|
傳統(tǒng)的安全檢測(cè)技術(shù)針對(duì)各類具體問(wèn)題類別進(jìn)行處理,,如入侵防御、威脅監(jiān)測(cè),、惡意文件識(shí)別,、日志分析等技術(shù),每一類威脅處理技術(shù)都能通過(guò)特征碼,、規(guī)則庫(kù)發(fā)現(xiàn)一部分具體的安全技術(shù)問(wèn)題,,提出解決辦法。但傳統(tǒng)安全防御技術(shù)各項(xiàng)孤立,,缺乏評(píng)判整體安全狀態(tài)和發(fā)展趨勢(shì)的統(tǒng)一視角,,面對(duì)靈活多變的新型網(wǎng)絡(luò)攻擊產(chǎn)生了大量疏漏點(diǎn)。以各類傳統(tǒng)安全技術(shù)判別的攻擊事件及攻擊線索的數(shù)據(jù)為基礎(chǔ),對(duì)安全大數(shù)據(jù)進(jìn)一步的分析和預(yù)測(cè)的研究工作,,發(fā)展成了現(xiàn)在的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究,。 態(tài)勢(shì)感知(SA,Situation Awareness)緣于軍事術(shù)語(yǔ),,意為在特定時(shí)空下,,對(duì)動(dòng)態(tài)環(huán)境中各元素或?qū)ο蟮挠X(jué)察、理解以及對(duì)未來(lái)狀態(tài)的預(yù)測(cè),。網(wǎng)絡(luò)安全態(tài)勢(shì)感知將態(tài)勢(shì)感知的理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中,,使網(wǎng)絡(luò)安全人員在動(dòng)態(tài)變化的網(wǎng)絡(luò)環(huán)境中宏觀把握整個(gè)網(wǎng)絡(luò)的安全狀態(tài),是對(duì)網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的認(rèn)知過(guò)程,,包括對(duì)從系統(tǒng)中測(cè)量到的原始數(shù)據(jù)逐步進(jìn)行融合處理和實(shí)現(xiàn)對(duì)系統(tǒng)的背景狀態(tài)及活動(dòng)語(yǔ)義的提取,,識(shí)別出存在的各類網(wǎng)絡(luò)活動(dòng)以及其中異常活動(dòng)的意圖,,從而獲得據(jù)此表征的網(wǎng)絡(luò)安全態(tài)勢(shì)和該態(tài)勢(shì)對(duì)網(wǎng)絡(luò)系統(tǒng)正常行為影響的了解,,幫助安全人員采取針對(duì)性的響應(yīng)處置措施。 態(tài)勢(shì)感知的研究?jī)?nèi)容主要分為三個(gè)方面:網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取,、評(píng)估和預(yù)測(cè),。 網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取 網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取是指從大規(guī)模網(wǎng)絡(luò)安全狀態(tài)數(shù)據(jù)源中抽取影響網(wǎng)絡(luò)安全態(tài)勢(shì)的基本元素的過(guò)程,它是網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估和預(yù)測(cè)的基礎(chǔ),。態(tài)勢(shì)要素的提取處于網(wǎng)絡(luò)安全態(tài)勢(shì)感知底層,,系統(tǒng)從主機(jī)、安全設(shè)備和網(wǎng)絡(luò)設(shè)備中獲取信息,,并獲取與之相關(guān)的上下文信息(用戶、資產(chǎn),、業(yè)務(wù)等),,通過(guò)采用一定的數(shù)據(jù)格式進(jìn)行統(tǒng)一,并對(duì)數(shù)據(jù)進(jìn)行約減,、合并,,去噪,形成從全局角度看到的現(xiàn)狀“態(tài)”,。 態(tài)勢(shì)要素信息來(lái)源主要有網(wǎng)絡(luò)信息,、安全信息和主機(jī)信息。網(wǎng)絡(luò)信息獲取是通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)捕獲所有網(wǎng)絡(luò)中的數(shù)據(jù)包,,分析提取出IP報(bào)文五元組,,并進(jìn)一步協(xié)議分析提取出應(yīng)用層數(shù)據(jù)包及內(nèi)容,如HTTP請(qǐng)求包中的url,、get,、post參數(shù)等。