安全態勢感知技術在市規劃和自然資源局網絡中的應用

林立明

（杭州市規劃和自然資源局調查監測中心 浙江省杭州市 310000）

隨著互聯網技術的不斷發展，一方面規劃和自然資源系統的信息化水平日益提高，網上辦、移動辦、掌上辦、跑一次的應用普遍推廣；另一方面因為規劃和自然資源眾多數據的重要性和敏感性，需要應對各式各樣的網絡攻擊行為，特別是需要應對一些利用未知漏洞、未知惡意代碼的高級持續性威脅。

而市規劃與自然資源局共有下屬單位十幾個，對于發現的安全問題缺乏強制抓手和流程閉環的手段，無法對于單位業務交互中的安全問題進行識別阻斷和統一的通報預警，以及無法對于問題的通報展示進度和對處理結果的閉環監測。

因此，市規劃和自然資源局需要一種有效的信息自監管手段，早于監管單位發現下級有被通報風險的安全事件，而且需要一種有效的方式保證上通下達過程的效率，同時應能夠準確的判斷安全事件是否為誤報，處理過程可否支持被記錄和追蹤查看。

1 市規劃和自然資源系統的安全現狀、存在的問題和需求

1.1 傳統防護手段面臨失效

高級持續性威脅（Advanced Persistent Threat，簡稱APT）是一種可以繞過各種傳統安全檢測防護措施，通過精心偽裝、定點攻擊、長期潛伏、持續滲透等方式，伺機竊取網絡信息系統核心資料和各類情報的攻擊方式。

規劃和自然資源系統目前采用的安全防御體系包括：接入控制、安全隔離、邊界檢測/防御、終端防御、網絡審計、訪問控制等，所涉及的安全產品包括：防火墻、IDS/IPS、殺毒軟件、桌面管理軟件、網絡審計、雙因素認證Token等。這些產品的數據分析雖遍布網絡的第2至7層，但產品的核心技術仍屬于傳統防御體系。APT攻擊發生在網絡的第7層，而目前規劃和自然資源系統部署在第7層設備主要是IDS和IPS。這些設備采用經典的CIDF檢測模型，依靠匹配特征庫的模式完成對攻擊行為的檢測。反觀APT攻擊，其采用的攻擊手法和技術都是未知漏洞（0day）、未知惡意代碼等未知行為，在這種情況下，依靠已知特征、已知行為模式進行檢測的IDS和IPS設備在無法預知攻擊特征、攻擊行為的情況下，無法檢測APT攻擊。

1.2 免殺木馬無法檢測

木馬(Trojan)，也稱木馬病毒，是通過特定的程序(木馬程序)來控制另一臺計算機的軟件。木馬通常有兩個可執行程序:一個是控制端，另一個是被控制端。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。

在APT攻擊中使用的木馬通常為“免殺木馬”，這類木馬會利用加冷門殼、加花指令改程序入口點、修改內存特征碼等免殺技巧來避免自身被殺毒軟件所查殺。同時為了避免被殺毒軟件檢測并查殺，APT組織還采用了大量對抗手法，其中針對國內的安全軟件主要包括：360殺毒、瑞星殺毒、金山毒霸、金山衛士、QQ軟件管家等。在對抗過程中如果發現殺毒軟件，惡意代碼會選擇放棄執行后續的功能代碼，或者會選擇繞過殺毒軟件的檢測。

市規劃和自然資源系統雖然部署實施了終端安全管理系統，但是當遇到“免殺木馬”時，基于病毒庫檢測木馬的終端安全軟件還是力不從心，需要通過更多技術維度來檢測處置，才能保障規劃和自然資源系統終端的安全。

