一種針對訪問控制系統的安全態勢感知模型

李琰 胡俊

摘要：針對高安全級別信息系統提出一種利用策略和審計日志信息進行態勢感知的安全態勢感知模型。相比傳統通過入侵檢測系統采集網絡數據和系統數據進行分析的方法，該模型對于威脅事件有較強的靈敏度，能夠在系統發生威脅事件的第一時間覺察。同時模型依托可信計算技術，使整個系統運行在允許范圍內，有效提升系統防護能力，對高安全級別信息系統的安全監控有實際意義。

關鍵詞：態勢感知;訪問控制;可信計算

DOI.10.11907/rjdk.191167

中圖分類號：TP309 文獻標識碼：A 文章編號：1672-7800（2019）012-0167-06

0引言

為了增進人們對于整個系統安全態勢的了解，在網絡被攻擊后能夠及時發現并作出響應，網絡安全態勢感知技術隨之誕生。它可以綜合多方面的安全因素，從大體上動態反映網絡態勢，并對其進行分析。在發生安全事件時能夠及時預警，并展示其可能影響的范圍，從而達到有效提升網絡整體監測、響應與防護的能力。

目前，態勢感知技術主要通過采集網絡原始數據與系統運行生成的動態安全數據等信息，再通過對數據進行實時分析實現。這種方法適用于一般信息系統，而我國等級保護要求高安全級別系統需要以訪問控制機制為核心，并以可信計算功能作為訪問控制的支撐。在訪問控制規則、策略和審計日志中包含了系統安全方面的大量信息。因此，對高安全級別信息系統而言，進行態勢感知應當以利用訪問控制相關信息為主。

本文著重研究以訪問控制為核心的信息系統安全態勢感知問題，采用與傳統系統類似的安全態勢感知步驟，但是分析對象與原理依據則由訪問控制機制和可信計算機制導出。通過對訪問控制和可信計算的原理分析，提出一種基于可信計算的適用于訪問控制策略的安全態勢感知方法，并用攻擊實例說明了方法的可靠性。該研究成果對高安全級別信息系統的安全監控有實際意義。

1研究現狀

目前，人們對網絡安全態勢感知（Network Security Situ-ation Awareness，簡稱NSSA）的研究存在3種觀點：一種認為NSSA是網絡安全事件應用大數據處理和可視化技術的匯總結果，如傳統安全服務提供商（McAfee，Symantec）及新出現的重點關心APT攻擊的企業（FireEye，Mandiant）等，通過公開一些技術報告記錄APT的攻擊實例;一種認為NSSA是基于網絡安全事件融合計算的網絡安全狀態量化表達;還有觀點認為NSSA作為一種網絡安全管理工具，是網絡安全檢測的一種實現形式，并提出了諸多模型。

文獻[7]給出了網絡安全態勢感知的目的，認為它是將態勢感知的理論和方法應用到網絡安全領域，幫助網絡安全人員實時把握整個網絡的安全狀態，并提供決策支持，同時給出了網絡安全態勢感知的一般功能模型;文獻[8]強調數據融合是態勢感知的核心手段;文獻[9]將“網絡安全態勢感知視為態勢感知的一個子集，其主要關注的是網絡安全領域，數據源主要是IDS的警報、脆弱性信息等”;文獻[10]則是電力企業使用日志進行異常檢測的應用;文獻[11]提出了訪問控制的形式化和機制描述，引入了主體、客體和訪問控制矩陣的概念;文獻[12]描述了訪問控制是授權方通過設置訪問控制策略，限制請求方的行為和操作，進而允許或禁止請求方進行相應服務請求的方法手段;文獻[13]介紹可信計算是一種包括可信硬件、可信軟件、可信網絡和可信計算應用等諸多方面的信息系統安全技術，并對可信計算的思想、理論、技術進行了相關闡述。

2相關概念

2.1網絡安全態勢感知

網絡安全態勢感知是對網絡系統安全狀態的認知過程，它從系統中獲取測量到的原始數據并進行分析，經過融合處理和對系統背景狀態及活動語意的提取，識別系統的各類網絡活動并發現其中異?；顒拥囊鈭D，從而獲得系統當前網絡安全態勢和該態勢對網絡系統正常行為的影響情況。

