傳統(tǒng)的安全檢測技術針對各類具體問題類別進行處理,如入侵防御、威脅監(jiān)測、惡意文件識別、日志分析等技術,每一類威脅處理技術都能通過特征碼、規(guī)則庫發(fā)現(xiàn)一部分具體的安全技術問題,提出解決辦法。但傳統(tǒng)安全防御技術各項孤立,缺乏評判整體安全狀態(tài)和發(fā)展趨勢的統(tǒng)一視角,面對靈活多變的新型網(wǎng)絡攻擊產(chǎn)生了大量疏漏點。以各類傳統(tǒng)安全技術判別的攻擊事件及攻擊線索的數(shù)據(jù)為基礎,對安全大數(shù)據(jù)進一步的分析和預測的研究工作,發(fā)展成了現(xiàn)在的網(wǎng)絡安全態(tài)勢感知研究。
態(tài)勢感知(SA,Situation Awareness)緣于軍事術語,意為在特定時空下,對動態(tài)環(huán)境中各元素或?qū)ο蟮挠X察、理解以及對未來狀態(tài)的預測。網(wǎng)絡安全態(tài)勢感知將態(tài)勢感知的理論和方法應用到網(wǎng)絡安全領域中,使網(wǎng)絡安全人員在動態(tài)變化的網(wǎng)絡環(huán)境中宏觀把握整個網(wǎng)絡的安全狀態(tài),是對網(wǎng)絡系統(tǒng)安全狀態(tài)的認知過程,包括對從系統(tǒng)中測量到的原始數(shù)據(jù)逐步進行融合處理和實現(xiàn)對系統(tǒng)的背景狀態(tài)及活動語義的提取,識別出存在的各類網(wǎng)絡活動以及其中異常活動的意圖,從而獲得據(jù)此表征的網(wǎng)絡安全態(tài)勢和該態(tài)勢對網(wǎng)絡系統(tǒng)正常行為影響的了解,幫助安全人員采取針對性的響應處置措施。
態(tài)勢感知的研究內(nèi)容主要分為三個方面:網(wǎng)絡安全態(tài)勢要素的提取、評估和預測。
網(wǎng)絡安全態(tài)勢要素的提取
網(wǎng)絡安全態(tài)勢要素提取是指從大規(guī)模網(wǎng)絡安全狀態(tài)數(shù)據(jù)源中抽取影響網(wǎng)絡安全態(tài)勢的基本元素的過程,它是網(wǎng)絡安全態(tài)勢評估和預測的基礎。態(tài)勢要素的提取處于網(wǎng)絡安全態(tài)勢感知底層,系統(tǒng)從主機、安全設備和網(wǎng)絡設備中獲取信息,并獲取與之相關的上下文信息(用戶、資產(chǎn)、業(yè)務等),通過采用一定的數(shù)據(jù)格式進行統(tǒng)一,并對數(shù)據(jù)進行約減、合并,去噪,形成從全局角度看到的現(xiàn)狀“態(tài)”。
態(tài)勢要素信息來源主要有網(wǎng)絡信息、安全信息和主機信息。網(wǎng)絡信息獲取是通過網(wǎng)絡監(jiān)聽捕獲所有網(wǎng)絡中的數(shù)據(jù)包,分析提取出IP報文五元組,并進一步協(xié)議分析提取出應用層數(shù)據(jù)包及內(nèi)容,如HTTP請求包中的url、get、post參數(shù)等。DNS數(shù)據(jù)包作為一類高效的數(shù)據(jù)源,集中了全網(wǎng)的應用層域名請求,數(shù)據(jù)量相對實際網(wǎng)絡流較少,也能感知全網(wǎng)威脅態(tài)勢,是很好的補充。安全信息方面,傳統(tǒng)安全設備在網(wǎng)絡流數(shù)據(jù)抓取和分析方面比較成熟,可提供大量經(jīng)過預先處理過的先驗信息,便于迅速開展后續(xù)研究。此外,基于主動掃描評估結(jié)果、病毒蠕蟲類的預警數(shù)據(jù)、安全公司及研究機構的威脅情報等也是重要的安全信息來源。主機信息方面,除用戶、資產(chǎn)、業(yè)務等信息外,基于主機的入侵檢測、日志采集技術能很好地反映實際業(yè)務系統(tǒng)的運行狀態(tài),對跳板攻擊、潛伏木馬等方式的APT類攻擊有很好的補充。如何統(tǒng)一不同技術架構、不同廠商、系統(tǒng)的差異化數(shù)據(jù)格式,融合處理分析是當前的難點。