1.3 大量安全數據無法有效利用

目前，規劃和自然資源系統的安全事件分析思路是遍歷各個安全設備的告警日志，嘗試找出其中的關聯關系。這種分析方法不僅耗時長，效率低，而且無法檢測APT攻擊。

由于APT攻擊的隱蔽性和特殊性，傳統安全設備通常無法對APT攻擊的各個階段進行有效的檢測，無法產生相應的告警，安全人員花費大量精力進行告警日志分析往往是徒勞無功。如果采用全流量采集的思路，一方面是存儲不方便，每天產生的全流量數據會占用過多的存儲空間，沒有足夠的資源來支撐長時間的存儲；另一方面是全流量數據包含了結構化數據、非結構化數據，涵蓋了視屏、圖片、文本等等多種格式，無法直接進行格式化檢索，安全人員也就無法從海量的數據中找到有價值的信息。

因此，如何以恰當的方式長時間保存對安全分析有價值的流量數據，是規劃和自然資源系統檢測、回溯APT攻擊必須解決的問題。

2 應用方案

為了進一步提高規劃和自然資源系統網絡安全水平，有效檢測和防御各類網絡攻擊行為 ，特別是APT攻擊，將態勢感知技術應用于規劃和自然資源網絡安全領域，可以充分發揮其在檢測和防御大量高級威脅攻擊方面的特點和優勢。

2.1 技術架構

部署全流量威脅檢測的態勢感知系統可以幫助規劃和自然資源系統及時有效地發現未知威脅，提升安全管理人員對未知威脅的發現速度和效率，最大限度地降低規劃和自然資源系統受攻擊后的損失，回溯方案可以記錄規劃和自然資源網絡的任何一次網絡行為，為攻擊行為溯源提供強大的支撐。如圖1所示。

（1）在各級單位核心交換機旁掛檢測探針，實時收集網絡內的安全流量及信息，統一上報市級運營平臺進行統一的分析預警，并對預判的安全問題進行研判及通報，通過安全組件的聯動以及工單的下發實現安全的閉環處置監控。

（2）在區縣單位出口邊界部署下一代防火墻，實現邊界的訪問控制、入侵防范以及攻擊阻斷。同時配合運營平臺的聯動處置及時處置安全問題，提高縱深防御，聯動響應的能力。

（3）同時通過SAAS化服務云眼實時監測各單位互聯網網站業務的脆弱性及風險點。并將數據統一上報給市級運營中心進行統一的通報預警。

（4）市級中心平臺配合安全運營服務實現安全專家7*24實時分析預警，保障網絡的安全。

2.2 工作流程說明

工作流程如圖2所示。

（1）資產統一管理：通過安全感知平臺通報預警版，提供“互聯網網站實時監測和網絡內部威脅實時監測”，對各區縣單位、部門的自有業務資產實現統一管理（各單位網站的風險問題由云眼探測，業務及系統安全問題由部署在各級探針進行流量采集，二者統一接入省局感知平臺進行統一分析、通報、及閉環處置，實現內外網的全面安全監測體系。）

（2）7×24小時持續威脅分析預警：使用三階共享專家模式，提供7×24小時持續服務，永不休息幫助單位持續監測安全狀態；并在安全事件發生前、發生時、發生后動態調整安全策略，使單位的安全狀態逐步提升，讓單位的安全工作無論是脆弱性還是威脅，由主動開展，改變當前時刻都是救火員的狀態。

（3）監管通報：網絡中心作為網絡安全責任部門，對下屬分支進行監管和通報，并實時監控處置情況。發生安全事件后，可通過短信或郵件的方式告知資產所有人，并可添加附件及規定處理時間上限。

（4）任務認領：每一個接入的分支會拿到相應級別的管理員賬號，可以進入自己的界面進行通報任務的認領和處理。平臺會給出相應的處置建議，應對一些普通的漏洞，簡單的風險威脅，各級單位人員是具備處置能力的。

（5）全流程大屏可視。

2.3 功能模塊部署設計

全流量威脅檢測的態勢感知系統組件包括：威脅情報（云端）、流量傳感器、文件威脅鑒定器（沙箱）、威脅分析平臺。

2.3.1 威脅情報搜集和下發

在云端大量搜集與安全相關的數據，涵蓋DNS解析記錄、WHOIS信息、樣本信息、文件行為日志等內容，并針對這些信息使用機器學習、深度學習、重沙箱集群、關聯分析等分析手段，最終形成云端威脅情報下發到本地的分析平臺用于進行安全威脅檢測。

