面向APT攻擊的航天信息網絡安全預警模型研究

◆邵宇航 朱小朋 王子良 職小龍

面向APT攻擊的航天信息網絡安全預警模型研究

◆邵宇航 朱小朋 王子良 職小龍

（西安衛星測控中心 陜西 710043）

本文通過分析了航天信息地面傳輸網絡在安全防護方面的建設現狀和APT威脅，提出了以引入人工智能算法的用戶行為特征提取技術作為其主要應對手段。此技術能夠實現對用戶異常行為的準確感知與預警，對提升航天信息地面傳輸網絡的安全防護水平意義重大。

航天信息；行為特征；安全預警

航天技術作為我國戰略發展計劃中的前沿支柱技術，其在和平時期的技術共享和戰爭期間的信息支援作用必將受到競爭對手或敵對勢力的高度關注。鑒于網絡攻擊活動低成本、高收益的運行特點，通過網絡滲透的形式刺探我國航天技術發展情報、掌握系統運維規律、分析防護薄弱關節、制定深度破壞計劃的攻擊模式將成為敵對勢力的首選方案。

因此，我國航天系統需面對和防范的是一群在國家或財閥勢力支持下，具備高深網絡攻擊技能、并且攻擊目標專一、行動目的明確、持久性開展網絡攻擊活動的專業團體。

1 航天信息地面傳輸網絡安全防護能力

目前，我國航天系統中各科研院所和商業團體為節約自身運營成本，部署的各類網絡安全防護設備在抵御低強度、非明確目標的網絡攻擊時可發揮一定防護作用。但根據上文描述，從潛在的安全威脅來源、網絡攻擊組織方式以及攻擊手段綜合運用的角度分析，我國航天系統面臨的最大網絡威脅與高級可持續性威脅（Advanced Persistent Threat，APT）的攻擊樣式高度吻合。APT攻擊作為傳統網絡入侵、滲透手段的集成和綜合運用，其攻擊目標極為明確，具有極強的組織性和反偵察能力。攻擊者可通過操作系統Zero Day漏洞、社交媒介、物理擺渡等多種途徑侵入被攻擊者系統。

由于APT使用的攻擊工具多數獨立開發，攻擊行為往往持續幾個月甚至數年，導致在具有高速和大流量信息交互需求的網絡環境中，可疑流量常常湮沒于正常業務流量當中，防病毒軟件和流量監測系統很難發現并有效處理。而我國航天系統信息傳輸需求恰恰與之對應，故可推斷現有人力資源和技術儲備難以滿足抵御敵對勢力開展此類高隱蔽和長持續網絡攻擊的能力需求。

2 信息安全預警方案論證

2.1 方案設想

信息安全業界對APT攻擊鏈的劃分并未形成統一意見，我國的譚韌、倪振華等人也在各自論文《APT攻擊分層表示模型》[3]、《面向APT攻擊的網絡安全防護體系能力分析》[4]中表述了不同觀點。但雙方均認為APT攻擊者在實現攻擊行動前，須與受攻擊網絡建立有線、無線、物理擺渡或社會工程等方式的聯系。而防御難點在于其用時間換空間的攻擊方式，使得編制數量少、防護技能累積不充分的技術人員難以長時間保持對海量信息中異常流量的持續關注。

因此，若我們可有效識別并過濾掉航天信息地面通信網絡流量中的合法業務流量，同時對灰色流量采用用戶行為特征提取等分析方法，最后建立黑色流量特征庫，進而構建網絡安全預警系統，實現對航天系統信息網絡安全態勢感知和應急處置的技術串聯，將可極大壓縮APT的攻擊空間和時間，降低人工成本和技術門檻，具有較高的經濟價值和社會效益。

2.2 可行性分析

2.2.1大量合法業務流量的有效識別

相較于Internet網絡，航天信息地面傳輸網絡具有工業網絡屬性，較為清晰的網絡邊界、簡單的拓撲架構以及標準的數據傳輸規程，這些為采集和有效識別網絡中的合法業務流量降低了技術難度和時間成本。

2.2.2非法網絡行為的捕獲

隨著網絡安全防護技術的迅猛發展，主機管控、安全過濾、智能密碼鑰匙等安全防護設備在航天信息承載網中廣泛應用，有效提升社交攻擊、物理擺渡等方式的滲透侵入難度。安全管理系統、入侵檢測等設備可作為安全預警的信息源，經安全預警系統研判后，可以作為防火墻安全策略、交換機訪問控制策略更新的依據。

2.2.3安全預警技術的產品化

當前，國內外基于用戶行為特征分析的安全預警技術研究日臻成熟并走向產品化，經實踐證明，該技術產品能夠及時發現網絡中的異常情況，在提高系統自主管理能力、降低網絡異常狀況的復雜性等方面顯現出了明顯優勢。

2.3 基于用戶特征的異常流量提取方法

針對航天系統地面傳輸網絡中業務流量的行為特征，可采用不同的特征提取技術，分別如下：

2.3.1依據航天信息傳輸規程設計進行特征提取

目前業界關于APT等網絡攻擊的研究背景主要設定為以Internet網絡為代表的大型公共網絡，此類網絡拓撲架構復雜、業務類別繁多、信息規程不一，使得區分網間流量的合法屬性極為困難。但航天信息地面傳輸網絡中信息流量相對穩定，傳輸規程統一，便于網絡流量監測系統的篩選過濾。

