一種基于載荷的動態安全防護框架設計*

伍 榮，羅淑丹，王邦禮

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

隨著計算機網絡的深入應用，網絡系統的安全性和可靠性成為網絡用戶關注的焦點[1]。當前，安全事件時有發生，促使網絡安全成為各國信息安全領域研究的熱點方向。與此同時，各國越來越重視網絡信息安全，產業界推出了下一代防火墻、高級威脅檢測產品、多功能融合產品等高對抗能力、更加智能的安全設備；學術界在基于聯動機制的安全防護體系[2]、安全防護人工智能技術、安全大數據技術方面開展了大量研究；越來越多的高等院校開辦了網絡安全學院。在這樣的背景下，本文提出了一種動態安全防護框架，通過安全功能載荷化，面對網絡攻擊“以變制變”，實現強對抗有效防護。

1 動態安全防護框架設計

動態安全防護總體架構采用動態防護模型、安全防護功能動態重組、安全防護服務集成和安全防護載荷（能力池）4層架構模式。其中：動態防護模型規定了安全防護動態調控流程，調控觸發方式、調控內容、評估要素等，是動態安全防護的大腦；安全防護功能動態重組從安全防護功能定義和功能分析重組著手，實現安全防護功能分解、組織、編排重構以及運行加載等能力，再與威脅結合實現動態重組功能；安全防護服務集成解決安全軟件類型多、使用復雜等問題，圍繞安全防護服務軟件集成、數據集成和信息傳輸集成展開，實現服務可擴充、加載、快照備份等能力；安全防護載荷實現對終端安全[3]防護能力、網絡安全[4]防護能力、云安全[5]防護能力的載荷化封裝，為構建安全防護載荷“能力池”提供支撐。總體架構如圖1所示。

2 動態防護模型

動態安全防護在動態調整驅動引擎的作用下，基于安全數據中心采集的各類安全數據，通過智能分析處理過程生成安全防護功能調整策略，觸發框架的防護調整邏輯，實現對安全容器（加載安全載荷的軟件框架或硬件盒子）的安全防護功能、特征庫和安全策略的動態調整，從而提升網絡動態安全防護能力，如圖2所示。

安全數據中心存儲了從各安全、網絡設備收集的大量數據，包括原始的日志、事件等數據，及經過分析處理后的安全事件等。智能化分析處理基于安全運行中心（Security Operation Center，SOC）、日志審計以及入侵檢測等系統服務，在安全大數據中主動分析排查故障、挖掘發現終端和網絡異常，在動態調整驅動引擎的推動下自動生成安全防護調整策略，用于輔助安全防護動態調整配置。調整成功后利用調整效果評估模型進行評估，將對評估有效的處置規則添加到防護預案庫，進一步提升系統的智能調整能力。

3 安全防護功能動態重組

3.1 動態重組原理

安全防護功能動態重組將現有安全技術軟件化、安全服務化以及功能原子化，通過對物理及虛擬的網絡安全設備/系統的部署方式、實現功能進行解耦?？刂茖用嬗砂踩萜鲗崿F，頂層統一通過軟件編程的方式形成安全防護功能資源池，為實現智能化、自動化的安全防護功能編排和重組提供支撐。安全防護功能重組原理如圖3所示。

將控制層面和功能實現層面分離，控制層面利用安全容器實現加載、運行，功能層面實現具體的防護能力，其中原子安全防護功能是可獨立運行、不可再分的安全防護功能。它的功能實現主要包括功能定義描述、對控制接口的系統調用、原子安全防護功能之間的信息交互、數據資源使用與管理維護、原子安全防護功能的管理配置、運行時與管控之間的事件交互以及自身運行狀態的監控。

3.2 實施機制

面對安全威脅，動態選取合理的原子安全防控功能進行重組，其中實施有效調整是重組機制的核心內容。本文提出采用基于安全特征詞加權的威脅特征與安全防控功能相似度分析技術手段。首先，采用分類算法，根據威脅特征，對解決方案庫中的解決方案進行分類。其次，分別從解決方案分類中獲取安全特征詞的權重。再次，采用余弦相似度分析，加入安全特征詞權重，將安全威脅特征與原子安全防護功能的描述、解決方案庫中安全威脅特征進行相似度分析。最后，當安全威脅特征與原子安全防護功能的描述相似度大于某個閾值（如0.7）時，則該原子安全防護功能被選擇；當安全威脅特征與解決方案庫中安全威脅特征相似度大于某個閾值（0.9）時，則該解決方案中的所有原子安全防護功能被選擇。

