網(wǎng)絡安全感知系統(tǒng)技術研究與實踐

摘要：近年來，具備國家和組織背景的APT攻擊日益增多，傳統(tǒng)的相關網(wǎng)絡安全技術難以滿足日益嚴峻的網(wǎng)絡安全形勢，需要通過網(wǎng)絡安全感知系統(tǒng)用于我們實際工作中的信息網(wǎng)絡安全實時監(jiān)控，滿足網(wǎng)絡攻擊檢測和分析的需求。本文詳細論述了網(wǎng)絡安全感知系統(tǒng)的相關技術以及在實踐中的應用。

關鍵詞：網(wǎng)絡安全，安全感知

0引言

傳統(tǒng)安全防御體系的設備和產(chǎn)品遍布網(wǎng)絡2～7層的數(shù)據(jù)分析。其中，與APT攻擊相關的7層設備主要是IDS、IPS、審計，而負責7層檢測IDS、IPS采用經(jīng)典的CIDF檢測模型，該模型最核心的思想就是依靠攻擊特征庫的模式匹配完成對攻擊行為的檢測。[1]反觀APT攻擊，其采用的攻擊手法和技術都是未知漏洞（0day）、未知惡意代碼等未知行為，在這種情況下，依靠已知特征、已知行為模式進行檢測的IDS、IPS在無法預知攻擊特征、攻擊行為模式的情況下，理論上就已無法檢測APT攻擊。網(wǎng)絡安全感知系統(tǒng)及時發(fā)現(xiàn)潛藏在其網(wǎng)絡中的安全威脅，對威脅的惡意行為實現(xiàn)早期的快速發(fā)現(xiàn)，對受害目標及攻擊源頭進行精準定位，對入侵途徑及攻擊者背景的研判與溯源，從源頭上解決網(wǎng)絡中的安全問題，盡可能地減少安全威脅對組織帶來的損失。

1相關技術

（1）分析平臺

分析平臺用于存儲傳感器提交的流量日志、告警日志以及文件威脅鑒定器提交的告警日志。其次分析平臺不僅可對所有數(shù)據(jù)進行快速的處理并為檢索提供支持，還能將存儲的日志與威脅情報進行碰撞以及進行日志關聯(lián)性分析產(chǎn)生告警并能在4K的屏幕上展示威脅態(tài)勢，此外分析平臺支持對告警進行深度分析，支持以告警字段進行狩獵分析及可視化展示，以攻擊鏈的視角還原告警中的受害主機被攻擊的整個過程。[2]分析平臺承擔對所有數(shù)據(jù)進行存儲、預處理和檢索的工作。由于傳統(tǒng)關系型數(shù)據(jù)庫在面對大量數(shù)據(jù)存儲時經(jīng)常出現(xiàn)性能不足導致查詢相關數(shù)據(jù)緩慢，分析平臺底層的數(shù)據(jù)檢索模塊采用了分布式計算和搜索引擎技術對所有數(shù)據(jù)進行處理，可通過多臺設備建立集群以保證存儲空間和計算能力的供應。結(jié)合全包存儲系統(tǒng)，分析平臺可以實現(xiàn)針對精確告警的全包取證分析和自定義數(shù)據(jù)包分析能力。

（2）流量傳感器

傳感器主要負責對網(wǎng)絡流量的鏡像流量進行采集并還原，還原后的流量日志會加密傳輸給分析平臺，流量鏡像中的PE和非PE文件還原后則加密傳輸給文件威脅鑒定器進行檢測。傳感器通過對網(wǎng)絡流量進行解碼還原出真實流量，提取網(wǎng)絡層、傳輸層和應用層的頭部信息，甚至是重要負載信息，這些信息將通過加密通道傳送到分析平臺進行統(tǒng)一處理。傳感器中應用的自主知識產(chǎn)權(quán)的協(xié)議分析模塊，可以在IPv4/IPv6網(wǎng)絡環(huán)境下，支持HTTP（網(wǎng)頁）、SMTP/POP3（郵件）等主流協(xié)議的高性能分析。

同時，傳感器內(nèi)置的威脅檢測引擎，可檢測多種網(wǎng)絡協(xié)議中的攻擊行為，提供網(wǎng)頁漏洞利用、webshell上傳、網(wǎng)絡攻擊、威脅情報多種維度的告警展示，可檢測如網(wǎng)絡應用、木馬、廣告、exploit等多種網(wǎng)絡攻擊行為，也可檢測如sql注入、跨站、webshell、命令執(zhí)行、文件包含等多種web攻擊行為，內(nèi)置的webshell沙箱和webshell機器學習模塊可以精準檢測php、asp、jsp等后門并記錄相關信息[3]，擁有威脅情報實時匹配能力，能發(fā)現(xiàn)惡意軟件、APT事件等威脅，產(chǎn)生的多種告警都會加密，并傳輸給分析平臺進行統(tǒng)一分析管理。

