煙草網(wǎng)絡(luò)安全態(tài)勢感知研究與應(yīng)用

1、煙草網(wǎng)絡(luò)安全態(tài)勢感知研究與應(yīng)用 摘要：通過安全數(shù)據(jù)分析可知，中國煙草總公司福建省公司每年遭受高達千萬次級別網(wǎng)絡(luò)安全攻擊事件，特殊高峰時期遭受的網(wǎng)絡(luò)安全攻擊事件高達百萬次。如何在高頻次網(wǎng)絡(luò)攻擊條件下，采用多維數(shù)據(jù)的綜合梳理及關(guān)聯(lián)分析，結(jié)合威脅情報技術(shù)以及相關(guān)算法檢測，構(gòu)建自學(xué)習(xí)行為模型而形成用戶訪問行為基線發(fā)現(xiàn)基于偏離度的異常行為，實現(xiàn)快速檢索發(fā)現(xiàn)真正攻擊源IP、攻擊方法以及主要被攻擊目標(biāo)對象。并將相關(guān)威脅和態(tài)勢進行可視化呈現(xiàn)，幫助中國煙草總公司福建省公司感知新型網(wǎng)絡(luò)攻擊行為，發(fā)現(xiàn)潛伏的隱患和威脅，進而提供決策支撐。并通過態(tài)勢感知，建立應(yīng)急響應(yīng)、安全預(yù)警機制，完善風(fēng)險控制，實現(xiàn)整體安全防護水平的

2、提升。 關(guān)鍵詞：關(guān)聯(lián)分析；威脅情報；算法檢測；攻擊行為；態(tài)勢感知 1態(tài)勢感知概述 態(tài)勢感知起源于20世紀(jì)80年代的美國空軍，主要用于對戰(zhàn)場形勢的分析及判斷，并提供相關(guān)情報信息，用于領(lǐng)導(dǎo)層面決策，從而取得戰(zhàn)場上的軍事勝利。在網(wǎng)絡(luò)安全層面上，態(tài)勢感知的研究，則主要側(cè)重于網(wǎng)絡(luò)攻擊形態(tài)及趨勢方面的信息研究，態(tài)勢感知的研究面臨著全局性、動態(tài)性、復(fù)雜性、有效性、準(zhǔn)確性等諸多因素影響。態(tài)勢感知的研究主要分為三級，一級態(tài)勢感知主要進行海量信息或數(shù)據(jù)的收集研究，包括主機、網(wǎng)絡(luò)、安全、應(yīng)用、物理、情報、威脅等各方面數(shù)據(jù)信息的采集。二級態(tài)勢主要進行數(shù)據(jù)關(guān)系及數(shù)據(jù)融合的梳理研究，數(shù)據(jù)融合技術(shù)是指利用計算機對按時序獲得

3、的若干觀測信息，在一定準(zhǔn)則下加以自動分析、綜合，以完成所需的決策和評估任務(wù)而進行的信息處理技術(shù)，包括數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)合并、數(shù)據(jù)提取，數(shù)據(jù)有效性、準(zhǔn)確性、趨勢性歸納、統(tǒng)計、分析。三級態(tài)勢主要進行數(shù)據(jù)預(yù)測及可視化展示，包括資產(chǎn)、威脅、風(fēng)險、脆弱性等各方面數(shù)據(jù)可視化展示及趨勢預(yù)測分析。態(tài)勢感知的研究最終要形成具有多源數(shù)據(jù)融合與可視化、異質(zhì)性、自動化、實時處理特點的風(fēng)險評估、決策、預(yù)測系統(tǒng)。 2福建省局態(tài)勢感知實踐 中國煙草總公司福建省公司按照整體防御、分區(qū)隔離；積極防御、內(nèi)外兼防；自身防御、主動免疫；縱深防御、技管并重的安全原則構(gòu)建其網(wǎng)絡(luò)安全域，安全區(qū)域劃分為統(tǒng)一互聯(lián)網(wǎng)出口區(qū)、DMZ區(qū)、銀行前置服務(wù)、

