基于PPDRR模型可攻擊溯源的新型安全管理平臺的設計

◆戴翔 倪浩杰

（江蘇省國際信托有限責任公司 江蘇 210000）

1 引言

金融機構一直是網絡犯罪分子攻擊的重要目標，金融業面臨的內外威脅與日俱增，APT 攻擊事件層出不窮。2019年國家頒布網絡安全等級保護2.0 標準，明確提出安全管理中心概念，首次將安全管理中心作為五大技術防護手段之一。鑒于現今基于PDR 模型的安全管理平臺較為成熟，但存在被動防御和無溯源能力等不足。本文通過對PDR 模型優缺點的分析，提出了基于PPDRR模型可攻擊溯源的新型安全管理平臺的設計方法。

2 基于PDR 模型的傳統安全管理平臺

2.1 PDR 模型

PDR 模型是由美國ISS 公司提出，它是最早體現主動防御思想的網絡安全模型，包括Protection（保護）、Detection（檢測）、Response（響應）3 個部分。保護：采用一系列手段（認證、數據加密等）保障數據的保密性、完整性和可用性。檢測：利用各類工具檢查系統可能存在的脆弱性。響應：對涉及安全的事件、行為、過程及時作出響應，并進行處理，力求將安全事件的影響降到最低。

PDR 模型建立在基于時間安全的理論基礎之上。理論的基本思想：信息安全所有活動，都要消耗時間，要實現系統安全，須滿足條件：Pt>Dt+Rt。

注：Pt 防護時間；Dt 檢測時間；Rt 響應時間。

2.2 基于PDR 模型的傳統安全管理平臺的不足

基于PDR 模型的傳統安全管理平臺（以下簡稱傳統安全管理平臺），強調檢測的重要性，通過對物理環境、網絡通信、區域邊界和計算環境的評估來掌握系統風險，及時消除系統風險。但其也存在不足：

（1）PDR 模型側重于技術防護，未將管理和人員因素考慮在內。實踐中管理人員往往是網絡安全防護的薄弱環節。

（2）PDR 模型未考慮重大安全事件后的系統恢復問題。（3）傳統安全管理平臺缺乏溯源舉證能力。

3 新型安全管理平臺的需求

為解決傳統安全管理平臺的不足，新型安全管理平臺需求呼之欲出，要求實現以下功能：

（1）設計依托于成熟的理論模型。

（2）將管理和人員因素考慮在內。

（3）系統具備災后恢復能力。

（4）具備攻擊溯源舉證能力。

4 基于PPDRR模型可攻擊溯源的新型安全管理平臺的設計

4.1 基于PPDRR模型可攻擊溯源的新型安全管理平臺的構架

基于PPDRR模型可攻擊溯源的新型安全管理平臺（以下簡稱新型安全管理平臺）由PPDRR 模塊和攻擊溯源模塊組成，見圖1。PPDRR 模塊是改進的PDR 安全管理平臺。攻擊溯源模塊通過攻擊檢測和黑客指紋比對，為新型安全管理平臺輸出溯源舉證能力。

圖1 新型安全管理平臺框圖

4.2 PPDRR 模塊

PPDRR 模塊在PDR 模型基礎上增加了策略（Policy）和恢復（Recovery）兩部分，由策略（Policy）、防護（Protection）、檢測（Detection）、響應（Response）和恢復（Recovery）五部分組成。PPDRR 模塊一方面以安全策略為核心，通過一致性檢查、流量統計、異常分析、模式匹配等檢測方法，使系統從靜態防護轉化為動態防護；當系統異常時，根據安全策略快速作出反應，從而達到保護系統安全的目的。PPDRR 模塊另一方面將信息安全保護視為活動過程，在系統被入侵后，采取相應的措施將系統恢復到正常狀態。綜上，PPDRR模塊解決了PDR 模型未考慮管理和系統恢復等問題。

4.3 攻擊溯源模塊

PPDRR 模塊數據輸出流入攻擊溯源模塊，通過大數據和AI 技術識別攻擊、畫像黑客，使其具備溯源舉證能力，是新型安全管理平臺的核心模塊。

圖2 攻擊溯源模塊功能框圖

攻擊溯源模塊由攻擊檢測、黑客畫像、過程還原、攻擊溯源四個子模塊構成。攻擊檢測子模塊基于攻擊者視角構建威脅發現模型，以事件為單位聚類分析，發現內外部威脅。黑客畫像子模塊關聯大數據威脅情報，識別攻擊工具和特征，比對指紋庫，分析黑客背景和身份等。過程還原子模塊，以黑客視角還原攻擊細節，提供完整證據鏈。攻擊溯源子模塊，以攻擊時間軸還原過程，溯源安全事件。

5 結論

在實踐應用中，本文提出的基于PPDRR模型可攻擊溯源的新型安全管理平臺，可保證關鍵系統的保密性、完整性和可用性，最大程度避免因內外部威脅導致的系統崩潰、數據丟失等災難性事故發生。