基于安全態(tài)勢感知的智能決策與聯(lián)動防護(hù)方案研究

數(shù)字化運營DigitalOperation基于安全態(tài)勢感知的智能決策與聯(lián)動防護(hù)方案研究基于安全態(tài)勢感知的智能決策與聯(lián)動防護(hù)方案研究ResearchonIntelligentDecisionMakingandLinkageProtectionSchemeBasedonSecuritySituationAwarenessYangLili，LiuGuo，LiChanglian(ChinaInformationTechnologyDesigning&ConsultingInstituteCo.，Ltd.，Beijing100048，China)摘要：針對企業(yè)的安全防護(hù)資源和防護(hù)手段的局限性，提出了基于安全態(tài)勢感知的智能決策與聯(lián)動防護(hù)方案。方案采用安全態(tài)勢感知，對骨干網(wǎng)絡(luò)、云上安全服務(wù)和企業(yè)端點安全設(shè)備日志進(jìn)行異源數(shù)據(jù)分析，實現(xiàn)實時攻擊預(yù)警；針對攻擊預(yù)警，進(jìn)行智能決策形成預(yù)判結(jié)果和防護(hù)建議；根據(jù)防護(hù)建議對防護(hù)服務(wù)和設(shè)備進(jìn)行聯(lián)合調(diào)度，通過動態(tài)策略調(diào)整，形成對目標(biāo)的有效保護(hù)，從而形成一套云網(wǎng)端的閉環(huán)防護(hù)體系。Abstract：關(guān)鍵詞：文章編號：1007-3043(2022)11-0060-05開放科學(xué)(資源服務(wù))標(biāo)識碼(OSID)：sion-makingandlinkageprotectionschemebasedonsecuritysituationalawareness.ThesolutionusessecuritysituationalhieverealionsystemKeywords：引用格式：楊麗麗，劉果，李長連.基于安全態(tài)勢感知的智能決策與聯(lián)動防護(hù)方案研究[J].郵電設(shè)計技術(shù)，2022(11)：60-64.0前言隨著云計算、虛擬化等新技術(shù)的大力推廣，云網(wǎng)融合作為一個戰(zhàn)略性的、網(wǎng)絡(luò)型的基礎(chǔ)設(shè)施被大力推進(jìn)，基于云網(wǎng)融合的安全生態(tài)也隨之蓬勃發(fā)展。從IT基礎(chǔ)架構(gòu)走向云網(wǎng)融合的過程中，安全不再是簡單的安全設(shè)備疊加的攻擊防護(hù)，而需要形成基于云網(wǎng)端一體化協(xié)同防護(hù)的安全方案。當(dāng)前各大安全廠商與云網(wǎng)運營商都參與到安全生態(tài)的建設(shè)中，發(fā)揮各自的優(yōu)勢。行業(yè)內(nèi)的很多安全收稿日期：2022-10-09設(shè)備廠商也在轉(zhuǎn)型升級，提出基于云上的各種安全威脅防護(hù)方案。從實際應(yīng)用場景來看，一些云服務(wù)商會利用一定數(shù)量的安全設(shè)備搭建防護(hù)資源池，過濾一些攻擊流量，為云上企業(yè)提供安全加固，但是針對超大攻擊(上千Gbit/s甚至更多的反射攻擊)，云服務(wù)商通過擴(kuò)大防護(hù)資源池已經(jīng)無法滿足安全需求，云上網(wǎng)絡(luò)帶寬已成為其防御瓶頸。對于企業(yè)客戶來說，一般會但由于運維人員對安全專業(yè)知識的欠缺和對安全設(shè)備日志的分析能力不足，在應(yīng)對攻擊時的防御效果和時效性較差。