DNS數(shù)據(jù)包作為一類高效的數(shù)據(jù)源,集中了全網(wǎng)的應(yīng)用層域名請(qǐng)求,,數(shù)據(jù)量相對(duì)實(shí)際網(wǎng)絡(luò)流較少,,也能感知全網(wǎng)威脅態(tài)勢(shì),是很好的補(bǔ)充,。安全信息方面,,傳統(tǒng)安全設(shè)備在網(wǎng)絡(luò)流數(shù)據(jù)抓取和分析方面比較成熟,可提供大量經(jīng)過(guò)預(yù)先處理過(guò)的先驗(yàn)信息,,便于迅速開(kāi)展后續(xù)研究,。此外,基于主動(dòng)掃描評(píng)估結(jié)果,、病毒蠕蟲(chóng)類的預(yù)警數(shù)據(jù),、安全公司及研究機(jī)構(gòu)的威脅情報(bào)等也是重要的安全信息來(lái)源。主機(jī)信息方面,,除用戶,、資產(chǎn)、業(yè)務(wù)等信息外,,基于主機(jī)的入侵檢測(cè),、日志采集技術(shù)能很好地反映實(shí)際業(yè)務(wù)系統(tǒng)的運(yùn)行狀態(tài),對(duì)跳板攻擊,、潛伏木馬等方式的APT類攻擊有很好的補(bǔ)充,。如何統(tǒng)一不同技術(shù)架構(gòu)、不同廠商,、系統(tǒng)的差異化數(shù)據(jù)格式,,融合處理分析是當(dāng)前的難點(diǎn)。 網(wǎng)絡(luò)安全態(tài)勢(shì)要素的評(píng)估 評(píng)估技術(shù)基于識(shí)別出的攻擊活動(dòng)及其特征,,通過(guò)進(jìn)一步分析這些攻擊活動(dòng)的語(yǔ)義以及它們之間可能的關(guān)聯(lián)關(guān)系來(lái)推斷攻擊者的意圖,,其主要任務(wù)包括識(shí)別這些攻擊活動(dòng)的源頭、類型,,并判斷攻擊者的能力,、機(jī)會(huì)和攻擊成功的可能性等。攻擊行為的識(shí)別主要利用已有的檢測(cè)技術(shù),,包含以下五個(gè)方面的檢測(cè)能力:基于流量特征的實(shí)時(shí)檢測(cè),;基于流量日志的異常分析機(jī)制;針對(duì)內(nèi)容的靜態(tài),、動(dòng)態(tài)分析機(jī)制,;基于終端行為特征的實(shí)時(shí)檢測(cè);基于終端行為日志的異常分析機(jī)制,。目前常見(jiàn)的全局評(píng)估思路為將同一個(gè)目標(biāo)識(shí)別出的各類不同安全警報(bào)事件匯總,,根據(jù)類型或時(shí)間分為攻擊準(zhǔn)備,、攻擊中、入侵成功等不同階段,,給予不同的風(fēng)險(xiǎn)等級(jí)評(píng)價(jià),,分析相關(guān)攻擊活動(dòng)對(duì)被保護(hù)目標(biāo)造成的危害,并將前后所有攻擊過(guò)程進(jìn)行可視化展現(xiàn),。 傳統(tǒng)評(píng)估方式通過(guò)預(yù)設(shè)的安全規(guī)則庫(kù)進(jìn)行特征碼比對(duì),,新評(píng)估技術(shù)如語(yǔ)義分析、動(dòng)態(tài)識(shí)別,、AI處理等也在不斷發(fā)展,,各安全組織也在積極發(fā)展云服務(wù),云端不斷更新惡意IP列表,、最新攻擊特征碼,、威脅文件樣本等,提高終端產(chǎn)品的威脅識(shí)別能力,。如何通過(guò)大數(shù)據(jù)技術(shù)集中分析海量異構(gòu)數(shù)據(jù),,研究網(wǎng)絡(luò)活動(dòng)特征提取和意圖識(shí)別的機(jī)器處理方法,提升分析技術(shù)的效能,,提高攻擊行為識(shí)別的準(zhǔn)確性,,以提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的自治能力,實(shí)現(xiàn)全方位網(wǎng)絡(luò)安全態(tài)勢(shì)感知及自動(dòng)響應(yīng),,是態(tài)勢(shì)感知評(píng)估的研究重點(diǎn),。 網(wǎng)絡(luò)安全態(tài)勢(shì)要素的預(yù)測(cè) 安全態(tài)勢(shì)預(yù)測(cè)需要根據(jù)當(dāng)前的網(wǎng)絡(luò)狀況,找出網(wǎng)絡(luò)安全隱患進(jìn)行分析,,對(duì)未來(lái)一定時(shí)間內(nèi)的安全趨勢(shì)進(jìn)行判斷,,并提供相應(yīng)的解決方法。安全態(tài)勢(shì)預(yù)測(cè)的目標(biāo)不是產(chǎn)生準(zhǔn)確的預(yù)警信息,,而是要將預(yù)測(cè)結(jié)果用于決策分析與支持,,特別是對(duì)網(wǎng)絡(luò)攻防對(duì)抗的支持。 