圖1為文獻[7]中給出的網絡安全態勢感知模型，數據進入系統后共分為網絡安全態勢覺察、網絡安全態勢理解、網絡安全態勢投射3個步驟。

網絡安全態勢覺察的主要目的是辨識出系統中的活動，通過對原始數據進行降噪以及標準化處理，得到有效信息，然后對信息進行關聯分析，進一步識別出異?；顒?。

網絡安全態勢理解的主要任務是根據異?；顒永斫馄湟鈭D，發現異常活動的攻擊手段與攻擊目標等信息。

網絡安全態勢投射的基本任務是基于識別出的攻擊活動，評估已經出現的攻擊行為對被管網絡的危害和可能發生的攻擊行為對被管網絡造成的潛在威脅。其主要任務是在上述基礎上分析并評估威脅事件對當前系統中各對象的威脅情況，發現威脅事件已經產生或可能產生的影響。

2.2訪問控制

訪問控制是授權者通過限制請求者的行為和操作，進而允許或限制請求者訪問能力或范圍的方法手段。該技術通過既定策略組成策略庫，將系統中所有合法操作進行標識，從而準許或限制所有主體對客體的訪問能力及范圍，達到保證整個系統時刻都運行在規定權限內的目的。其核心在于如果根據授權策略對用戶進行授權，擁有權限的就是合法用戶，沒有權限的就是非法用戶，授權策略對所有訪問進行統一控制。

因此，它具有防止非法用戶訪問受保護的資源、允許合法用戶訪問受保護的資源以及防止合法用戶對于受保護的資源進行非授權訪問的特點。其作為實現安全操作系統的核心技術，既是系統安全的一個解決方案，又是保證信息機密性和完整性的關鍵技術。目前，對訪問控制的研究已經成為計算機科學的熱點之一。

訪問控制系統一般使用引用監視器模型，如圖2所示，它通過安全策略庫對訪問行為進行驗證，根據訪問控制策略判斷行為究竟是被允許還是禁止，同時整個過程中的訪問行為和訪問結果記錄在審計系統中。

2.3可信計算

可信計算是一種信息系統安全新技術，包括可信硬件、可信軟件、可信網絡和可信計算應用等。系統在計算運算的同時進行安全防護，計算全程可測可控，并且不被干擾。通過這種方式可以使計算結果總是與預期結果相符。

可信度量機制在可信計算中扮演著重要角色，通過可信度量機制可以判斷系統是否仍然處于可信狀態。目前，國內外對可信度量的研究主要集中在完整性檢測上。它通過對需要保護的程序、數據或者代碼進行散列計算，將得到的散列值作為參考散列值，并在系統運行過程中定期進行重新計算、對比，為系統狀態是否可信提供重要判斷依據。

3模型提出

本文基于訪問控制與可信計算原理，提出了針對訪問控制系統的安全態勢感知模型及其工作步驟，并描述了不同步驟下安全態勢感知所實現的功能。

3.1理論分析

傳統安全態勢感知根據入侵檢測系統得到的信息，包括流量信息、主機運行的動態信息等去尋找可能發生的威脅事件。其中，態勢覺察采集信息、態勢理解分析信息、態勢投射將分析結果映射到系統中，從而找到威脅事件，將其理解為獲取信息一分析信息一映射信息以判斷安全狀況的過程。在訪問控制系統中，這一過程同樣適用，因此認為訪問控制系統的態勢感知也包括態勢覺察、態勢理解、態勢投射3個步驟。

在訪問控制系統中，安全策略已被部署，通過審計機制可獲得安全策略執行情況相關信息，外部威脅利用訪控策略的不完善和訪控執行機制的漏洞入侵系統，對訪問控制機制的安全態勢感知是根據安全策略和審計信息，判斷威脅事件的影響范圍，并追溯可能的攻擊源頭，查找威脅事件，而可信機制可以在這一過程中協助篩選。

下文通過基于訪問控制模型的理論分析確定訪問控制系統安全態勢感知的基本原理和每一步驟的主要功能。訪問控制機制可實現將計算機內部主體對客體的訪問行為限制運行在允許范圍內，可用訪問控制矩陣描述訪問控制規則，如圖3所示。

但訪問控制策略的不完備性，使得訪問控制系統仍然存在被攻擊的可能，可信計算機制在整個過程中為其提供保障。在訪問控制系統中，通過對執行程序、動態庫等主體進行可信度量，可信度量可以確認這些可執行代碼的初始狀態是否被篡改。同時，訪問控制系統對所有可影響主體屬性及完整性的行為進行審計。

如審計機制發現違法行為或可信度量機制發現被篡改的主體，則表示系統中存在攻擊行為，此時需要分析審計信息以確認攻擊影響范圍，追溯攻擊源頭，這便是訪問控制系統態勢感知要解決的問題。系統中的主體集合s由不可信集合s*與可信集合s組成，即：