對于網(wǎng)絡(luò)運營商來說，除了具備豐富的網(wǎng)絡(luò)數(shù)據(jù)資源和網(wǎng)絡(luò)策略配置條件外，隨著云計算的602022/11/DTPT基于安全態(tài)勢感知的智能決策與聯(lián)動防護(hù)方案研究數(shù)字化運營DigitalOperation發(fā)展，也需要在云上部署一些安全防護(hù)資源應(yīng)對大網(wǎng)的安全威脅。從以上應(yīng)用場景看，企業(yè)甚至云服務(wù)商都無法針對傳統(tǒng)應(yīng)用、資產(chǎn)或云化平臺等所有可能面臨的安全威脅部署全方位、全維度的安全防護(hù)能力。如果網(wǎng)絡(luò)運營商、云服務(wù)商和企業(yè)端的安全能力形成聯(lián)合調(diào)度和統(tǒng)一管控，就可以充分發(fā)揮網(wǎng)絡(luò)、云端安全服務(wù)和企業(yè)安全設(shè)備的優(yōu)勢，從而靈活地應(yīng)對未知的安全威脅。從該角度出發(fā)，作者提出基于安全態(tài)勢感知的智能決策與聯(lián)動防護(hù)方案。1整體方案本方案是以運營商的基礎(chǔ)網(wǎng)絡(luò)為支撐，實現(xiàn)運營商云安全服務(wù)、企業(yè)公有云和私有云安全資源池、企業(yè)安全設(shè)備的統(tǒng)一接入，通過安全態(tài)勢對異源數(shù)據(jù)的動態(tài)分析實現(xiàn)攻擊預(yù)警，針對攻擊預(yù)警進(jìn)行智能決策形成防護(hù)建議，基于防護(hù)建議結(jié)合底層安全能力屬性下發(fā)安全防護(hù)策略，根據(jù)防護(hù)效果動態(tài)調(diào)整策略，以便達(dá)到預(yù)期效果，從而滿足企業(yè)云環(huán)境和網(wǎng)絡(luò)環(huán)境的定制化安全防護(hù)需求。整體方案目標(biāo)如圖1所示。防護(hù)日志聯(lián)動防護(hù)防護(hù)日志流量數(shù)據(jù)聯(lián)動防護(hù)網(wǎng)絡(luò)策略云高防攻擊監(jiān)測骨干網(wǎng)網(wǎng)絡(luò)監(jiān)測和云防護(hù)服務(wù)云監(jiān)測云掃描智能決策聯(lián)動防護(hù)防護(hù)日志流量數(shù)據(jù)聯(lián)動防護(hù)網(wǎng)絡(luò)策略云高防攻擊監(jiān)測骨干網(wǎng)網(wǎng)絡(luò)監(jiān)測和云防護(hù)服務(wù)云監(jiān)測云掃描安全態(tài)勢感安全態(tài)勢感知客戶局域網(wǎng)的安全設(shè)備如客戶局域網(wǎng)的安全設(shè)備如公有云、私有云安全資源池聯(lián)動防護(hù)圖1整體方案示意圖其中企業(yè)通常會在公有云、私有云上部署一些擴(kuò)服務(wù)，比如云WAF、云掃描、云高防、云探針等，隨著對環(huán)境的適應(yīng)，這些服務(wù)可以為企業(yè)的安全需求提供一定的定制化功能。部分未上云的企業(yè)則會在企業(yè)網(wǎng)絡(luò)上部署一些針對火墻等，這些設(shè)備主要解決“最后一公里”的安全問題，此類設(shè)備的防護(hù)日志以及告警數(shù)據(jù)的精準(zhǔn)度較高，針對性也更強(qiáng)。運營商在骨干網(wǎng)邊緣節(jié)點部署大量的分布式云安全防護(hù)節(jié)點，網(wǎng)絡(luò)廣度比企業(yè)更廣泛，防護(hù)能力也更全面。運營商除了安全能力最重要的就是網(wǎng)絡(luò)流量數(shù)據(jù)，骨干網(wǎng)或城域網(wǎng)上能夠收集到流量大小、國別)，而這些屬性為攻擊預(yù)測的準(zhǔn)確性提供更高的貢獻(xiàn)度。方案的設(shè)計思路如圖2所示。