2.3.2 本地威脅檢測

流量傳感器負責將所有鏡像流量進行還原分析，提取HTTP、SMTP、POP3、FTP等文件傳輸協議中出現的文件內容，將文件通過加密通道傳送到文件威脅鑒定器（沙箱）。文件威脅鑒定器（沙箱）對所有文件進行解壓縮、格式檢查后，使用靜態檢測、半動態檢測、沙箱檢測等多種檢測手段，對文件中可能包含的惡意行為進行捕捉分析以發現高級威脅攻擊。使用該方案后，可以有效發現網絡中出現的漏洞利用行為，木馬控制行為，APT攻擊中使用的“免殺木馬”等，同時沙箱檢測還可以提供更多高級沙箱防逃逸技術，用以避免威脅攻擊繞過整個檢測系統。

2.3.3 威脅行為回溯

分析平臺可以依靠自身獨特的分布式搜索架構設計，將所有傳送至此的行為信息和告警信息進行快速地存儲并建立索引，可以長時間保存對安全分析有價值的流量數據。建立索引后的信息可以在分析平臺上快速地搜索到。安全管理人員可以利用該方案記錄過去一段時間內出現的任何一次網絡行為，發現任何一次網絡行為中的具體細節，提升網絡透明度及可視性，快速發現高級威脅并結合本地系統進行準確溯源，牢牢掌握規劃和自然資源系統網絡安全工作的主導位置，滿足上級監管單位對于安全工作的溯源及定位要求。

2.4 應用效果

浙江省一些規劃和自然資源系統通過在辦公網絡、生產網絡中多個關鍵節點試行部署網絡安全態勢感知產品，在經過日常網絡安全工作及公安攻防行動中的應用與檢驗后，都證實了其能夠大幅提升全局整體網絡安全形勢的感知能力，為網絡安全管理人員和網絡運維人員提供有效的威脅告警和處置措施，為單位領導提供一個實時了解整個規劃和自然資源系統網絡安全形勢的有力工具。

2.4.1 網站攻擊感知

部署和使用網絡安全態勢感知平臺后，能夠從其產生的安全告警中，直接掌握網站正在遭受的攻擊情況，包括攻擊趨勢、攻擊數量、攻擊類型、攻擊源分布、攻擊目標，以及攻擊結果等。從某局運用此平臺分析近1月的網站安全形勢可以看出，共發現81.6萬余次各類威脅行為，包括端口掃描、網站掃描、弱口令、WebShell利用等，同時從右邊的趨勢圖可以看出近1月每天的告警數量趨勢，這些數據使得分析人員、分管領導能夠實時掌握網站安全動態，為對日常監控網站安全狀態提供決策依據。

例如某某局網站遭受攻擊的情況，通過里面的被攻擊網站top5、攻擊類型top10功能，分析人員、分管領導能直接了解到哪些分支機構正在遭到大量攻擊、正在遭受什么類型的攻擊行為，為進一步的措施提供數據支撐。

2.4.2 終端威脅感知

部署和使用網絡安全態勢感知平臺后，使網絡安全管理人員能夠從網絡流量層面，實時捕獲終端設備發出的所有流量包括免殺木馬，檢索并匹配威脅流量，定位發出威脅流量的終端設備。例如某某局通過態勢感知平臺篩查了近1個月的終端威脅數據可以看出，近1個月內，平臺共發現了2.58萬次一直都潛藏在網絡中的終端威脅告警，包括勒索軟件、電腦病毒、僵尸網絡、黑市工具、遠控木馬等，為提前預警、采取措施提供依據。

