◆董 磊 李秀峰 徐志鵬

（中國電信股份有限公司山東分公司 山東 250101）

基于網(wǎng)絡(luò)流量學(xué)習(xí)的智能安全建模技術(shù)

◆董 磊 李秀峰 徐志鵬

（中國電信股份有限公司山東分公司 山東 250101）

隨著IT及互聯(lián)網(wǎng)技術(shù)不斷的演進(jìn)，安全威脅也在不斷的發(fā)生演變，新的威脅APT攻擊、0day攻擊、水坑攻擊等正在不斷涌現(xiàn)，單純依靠傳統(tǒng)的基于特征庫的靜態(tài)檢測防御技術(shù)已無法完全確保業(yè)務(wù)系統(tǒng)的安全性，通過研究一種基于業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)流量學(xué)習(xí)的智能安全流量建模技術(shù)和系統(tǒng)，可較快的建立符合業(yè)務(wù)系統(tǒng)自身特點(diǎn)的“Secure By Default”安全模型，完善對新安全威脅的檢測和防護(hù)能力。

流量學(xué)習(xí)；安全建模；Secure By Default

0 引言

安全的本質(zhì)其實(shí)就是攻防技術(shù)的博弈，近年來隨著IT技術(shù)及互聯(lián)網(wǎng)技術(shù)不斷的演進(jìn)，安全威脅也在不斷的發(fā)生演變，基于新的威脅APT攻擊、0day攻擊、水坑攻擊、魚叉式網(wǎng)絡(luò)釣魚攻擊的各種安全事件層出不窮，造成現(xiàn)有業(yè)務(wù)系統(tǒng)基于靜態(tài)特征庫的檢測防御體系已無法完全確保業(yè)務(wù)系統(tǒng)的安全性。為了能夠解決不斷出現(xiàn)的已知安全威脅和未知安全威脅，確保業(yè)務(wù)系統(tǒng)的資產(chǎn)和業(yè)務(wù)的安全性，越來越多的企業(yè)和單位意識到安全應(yīng)該從基于經(jīng)驗(yàn)、粗放安全管理模式向精確、量化安全管理模式轉(zhuǎn)型的必要性，以及遵從“Secure By Default”原則的重要性，并已開始在安全運(yùn)維工作中實(shí)踐。但依靠常規(guī)的人工訪談確認(rèn)的方式去梳理業(yè)務(wù)系統(tǒng)的“Secure By Default”安全模型，往往效率不高，且準(zhǔn)確性較差，如何通過高效的技術(shù)手段對現(xiàn)有業(yè)務(wù)系統(tǒng)的實(shí)際網(wǎng)絡(luò)流量進(jìn)行學(xué)習(xí)、分析、量化形成準(zhǔn)確的安全模型，已成為業(yè)界研究的熱點(diǎn)課題。運(yùn)營商的業(yè)務(wù)系統(tǒng)由于其承載業(yè)務(wù)的特殊性、業(yè)務(wù)接口多而復(fù)雜、歷史運(yùn)維移交不清等原因，造成其安全運(yùn)維實(shí)施“Secure By Default”安全建模中存在各種實(shí)施困難。

（1）業(yè)務(wù)系統(tǒng)的資產(chǎn)信息、應(yīng)用服務(wù)端口登記的準(zhǔn)確性問題無法確認(rèn)，是否存在未備案資產(chǎn)直接部署到業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)中也無法確認(rèn)。

（2）業(yè)務(wù)系統(tǒng)的的安全管控策略不知真實(shí)、精確的現(xiàn)網(wǎng)互連需求。無法對any to any、*** to any、any to ***等明顯錯誤之外的其它策略進(jìn)行準(zhǔn)確判斷和細(xì)化。

（3）業(yè)務(wù)系統(tǒng)的安全設(shè)備的策略只增不減將導(dǎo)致設(shè)備性能大幅下降，防護(hù)設(shè)備經(jīng)過長時間使用后，經(jīng)常會出現(xiàn)冗余、無效、控制粒度過于粗獷的策略。

本文通過研究一種基于業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)流量學(xué)習(xí)的智能安全建模技術(shù)和系統(tǒng)，可準(zhǔn)確的建立符合業(yè)務(wù)系統(tǒng)自身特點(diǎn)的“Secure By Default”安全模型。