②智能決策形②智能決策形成防護(hù)建議①態(tài)勢感知形成攻擊監(jiān)測③③聯(lián)動防護(hù)進(jìn)行防護(hù)實施④④效果分析與改進(jìn)圖2方案設(shè)計思路圖a)安全態(tài)勢感知對骨干網(wǎng)流量數(shù)據(jù)和骨干網(wǎng)邊緣云端安全服務(wù)、企業(yè)公有云、私有云安全資源池和安全設(shè)備的日志等異源數(shù)據(jù)采用實時分布式節(jié)點數(shù)據(jù)采集，對實時流入的多維數(shù)據(jù)進(jìn)行流式數(shù)據(jù)處理，61數(shù)字化運營DigitalOperation基于安全態(tài)勢感知的智能決策與聯(lián)動防護(hù)方案研究形成關(guān)鍵特征。根據(jù)流量特征進(jìn)行動態(tài)提取和聚合，形成一系列不同安全級別的攻擊預(yù)警，隨著日志維度的增加，安全事件逐步顯性化，告警預(yù)測精準(zhǔn)度逐步提高。b)對安全態(tài)勢感知產(chǎn)生的一系列的攻擊預(yù)警數(shù)據(jù)進(jìn)行智能決策，智能決策主要對安全威脅屬性、用戶風(fēng)險偏好、安全設(shè)備和服務(wù)屬性等形成威脅的因素進(jìn)行多維度的預(yù)估判斷，結(jié)合當(dāng)前管控的安全能力形成可操作的防護(hù)建議。在此過程中需要不斷沉淀安全設(shè)備和云服務(wù)攻防對抗的實踐經(jīng)驗，通過在真實的攻擊場景下優(yōu)化攻防技術(shù)以及發(fā)掘新的技術(shù)方向，豐富智能決策的防護(hù)建議。c)根據(jù)防護(hù)建議提供的防護(hù)類型、攻擊屬性、預(yù)期效果等形成具體的防護(hù)策略，策略包括設(shè)備和服務(wù)的調(diào)度類型和調(diào)度范圍，相同設(shè)備可采用不同的策略。此環(huán)節(jié)通過與骨干網(wǎng)邊緣節(jié)點部署的云安全服務(wù)聯(lián)動應(yīng)對通用特征攻擊和較大攻擊；與公有云和私有云的資源池安全能力聯(lián)動應(yīng)對較小攻擊和精細(xì)化的安全過濾策略；與企業(yè)端點處的防護(hù)設(shè)備聯(lián)動對企業(yè)網(wǎng)絡(luò)進(jìn)行精準(zhǔn)防護(hù)。d)收集與防護(hù)效果相關(guān)的日志，如策略下發(fā)后產(chǎn)生的防護(hù)日志以及網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控的反饋，通過對日志的分析，完成對防護(hù)效果的回歸分析。以上4個環(huán)節(jié)在應(yīng)對安全威脅時能夠形成有效閉環(huán)，通過對防護(hù)效果的分析，加強(qiáng)對態(tài)勢感知、智能決策和聯(lián)動防護(hù)模型的改進(jìn)，防護(hù)效果將越來越好。2詳細(xì)設(shè)計2.1態(tài)勢感知安全態(tài)勢感知的優(yōu)勢在于對網(wǎng)絡(luò)、云環(huán)境、端點等多維度要素的感知、理解和預(yù)測，相對于傳統(tǒng)的專注于某一維度的安全防護(hù)，安全態(tài)勢感知從總體上對安全要素進(jìn)行采集與理解，形成更高維度的對安全的認(rèn)識，從而形成準(zhǔn)確性、實時性高的攻擊預(yù)警數(shù)據(jù)，態(tài)勢感知數(shù)據(jù)收集途徑如圖3所示。安全態(tài)勢感知通過采集數(shù)百萬設(shè)備的日志以及骨干網(wǎng)的流量數(shù)據(jù)，為安全態(tài)勢感知提供豐富的數(shù)據(jù)維度支撐。