網(wǎng)絡安全態(tài)勢要素的評估
評估技術基于識別出的攻擊活動及其特征,通過進一步分析這些攻擊活動的語義以及它們之間可能的關聯(lián)關系來推斷攻擊者的意圖,其主要任務包括識別這些攻擊活動的源頭、類型,并判斷攻擊者的能力、機會和攻擊成功的可能性等。攻擊行為的識別主要利用已有的檢測技術,包含以下五個方面的檢測能力:基于流量特征的實時檢測;基于流量日志的異常分析機制;針對內(nèi)容的靜態(tài)、動態(tài)分析機制;基于終端行為特征的實時檢測;基于終端行為日志的異常分析機制。目前常見的全局評估思路為將同一個目標識別出的各類不同安全警報事件匯總,根據(jù)類型或時間分為攻擊準備、攻擊中、入侵成功等不同階段,給予不同的風險等級評價,分析相關攻擊活動對被保護目標造成的危害,并將前后所有攻擊過程進行可視化展現(xiàn)。
傳統(tǒng)評估方式通過預設的安全規(guī)則庫進行特征碼比對,新評估技術如語義分析、動態(tài)識別、AI處理等也在不斷發(fā)展,各安全組織也在積極發(fā)展云服務,云端不斷更新惡意IP列表、最新攻擊特征碼、威脅文件樣本等,提高終端產(chǎn)品的威脅識別能力。如何通過大數(shù)據(jù)技術集中分析海量異構數(shù)據(jù),研究網(wǎng)絡活動特征提取和意圖識別的機器處理方法,提升分析技術的效能,提高攻擊行為識別的準確性,以提高網(wǎng)絡安全態(tài)勢感知系統(tǒng)的自治能力,實現(xiàn)全方位網(wǎng)絡安全態(tài)勢感知及自動響應,是態(tài)勢感知評估的研究重點。
網(wǎng)絡安全態(tài)勢要素的預測
安全態(tài)勢預測需要根據(jù)當前的網(wǎng)絡狀況,找出網(wǎng)絡安全隱患進行分析,對未來一定時間內(nèi)的安全趨勢進行判斷,并提供相應的解決方法。安全態(tài)勢預測的目標不是產(chǎn)生準確的預警信息,而是要將預測結(jié)果用于決策分析與支持,特別是對網(wǎng)絡攻防對抗的支持。
現(xiàn)有網(wǎng)絡安全態(tài)勢預測方法主要分為以下三種:第一,基于時空序列的方法。該方法的假設條件為安全態(tài)勢值的變化具有規(guī)則和周期性,通過分析安全態(tài)勢的前后依賴關系,實現(xiàn)對網(wǎng)絡安全趨勢的預測;第二,基于圖論的方法。該方法利用網(wǎng)絡環(huán)境中的脆弱性信息生成狀態(tài)轉(zhuǎn)移圖,并從攻擊者角度出發(fā),依據(jù)當前狀態(tài)對網(wǎng)絡未來可能出現(xiàn)的安全狀況進行預測;第三,基于博弈論的方法。該方法在攻防對抗環(huán)境中,利用博弈理論預測攻防雙方的下一步動作進而分析網(wǎng)絡的安全態(tài)勢,在態(tài)勢要素選擇上較為全面。
目前,網(wǎng)絡安全態(tài)勢預測研究還存在許多問題。預測過程對所有攻擊者無差別處理,然而不同攻擊者的實際漏洞利用能力不同,缺乏對攻擊者的區(qū)分;攻擊預測集中于分析攻擊意圖、目標、路徑和概率,缺乏對入侵時間的量化;如何合理地衡量攻擊威脅對網(wǎng)絡系統(tǒng)的影響,給出一種通用有效的安全態(tài)勢量化標準還有待進一步研究。目前網(wǎng)絡安全態(tài)勢感知在指導安全防御方面作用有限,安全決策還是依靠安全專家、安全運營團隊的人工分析和判斷。
高校網(wǎng)絡安全工作中的態(tài)勢感知
高校在信息化過程中發(fā)展較快,如浙江大學智慧校園、網(wǎng)上浙大等信息化建設項目誕生了大量的校級信息化應用系統(tǒng),各院系部處、科研團隊也有自己的網(wǎng)站和信息系統(tǒng)建設需求,校園網(wǎng)內(nèi)運行站點數(shù)極多。高校信息化業(yè)務部門中網(wǎng)絡安全專門人才少,而校園網(wǎng)規(guī)模和用戶量龐大,網(wǎng)絡安全保障壓力大。建設安全防護體系過程中部署的各類軟硬件產(chǎn)品、系統(tǒng)需要安全技術團隊的運維,隨著系統(tǒng)增多、規(guī)模擴大、防護縱深加大,管理難度不斷增加。安全運維工作局限于漏洞、攻擊事件的發(fā)現(xiàn)和響應,缺乏全局性視角和評估。
