技術中心 北京 102200)2(安天實驗室 北京 100195)

0 引 言

當網絡安全事件發生時，在獲取一定威脅情報線索的基礎上，如何評估組織、機構內部的資產在此事件中的安全態勢，并據此快速做出響應決策，有效提升響應處置速度，從而減少特定安全威脅對內部資產的損害是亟待解決的問題。

態勢是系統中各個對象狀態的綜合。態勢感知是在一定的時間和空間范圍內提取系統中的要素，理解這些要素的含義，并且預測其可能的效果。Endsley[1]將其概括為3個層面：態勢覺察、態勢理解和態勢預測。對于網絡安全的態勢評估，目前國內對整體網絡安全態勢和基于攻擊指示器的檢測研究較多，但針對于某個和某類特定安全事件，如何快速評估事件的影響范圍、受損范圍及潛在受損范圍等態勢，相關研究和工程應用相對不足。

本文提出了一種面向特定安全事件響應的態勢評估方法，通過生成IOCs、涉及資產及利用漏洞等針對特定時間的檢測要素，綜合利用按需監測、歷史追溯和動態推斷等手段，形成對涉及資產態勢、受損資產范圍和潛在受損資產范圍的動態評估并計算損害指數，進而對其進行可視化表征，用以形成對響應處置的決策支撐。本文的主要貢獻：

1) 提出了一種面向特定網絡安全事件響應的態勢評估方法，為特定安全事件的響應提供態勢評估輔助決策。

2) 采用可定義的網絡安全事件檢測要素，實現了特定網絡安全事件響應過程中，涉及資產、受損資產范圍及潛在受損資產范圍等資產關鍵態勢要素的檢測和評估，并計算損害指數。

3) 采用可視化表征的方法，為響應決策提供更直觀的判斷依據。

1 相關研究現狀

Bass[2]提出將態勢感知技術應用于多個NIDS檢測結果的數據融合分析后，學術界開始致力于網絡安全態勢感知的研究，提出了多種相關模型和技術[3-4]。

徐文韜等[5]基于OpenIOC框架和對威脅行為的檢測分析，結合機器學習算法自動生成IOC文件。賈雪飛等[6]從攻擊方、防護方、網絡環境提取各種要素，構建了一個基于能力機會意圖的態勢感知模型。文志誠等[7]考慮多信息源與多層次異構信息融合，提出了一個全方位因子加權感知網絡安全態勢的框架。陳秀真等[8]從先局部后整體評估策略出發，層次化量化評估安全威脅態勢。劉世文等[9]提出了一種細粒度的網絡威脅態勢評估方法，對威脅節點、威脅鏈路、威脅路徑、威脅目標和全網威脅態勢進行評估。

李淳等[10]提出了基于時間的網絡安全態勢評估框架，短期評估使用實時的動態數據，長期評估采用熵值法。趙鵬宇等[11]計算網絡安全危害指數并設計實現了大規模安全態勢評估系統。吳國強等[12]介紹了從傳導路徑的角度和事件關聯關系的角度對安全事件進行分析的方法，并建立網絡安全事件態勢評測模型。席榮榮等[13]基于安全事件的風險級別及所針對的資產價值，分析造成的損失，最后基于安全事件發生的可能性及造成的損失量化評估網絡的威脅態勢。

李振興等[14]將人引入到安全態勢感知系統，生成網絡安全綜合態勢圖，多視圖、多角度地與用戶進行交互，顯示網絡中的態勢數據。張勝等[15]選取了異構安全日志中的8個維度進行特征提取，引入樹圖和符號標志、時間序列圖，展示網絡運行趨勢，分析攻擊模式。文獻[16]用影響依賴圖顯示了網絡地形和任務之間的依賴關系，并提出算法基礎指導計算網絡攻擊對資產和任務運營能力的影響。

2 態勢評估方法

2.1 整體方法

本文的態勢評估方法整體方法見圖1。

圖1 整體方法

1) 通過人機結合分析的方式提取針對樣本的深度分析數據，生成IOCs、涉及資產的軟件版本、利用的漏洞及資產防護能力等檢測要素。

2) 通過具備按需檢測能力和聯動能力的端點探針(或端點防護軟件)、流量探針以及主動掃描設備，實現按需監測；綜合歷史追溯和動態推斷手段評估涉及資產態勢、受損資產范圍和潛在受損資產范圍并計算損害指數。

3) 采用可視化表征提高態勢展現的直觀性，并根據響應處置的需要，細分為用以進行各子網的安全態勢評估結果展現的初步表征方法和用以進行各子網內的關鍵安全態勢評估結果展現的細化表征方法，從而實現對響應處置的決策輔助。