但由于數(shù)據(jù)源收集的時效性、數(shù)據(jù)解析的清洗效率、數(shù)據(jù)源對事件判斷的貢獻(xiàn)度不同，態(tài)勢感知需要分布式的流式處理機(jī)制，以對數(shù)據(jù)源進(jìn)行就近采集、就近處理，適應(yīng)這種“無邊界”的數(shù)據(jù)集的持續(xù)攻擊告警防護(hù)日志采集監(jiān)測數(shù)據(jù)和防護(hù)日志采集監(jiān)測數(shù)據(jù)和防護(hù)日志防護(hù)日志攻擊告警企業(yè)端點安全設(shè)備如防火墻、攻擊告警防護(hù)日志采集監(jiān)測數(shù)據(jù)和防護(hù)日志采集監(jiān)測數(shù)據(jù)和防護(hù)日志防護(hù)日志攻擊告警企業(yè)端點安全設(shè)備如防火墻、安全資源池……骨干網(wǎng)邊緣節(jié)點云環(huán)境企業(yè)云環(huán)境T 骨干網(wǎng)流量數(shù)據(jù)安全態(tài)勢感知數(shù)據(jù)收集骨骨干網(wǎng)云探針云探針云掃描 云高防圖3態(tài)勢感知數(shù)據(jù)收集途徑輸入。態(tài)勢感知最后要達(dá)到以下3個方面的目標(biāo)。a)形成基于多維度的網(wǎng)絡(luò)空間安全態(tài)勢，比如威為整體的安全研發(fā)重心提供方向。b)形成基于單端點(單個IP、單個網(wǎng)站)的目標(biāo)安全態(tài)勢，向目標(biāo)群體展現(xiàn)端點受到威脅的情況。c)形成端點的預(yù)警數(shù)據(jù)，包括預(yù)警攻擊類型、攻擊目標(biāo)、主要攻擊源、威脅風(fēng)險值、預(yù)警級別、攻擊流量大小等屬性，可隨著數(shù)據(jù)的不斷積累優(yōu)勝劣汰數(shù)據(jù)維度。2設(shè)計方法態(tài)勢感知對數(shù)據(jù)的具體處理流程大致總結(jié)為以下5個步驟(見圖4)。持續(xù)多源異構(gòu)數(shù)據(jù)采集數(shù)據(jù)采集、流處理數(shù)據(jù)結(jié)構(gòu)化，特征清洗清洗運數(shù)據(jù)聚合、持續(xù)多源異構(gòu)數(shù)據(jù)采集數(shù)據(jù)采集、流處理數(shù)據(jù)結(jié)構(gòu)化，特征清洗清洗運數(shù)據(jù)聚合、分析算分布式多源聚合、特征提取特特征關(guān)聯(lián)形成態(tài)勢評估 形成預(yù)警數(shù)據(jù)圖4態(tài)勢感知數(shù)據(jù)處理流程622022/11/DTPT基于安全態(tài)勢感知的智能決策與聯(lián)動防護(hù)方案研究數(shù)字化運營DigitalOperationa)通過安全態(tài)勢對多源異構(gòu)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)、協(xié)議適配，搭建分布式的數(shù)據(jù)采集點，采用流處理機(jī)制對接入日志進(jìn)行范式化處理。b)梳理不同安全設(shè)備、服務(wù)的日志格式及關(guān)鍵信息，對日志中安全威脅以及風(fēng)險特征的相關(guān)因素進(jìn)行清洗，提取有價值的基礎(chǔ)信息。c)通過對不同提取源的數(shù)據(jù)進(jìn)行聚合分析，分離出風(fēng)險性較高的特征，同時根據(jù)特征的危險系數(shù)、出現(xiàn)頻次、相關(guān)性等形成不同層級的特征庫，從不同的目標(biāo)IP或者網(wǎng)站為聚合顆粒度與特征庫形成關(guān)聯(lián)關(guān)d)對目標(biāo)IP或者網(wǎng)站的關(guān)聯(lián)特征進(jìn)行多維畫像，通過畫像的多值運算或加權(quán)運算，得到基于某個目標(biāo)IP或網(wǎng)站的網(wǎng)絡(luò)安全態(tài)勢預(yù)警。