基于邊緣計算的智能主機微隔離技術

李坤 郝艷

（公安部第一研究所 北京市 100048）

1 概述

隨著大數據、云計算、機器學習等技術的發展，數據深度挖掘和分析以及其所帶來的自動化和智能化決策應用在信息化和網絡安全領域迅速擴張，其中信息化設備的數量和信息化設備的種類越來越豐富和復雜導致給網絡安全的防護和監測工作帶來巨大挑戰。而且如果對海量主機、網絡、安全等基礎網絡安全數據集中收集和存儲將帶來巨大的網絡帶寬、數據存儲、分析計算的壓力，大大增加網絡安全在整個數據中心建設的成本。邊緣計算的技術發展有效的解決的這個問題。現在大型企事業單位存在網絡內網分區分域不足等問題，內網未能構建立體化、多層次的縱深防御體系，缺少對攻擊行為的監測、發現和阻斷能力，在攻擊者進入內網后可以輕易進行橫向滲透和縱向滲透。而且內網存在設備類型越來越多，移動設備、IOT 等類型設備逐漸接入網絡，更需進行內網隔離，開展基于微隔離的內網主機的東西向隔離，成為網絡安全防護的必須，傳統主機微隔離的配置為人工配置，耗時耗力，且靈活性不足，不能快速根據業務的調整進行匹配升級。而且網絡規模巨大，主機微隔離策略分析需要的數據類型包含主機日志、網絡流量數據等海量數據，而且需要長時間的學習時間，基于大數據、云計算技術的集中式數據處理模型因其存儲特點與傳輸帶寬限制已經無法滿足數據處理的實時性和高效性需求。

本文研究設計了一種利用邊緣計算進行大型內網的智能微隔離的技術方法。通過對大數據智能分析、邊緣計算、機器學習技術等關鍵技術的研究，構建大型內網的快速、準確、實用的網絡訪問控制和東西向流量的攔截能力，通過有效的智能實現整個內網的聯動防護能力。

本文提出了一種基于邊緣計算的智能微隔離的技術方案：

（1）研究智能微隔離的技術思路，以適應內網東西向流量訪問控制的使用。

（2）設計適應邊緣計算架構的流量、主機、后臺的內網主機防護新模型。

通過實驗測試，該方案具有較高的效率和準確率，并可以有效優化減少云中心不必要的計算資源和數據存儲，減少存儲資源使用。

2 關鍵技術

2.1 邊緣計算技術

邊緣計算，是主要依靠數據源一側開展計算、分析、處置，構建網絡、計算、存儲、應用核心能力為一體的系統平臺。并滿足實時業務、應用智能、安全與隱私保護等方面的基本需求。有效減少海量數據集中采集、處理和存儲而帶來巨大的網絡帶寬、數據存儲、分析計算的資源投入，在提高性能的同時大大減少成本投入。

2.2 主機防火墻技術

主機微隔離實現主要是通過主機內核防火墻模塊的修改和調用實現，以Linux 為例，通過調用Linux 的內核的netfiter 框架實現，netfilter 的通用框架不依賴于具體的協議，而是為每種網絡協議定義一套鉤子函數。這些鉤子函數在數據包經過協議棧的幾個關鍵點時被調用，對于每種網絡協議定義的鉤子函數，任何內核模塊可以對每種協議的一個或多個鉤子函數進行注冊，實現掛接。這樣當某個數據包被傳遞給netfilter 框架時，內核能檢測到是否有有關模塊對該協議和鉤子函數進行了注冊，如發現注冊信息則調用該模塊在注冊時使用的回調函數，然后對應模塊去檢查、修改、丟棄該數據包及指示netfilter 將該數據包傳入用戶空間的隊列。鉤子函數提供了一種方便的機制，以便在數據包通過Linux 內核的不同位置上截獲和操作處理數據包

3 技術研究

3.1 主機性能監控

主機性能監控，主要通過在業務主機上安裝客戶端進行CPU、內存、硬盤、進程、網絡帶寬占用率等方面的監控，客戶端持續監測主機性能，形成主機監控畫像，刻畫主機應用性能損耗的平均值和最大值，以遍合理調用合適的業務節點進行基于邊緣計算的網絡安全數據的采集和分析，并避免對業務產生影響。