2.2 檢測要素生產

目前，用以檢測特定安全事件的方法主要是通過攻擊指示器IOCs(惡意代碼文件的屬性、注冊表改變的特征等)檢測網絡中是否發生入侵攻擊。但是IOCs無法用來檢測攻擊針對的目標資產情況及攻擊利用的漏洞等脆弱性情況，進而導致在安全事件發生時，組織和機構無法有效評估特定安全事件的涉及資產、受損資產范圍、潛在受損資產范圍等態勢。此外，在評估特定安全事件的潛在受損范圍時，關鍵安全防護設備及軟件對該事件的防護能力也是評估需要重點考慮的檢測要素。

本方法針對特定安全事件的攻擊樣本，采取人機結合的方式，將其投放到建有模擬環境的沙箱中，并模擬操作，誘導未知文件中的惡意代碼發出攻擊行為，監控其運行過程以及所有相關進程和模塊的活動，并對其代碼特征和攻擊特點做詳細的揭示。例如對于WannaCry樣本，可檢測到的行為包含延時、掃描445端口嘗試訪問系統共享文件夾、文檔篡改等危險行為，并發現其衍生出新文件tasksche.exe。同時，沙箱可模擬網絡環境監控并記錄樣本網絡行為，其中包含IP、端口、域名等。

結合逆向工程等人工分析方法，能獲取到樣本更完整的網絡與終端行為，可以從分析結果中提取關鍵的攻擊指示器、涉及資產、利用漏洞等可用于評估的檢測要素。通過上述方式生產的WannaCry事件部分檢測要素見表1。

表1 WannaCry事件的部分檢測要素

2.3 態勢動態評估

動態評估方法概述見圖2。

圖2 動態評估方法概述

1) 通過具備按需監測能力的端點探針、流量探針主動掃描系統，持續監控特定安全事件檢測要素，對檢測結果進行數據融合，獲得資產數量、資產的運行狀態、威脅狀態和漏洞情況等動態評估所需的實時數據。

2) 考慮到實時檢測速度、資產不在線不可實時檢測等因素，需要進一步融合歷史監測數據以實現安全態勢的初步動態評估：包括涉及資產整體態勢、受損資產范圍和潛在受損資產范圍。

3) 為進一步得出受損資產，尤其是潛在受損資產合理評估結果，需要通過綜合資產與漏洞關聯、資產防護體系的能力及資產的運營能力，進行推斷并修正評估。

2.3.1 按需檢測

鑒于監測軟件的通用性和安全事件的差異性之間的矛盾，為了獲取特定安全事件的相關數據，對檢測要素進行按需監測顯得尤為重要。遵循主體、客體以及二者在時間、空間域內的局部性特點，采用按需檢測的方式可以在減少終端和網絡所需關注數據量的同時形成進一步的推斷依據。

端點監測軟件可通過黑白雙控機制，對黑、白要素進行檢測，同時可對非黑非白的灰要素(即未知文件)進行檢測，此外，還包括漏洞情況、端點防護軟件版本等。結合對客體文件的向量化拆解與系統關鍵防御點的布防體系，以特定安全事件的具體檢測要素為依據可實現按需監測，如WannaCry事件中可以檢測出威脅文件、未知文件、注冊表、漏洞、補丁情況等。同時相關向量與檢測結果也可以作為后續評估與推斷的依據，并與網絡側檢測的數據互為佐證。

流量監測軟件通過對不同資產之間的通信數據進行解析(如檢測http流量時對主機信息、域名信息進行留存)，并對載荷進行向量化提取，結合特定安全事件的IOCs與載荷的向量特征，實現按需監測。對于流量中的載荷，需要對載荷向量化后的數據進行規則匹配形成后續傳播情況的推斷依據，推斷惡意代碼向其他資產的傳播情況。例如在WannaCry事件中，通過對流量數據的解析可以檢測到域名、大量連接請求的源IP和目的IP、端口、協議等，數據報文載荷檢測匹配到|FF|SMB3|00 00 00 00|等諸多關鍵字表示正在進行傳播。

另外，按需檢測產生的向量化數據結合資產信息構成的知識圖譜可以進一步作為態勢推斷的基礎數據之一。

2.3.2 涉及資產態勢評估

涉及資產是指攻擊針對的目標資產，比如在針對Windows系統的攻擊事件中，Linux及Mac系統均為非涉及資產。在線的涉及資產數量可以通過融合端點監測軟件主動上報的資產數量、流量監測軟件監測的IP數據、主動掃描工具獲取的資產數量得到。離線的涉及資產總體數量通過數據融合后的最新數據可以得到，從而得到涉及資產數量。