e)由于部分預(yù)警的結(jié)果可能會受到多源數(shù)據(jù)收集的時差、特征分析的快慢、特征之間關(guān)聯(lián)關(guān)系、防護(hù)動作等多方面因素的影響，需要經(jīng)過多次運算，形成精準(zhǔn)度高的預(yù)警數(shù)據(jù)。2.2智能決策通過態(tài)勢感知評估出的預(yù)警數(shù)據(jù)，需要基于攻擊威脅程度、威脅類型等威脅屬性，目標(biāo)端點誤傷的接收程度、目標(biāo)端點策略偏好等用戶的屬性，系統(tǒng)內(nèi)可調(diào)度的防護(hù)設(shè)備、設(shè)備防護(hù)容量等設(shè)備屬性進(jìn)行以下2個方面的決策：其一，進(jìn)行當(dāng)前攻擊預(yù)警的預(yù)判(忽忽略暫緩預(yù)判預(yù)警數(shù)據(jù)參與下一次預(yù)判忽略暫緩預(yù)判預(yù)警數(shù)據(jù)處置防護(hù)防護(hù)手段決策防護(hù)圖5預(yù)警數(shù)據(jù)決策流程2設(shè)計方法a)識別預(yù)警數(shù)據(jù)及其屬性(預(yù)警攻擊類型、攻擊最近一次預(yù)判結(jié)果)，將單一目標(biāo)端點當(dāng)前預(yù)警屬性與最近一次預(yù)警進(jìn)行比對，通過比對模型形成當(dāng)前預(yù)警數(shù)據(jù)的預(yù)判結(jié)果。b)根據(jù)預(yù)判結(jié)果決定是否進(jìn)入防護(hù)建議決策環(huán)節(jié)，預(yù)判為“處置”的預(yù)警數(shù)據(jù)進(jìn)入防護(hù)建議決策環(huán)節(jié)，預(yù)判為“暫緩”的預(yù)警數(shù)據(jù)參與下一次的預(yù)判分c)防護(hù)手段決策主要基于預(yù)警屬性、用戶的屬性、設(shè)備屬性等多個維度進(jìn)行決策。除了一些客觀屬性(預(yù)警、設(shè)備)外，客戶的主觀屬性在某些特定環(huán)境下也是重點考慮的因素，比如客戶接受的業(yè)務(wù)損失程度。不同安全策略的處理效果存在較大差異，比如針對常見的DDoS攻擊，可以采用流量清洗或者流量封堵手段應(yīng)對，應(yīng)對較大攻擊時流量封堵雖然高效，但是對業(yè)務(wù)的損傷較大，流量清洗雖然可能會出現(xiàn)清洗不徹底的情況，但對業(yè)務(wù)的損傷較小，所以用戶的一些主觀要求也是決策的主要因素。d)根據(jù)決策結(jié)果形成防護(hù)建議，防護(hù)建議包括防護(hù)類型、攻擊屬性、預(yù)期防護(hù)效果以及備選方案等屬性。e)分別對預(yù)警預(yù)判和防護(hù)決策2個環(huán)節(jié)進(jìn)行建模，考慮采用決策數(shù)算法對屬性進(jìn)行歸納學(xué)習(xí)。通過實踐數(shù)據(jù)的訓(xùn)練來調(diào)整模型中影響屬性對結(jié)果的貢獻(xiàn)度以及異常邊界的數(shù)據(jù)的處理。2.3聯(lián)動防護(hù)根據(jù)防護(hù)建議形成具體的防護(hù)策略。聯(lián)動的前提是需要對安全設(shè)備、云安全服務(wù)、骨干網(wǎng)絡(luò)策略配置進(jìn)行統(tǒng)一管理，以及不同的能力歸屬方對目標(biāo)的認(rèn)同，形成點對點的安全能力調(diào)度劃分標(biāo)準(zhǔn)和規(guī)范，建立能力調(diào)度的連通性。隨著對接入端能力的不斷納管，聯(lián)動防護(hù)的調(diào)整策略也更加靈活，防護(hù)范圍也更加全面。