4、銀聯(lián)外聯(lián)區(qū)、核心區(qū)、辦公區(qū)、服務(wù)器區(qū)、廣域網(wǎng)區(qū)、行業(yè)業(yè)務(wù)專網(wǎng)區(qū)等安全區(qū)域。并分別在每個區(qū)域部署了防火墻、入侵防御、Web應(yīng)用安全網(wǎng)關(guān)、高級持續(xù)性威脅檢測系統(tǒng)等安全防護和檢測設(shè)備進行安全防護，從而保障各項業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行。按照傳統(tǒng)運維模式，中國煙草總公司福建省公司每日對安全設(shè)備進行安全檢查，日常平均攻擊告警數(shù)量在數(shù)萬之間，特殊時期下攻擊告警時間高達數(shù)百萬次。在安全設(shè)備數(shù)量多、安全事件日志基數(shù)大的條件下，日常安全運維存在安全日志分析不完整情況，從而造成安全事件分析遺漏，對攻擊源IP、受攻擊目標(biāo)系統(tǒng)、攻擊方式定位不完整不快速等情況。最終有可能導(dǎo)致相關(guān)安全事件的發(fā)生。因此急需部署一套網(wǎng)絡(luò)安全態(tài)勢感

5、知系統(tǒng)，從物理層面、網(wǎng)絡(luò)層面、安全層面、業(yè)務(wù)層面、漏洞隱患、網(wǎng)絡(luò)攻擊、威脅情報等各方面關(guān)聯(lián)分析及綜合分析，并利用可視化技術(shù)進行風(fēng)險或態(tài)勢呈現(xiàn)。福建省局網(wǎng)絡(luò)安全態(tài)勢感知的建立研究主要包括三個層面，一是底層數(shù)據(jù)的采集獲取及存儲。數(shù)據(jù)采集獲取方式主要有三種，一是來自福建省局網(wǎng)絡(luò)、安全、系統(tǒng)、業(yè)務(wù)數(shù)據(jù)等各方面日志信息，通過syslog、SNMP、采集器等方式將數(shù)據(jù)采集發(fā)送至態(tài)勢感知平臺；二是部署網(wǎng)絡(luò)安全流量探針進行數(shù)據(jù)流量威脅分析，主要抓取互聯(lián)網(wǎng)出口、DMZ區(qū)業(yè)務(wù)口、銀行外聯(lián)區(qū)出口、廣域網(wǎng)區(qū)和行業(yè)業(yè)務(wù)專網(wǎng)區(qū)、服務(wù)器區(qū)等關(guān)鍵區(qū)域的業(yè)務(wù)流量；三是與外部單位合作，購買威脅情報數(shù)據(jù)，將內(nèi)網(wǎng)數(shù)據(jù)有外部威脅情報數(shù)

6、據(jù)進行耦合關(guān)聯(lián)，提升內(nèi)網(wǎng)攻擊IP定位的真實準(zhǔn)確性以及確認互聯(lián)網(wǎng)威脅攻擊IP的可靠性。二是數(shù)據(jù)的分析及計算。針對采集上來的各類安全數(shù)據(jù)信息及威脅情報數(shù)據(jù)信息，采用樸素貝葉斯算法、隨機森林、聚類算法等相關(guān)算法，實現(xiàn)對網(wǎng)絡(luò)安全設(shè)備日志分析、網(wǎng)絡(luò)流量分析、威脅情報分析、漏洞脆弱性分析、網(wǎng)絡(luò)安全風(fēng)險分析以及宏觀態(tài)勢分析。網(wǎng)絡(luò)安全風(fēng)險分析包括了資產(chǎn)價值分析、弱點分析、威脅分析、風(fēng)險評估、影響性分析等；宏觀態(tài)勢分析包括了地址熵分析、熱點分析、關(guān)鍵安全指標(biāo)分析、業(yè)務(wù)健康度分析、關(guān)鍵管理指標(biāo)分析。三是網(wǎng)絡(luò)安全態(tài)勢可視化展示。 3態(tài)勢感知關(guān)鍵技術(shù)及算法 如何將眾多安全設(shè)備數(shù)據(jù)、流量探針數(shù)據(jù)、威脅情報數(shù)據(jù)等數(shù)據(jù)進行

7、關(guān)聯(lián)對接、真實數(shù)據(jù)提取和有效性分析，考驗的是整個網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的算法能力及處置能力。一個良好的算法，可以高效快速解決許多問題，本次網(wǎng)絡(luò)安全態(tài)勢感知主要算法包括聚類算法、異常點算法、BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)惡意行為網(wǎng)絡(luò)流特征分析等算法技術(shù)，同時引入異常檢測、機器學(xué)習(xí)等相關(guān)技術(shù)。通過該些技術(shù)及算法的加持優(yōu)化，使得整個態(tài)勢感知平臺更具智能、更具感知，提供更為準(zhǔn)確有效的態(tài)勢分析決策功能。3.1關(guān)聯(lián)分析福建省局存在較多的網(wǎng)絡(luò)安全設(shè)備，通過對設(shè)備安全日志的分析，經(jīng)常在不同區(qū)域、不同安全設(shè)備上面發(fā)現(xiàn)同一個攻擊目標(biāo)源IP或是攻擊源IP，如何有效提取真正有效攻擊信息，則需要進行對眾多安全日志的關(guān)聯(lián)分析，需要采用