2.4.3 惡意文件感知

部署和使用網絡安全態勢感知平臺后，通過態勢感知中的沙箱檢測技術，能夠檢測到網絡中傳播的惡意文件流量，包括僵木蠕毒文件、無文件落地的威脅流量、捆綁了惡意代碼的文件、宏病毒文件等。例如某某局通過查看文件檢測沙箱數據，共送檢3845657個文件，檢測出353個文件存在可疑行為或惡意代碼。

2.4.4 高危行為感知

部署和使用網絡安全態勢感知平臺后，通過態勢感知平臺中存儲的全流量記錄，結合威脅分析模型，能夠直接通過態勢感知平臺，了解各類資產或賬號的多種異常行為，如異常的登錄行為、異常的數據庫行為、異常的訪問行為、異常的網站服務器行為等。例如某某局針對常規檢測規則難以檢測、發現的攻擊源TOP5、被攻擊的受害IP TOP5，使得分析人員能直接發現這種業務邏輯性的攻擊行為，以采取封堵、加固等措施。

2.4.5 資產感知

部署和使用網絡安全態勢感知平臺后，可以運用資產感知能力、大數據分析能力，通過流量采集的形式，主動搜索感知到網絡中的所有資產信息,形成一份全面的資產清單表。例如某某局發布要求排查weblogic中間件、關閉weblogic IIOP模塊時，便是通過在態勢感知平臺中，所有weblogic中間件特征，查詢出一批準確的weblogic資產，避免了以往使用掃描探測手段產生的誤報、資產登記不及時導致的遺漏情況。

2.4.6 流量審計

部署和使用網絡安全態勢感知平臺后，作為流量存儲和審計的一種形式，滿足單位的等保合規需求。在公安部“HW-2020”期間，通過其他省局發現、分享的攻擊IP，某某局直接在態勢感知平臺中查詢相關IP，即能發現該IP是否訪問過相關系統、信息踩點、嘗試攻擊等行為，為做進一步的排查提供線索，極大的提升了網絡安全應急排查、響應的效率。

3 結語

市規劃和自然資源系統部署網絡安全態勢感知平臺，可以極大地提升全局網絡安全感知能力。包括在網站攻擊感知、終端威脅感知、惡意文件感知、高危行為感知、資產感知等多個維度，均能實際掌握各方面的網絡安全威脅形勢，為下一步的網絡安全防護和建設提供有力的實踐支撐。

其中，政務系統安全態勢感知：通過建立網絡安全監測預警處置平臺，對互聯網業務及政務外網資產進行全面檢測，掌握各接入單位的基本網絡信息，并對應用系統進行安全監測，感知網絡的安全態勢，幫助各接入單位掌握當前的安全形勢、安全問題，做到信息安全建設心中有數。

3.1 建立安全事件通報機制

安全專家7×24小時全天候值守，第一時間確認通報風險，保證風險零誤報，風險跟蹤，修復建議指導。風險發現后，經過專家確認，迅速下發處置平臺，跟蹤整改。

3.2 形成安全事件主動預警機制

為了積極應對網絡可能會出現的安全事件，提前有效部署防御，大數據威脅分析平臺可形成安全事件的主動預警機制，包括0day漏洞的定向預警；攻擊事件的通知與相關網站的預警；對爆發的安全問題進行分析，同步預警至相對應的系統，通知單位做好提前防范；對發現的攻擊行為進行分析、同步預警，做好提前防范。

3.3 建立響應處置結果跟蹤機制

通報預警與工單處置：構建通報預警機制，從風險發現、風險定位、通報預警，到事件歸檔的通報管理流程，預警網絡安全風險，主動防患于未然，及時將安全風險以工單形勢通報到下屬單位，推進快速處置， 并復核處置結果，通過平臺將結果與通報預警工作流程融會貫通，形成安全閉環，減輕運維人員壓力。

促進應急響應時效性，提升安全事件處置水平，對發現安全問題的系統進行處置結果的跟蹤，掌握其整改結果是否達標，是否引入新的安全問題，對安全事件的跟蹤處理形成閉環。