2.3.3 受損資產范圍評估

受損資產是指已被攻陷的資產。通過融合端點監測、流量監測數據及歷史數據(包括資產數據、運行日志、威脅日志和漏洞日志)，可得到受損資產數據。考慮到復雜網絡環境下，安全設備和安全防護軟件針對不同安全事件的檢測能力、響應能力甚至部署版本的不同，數據融合過程中，需要根據按需檢測產生的向量化數據結合資產信息構成的知識圖譜進行部分態勢推斷，補充受損資產數據(例如根據端點側檢測到的被攻擊及網絡側檢測到的傳播等補充受損資產)。

2.3.4 潛在受損資產范圍評估

潛在受損資產是指存在攻擊利用漏洞且資產當前安裝的防護軟件無法防護該攻擊。通過融合的漏洞數據和端點的防護能力綜合評估，可得到潛在受損資產數據，其中利用漏洞數據來自于主動掃描和端點防護軟件的監測數據，端點防護能力來自于各資產端點防護軟件的類型、版本等。

考慮到復雜網絡環境的不同狀態下，存在資產離線、主動掃描未及時完成等情況，資產的漏洞情況和防護軟件版本數據，通常會存在無法獲取或歷史數據距當前時間間隔較遠的問題，需要通過態勢推斷的方法進一步推斷潛在受損資產數據。本方法主要用到資產關聯和運營能力推斷。資產關聯推斷是指通過資產的多種軟件組合與配置推斷可能導致的漏洞情況；運營能力推斷是用于漏洞的修復、升級等資產日常運營能力度量因子，還用于對漏洞和資產軟件版本的歷史數據進行調優。

2.3.5 損害指數

網絡安全事件對子網造成的損害主要表現在影響情況A、傳播情況T及重要等級S方面。影響情況即子網受損資產A1、潛在受損資產數量A2，傳播情況即子網向其他子網傳播成功的攻擊數量，攻擊數量可以通過全要素檢測結果得出。重要等級為不同層次的資產的重要等級。將子網中的資產劃分為5個等級。將主機資產定義為第1級，將直接與主機相連的路由器定為第2級，與第2級相連而不與第1級相連的資產定為第3級，以此類推，5級及5級以上均為5級。對于服務器資產則在原等級上提高1級，以體現它的重要程度。m在這里為修正值。

根據上述方法給出損害指數的量化計算公式，R即為損害指數，由下式確定：

(1)

2.4 可視化表征

根據上述評估方法評估得出涉及資產態勢、受損資產范圍、潛在受損資產范圍后，可通過可視化表征方式進行展現，用以輔助快速直觀地做出響應決策。表征的方法包括用于輔助評估各子網安全態勢的初步表征和評估子網內某類態勢的細化表征。

2.4.1 初步表征

圖3顯示了某安全事件整體態勢初步表征圖。

圖3 安全事件態勢初步表征圖

初步表征主要內容包括影響情況、傳播情況及嚴重級別的表征。

影響情況的表征：通過半圓形面積(或其他圖形面積)表征不同子網的相關資產數量，其中：整體面積(忽略底部的橢圓裝飾部分)為涉及資產數量；A區域面積為受損資產數量；B區域面積為潛在受損資產數量；C區域面積為其他資產數量。

傳播情況的表征：通過子網間箭頭表征攻擊傳播狀態，并用箭頭寬度表征傳播的攻擊數量。其中實線箭頭表征攻擊傳播成功，有一次攻擊傳播成功則表示傳播成功；虛線箭頭表征攻擊傳播未成功，每次攻擊傳播都未成功則表示攻擊傳播未成功。

2.4.2 細化表征

細化表征圖用于表征某子網內，涉及資產、受損資產及潛在受損資產中某類情況的詳細態勢。在安全事件響應過程中，潛在受損資產的詳細態勢通常是最需要進行細化表征的。針對某個子網資產的潛在受損范圍，可以進一步分析潛在受損資產的分類，繪制出安全事件態勢細化表征圖。圖4顯示了某安全事件發生時，某子網內不具備防護能力的潛在受損資產的范圍，其中:“已安裝”是指已安裝能應對本事件的端點防護軟件但未及時升級的資產數量；“未安裝”是指未安裝能應對本事件的端點防護軟件的資產數量。

