威脅情報輔助研判系統在電力系統安全運維中的應用

李寒箬，張振紅

（云南電網有限責任公司信盧中心，昆明 650217）

電力安全事關國家安全，影響國計民生。近幾年來，國際上針對電力行業關鍵信盧基礎設施的網絡攻擊日益頻繁，電力系統的信盧安全防護面臨著嚴峻挑戰，及時發現、處置重大安全風險和隱患是電力系統安全穩定運行的重要保障。隨著信盧技術的飛速發展和國家構建以新能源為主體的新型電力系統戰略的提出，電力行業的信盧網絡規模逐步擴大，其廣泛的覆蓋范圍、多元化的網絡結構和復雜的網絡分區，使得電力系統各安全防護設備的告警數量日益增多，給企業的日常運維帶來了巨大挑戰。目前，當安全事件發生時，監控人員往往難以從海量日志和告警數據中快速定位故障，而是需要根據優先等級對各事件起因進行順序排查，對于一些影響程度較大的安全事件，無法及時判斷其準確性和嚴重性，就不能及時進行后續處理，甚至可能導致事件范圍擴大，造成嚴重的經濟損失和社會危害。

1 電力系統網絡安全告警現狀

目前，很多電力企業已建設了大量信盧安全專業防護系統來保障電力系統的安全可靠運行，包括防毒墻、入侵防御系統、入侵檢測系統、Web 應用防火墻、上網行為管理、主機安全防護、網絡阻斷系統、動態防護系統、防篡改和流量回溯等。但各廠家設備和系統因檢測原理和告警規則的不同，造成安全事件的大量上報，很多事件其實是同一類事件或相關相近的事件，但因這些事件的告警信盧間缺乏聚合處理及威脅情報的關聯分析，導致關鍵的安全事件被大量無效報警淹沒，安全人員每天疲于應對成千上萬的告警無法做到逐條分析，大大降低了運維工作效率，甚至面臨著漏掉高威脅事件的風險。

本文基于威脅情報數據的告警關聯分析技術提出一種威脅情報輔助研判系統，該系統通過將企業運行的各類安全防護系統事件日志統一關聯起來，并對日志告警進行監控分析和輔助研判，實現網絡安全事件的準確定位和威脅評估、預警，提高安全事件分析的準確性和實時性，同時為企業安全團隊快速響應和處置威脅提供依據。

2 一種告警關聯分析系統的架構設計與實現

2.1 告警關聯分析現有技術及發展趨勢

2.1.1 告警關聯分析技術現狀

告警關聯分析的主要目的是通過對告警數據進行壓縮、過濾及分析等操作，找到數據之間潛在的關聯性，并通過這些關聯信盧從一組告警序列中推理出指示故障根源的告警。常見的告警關聯分析技術有基于統計分析的聚類技術、基于因果分析的關聯技術和基于規則的關聯分析方法等。其中，基于規則的關聯分析是目前最常用的一種告警關聯分析方法，其按系統預先內置或用戶自定義維護的關聯規則對平臺采集的范式化后的日志進行規則模型匹配分析，并按規則設定進行告警。

2.1.2 告警關聯分析技術發展趨勢

基于規則的告警關聯分析方法主要針對已知安全事件分析，這種依賴人工經驗建立的關聯關系存在規則覆蓋不全，創建新的關聯規則周期長、成本高等特點，越來越難以應對快速變化的安全威脅。隨著當前網絡攻擊形勢不斷演變，安全告警關聯分析需要結合網絡環境的動態變化、網絡流量、TTPs（戰術、技術和程序）、上下文信盧和攻擊鏈上的樣本等豐富情報信盧，通過實現日志告警和威脅情報數據的關聯分析，持續了解真實攻擊的本質、意圖、技術和造成損害的能力，將傳統的“被動防御”轉變為積極的“主動防御”。

2.2 威脅情報輔助研判系統的架構設計

基于威脅情報數據的告警關聯分析技術，本文提出了一種威脅情報輔助研判系統，其架構設計如圖1 所示。威脅情報輔助研判系統將通過日志系統獲取的各類安全設備告警和日志信盧，經關聯分析和輔助研判后，分析出安全告警的可信程度，過濾掉告警中的噪音事件，從而增加本地安全告警的精準度，讓企業安全人員可以迅速定位威脅來源和相關聯的資產和業務，并及時通過工單和處置流程進行快速響應。

圖1 威脅情報輔助研判系統架構圖

威脅情報輔助研判系統包括數據過濾模塊、關聯情報分析模塊、數據存儲模塊和數據可視化模塊。數據過濾模塊主要完成告警數據的過濾和聚合處理，關聯情報分析模塊引入威脅情報數據進行告警數據聯合分析，數據存儲模塊對經過濾和關聯情報分析后的威脅信盧進行本地存儲，數據可視化模塊將加載的數據以數據表、餅圖、面積圖、折線圖、數字和柱狀圖等方式進行展示。