態(tài)勢感知技術能夠有效幫助解決部分上述問題。態(tài)勢感知技術會收集各類原始網(wǎng)絡信息,收集過程中能統(tǒng)計各類產(chǎn)生網(wǎng)絡流的未知IT信息資產(chǎn),一定程度上消除了部分管理盲點;安全部門將同類安全運營數(shù)據(jù)收集至統(tǒng)一態(tài)勢感知平臺平臺,進行集中式分析及安全態(tài)勢感知展示,減輕安全運維工作量;未來,隨著態(tài)勢感知技術發(fā)展,各類異構安全數(shù)據(jù)、運行數(shù)據(jù)也將逐步集中化,對校園全網(wǎng)的安全狀態(tài)感知會更加清晰。
具體來說,在高校安全工作中應用態(tài)勢感知技術,有以下幾個層面:
首先是包含態(tài)勢感知技術的校園網(wǎng)安全保障體系建設。近年來,各高校為應對互聯(lián)網(wǎng)安全風險,已部署安全廠商的各類防火墻、入侵檢測等安全設備,具有發(fā)展態(tài)勢感知的硬件基礎。廠商安全態(tài)勢感知產(chǎn)品部署后,將各類不同安全產(chǎn)品的告警、攔截信息統(tǒng)籌,集中式監(jiān)控分析,一方面能統(tǒng)一處理各類安全設備信息,減輕安全運維工作量;另一方面也能集中展示校園網(wǎng)絡入侵情況,構建“風暴中心”式的安全監(jiān)測中心,提升校園全網(wǎng)安全感知與威脅響應能力。在廠商安全態(tài)勢感知產(chǎn)品的使用過程中,安全技術團隊應多研究態(tài)勢感知系統(tǒng)所需的安全設備數(shù)據(jù)提取和原始數(shù)據(jù)提取工作,建立態(tài)勢感知的數(shù)據(jù)采集平臺,逐步準備自己的態(tài)勢感知技術研究工作。
其次是通過大數(shù)據(jù)平臺來發(fā)展自己的安全態(tài)勢感知技術研究工作。大數(shù)據(jù)工作是高校信息化建設的新熱點,網(wǎng)絡安全研究工作可以態(tài)勢感知為技術切入點,大數(shù)據(jù)平臺為基礎,將全校信息化業(yè)務實際運營中產(chǎn)生的業(yè)務數(shù)據(jù)、安全數(shù)據(jù)集中至大數(shù)據(jù)平臺,進行異構數(shù)據(jù)的關聯(lián)合并、網(wǎng)絡攻擊威脅辨識、安全態(tài)勢評估及展現(xiàn)等方面的研究工作。同時也可與校內(nèi)信息安全學科研究團隊合作,整合校內(nèi)優(yōu)勢資源,建立專業(yè)網(wǎng)絡信息安全研究及應用團隊,分析脫敏后的原始業(yè)務數(shù)據(jù)、實際網(wǎng)絡流、安全日志數(shù)據(jù),進行更深層次的APT潛伏攻擊、0day未知攻擊等技術研判,全校網(wǎng)絡安全態(tài)勢評估及預測,安全預警及應急處置工作等。研究中發(fā)現(xiàn)的安全事件、得出的安全結(jié)論既能產(chǎn)生科研成果,又能指導實際安全工作,實現(xiàn)多贏局面,共同提升校園網(wǎng)安全。
最后是參與教育行業(yè)以及全社會的安全態(tài)勢信息共享工作。“十三五”國家信息化規(guī)劃已明確指出:“建立政府和企業(yè)網(wǎng)絡安全信息共享機制,加強網(wǎng)絡安全大數(shù)據(jù)挖掘分析,更好感知網(wǎng)絡安全態(tài)勢,做好風險防范工作。”教育行業(yè)內(nèi)各高校信息化建設趨勢相同,面臨的網(wǎng)絡安全風險相同,利害一致。各行業(yè)安全信息共享中需要實現(xiàn)的信息交換、通信協(xié)議協(xié)商、標準數(shù)據(jù)結(jié)構統(tǒng)一、信息安全保護等,目前都是發(fā)展中的課題。高校之間網(wǎng)絡安全信息共享工作研究,能提升教育行業(yè)整體的安全態(tài)勢感知水平,推動全社會層面安全信息共享行為,維護國家網(wǎng)絡空間安全。