3.2 大數據分析

通過邊緣分析對海量數據進行采集、清洗和分析，形成各個設備的數據“寬表”，刻畫網絡設備正常的網絡行為態勢和軌跡。后臺管理系統可以根據各個主機刻畫出的主機流量和網絡行為畫像，構建一套對所有主機流量的畫像，形成全網主機的流量行為動態地圖。為了提升數據分析的準確度和時效性，內置了三種處理算法，分別為自動聚合決策、順序優先匹配及加權優先匹配。自動聚合算法無需手動配置干預，它會根據設備端接收的數據量、頻次及范圍等維度，精確歸納數據類型，消除噪音數據；順序優先匹配算法則按照添加次序自然匹配，具備相對敏捷的處理時效；加權優先匹配算法提供了更開放的操作范圍，可依據實際情況對可用情報源進行權值調整，具備足夠的靈活性。

3.3 主機行為畫像

通過主機客戶端對主機網絡行為進行畫像，主要監測業務主機主要通信的主機和進程，通過調用系統網絡驅動組件，刻畫出主機的業務的網絡行為，和一個時間段內的主機網絡行為，比如網絡通信的目的IP、網絡通信端口、流量大小、通信時間段、誰主動發起等。

3.4 私有協議加密通信

客戶端和管理平臺之間的管理流量和數據報送流量，都非常敏感，我們計劃采用封裝在UDP 下的私有協議加密流量進行傳輸通信，采用SM4 國密算法進行加密。

邊緣網絡高度動態靈活的環境使網絡更易受到攻擊。傳統的網絡攻擊對邊緣網絡的攻擊雖不會像對核心網絡的攻擊那樣造成大范圍的危害，但仍會造成整體環境的不穩定性，進而影響正常的網絡服務。

3.5 分布式加密存儲

通過主機性能監控發現部分主機的存儲進行判斷，針對利用率不高的主機進行分布式存儲，采用多副本備份防止節點數據丟失。由于邊緣計算的分布式部署特點，邊緣計算中的數據防泄漏成為防護的重點。特別是保障某個邊緣節點被攻破后，存儲的敏感信息不會泄露。

在節點上存儲的內容采用SM 國密算法加密，本機加密秘鑰動態變化，且不在宿主機上存儲。

3.6 數據完整性保護

分布式數據的完整性和準確性是正確數據分析的關鍵，數據完整性保護技術在對數據進行外包、控制權移交、格式轉換等操作之前，最先進行的是對數據的完整性校驗；其次，數據在存儲或傳輸過程中，也可能會被惡意或偶然修改、刪除、偽造等；此外，邊緣計算的基礎設施多位于網絡邊緣，缺少可供數據備份、恢復的存儲資源，也缺乏有效的審計措施，攻擊者可能修改或刪除用戶在邊緣節點上的數據來銷毀某些證據。根據邊緣計算架構的特點，采用數字簽名技術可以有效保證數據完整性。采用SM3 離散算法能夠驗證數據的可靠性與完整性。

3.7 網絡流量分析

針對部分主機沒有在內網安裝客戶端，無法從該主機監測網絡行為，則采用網絡流量分析設備對內網流量行為進行采集，并通過網絡流量分析設備進行行為分析，壓縮數據大小，發送給后臺管理系統，可以發現哪些設備未安裝客戶端，也方便對未安裝客戶端的設備進行東西向流量的訪問控制。

3.8 可視化展示

需自帶可視化統計分析模塊，通過網絡態勢地圖，可對網絡通信的更新狀態、策略分布情況及阻斷態勢進行直觀的全局展示；通過攔截信息和網絡流量統計信息，可快速定位當前網絡的主要風險點，以便用戶準確掌握安全態勢。

4 總體設計

基于邊緣計算的智能主機微隔離系統設計構建主要包含三個部分，一個是管理后臺、主機客戶端以及流量鏡像分析設備。

因為采用的是“邊緣計算”技術，后臺系統體量較小，主要承擔管理、策略分析下發、核心數據分析等功能，主機客戶端主要承擔數據采集、數據存儲、數據分析、策略執行等方面的功能，流量分析設備主要承擔流量分析，網絡流量行為分析提取、網絡數據存儲等功能。