威脅情報輔助研判系統集威脅情報查詢、威脅情報輔助研判功能于一體，實現了告警數據的過濾和關聯情報分析服務、威脅情報數據搜索查詢和存儲服務、數據往自動化運維平臺的數據傳輸接口、威脅情報文件的上傳下載、用戶交互界面及用戶管理等功能，系統在日志系統和自動化運維平臺中間提供了攻擊源威脅情報的分析和輔助研判，可大大提升企業對安全事件的監測分析能力和威脅處置效率。

2.3 系統實現功能及特點

2.3.1 系統實現的功能

告警優化：為了更加準確高效地提取和過濾告警數據，本系統對日志告警信盧進行過濾和聚合處理，首先通過過濾除掉與系統安全沒有關系的虛假告警和反復出現的冗余告警，然后對告警信盧中存在著的各種關系（有的告警來源于同一個攻擊，有的告警之間存在著因果關系等）的安全事件通過聚合相同或相近的告警對其數量進行精簡，提高網絡安全事件分析的準確性和實時性。

輔助研判：威脅情報數據具備豐富的上下文信盧，本系統利用威脅情報數據對優化后的告警信盧進行關聯分析，根據已知線索對攻擊對手、攻擊手法、攻擊途徑、攻擊資源和攻擊位置后果等進行深度研判和拓展分析，獲得惡意文件的HASH（哈希值）、主機特征、網絡特征、事件特征、組織和人員情報等維度的情報數據，快速定位和溯源攻擊者、判定攻擊目的及分析攻擊細節，通過線索的利用和聯動分析，實現安全告警的輔助研判。

本地威脅情報庫：本系統通過全面采集多源威脅情報、多維度分析威脅信盧等構建基于攻擊組織的關聯圖譜，搭建本地威脅情報庫。當出現新的攻擊事件的時候，系統以待檢測的告警事件（攻擊組織）作為輸入，通過攻擊組織研判模型進行一致性判定，并輸出研判結果。系統還提供專供內部使用的Web 交互查詢界面，實現告警威脅歷史信盧的記錄和關聯搜索，輕松地將來自過去的攻擊者活動的信盧與當前的信盧進行關聯，并從過去的攻擊中學習，主動阻止攻擊者當前和未來可能的攻擊。

聯動處置：本系統最后將帶有威脅情報數據的告警信盧發送到自動化運維系統與基礎安全設施聯動，實現對真實攻擊的聯動處置。

溯源分析和主動防御：本系統不僅可定位已發生的威脅，還可輸入高級威脅情報、熱點事件和熱點漏洞等信盧，從攻擊者視角情報，實現對威脅進行舉證或溯源分析，幫助用戶實現主動防御。

2.3.2 系統特點

威脅情報輔助研判系統是一套高級威脅情報分析研判工具，其收集不同來源的安全告警信盧對其進行過濾和輔助研判，并輸出研判結果，同時能對脆弱性較大、威脅較多和存在異常的IP 給出安全處置建議。該系統一端對接日志系統，一端對接自動化運維系統，也可作為中間件實現靈活部署，根據企業的實際情況對接各類安全事件源和聯動處置設備，從而滿足企業不同平臺的安全需求。

2.4 系統部署及應用

2.4.1 系統部署方式

威脅情報輔助研判系統基于現有的安全數據分析平臺，日志系統和安全運維平臺即自動化運維系統進行部署，系統使用HTTP 協議接收日志系統數據和發送數據到自動化運維系統，使用Spring Security+JWT 實現用戶認證及授權，使用Maven 管理項目依賴。系統使用Spring Data JPA 訪問MySQL 數據庫，使用Tomcat 作為Web 服務器，實現用戶交互。其安裝部署流程：開始—選擇符合運行環境的服務器—安裝系統運行所需要的JDK—安裝系統運行所需要的MySQL—進入項目路徑下放置架包—啟動架包—結束。

2.4.2 系統工作流程

威脅情報輔助研判系統的工作流程如圖2 所示。系統從日志系統提取告警數據，對海量告警信盧進行過濾和分析，然后調用威脅情報系統的威脅情報數據對優化后的告警信盧和IP 指紋、Web 指紋、IP 信盧、域名信盧、漏洞庫、樣本庫、IP 信譽、域名信譽、URL 信譽、文件信譽和C&C 信譽等信盧進行多維度的關聯分析。系統把研判分析后的威脅情報和資產信盧存儲到本地，實現后續相同的IP 等直接從本地數據庫獲取，最后把帶有威脅情報數據的告警信盧發送到自動化運維系統進行聯動處置。

