传统的安全检测技术针对各类具体问题类别进行处理,如入侵防御、威胁监测、恶意文件识别、日志分析等技术,每一类威胁处理技术都能通过特征码、规则库发现一部分具体的安全技术问题,提出解决办法。但传统安全防御技术各项孤立,缺乏评判整体安全状态和发展趋势的统一视角,面对灵活多变的新型网络攻击产生了大量疏漏点。以各类传统安全技术判别的攻击事件及攻击线索的数据为基础,对安全大数据进一步的分析和预测的研究工作,发展成了现在的网络安全态势感知研究。
态势感知(SA,Situation Awareness)缘于军事术语,意为在特定时空下,对动态环境中各元素或对象的觉察、理解以及对未来状态的预测。网络安全态势感知将态势感知的理论和方法应用到网络安全领域中,使网络安全人员在动态变化的网络环境中宏观把握整个网络的安全状态,是对网络系统安全状态的认知过程, 包括对从系统中测量到的原始数据逐步进行融合处理和实现对系统的背景状态及活动语义的提取, 识别出存在的各类网络活动以及其中异常活动的意图,从而获得据此表征的网络安全态势和该态势对网络系统正常行为影响的了解,帮助安全人员采取针对性的响应处置措施。
态势感知的研究内容主要分为三个方面:网络安全态势要素的提取、评估和预测。
网络安全态势要素的提取
网络安全态势要素提取是指从大规模网络安全状态数据源中抽取影响网络安全态势的基本元素的过程,它是网络安全态势评估和预测的基础。态势要素的提取处于网络安全态势感知底层,系统从主机、安全设备和网络设备中获取信息,并获取与之相关的上下文信息(用户、资产、业务等),通过采用一定的数据格式进行统一,并对数据进行约减、合并,去噪,形成从全局角度看到的现状“态”。
态势要素信息来源主要有网络信息、安全信息和主机信息。网络信息获取是通过网络监听捕获所有网络中的数据包,分析提取出IP报文五元组,并进一步协议分析提取出应用层数据包及内容,如HTTP请求包中的url、get、post参数等。DNS数据包作为一类高效的数据源,集中了全网的应用层域名请求,数据量相对实际网络流较少,也能感知全网威胁态势,是很好的补充。安全信息方面,传统安全设备在网络流数据抓取和分析方面比较成熟,可提供大量经过预先处理过的先验信息,便于迅速开展后续研究。此外,基于主动扫描评估结果、病毒蠕虫类的预警数据、安全公司及研究机构的威胁情报等也是重要的安全信息来源。主机信息方面,除用户、资产、业务等信息外,基于主机的入侵检测、日志采集技术能很好地反映实际业务系统的运行状态,对跳板攻击、潜伏木马等方式的APT类攻击有很好的补充。如何统一不同技术架构、不同厂商、系统的差异化数据格式,融合处理分析是当前的难点。
网络安全态势要素的评估
评估技术基于识别出的攻击活动及其特征, 通过进一步分析这些攻击活动的语义以及它们之间可能的关联关系来推断攻击者的意图, 其主要任务包括识别这些攻击活动的源头、类型, 并判断攻击者的能力、机会和攻击成功的可能性等。攻击行为的识别主要利用已有的检测技术,包含以下五个方面的检测能力:基于流量特征的实时检测;基于流量日志的异常分析机制;针对内容的静态、动态分析机制;基于终端行为特征的实时检测;基于终端行为日志的异常分析机制。目前常见的全局评估思路为将同一个目标识别出的各类不同安全警报事件汇总,根据类型或时间分为攻击准备、攻击中、入侵成功等不同阶段,给予不同的风险等级评价,分析相关攻击活动对被保护目标造成的危害,并将前后所有攻击过程进行可视化展现。
传统评估方式通过预设的安全规则库进行特征码比对,新评估技术如语义分析、动态识别、AI处理等也在不断发展,各安全组织也在积极发展云服务,云端不断更新恶意IP列表、最新攻击特征码、威胁文件样本等,提高终端产品的威胁识别能力。如何通过大数据技术集中分析海量异构数据,研究网络活动特征提取和意图识别的机器处理方法,提升分析技术的效能,提高攻击行为识别的准确性,以提高网络安全态势感知系统的自治能力,实现全方位网络安全态势感知及自动响应,是态势感知评估的研究重点。
网络安全态势要素的预测
安全态势预测需要根据当前的网络状况,找出网络安全隐患进行分析,对未来一定时间内的安全趋势进行判断,并提供相应的解决方法。安全态势预测的目标不是产生准确的预警信息,而是要将预测结果用于决策分析与支持,特别是对网络攻防对抗的支持。