（3）文件威脅鑒定器

文件威脅鑒定器主要負責對傳感器、手動提交、FTP、SMB、URL等多數(shù)據(jù)來源通道的樣本進行檢測。整個檢測過程中文件進行威脅情報匹配、沙箱檢測、靜態(tài)檢測與動態(tài)檢測等多種檢測，及時發(fā)現(xiàn)有惡意行為的文件并告警，告警日志可傳給分析平臺供統(tǒng)一分析。通過文件威脅鑒定器對文件進行高級威脅檢測，文件威脅鑒定器可以接收還原自傳感器的大量PE和非PE文件，使用靜態(tài)檢測、動態(tài)檢測、沙箱檢測等一系列無簽名檢測方式發(fā)現(xiàn)傳統(tǒng)安全設備無法發(fā)現(xiàn)的高級威脅，并將威脅相關情況以報告行為提供給安全管理人員。文件威脅鑒定器上的相關告警也可發(fā)送至分析平臺實現(xiàn)告警的統(tǒng)一管理和后續(xù)的進一步分析。[1]

2功能作用

（1）響應處置

威脅處置能力在信息安全建設中具有重要作用，系統(tǒng)為完善威脅分析后續(xù)的處置閉環(huán)，引入了響應處置能力，以模塊化形式在系統(tǒng)內(nèi)置了一套自動化編排響應模型，通過標準的API/openc2接口與處置設備聯(lián)動，連接暢通的情況下支持自動/手動方式的響應指令下發(fā)。主要實現(xiàn)的功能是根據(jù)告警信息對相應的設備構(gòu)建完整的響應處置工作流進行聯(lián)動與處置，實現(xiàn)安全設備間的協(xié)同防御。

根據(jù)不同使用場景，系統(tǒng)響應處置模塊提供不同級別的處置手段，主要包括以下場景：

加白名單：針對判定為誤報的告警數(shù)據(jù)，支持以添加白名單形式進行處理，后續(xù)產(chǎn)生的告警將不再通知給用戶，降低誤告警數(shù)量，提升事件處置的效率。

深度分析：基于SOAR的自動化處置編排能力，響應處置模塊結(jié)合各類告警和日志進行攻防場景的深度分析，提煉高價值告警和威脅溯源分析拓線，并將分析結(jié)果回注系統(tǒng)生成新的告警。

聯(lián)動處置：通過接口與處置設備聯(lián)動，支持自動/手動方式的響應指令下發(fā)，實現(xiàn)對威脅事件的處置動作。

（2）惡意代碼檢測

基于人工智能的殺毒引擎，依靠海量數(shù)據(jù)挖掘、引入機器智能學習算法，[3]能夠有效準確識別未知惡意軟件，能夠根據(jù)已知的正常軟件和惡意軟件的大量樣本，通過數(shù)據(jù)挖掘找出兩類軟件最具有區(qū)分度的特征，建立機器學習模型，使用機器學習算法，得到惡意軟件的識別模型。通過獲得的模型對未知程序進行分析判斷，即可獲得軟件的惡意概率，從而在可控的誤報率之下盡可能多的發(fā)現(xiàn)惡意程序。

（3）動態(tài)沙箱檢測

動態(tài)沙箱引擎采用基于硬件模擬的虛擬化動態(tài)分析技術，對APT攻擊的核心環(huán)節(jié)“惡意代碼植入”進行檢測，這種利用對惡意代碼的行為進行動態(tài)分析的方法，可以避免因為無法提前獲得未知惡意代碼特征而漏檢的問題，[1]亦即在無需提前預知惡意代碼樣本的情況下仍然可以對惡意代碼樣本進行有效的檢測，因為未知惡意代碼是APT攻擊的核心步驟，因此對未知惡意代碼樣本的有效檢測，可以有效解決APT攻擊過程的檢測問題。[1]

安全感知系統(tǒng)最大特點在于：將會提供了非常豐富的沙箱環(huán)境，這種規(guī)模化的沙箱環(huán)境可以有效保障每種待檢測的文件樣本都有其適合打開、運行的沙箱環(huán)境，同時采用了高級優(yōu)化技術，可以有效降低樣本文件在沙箱之中打開、運行過程中的內(nèi)存資源消耗、CPU資源消耗，可以以最小的資源消耗、最快的速度得出準確的檢測結(jié)果。

安全感知系統(tǒng)需要模擬沙箱環(huán)境包括：PDF沙箱、Word沙箱、瀏覽器沙箱、郵件沙箱、圖片沙箱等。同時，借助于安全感知系統(tǒng)的多核平臺，安全感知系統(tǒng)中的各種規(guī)模化沙箱可以綁定在處理器的物理核心上進行快速運行，這種進程與處理器綁定的方式可以有效降低進程在處理器的不同處理核心上切換所帶來的資源開銷，降低并發(fā)檢測線程之間的資源競爭，有效提高資源利用率。