圖2 系統工作流程圖

2.4.3 系統在某電力企業中的實際應用

目前系統在某電力企業部署近4 個月，平臺自上線以來，共采集2 個數據中心網絡的8 個關鍵網絡節點，覆蓋了該企業全網主要業務流量數據。在威脅情報輔助研判系統部署之前，安全人員面對告警無法對其攻擊源IP 進行有效判斷，系統部署后，安全人員可將告警數據和威脅情報數據進行關聯分析并輔助研判，確定IP 是否是惡意行為并快速鎖定攻擊。本系統上線后，平均每月輔助分析外部攻擊約20 萬條，初步溯源攻擊4 000余條，深入溯源100 余條，并形成10 份溯源報告。系統通過分析和輔助研判，每月實現惡意IP 自動封堵數萬條，大大提高了安全告警的分析研判效率和自動封堵時效，也進一步提升了該企業日常監測分析效率及對網絡攻擊的防護能力。

以企業日志系統中的主機入侵告警為例，安全設備檢測到IP 為195.54.160.149 的攻擊者對地址為10.xxx.xx.xx 的目標IP 發起命令執行攻擊并觸發告警，該告警屬I 類威脅等級，但相關告警中不包含威脅情報信盧，常規的，安全人員需對告警進行人工分析和排查，通過手動輸入查詢威脅情報數據判定威脅來源，然后進行處置決策，安全人員針對每條告警的分析時間約需2～3 min。而通過威脅情報輔助研判系統自動獲取該告警的攻擊源IP 是來自某國的垃圾郵件、掃描、惡意軟件、漏洞利用、log4j2_202112 和傀儡機等威脅情報信盧，并提出封堵建議，然后通過網絡攻擊阻斷系統聯動，迅速實現對該攻擊的自動封堵。此過程僅需幾秒鐘，大大節約了安全事件的分析研判時間，提高安全人員工作效率的同時提升了企業安全運維的自動化和智能化水平。

3 威脅情報輔助研判系統的其他應用場景

3.1 結合安全編排和自動化響應平臺（SOAR）的應用

面對當前黑客先進智能化的攻擊方式，很多企業運用SOAR 平臺技術來解決安全事件數量不斷增多、傳統防護設施設備整合度低、安全運營人力不足且經驗難固化等問題。

威脅情報輔助研判系統與該平臺結合可針對原始安全數據和安全事件進行攻擊源、攻擊目的等的分析，還可根據威脅情報庫威脅指示器（Indicators of Compromise，IOC）信盧不斷積累安全事件相關的痕跡物證和攻擊者的戰技過程指標信盧，從而持續化地對一系列安全事件進行追蹤和編排自動化處置。

3.2 結合安全管理平臺應用

很多企業通過部署安全管理平臺來統一收集和分析企業網絡中各類資產及其安全防護系統運行過程中不斷產生的各類安全數據和安全日志，以此實現對全網信盧系統整體安全風險的監控。

威脅情報輔助研判系統結合該平臺的應用可對收集的各安全事件進行關聯情報分析并輔助研判，從平臺海量安全數據中發現有效的真實攻擊意圖、步驟、危害、風險等信盧，大大提升平臺的安全事件分析效率和對威脅行為的檢測、響應速度和能力。

3.3 結合資產管理平臺應用

IT 資產包含IP 地址、地理位置、所用組件、開放服務、底層系統、所屬行業和脆弱性等各種信盧，如何準確繪制企業網絡空間資產底圖，進而獲得詳細的資產情報，對高效管理企業IT 資產顯得越來越重要。

威脅情報輔助研判系統與資產管理平臺結合應用可通過與情報聯動，將事件中的IP 地址、外聯URL 與情報碰撞，判斷來源IP、外聯目標是否在威脅情報庫中或是否是惡意URL，從而發現資產風險，并做進一步的研判處置，豐富資產信盧的同時提升網絡資產的治理能力。

4 結束語

威脅情報輔助研判系統對電力系統傳統安全運維中海量告警淹沒真實攻擊的場景進行了優化與改進，其通過引入威脅情報對告警數據進行關聯分析和輔助研判，對傳統告警進行篩選、過濾，提高準確率，并提供攻擊者攻擊手段、特征等背景信盧，幫助安全人員快速有效地識別真實攻擊。本系統的應用大大提高了安全人員處理安全問題的效率和速度，還可對未知安全威脅、異常活動行為進行高效、準確的檢測，整體上降低威脅攻擊的影響及損失，提升電力企業的安全防御能力。