现有网络安全态势预测方法主要分为以下三种:第一,基于时空序列的方法。该方法的假设条件为安全态势值的变化具有规则和周期性,通过分析安全态势的前后依赖关系,实现对网络安全趋势的预测;第二,基于图论的方法。该方法利用网络环境中的脆弱性信息生成状态转移图,并从攻击者角度出发,依据当前状态对网络未来可能出现的安全状况进行预测;第三,基于博弈论的方法。该方法在攻防对抗环境中,利用博弈理论预测攻防双方的下一步动作进而分析网络的安全态势,在态势要素选择上较为全面。
目前,网络安全态势预测研究还存在许多问题。预测过程对所有攻击者无差别处理,然而不同攻击者的实际漏洞利用能力不同,缺乏对攻击者的区分;攻击预测集中于分析攻击意图、目标、路径和概率,缺乏对入侵时间的量化;如何合理地衡量攻击威胁对网络系统的影响,给出一种通用有效的安全态势量化标准还有待进一步研究。目前网络安全态势感知在指导安全防御方面作用有限,安全决策还是依靠安全专家、安全运营团队的人工分析和判断。
高校网络安全工作中的态势感知
高校在信息化过程中发展较快,如浙江大学智慧校园、网上浙大等信息化建设项目诞生了大量的校级信息化应用系统,各院系部处、科研团队也有自己的网站和信息系统建设需求,校园网内运行站点数极多。高校信息化业务部门中网络安全专门人才少,而校园网规模和用户量庞大,网络安全保障压力大。建设安全防护体系过程中部署的各类软硬件产品、系统需要安全技术团队的运维,随着系统增多、规模扩大、防护纵深加大,管理难度不断增加。安全运维工作局限于漏洞、攻击事件的发现和响应,缺乏全局性视角和评估。
态势感知技术能够有效帮助解决部分上述问题。态势感知技术会收集各类原始网络信息,收集过程中能统计各类产生网络流的未知IT信息资产,一定程度上消除了部分管理盲点;安全部门将同类安全运营数据收集至统一态势感知平台平台,进行集中式分析及安全态势感知展示,减轻安全运维工作量;未来,随着态势感知技术发展,各类异构安全数据、运行数据也将逐步集中化,对校园全网的安全状态感知会更加清晰。
具体来说,在高校安全工作中应用态势感知技术,有以下几个层面:
首先是包含态势感知技术的校园网安全保障体系建设。近年来,各高校为应对互联网安全风险,已部署安全厂商的各类防火墙、入侵检测等安全设备,具有发展态势感知的硬件基础。厂商安全态势感知产品部署后,将各类不同安全产品的告警、拦截信息统筹,集中式监控分析,一方面能统一处理各类安全设备信息,减轻安全运维工作量;另一方面也能集中展示校园网络入侵情况,构建“风暴中心”式的安全监测中心,提升校园全网安全感知与威胁响应能力。在厂商安全态势感知产品的使用过程中,安全技术团队应多研究态势感知系统所需的安全设备数据提取和原始数据提取工作,建立态势感知的数据采集平台,逐步准备自己的态势感知技术研究工作。
其次是通过大数据平台来发展自己的安全态势感知技术研究工作。大数据工作是高校信息化建设的新热点,网络安全研究工作可以态势感知为技术切入点,大数据平台为基础,将全校信息化业务实际运营中产生的业务数据、安全数据集中至大数据平台,进行异构数据的关联合并、网络攻击威胁辨识、安全态势评估及展现等方面的研究工作。同时也可与校内信息安全学科研究团队合作,整合校内优势资源,建立专业网络信息安全研究及应用团队,分析脱敏后的原始业务数据、实际网络流、安全日志数据,进行更深层次的APT潜伏攻击、0day未知攻击等技术研判,全校网络安全态势评估及预测,安全预警及应急处置工作等。研究中发现的安全事件、得出的安全结论既能产生科研成果,又能指导实际安全工作,实现多赢局面,共同提升校园网安全。
最后是参与教育行业以及全社会的安全态势信息共享工作。“十三五”国家信息化规划已明确指出:“建立政府和企业网络安全信息共享机制,加强网络安全大数据挖掘分析,更好感知网络安全态势,做好风险防范工作。”教育行业内各高校信息化建设趋势相同,面临的网络安全风险相同,利害一致。各行业安全信息共享中需要实现的信息交换、通信协议协商、标准数据结构统一、信息安全保护等,目前都是发展中的课题。高校之间网络安全信息共享工作研究,能提升教育行业整体的安全态势感知水平,推动全社会层面安全信息共享行为,维护国家网络空间安全。 (责编:王左利)
(本文作者系浙江大学信息技术中心主任)