4 安全防護服務集成

4.1 服務集成框架

安全防護服務集成采用安全防護軟件構件化、服務化思路，從服務集成、數據集成以及信息傳輸集成等多個層面為各類安全防護服務提供集成規范和集成接口，從而實現安全防護服務的無縫集成和即插即用。安全防護服務集成如圖4所示。

4.2 安全服務類型

安全防護服務集成包含服務管理、服務集成、數據集成、信息傳輸集成、服務提供與集成界面管理和內置安全防護服務等6部分。

（1）服務管理提供服務加載/卸載、服務信息編輯、服務啟用/停用、服務狀態監控、用戶權限管理和服務日志管理等安全防護服務管理功能。

（2）服務集成包含服務注冊、服務封裝和服務組合。通過服務注冊錄入安全防護服務資源中的原始服務。通過對原始服務的封裝構建原子服務，并以原子服務為基礎，實現對不同的服務進行組合。

（3）數據集成包含數據存儲、數據訪問等功能的集成。

（4）信息傳輸集成包含服務之間進行數據交換的平臺及數據格式轉換功能，其中數據交換平臺提供訂閱/發布、P2P、請求/響應等多種模式的數據交換機制。消息格式轉換可修改當前消息格式和消息內容。

（5）服務提供與集成管理界面，一方面向各類安全容器（如終端安全容器、網絡防控容器、云安全容器等）推送安全防護服務，另一方面為安全管理員提供服務集成和服務管理的操作界面。

（6）內置安全防護服務包含身份認證、授權訪問、安全管理、漏洞補丁、攻擊分析和日志審計等基礎安全防護服務。

各類需集成的外部安全防護服務基于服務集成規范進行服務注冊和服務封裝，基于數據集成規范進行數據的存儲和訪問，基于信息傳輸集成規范實現與其他服務之間的消息傳輸。

5 安全防護功能載荷

安全防護功能載荷主要實現端安全防護功能載荷、網絡安全防護功能載荷、云安全防護功能載荷和安全防護功能載荷自身安全防護等。

5.1 端安全防護功能分析

端安全防護功能可細分為多種類型，功能分類如表1所示。

表1 端安全防護功能分類

不同的安全防護功能在操作系統上工作的層次也不相同，有的主要工作在操作系統核心態，有的工作在操作系統用戶態。載荷化封裝信息主要包含運行操作系統、特殊文件存放以及運行順序要求等。工作在Window操作系統的載荷還需要注冊表鍵值、操作系統是否重啟和驅動簽名3項信息。工作在Linux操作系統的載荷還需要內核模塊名稱和操作系統是否重啟2項信息。

5.2 網絡安全防護功能分析

網路安全防護功能大致可劃分為安全網關類、安全檢測類和安全路由類3種。

安全網關類產品的核心是網絡訪問控制（包過濾），包括五元組訪問控制和應用協議訪問控制。根據應用場景的不同，以網絡訪問控制為基礎演化出多種形態的產品，如網絡防護墻、Web應用防火墻（Web Application Firewall，WAF）以及隔離網閘等。

安全檢測類產品的核心是特征匹配和深度分析。深度分析可分為惡意代碼分析、安全威脅分析和關鍵信息分析。這些通常需要進行多包組合還原，資源消耗較大，且分析時間較長，產品形態多見于在一塊專用板卡上或者在硬件設備之外搭建一套管理中心（分析服務器）。因此，深度分析軟件可納入安全防護服務范疇，由安全防護服務集成機制實現。特征匹配主要采用正則表達式方式匹配網絡數據包。部分產品還實現了應用協議解析、還原，對應用數據進行匹配，以實現更強的檢測能力。

安全路由類產品以傳統路由交換產品為基礎發展，主要在接入認證方面發力，以構建可信網絡為目標。該類產品常常與分析決策中心配套作為決策點，執行各類安全防護操作，如思科的可信產品。

網絡安全防護功能在系統的內核態和用戶態均有相應的軟件，而內核態軟件改變通常需要重新啟動系統，同時要考慮多板卡的要素。因此，網絡安全防護功能封裝信息需要包括運行操作系統、特殊文件存放、運行順序要求、運行板卡要求、內核模塊名稱以及操作系統是否重啟等。

5.3 云安全防護功能分析

云安全防護功能包含云終端安全、云防火墻以及云安全管控等。封裝信息和端安全防控功能載荷類似，包含運行操作系統、特殊文件存放、運行順序要求外、內核模塊名稱以及操作系統是否重啟。

6 結 語

在網絡攻防對抗中，動態安全防護逐漸成為對抗網絡攻擊的主要安全解決方案。通過載荷動態調整方式，“任意”改變防護方式和防護強度，使攻擊者難以掌握目標防護情況，增大在不暴露蹤跡情況下入侵的難度，從體系框架上提升安全防護能力。