S=S*+S'（11）

在此過程中，記錄各主體的用戶屬性，那么s*集合中的主體所記錄的用戶屬性為嫌疑用戶，在s集合中的主體所記錄的用戶屬性為正常用戶。

3.2網絡安全態勢覺察

網絡安全態勢覺察的目的是為了發現威脅行為，系統可通過審計和可信度量獲得覺察信息，在審計信息中可以獲得違反p*的行為和p*中影響主體屬性與完整性的行為。

綜上所述，通過態勢投射模塊可以得到節點中易受威脅的資源集合Siner，以及節點現有策略對于威脅行為Acta→b的敏感程度，這些可以幫助系統管理員更好地掌握威脅事件對于系統各節點的影響，并且可以幫助管理員制定更加合適的防御策略。

由于態勢感知是基于原子攻擊行為對于策略庫白名單的影響，因此其感知結果與防護體系核心策略庫能夠直接進行更新，從而態勢感知系統在輸出整個系統安全態勢的同時，也具有為防護體系輸出策略，提升整體系統防護能力的作用。

4模型驗證

本文對2017年發生的Wannacry勒索病毒攻擊事件進行復盤，從而證明該模型方案的有效性。此事件中，由于在病毒擴散前期不能有效發現并阻止，導致其擴散速度較快，產生了較大影響，而該系統可以在第一時間發現威脅事件并將更多信息反饋給管理員以便能夠及時響應。

4.1病毒原理

Wannacry勒索病毒使用“永恒之藍”漏洞工具，利用cve-2017-0144漏洞進行網絡端口掃描攻擊，目標機器在被成功攻陷后會從攻擊機下載Wannacry木馬進行感染，并將其作為新的攻擊機繼續掃描互聯網或者局域網內的其它主機從而造成大范圍快速擴散。

該漏洞錯誤處理了網絡傳人的數據長度，導致復制數據時出現內存溢出。溢出的數據覆蓋了用于接收數據的內存區域指針，把合法地址修改成了系統保留區域（KI_USER_SHARED_DATA0xffdf0000）的地址，導致后續發來的數據覆蓋了系統保留區域。系統保留區域中存放了系統調用返回（systemCallReturn）地址，從而在網絡接收系統調用完成后會跳轉到攻擊者精心布置的代碼中，使攻擊者成功執行shellcode獲得超級用戶權限。

4.2感知防御勒索病毒攻擊

4.2.1態勢覺察

攻擊成功需要具備4個必要條件：445端口開啟;下載病毒母體程序mssecsvc.exe;病毒母體程序mssecsvc.exe擁有運行權限;相關勒索程序tasksche.exe、taskdl.exe、Wa-naDeeryptor@.exe擁有運行權限。

如果445端口沒有開啟，則計算機不會感染勒索病毒。假設計算機的445端口是開啟狀態，那么在病毒攻擊階段，本系統可通過主動、被動兩種方式覺察到該威脅行為。

系統可主動通過定期進行的可信度量，發現系統中存在的不可信應用程序，即病毒母體程序，從而發現該威脅行為。同時也可在程序運行過程中，由安全策略模型被動發現病毒程序運行所需要的權限，不在系統當前安全策略模型中。

4.2.2態勢理解

針對態勢覺察發現的主體程序，再次利用可信計算的完整性度量過濾沒有被篡改的內容，從而留下被篡改的程序或進程，得到其入侵路徑。

4.2.3態勢投射

根據態勢理解模塊得到的人侵路徑信息，利用資源是否存在與路徑是否存在，判斷系統中其它計算機是否會被該病毒感染，從而實現態勢投射功能。

至此，整個態勢感知系統運行完畢，相比傳統網絡安全態勢感知，以訪問控制為核心安全保護機制的態勢感知對于判斷病毒或危險行為具有更高的靈敏度。

5結語

該研究能夠為以訪問控制為核心安全保護機制的信息系統提供符合訪問策略的網絡安全態勢感知功能。傳統網絡安全態勢感知依靠入侵監測系統發現攻擊活動，但其存在大量誤報和漏洞的缺陷，有一定的滯后性。而訪問控制系統特有的策略信息與審計信息，則可以使整個態勢感知過程變得更加準確，并且在可信計算環境下保證信息的完整性，能夠進一步提升系統的安全防護能力。

本研究具有一定的使用場景，其威脅行為的發現與態勢投射環節均利用了訪問控制機制中的策略庫，未來可以考慮將其與防御機制更密切地相結合，使其防護能力得到進一步提升。