3實踐意義

（1）解決對未知威脅檢測和行為分析的問題

傳統(tǒng)的APT防護技術專注于從自身流量和數(shù)據(jù)中通過沙箱或關聯(lián)分析等手段發(fā)現(xiàn)威脅。由于攻擊者的逃逸水平也在不斷的進步發(fā)展，本地設備會經(jīng)常性的出現(xiàn)誤報和漏報現(xiàn)象，經(jīng)常需要人工的二次分析進行篩選。同時因APT攻擊的復雜性和背景的特殊性，僅依賴于單一的數(shù)據(jù)經(jīng)常無法有效的發(fā)現(xiàn)APT攻擊背景，難以做到真正的追蹤溯源。[5]

安全感知系統(tǒng)創(chuàng)新性的從互聯(lián)網(wǎng)數(shù)據(jù)進行發(fā)掘和分析，用威脅情報的形式對各種攻擊中常出現(xiàn)的特點和背景信息進行記錄和傳輸，所以從互聯(lián)網(wǎng)進行挖掘攻擊線索可極大提升未知威脅和APT攻擊的檢出效率。基于廣闊的數(shù)據(jù)覆蓋面，系統(tǒng)的威脅檢測和行為分析有了足夠的數(shù)據(jù)基礎，可以做到更精準的攻擊溯源，極大程度上解決了對未知威脅檢測和行為分析的難題。

（2）解決網(wǎng)絡流量數(shù)據(jù)實時采集、分析、存儲及回溯的難題

傳統(tǒng)的安全事件分析思路是遍歷各個安全設備的告警日志，嘗試找出其中的關聯(lián)關系。但在實戰(zhàn)過程中，尤其是攻擊者采用某些手段進行證據(jù)銷毀工作后，依靠傳統(tǒng)的分析方式、傳統(tǒng)安全設備通常都無法對APT攻擊的各個階段進行有效的檢測。而且，通常情況下存在以下難點，一方面是存儲不方便，每天產(chǎn)生的全流量數(shù)據(jù)會占用過多的存儲空間，另一方面是全流量數(shù)據(jù)包含了結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)及多種格式的數(shù)據(jù)，無法直接進行格式化檢索，安全人員也就無法從海量的數(shù)據(jù)中找到有價值的信息。

換個角度來看攻防實戰(zhàn)，真相往往隱藏在網(wǎng)絡的流量中，安全感知系統(tǒng)采用網(wǎng)絡流量實時采集的思路，可以實現(xiàn)基于流量的威脅行為的實時采集與分析，有效解決了未知威脅的發(fā)現(xiàn)難題。配套的全包存儲組件，能提供靈活的存儲能力擴展，能對網(wǎng)絡原始數(shù)據(jù)進行全流量完整保存，能對外秒級提取海量歷史流量，還原網(wǎng)絡事件發(fā)生時的全部網(wǎng)絡通訊內(nèi)容，實現(xiàn)數(shù)據(jù)包級的數(shù)據(jù)取證和責任判定，在解決海量數(shù)據(jù)全包存儲的同時保證了威脅事件溯源的及時性與準確性。從綜合的維度上解決了網(wǎng)絡流量數(shù)據(jù)實時采集、分析、存儲及回溯的難題。

（3）解決未知惡意文件檢測的問題

目前傳統(tǒng)的文件檢測大多使用基于簽名特征庫匹配的機制，面對惡意代碼的復雜性和多樣性，傳統(tǒng)的靜態(tài)檢測技術體現(xiàn)出了局限性，已無法完全檢測新出現(xiàn)的惡意代碼。

為解決此問題，安全感知系統(tǒng)通過靜態(tài)檢測和動態(tài)檢測相結(jié)合的形式，通過動態(tài)執(zhí)行對文件進行細粒度的行為檢測，能夠從行為層面進行細致分析，精準全面分析文件屬性，解決用戶對未知惡意文件檢測的需求。

4結(jié)論

安全的對抗是動態(tài)的過程，業(yè)務在發(fā)展，網(wǎng)絡在變化，技術在革新，人員在更替，網(wǎng)絡安全絕不是一勞永逸的工作。在實戰(zhàn)攻防對抗中，監(jiān)測分析是防范攻擊行為的主要方式，在第一時間發(fā)現(xiàn)攻擊行為，可為應對提供及時支撐、為響應處置爭取充足時間，安全感知系統(tǒng)必將發(fā)揮越來越重要的作用。

參考文獻

[1]徐影.面向大型企業(yè)信息安全建設的虛擬化威脅感知技術.電信科學期刊.2016年

[2]鐘煜明.網(wǎng)絡安全分析中的大數(shù)據(jù)綜合研究.現(xiàn)代信息科技期刊.2020年

[3]趙夢.基于大數(shù)據(jù)環(huán)境的網(wǎng)絡安全態(tài)勢感知.信息網(wǎng)絡安全期刊.2016年

作者簡介

林秀明，女，漢，1982年6月生，福建莆田人，碩士，高級工程師，研究方向：信息安全。