根據分析統計，航天信息地面傳輸網絡中合法業務流量的具備14個行為特征量，通過流量監測系統對具備正常行為特征的流量進行梳理過濾，剩余灰色和黑色流量可作為網絡安全預警系統的輸入。以航天網絡中的常用協議信息流量為例，可提取的行為特征量如表1所示。

表1 航天信息常用協議行為選擇特征量

據此可對航天信息地面傳輸網絡中各類流量做初次篩除，判斷其行為是否合法。

2.3.2基于網絡流量結構穩定性的行為特征

對于符合航天信息傳輸規程的網絡流量，為避免不同鏈路通道、不同時間段、不同網絡安全預警系統部署點位、以及攻擊者偽裝欺騙等原因帶來的對非法業務流量的錯檢、漏檢情況，再次進行關于流量結構穩定性方面的行為特征提取。

利用歸一化和區間對齊等方法，通過比對歷史流量信息特征、當前流量信息生成時間與設備工作計劃、流量接收頻次、重復概率、以及流量中具有物理意義的數值連續性等結構穩定性的行為特征，達到對航天信息地面傳輸網中合法流量的準確辨識和數據清洗目的。

3 航天信息地面傳輸網絡安全預警系統

3.1 系統架構

航天信息地面傳輸網絡安全預警系統包括用戶行為數據源、數據采集與預處理、數據倉庫、用戶行為分析、特征提取與建模、異常檢測與預警、系統配置與管理、系統界面顯示共八個模塊，系統架構如圖1所示。

3.2 技術實現

（1）用戶行為采集模塊

通過對航天信息地面傳輸網絡中的數據流量，或已部署的主機管控、統一安全管理系統等安全防護設備上報的數據統計，了解網絡中固定區域或方向的業務參與程度和數據交互級別，從而實時采集用戶行為數據，為建立數據倉庫提供可靠數據來源。

（2）數據采集與預處理模塊

將采集到的數據進行預處理，經過歸一化、時標等區間對齊的方式對數據進行識別和清洗，實現航天信息地面傳輸網絡中所有合法業務流量的有效分類，剩余無法識別數據將根據用戶行為特征進行解析研判。

（3）數據倉庫模塊

數據倉庫按照已經識別確認的正常業務數據、一時難以定性的灰色信息以及網絡安全人員預先配置的具有攻擊屬性特征的黑色流量進行重新分類并存儲，供安全預警系統其他模塊分析研判。

（4）用戶行為分析模塊

用戶行為分析包括對用戶行為習慣、用戶來源、用戶分布、用戶動態、用戶關聯、系統訪問等方面的分析功能。通過對網絡歷史流量的無監督或半監督學習，完成對網絡流量屬性、分布等信息的分類、統計等工作。

（5）特征提取與建模模塊

特征提取與建模模塊是整個系統架構的核心部分，通過用戶行為分析模塊獲得用戶行為數據，再利用基于人工智能的機器學習方法對用戶的行為特征建模，并構建一個行為特征庫，作為用戶行為新數據合法性的匹配對象。

（6）異常檢測與預警模塊

異常檢測與預警模塊采用誤用檢測和異常檢測相結合的兩層混合異常檢測模型，使用基于簇中心位置變化的異常檢測方法和基于K近鄰的異常檢測算法，將用戶實時行為數據與行為模式庫中的模式進行比對與檢測，并將異常結果報告給界面模塊。

（7）系統配置與管理模塊

系統配置和系統管理模塊負責系統中各種參數的設置、對數據庫的管理和維護等工作。

（8）系統界面顯示模塊

系統界面顯示模塊負責完成預警系統監聽結果的可視化顯示、模式挖掘的結果顯示、異常分析報告顯示以及用戶命令的輸入等工作。

5 結論

本文分析了航天信息地面傳輸網絡在安全防護方面面臨的威脅，結合威脅樣式和航天系統通信網絡工作特點，提出了以提取用戶行為特征為主要應對手段的網絡安全預警系統架構及其關鍵技術。同時，在系統架構的設計中引入人工智能算法，建立合法、非法以及灰色三種行為特征庫，通過機器迭代對庫中特征和結構進行優化，從而實現安全預警模型的自動升級，對提升航天信息地面傳輸網絡整體安全防護水平有著重要的現實意義。

[1]樊世杰，陳剛，郭巍，邵峰.航天測控系統網絡安全評估與建設方法研究[J].宇航動力學學報，2017，（4）：62-65.

[2]雷璟.用戶行為特征提取及安全預警建模技術[J].中國電子科學研究院學報，2019（4）：368-372.

[3]譚韌，殷肖川，廉哲，陳玉鑫.APT攻擊分層表示模型[J].計算機應用，2017（9）：2551-2556.

[4]倪振華，劉靖旭，王澤軍，劉鵬.面向APT攻擊的網絡安全防護體系能力分析[J].兵器裝備工程學報，2017（4）：127-131.