通過對防護(hù)指令下發(fā)后產(chǎn)生效果的分析，進(jìn)行一定范圍內(nèi)策略的動態(tài)調(diào)整，以達(dá)到?jīng)Q策建議的預(yù)標(biāo)如圖6所示。2設(shè)計方法a)建立兼容云網(wǎng)環(huán)境下不同廠家、不同安全設(shè)備的管理機(jī)制，同時納管接口協(xié)議、網(wǎng)絡(luò)位置、收集設(shè)備功能屬性、設(shè)備歸屬、防護(hù)邊界范圍、觸發(fā)條件等信息。通過插拔式的管理機(jī)制對安全能力進(jìn)行統(tǒng)一管郵電設(shè)計技術(shù)/2022/1163數(shù)字化運營DigitalOperation基于安全態(tài)勢感知的智能決策與聯(lián)動防護(hù)方案研究企業(yè)云安全聯(lián)動防護(hù)設(shè)備聯(lián)動防護(hù)骨干網(wǎng)云安全聯(lián)動防護(hù)骨干網(wǎng)云安全聯(lián)動防護(hù)網(wǎng)間邊緣路由器國際邊緣路由器企業(yè)安全設(shè)備WAF等決策和聯(lián)動防護(hù)企業(yè)云安全聯(lián)動防護(hù)設(shè)備聯(lián)動防護(hù)骨干網(wǎng)云安全聯(lián)動防護(hù)骨干網(wǎng)云安全聯(lián)動防護(hù)網(wǎng)間邊緣路由器國際邊緣路由器企業(yè)安全設(shè)備WAF等決策和聯(lián)動防護(hù)絡(luò)監(jiān)測運營商城域網(wǎng)路由器骨骨干網(wǎng)安安全資源池企業(yè)云環(huán)境云掃描云探針 云掃描云探針 云高防…骨干網(wǎng)邊緣節(jié)點云環(huán)境…圖6聯(lián)動防護(hù)目標(biāo)補(bǔ)以及安全能力的其他基本防護(hù)特點進(jìn)行深度學(xué)習(xí)和大數(shù)據(jù)分析，形成安全策略的調(diào)度模型。對基礎(chǔ)安全能力形成單一、替代、組合、疊加等形式的動態(tài)調(diào)度。安全策略有4種形式：單一形式是通過防護(hù)建議中的多個因素，判斷是否單一設(shè)備或服務(wù)能夠滿足防護(hù)要求，用最小范圍的安全能力覆蓋盡可能大范圍的攻擊，單能力調(diào)度主要基于經(jīng)濟(jì)和防護(hù)效率方面考慮；替代形式是通過相同安全能力的不同策略切換，盡可能兼顧攻擊流量的識別效率與防護(hù)效果，達(dá)到相對較優(yōu)；組合形式是通過不同類型的設(shè)備和服務(wù)的組合調(diào)度，應(yīng)對不同攻擊手段同時發(fā)起的風(fēng)險；疊加是通過不同層級、不同廠家的設(shè)備的調(diào)度，解決應(yīng)對攻擊時防護(hù)設(shè)備的分工以及利用率的問題。比如在監(jiān)測到攻擊中存在DDoS大流量帶寬攻擊和CC攻擊時，需要同時啟用DDoS清洗設(shè)備和高防設(shè)備。c)根據(jù)決策建議與策略調(diào)度模型匹配，形成具體的安全設(shè)備調(diào)度策略，如設(shè)備啟用范圍、策略、先后順序，進(jìn)行防護(hù)指令下發(fā)，根據(jù)安全的防護(hù)日志反饋以及新的防護(hù)建議動態(tài)調(diào)整防護(hù)策略。系統(tǒng)根據(jù)預(yù)期效果指標(biāo)判定是否能夠進(jìn)行動態(tài)策略調(diào)整，設(shè)備的區(qū)域或者防御技術(shù)盲點，可能導(dǎo)致動態(tài)調(diào)整失效，此問題需要通過不斷優(yōu)化以及補(bǔ)充盲點來解決。2.4效果分析與改進(jìn)通過聯(lián)動防護(hù)形成安全防護(hù)問題庫，問題庫收集的內(nèi)容主要包括系統(tǒng)動態(tài)防護(hù)后效果不佳的預(yù)警任務(wù)、來自