8、關(guān)聯(lián)挖掘技術(shù)和大數(shù)據(jù)技術(shù)，通過關(guān)聯(lián)分析，查找存在于項目集合或?qū)ο蠹现g的頻繁模式、關(guān)聯(lián)規(guī)則、相關(guān)性或者因果結(jié)構(gòu)。對提取的事件基于規(guī)則、統(tǒng)計、資產(chǎn)等屬性進行分析，通過邏輯符號and、and、not來表示屬性的邏輯關(guān)系。當(dāng)符合相應(yīng)的限制條件時，則激活相應(yīng)的規(guī)則進行誤報排除、事件源推論、安全事件級別重新定義、閾值關(guān)聯(lián)、黑名單等動作。數(shù)據(jù)經(jīng)過分析和計算后，通過前端可視化技術(shù)，采用數(shù)據(jù)同步方式，將福建省局所感興趣的內(nèi)網(wǎng)威脅和外網(wǎng)攻擊等各方面數(shù)據(jù)進行可視化展示，可視化展示的內(nèi)容主要包括攻擊類型分布、攻擊目標(biāo)排行榜、實時攻擊數(shù)據(jù)瀏覽、資產(chǎn)攻擊數(shù)據(jù)統(tǒng)計、內(nèi)網(wǎng)威脅分布情況、內(nèi)網(wǎng)威脅趨勢、攻擊告警數(shù)據(jù)展示以及攻

9、擊地圖數(shù)據(jù)展示。福建省局存在較多的網(wǎng)絡(luò)安全設(shè)備，通過對設(shè)備安全日志的分析，經(jīng)常在不同區(qū)域、不同安全設(shè)備上面發(fā)現(xiàn)同一個攻擊目標(biāo)源IP或是攻擊源IP，如何有效提取真正有效攻擊信息，則需要進行對眾多安全日志的關(guān)聯(lián)分析，需要采用關(guān)聯(lián)挖掘技術(shù)和大數(shù)據(jù)技術(shù)，通過關(guān)聯(lián)分析，查找存在于項目集合或?qū)ο蠹现g的頻繁模式、關(guān)聯(lián)規(guī)則、相關(guān)性或者因果結(jié)構(gòu)。對提取的事件基于規(guī)則、統(tǒng)計、資產(chǎn)等屬性進行分析，通過邏輯符號and、and、not來表示屬性的邏輯關(guān)系。當(dāng)符合相應(yīng)的限制條件時，則激活相應(yīng)的規(guī)則進行誤報排除、事件源推論、安全事件級別重新定義、閾值關(guān)聯(lián)、黑名單等動作。3.2多元數(shù)據(jù)接入。福建省局網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)基

10、于大數(shù)據(jù)計算和存儲技術(shù)，支持DIKI（D-Data網(wǎng)絡(luò)流數(shù)據(jù)，設(shè)備日志、Web及應(yīng)用服務(wù)器日志等數(shù)據(jù)；I-Information企業(yè)關(guān)聯(lián)信息例如漏洞掃描數(shù)據(jù)；K-Knowledge安全知識；I-ThreatIntelligence威脅情報）數(shù)據(jù)接入，并基于安全分析需要進行數(shù)據(jù)范式化、清洗與轉(zhuǎn)換、豐富化和標(biāo)簽等加工處理，對部分安全設(shè)備告警數(shù)據(jù)提供語義自動理解識別能力，使數(shù)據(jù)“干凈可用”，保證數(shù)據(jù)質(zhì)量。同時，支持對漏洞信息數(shù)據(jù)的導(dǎo)入，從而實現(xiàn)威脅信息與漏洞信息的關(guān)聯(lián)匹配，為整個網(wǎng)絡(luò)安全風(fēng)險進行充分賦值及確認。3.3通過模型構(gòu)建智能畫像。攻擊分析常?；谔卣鞔asignature來識別攻擊，特征知識庫