現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法主要分為以下三種:第一,,基于時(shí)空序列的方法。該方法的假設(shè)條件為安全態(tài)勢(shì)值的變化具有規(guī)則和周期性,,通過(guò)分析安全態(tài)勢(shì)的前后依賴關(guān)系,,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全趨勢(shì)的預(yù)測(cè);第二,,基于圖論的方法,。該方法利用網(wǎng)絡(luò)環(huán)境中的脆弱性信息生成狀態(tài)轉(zhuǎn)移圖,并從攻擊者角度出發(fā),,依據(jù)當(dāng)前狀態(tài)對(duì)網(wǎng)絡(luò)未來(lái)可能出現(xiàn)的安全狀況進(jìn)行預(yù)測(cè),;第三,基于博弈論的方法。該方法在攻防對(duì)抗環(huán)境中,,利用博弈理論預(yù)測(cè)攻防雙方的下一步動(dòng)作進(jìn)而分析網(wǎng)絡(luò)的安全態(tài)勢(shì),,在態(tài)勢(shì)要素選擇上較為全面。 目前,,網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)研究還存在許多問(wèn)題,。預(yù)測(cè)過(guò)程對(duì)所有攻擊者無(wú)差別處理,然而不同攻擊者的實(shí)際漏洞利用能力不同,,缺乏對(duì)攻擊者的區(qū)分,;攻擊預(yù)測(cè)集中于分析攻擊意圖、目標(biāo),、路徑和概率,,缺乏對(duì)入侵時(shí)間的量化;如何合理地衡量攻擊威脅對(duì)網(wǎng)絡(luò)系統(tǒng)的影響,,給出一種通用有效的安全態(tài)勢(shì)量化標(biāo)準(zhǔn)還有待進(jìn)一步研究,。目前網(wǎng)絡(luò)安全態(tài)勢(shì)感知在指導(dǎo)安全防御方面作用有限,安全決策還是依靠安全專家,、安全運(yùn)營(yíng)團(tuán)隊(duì)的人工分析和判斷,。 高校網(wǎng)絡(luò)安全工作中的態(tài)勢(shì)感知 高校在信息化過(guò)程中發(fā)展較快,如浙江大學(xué)智慧校園,、網(wǎng)上浙大等信息化建設(shè)項(xiàng)目誕生了大量的校級(jí)信息化應(yīng)用系統(tǒng),,各院系部處、科研團(tuán)隊(duì)也有自己的網(wǎng)站和信息系統(tǒng)建設(shè)需求,,校園網(wǎng)內(nèi)運(yùn)行站點(diǎn)數(shù)極多,。高校信息化業(yè)務(wù)部門(mén)中網(wǎng)絡(luò)安全專門(mén)人才少,而校園網(wǎng)規(guī)模和用戶量龐大,,網(wǎng)絡(luò)安全保障壓力大,。建設(shè)安全防護(hù)體系過(guò)程中部署的各類軟硬件產(chǎn)品、系統(tǒng)需要安全技術(shù)團(tuán)隊(duì)的運(yùn)維,,隨著系統(tǒng)增多,、規(guī)模擴(kuò)大、防護(hù)縱深加大,,管理難度不斷增加,。安全運(yùn)維工作局限于漏洞、攻擊事件的發(fā)現(xiàn)和響應(yīng),,缺乏全局性視角和評(píng)估,。 態(tài)勢(shì)感知技術(shù)能夠有效幫助解決部分上述問(wèn)題。態(tài)勢(shì)感知技術(shù)會(huì)收集各類原始網(wǎng)絡(luò)信息,,收集過(guò)程中能統(tǒng)計(jì)各類產(chǎn)生網(wǎng)絡(luò)流的未知IT信息資產(chǎn),,一定程度上消除了部分管理盲點(diǎn),;安全部門(mén)將同類安全運(yùn)營(yíng)數(shù)據(jù)收集至統(tǒng)一態(tài)勢(shì)感知平臺(tái)平臺(tái),進(jìn)行集中式分析及安全態(tài)勢(shì)感知展示,,減輕安全運(yùn)維工作量,;未來(lái),隨著態(tài)勢(shì)感知技術(shù)發(fā)展,,各類異構(gòu)安全數(shù)據(jù),、運(yùn)行數(shù)據(jù)也將逐步集中化,對(duì)校園全網(wǎng)的安全狀態(tài)感知會(huì)更加清晰,。 具體來(lái)說(shuō),,在高校安全工作中應(yīng)用態(tài)勢(shì)感知技術(shù),有以下幾個(gè)層面: (本文作者系浙江大學(xué)信息技術(shù)中心主任) (責(zé)編:王左利) 本文刊載于《中國(guó)教育網(wǎng)絡(luò)》2018年7月刊 |
|
|