圖4 安全事件態勢細化表征圖

3 實驗驗證

本方法通過網絡安全演練環境模擬了某大型公司的網絡環境、資產環境及業務環境，并進行了驗證。其中構建了六個子網，共100 000個路由資產，5 700 000個其他資產。通過實體機和虛擬機結合的方式在各子網內部署了相關軟硬件資產(主要操作系統為各類常用Windows版本)。同時為了模擬真實情況，除了模擬部署常用的安全防護體系外，各類端點上部署了不同類型和不同版本的端點防護軟件。在本環境中，經分別模擬魔窟(WannaCry)、暗云III(BootKit)、魔鼬(TROJ_ELKNOT.A)等1 000個類似事件的傳播，可驗證各特定事件的事前和事中階段的響應處置過程中。通過本方法可有效地評估態勢、支撐處置決策。下面以魔窟(WannaCry)事件為例進行態勢評估方法說明。

3.1 檢測要素生產

在端點側進行威脅文件、未知文件、注冊表、漏洞、補丁情況等檢測要素的按需檢測，在流量側進行域名、IP、端口、協議等檢測要素的按需檢測。通過人機結合方式分析，生產的WannaCry事件的檢測要素如表2所示。

表2 WannaCry事件的檢測要素

續表2

3.2 態勢動態評估

通過融合端點側、流量側按需監測數據及歷史數據，并綜合運用多種手段及推斷方法得出涉及資產、受損資產數量及潛在受損資產數量，如圖5所示。

圖5 涉及資產、受損資產及潛在受損資產數量(萬)

對于不同的安全事件規模，各子網的損害指數如表3所示。

表3 實驗結果

通過實驗結果可以看出，隨著安全事件數量的增加，各子網損害度有上升的趨勢。

3.3 可視化表征

根據上述評估數據可繪制該安全事件態勢的初步表征圖。圖6顯示了實驗環境下WannaCry事件態勢初步表征圖。

圖6 實驗環境WannaCry事件安全態勢初步表征圖(萬)

從圖6可以看出，目前惡意代碼未全面擴散，B、D、E、F子網暫未被感染。根據初步表征圖，可輔助做出全局性和網絡側判斷處置決策如下：

1) A子網和C子網先后在本事件中受損且潛在受損資產數量較大，并分別向其他子網傳播(其中A子網極可能為首先被感染子網)，可能由于其他子網防火墻對445端口的阻斷或其他子網大量涉及資產不在線的原因，目前其他子網暫未受損。為避免A、C子網對其他網絡傳播，應優先更新A、C兩子網防火墻的阻斷策略；對潛在受損資產在端點側緊急處置；有條件的話應考慮配置滅活域名。

2) B、D、E、F子網盡管暫未受損，但潛在受損數量較大(其中B子網潛在受損數量最大、E子網潛在受損占比高)，形勢最為嚴峻。

圖7顯示了B子網的潛在受損資產的細化表征圖，其中:“已安裝”是指已安裝能應對本事件的端點防護軟件但未及時升級的資產數量；“未安裝”是指未安裝能應對本事件的端點防護軟件的資產數量。

圖7 潛在受損資產安全態勢細化表征圖(萬)

根據細化表征圖，可輔助做出在B子網和端點側的判斷處置決策如下：

1) 未受損資產的主要原因是資產當前處于離線狀態(因非正常工作時間)，有必要核實并更新B子網的防火墻策略。

2) 離線潛在受損資產中，既有能通過端點防護軟件解決的情況，也有當前安裝的端點防護軟件無法處置的情況。故需制定綜合的端點處置策略，包括：處于關機狀態的主機，為避免開機后受到感染，需拔掉網線后開機，開機后使用應急免疫工具(免疫工具的主要方法為設置組策略)處理；待升級資產數量眾多，需要準備離線補丁后，在資產重啟聯網前安裝補丁。

4 結 語

本文提出了面向特定安全事件響應的態勢評估方法，針對特定安全事件對檢測要素實現按需監測，綜合采用歷史追溯、動態推斷等手段實現對涉及資產、受損資產范圍、潛在受損資產范圍的動態評估，并計算損害指數。對評估結果的可視化表征可以較好地展現不同子網的安全態勢及子網內的潛在受損資產細化態勢，輔助響應處置決策。

實驗結果表明，該方法可通過分布式網絡模擬100 000個路由資產的網絡拓撲和10萬條以上的安全事件進行各子網的安全態勢評估。通過對不同規模的事件的安全評估，可以看出評估結果較準確地反映了各子網的安全狀況，從而證明了該方法的有效性。