11、不能覆蓋的攻擊無法發(fā)現(xiàn)。但攻擊者越來越容易改變這些特征指標(biāo)來有效地逃避檢測，現(xiàn)代攻擊以多階段、快速變換特征碼方式進行攻擊和隱藏自身，由于攻擊者行為模式相對而言更不易改變。因此，需要通過新一代威脅分析技術(shù)，構(gòu)建多維模型，采用多種分析方法來對攻擊者的技戰(zhàn)術(shù)（戰(zhàn)術(shù)、技術(shù)、過程）來發(fā)現(xiàn)。追蹤攻擊者的攻擊路線，形成攻擊流程圖，提取攻擊者的相關(guān)指紋信息和畫像數(shù)據(jù)，最終形成畫像及相關(guān)信息屬性，包括使用過的IP地址、賬號、常訪問的系統(tǒng)、安裝軟件、漏洞信息、流量趨勢等，為后續(xù)的安全事件調(diào)查分析提供相關(guān)數(shù)據(jù)支撐。3.4基于皮爾遜相關(guān)系統(tǒng)的網(wǎng)絡(luò)流持續(xù)時間特征分析。Pearson相關(guān)系數(shù)是用協(xié)方差除以兩個變量的標(biāo)準(zhǔn)差

12、得到的，雖然協(xié)方差能反映兩個隨機變量的相關(guān)程度（協(xié)方差大于0的時候表示兩者正相關(guān)，小于0的時候表示兩者負相關(guān)），但是協(xié)方差值的大小并不能很好地度量兩個隨機變量的關(guān)聯(lián)程度，為了更好度量兩個隨機變量的相關(guān)程度，引入了Pearson相關(guān)系數(shù)，其在協(xié)方差的基礎(chǔ)上除以了兩個隨機變量的標(biāo)準(zhǔn)差，容易得出，pearson是一個介于-1和1之間的值，當(dāng)兩個變量的線性關(guān)系增強時，相關(guān)系數(shù)趨于1或-1；當(dāng)一個變量增大，另一個變量也增大時，表明它們之間是正相關(guān)的，相關(guān)系數(shù)大于0；如果一個變量增大，另一個變量卻減小，表明它們之間是負相關(guān)的，相關(guān)系數(shù)小于0；如果相關(guān)系數(shù)等于0，表明它們之間不存在線性相關(guān)關(guān)系。數(shù)據(jù)挖掘?qū)д?/p>

13、給出了一個很好的圖來說明（圖2）：圖2皮爾遜相關(guān)系數(shù)圖在考慮到僵尸、木馬、蠕蟲等網(wǎng)絡(luò)惡意行為的網(wǎng)絡(luò)數(shù)據(jù)流相互之間可能存在相關(guān)性，因此將皮爾遜相關(guān)系數(shù)引入態(tài)勢感知平臺，以描述網(wǎng)絡(luò)流之間相互關(guān)聯(lián)度。3.5基于隨機森林的深度威脅檢測技術(shù)。隨機森林是機器學(xué)習(xí)中的一種常用方法，而隨機森林背后的思想，更是與群體智慧，甚至“看不見的手”相互映照。隨機森林顧名思義，是用隨機的方式建立一個森林，森林里面有很多的決策樹組成，隨機森林的每一棵決策樹之間是沒有關(guān)聯(lián)的。在得到森林之后，當(dāng)有一個新的輸入樣本進入的時候，就讓森林中的每一棵決策樹分別進行一下判斷，看看這個樣本應(yīng)該屬于哪一類（對于分類算法），然后看看哪一類被選

14、擇最多，就預(yù)測這個樣本為那一類。隨機森林算法具有準(zhǔn)確率高、魯棒性好、易于使用等特點，是最流行的機器學(xué)習(xí)算法之一，相對于其他機器學(xué)習(xí)分類算法有很多的優(yōu)點，表現(xiàn)優(yōu)異。在處理特征維度較高的數(shù)據(jù)時不用做特征的選擇，能達到較高的識別精度，模型泛化能力強且在訓(xùn)練時樹與樹之間是相互獨立的，能達到較快的訓(xùn)練速度。隨機森林算法在處理特征維度較高的數(shù)據(jù)時不用做特征的選擇，能達到較高的識別精度，模型泛化能力強且在訓(xùn)練時樹與樹之間是相互獨立的。在態(tài)勢感知平臺中利用隨機森林的機器學(xué)習(xí)算法進行分類器的訓(xùn)練，最終可以得出惡意網(wǎng)絡(luò)行為的結(jié)果。3.6基于聚類算法的異常流量識別。聚類分析指將數(shù)據(jù)點集按照一定的規(guī)則進行劃分，使得同