具體流程圖1所示。

圖1：邊緣計算的智能主機微隔離系統設計流程圖

4.1 管理后臺

（1）在管理后臺構建多類數據分析引擎：

首先是聚類關聯分析引擎，聚類是針對數據的相似性和差異性將一組數據分為幾個類別。屬于同一類別的數據間的相似性很大，但不同類別之間數據的相似性很小，跨類的數據關聯性很低。關聯規則是隱藏在數據項之間的關聯或相互關系，即可以根據一個數據項的出現推導出其他數據項的出現。關聯規則的挖掘過程主要包括兩個階段：第一階段為從海量原始數據中找出各臺主機的網絡行為畫像；第二階段為從各個設備的畫像產生關聯規則，構建關聯地圖。

其次是深度學習分析引擎，深度學習是機器學習中一種基于對數據進行表征學習的方法。表征學習的目標是尋求更好的表示方法并創建更好的模型來從大規模未標記數據中學習這些表示方法。深度學習的好處是用非監督式或半監督式的特征學習和分層特征提取高效算法來替代手工獲取特征通過數種深度學習框架，如深度神經網絡、卷積神經網絡和深度信念網絡和遞歸神經網絡等進行數據和規則的自動去重、去雜歸納壓縮等。

最后是數理統計分析引擎，數理統計學是統計學的數學基礎，研究怎樣有效地收集、整理和分析帶有隨機性的數據，以對所考察的問題作出推斷或預測，直至為采取一定的決策和行動提供依據和建議。建立數學模型，收集整理數據，進行統計推斷、預測和決策。

（2）在策略執行中，為保障準確性采用自動處置與人工研判相結合的方式以適應不同安全防護級別的配置需求。

4.2 主機客戶端

主機客戶端主要包含資源監控、數據分析統計、策略執行三個功能。其中資源監控主要監控內容至少包含服務器系統CPU、內存、磁盤、網絡IO 等基礎計算系統資源。并發連接數、PV 值、每秒請求數及每秒出入網流量等主機網絡資源，以便進行計算資源的調度和監控。數據分析統計是對所有本機的網絡連接進行統計和學習，對本機的網絡行為進行基于規則的聚合。策略執行是進行主機防火墻的規則的調配，進行訪問控制策略的實施。

4.3 網絡流量監測

流量采集通過在核心交換機、核心路由器旁路部署流探針流方式實現，基于采集到的網絡流量進行初步的網絡流量行為識別實現網絡流量安全監測。流探針作為主機客戶端的數據補充，將流量中的訪問關系清洗、匯總后按照規范的格式傳送到管理后臺系統進行集中的分類存儲、分析處理和可視化呈現。

5 實驗驗證

為驗證系統的技術可行性和效果，基于vmware vsphere 構建虛擬化網絡和計算環境，具體網絡架構如圖2所示。主機客戶端通過下發鉤子腳本采集網絡通信的IP、端口和協議，采集網絡信息。通過系統組件命令查看CPU、內存、硬盤等信息。掌握主機情況。通過腳本進行協議撰寫提取主機情況，通過調用netfilter 框架的鉤子函數進行訪問控制策略下發。實現整個流程。，生成的web 服務器、數據庫服務器、辦公終端的訪問關系符合正常的業務訪問關系，實驗驗證了本技術方案的可行性。

圖2：邊緣計算的智能主機微隔離系統實驗環境架構圖

6 總結與展望

主機作為網絡安全攻防對抗的主戰場，必須進行加強型防護。在主機安全和云安全領域加強基于邊緣計算的智能主機微隔離技術研究，在信息化高速發展，大量云數據中心網絡安全、數據安全重要性日趨增加的今天，必定是一個發展趨勢，但本文在數據分析引擎、整體研究架構、行為匹配模型的研究還處于初級階段，需要人工介入較多。下一步將在機器學習方面優化和完善，突出智能化能力構建，形成大型內網東西向流量防護的有效技術方案。