15、一個分組（稱為簇）內(nèi)數(shù)據(jù)點之間的相似度較高，而不同分組（簇）數(shù)據(jù)點之間的相似度較低。聚類分析是數(shù)據(jù)挖掘中常用的統(tǒng)計分析手段，在機器學(xué)習(xí)領(lǐng)域中通常將其歸為無監(jiān)督學(xué)習(xí)方法，因為它的輸入數(shù)據(jù)不需要進行標(biāo)注。聚類算法是聚類分析中使用的各類算法的統(tǒng)稱，不同算法的聚類分析結(jié)果可能存在較大差異，主要原因是它們的聚類模型不同，一些代表性的模型思想有連接模型、圖模型、分布模型、密度模型和中心模型等。這些聚類算法有各自的優(yōu)缺點及適用場景，對此不進行深入探討，而只對異常流量識別這一工作有影響的兩點簡單說明如下：（1）大部分聚類算法依賴于距離的計算，但對于高維數(shù)據(jù)，傳統(tǒng)概念的距離衡量變得不再精確有效；（2）很多聚類算

16、法會將所有數(shù)據(jù)點都劃分入某一個簇中，從而無法用于異常數(shù)據(jù)點的識別。3.7基于異常點算法的異常流量識別。異常點檢測是指數(shù)據(jù)挖掘領(lǐng)域中識別與期望模式相違背或與其他大多數(shù)數(shù)據(jù)點相偏離的數(shù)據(jù)點，而用于檢測識別異常點的具體算法則統(tǒng)稱為異常點檢測算法。與聚類算法相同，異常點檢測算法也屬于無監(jiān)督學(xué)習(xí)一類，作為算法輸入的數(shù)據(jù)不需要標(biāo)注。根據(jù)算法的指導(dǎo)思想不同，異常點檢測算法可以分類為基于機器學(xué)習(xí)、基于角度、基于空間、基于密度等不同維度。3.8基于SVM的多維護特征構(gòu)建方法（圖3）支持向量機（SVM，SupportVectorMachine）是根據(jù)統(tǒng)計學(xué)習(xí)理論和結(jié)構(gòu)風(fēng)險最小原則提出的一種機器學(xué)習(xí)方法。它能提高學(xué)

17、習(xí)機的泛化能力，由有限訓(xùn)練樣本得到的決策規(guī)則對獨立的測試集仍能得到較小的誤差，是一種具備較高分類性能和容噪能力的機器學(xué)習(xí)方法。3.9基于BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)惡意行為網(wǎng)絡(luò)流特征分析BP神經(jīng)網(wǎng)絡(luò)的基本原理是采用梯度下降法調(diào)整權(quán)值和閾值使得網(wǎng)絡(luò)的實際輸出值和期望輸出值的均方誤差值最小。標(biāo)準(zhǔn)的BP算法在修正權(quán)值時沒有考慮以前時刻的梯度方向，從而使學(xué)習(xí)過程常常發(fā)生振蕩，收斂緩慢。在態(tài)勢感知平臺采用一種改進的BP學(xué)習(xí)算法，通過引入動量項來減小學(xué)習(xí)過程的振蕩趨勢，改善收斂性。 4結(jié)論及成效 網(wǎng)絡(luò)安全態(tài)勢感知的研究，包含多個方面的態(tài)勢感知研究分析，包括資產(chǎn)運行態(tài)勢、風(fēng)險威脅態(tài)勢、漏洞攻擊態(tài)勢、情報威脅態(tài)勢等眾多態(tài)勢研究及分析，單位網(wǎng)絡(luò)安全態(tài)勢感知的建設(shè)，屬于一個持續(xù)性的安全建設(shè)過程，同時，隨著大數(shù)據(jù)、人工智能、云計算、機器學(xué)習(xí)等方面新技術(shù)的發(fā)展。網(wǎng)絡(luò)安全態(tài)勢感知平臺的建設(shè)愈發(fā)完善及強大?？梢詾楹罄m(xù)領(lǐng)導(dǎo)網(wǎng)絡(luò)安全建設(shè)工作決策提供輔助意見。同時也更好的響應(yīng)和支撐單位應(yīng)急響應(yīng)工作，精準(zhǔn)抓出有效攻擊源頭和路徑，有效提升事件查看、分析及解決的效率。 參考文獻： 1董超，劉雷.大數(shù)據(jù)網(wǎng)絡(luò)安全態(tài)勢感知中數(shù)據(jù)融合技術(shù)研究J.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（7）：