1 模型設(shè)計(jì)

1.1 模型元素

“Secure By Default”原則說白了其實(shí)就是只有合法訪問行為的網(wǎng)絡(luò)環(huán)境。運(yùn)營商的業(yè)務(wù)系統(tǒng)如何建立符合該原則的安全模型，業(yè)界對此已進(jìn)行了很多研究和探索，關(guān)鍵是梳理出符合業(yè)務(wù)系統(tǒng)的自身現(xiàn)狀的資產(chǎn)、核心應(yīng)用，核心應(yīng)用的訪問策略這三類信息。

（1）資產(chǎn)

資產(chǎn)應(yīng)包括業(yè)務(wù)系統(tǒng)所有資產(chǎn)信息，應(yīng)包含了資產(chǎn)的名稱、資產(chǎn)的IP地址以及其承載的主要應(yīng)用。資產(chǎn)的名稱對于安全運(yùn)維人員非常重要，它能幫助運(yùn)維人員開始識別出資產(chǎn)的價值和重要性，在大量告警事件中快速準(zhǔn)確的找到應(yīng)優(yōu)先處理的告警。資產(chǎn)的IP地址和應(yīng)用是核心應(yīng)用訪問策略中源IP和目的IP的組成部分，如果沒有這部分內(nèi)容，就無法定義出核心應(yīng)用的訪問策略。

（2）核心應(yīng)用

核心應(yīng)用是指所有核心資產(chǎn)上的所有應(yīng)用，之所以如此定義，是因?yàn)樗鼈兣c承載核心數(shù)據(jù)的應(yīng)用運(yùn)行在一個環(huán)境下，它們?nèi)绯霈F(xiàn)安全問題往往會直接引發(fā)數(shù)據(jù)的可用和竊取。核心應(yīng)用的信息至少包括核心應(yīng)用的名稱、應(yīng)用所使用的協(xié)議類型及服務(wù)端口號。核心應(yīng)用的名稱同樣可以幫助運(yùn)維人員快速判斷應(yīng)用脆弱性的危害性，從而準(zhǔn)確決定脆弱性控制的策略。核心應(yīng)用所使用的協(xié)議類型和服務(wù)端口號也是核心應(yīng)用訪問策略的組成部分，也是檢查網(wǎng)絡(luò)中訪問行為是否合法的基礎(chǔ)依據(jù)。

（3）核心應(yīng)用訪問策略

核心應(yīng)用訪問策略是用來標(biāo)識訪問核心應(yīng)用的合法行為，其信息包括資產(chǎn)的IP地址、資產(chǎn)應(yīng)用的協(xié)議和服務(wù)端口號以及訪問源IP地址。其中資產(chǎn)的IP地址、資產(chǎn)應(yīng)用協(xié)議和服務(wù)端口號可以通過梳理核心資產(chǎn)獲取，訪問源IP地址可以根據(jù)業(yè)務(wù)訪問特性的來確認(rèn)合法訪問源的信息。

1.2 模型推導(dǎo)

以往業(yè)務(wù)系統(tǒng)運(yùn)維人員大多是在系統(tǒng)上線后，通過廠家資料交維的方式人工記錄和維護(hù)該業(yè)務(wù)系統(tǒng)的資產(chǎn)、核心應(yīng)用、核心應(yīng)用訪問策略等信息，但該信息跟現(xiàn)網(wǎng)的實(shí)際情況是否相符往往難以驗(yàn)證，并且隨著業(yè)務(wù)系統(tǒng)的發(fā)展變化其資產(chǎn)、應(yīng)用、策略信息將會變化，這種人工被動梳理的方式無法滿足實(shí)際的需求。利用事物反向推理的方法理論，我們可以考慮通過基于業(yè)務(wù)系統(tǒng)現(xiàn)網(wǎng)流量的客觀信息，從中提取出業(yè)務(wù)系統(tǒng)相關(guān)的資產(chǎn)、核心應(yīng)用、核心應(yīng)用訪問的信息，與運(yùn)維人員維護(hù)的現(xiàn)有信息對比分析，通過對少數(shù)不同步的信息進(jìn)行人工判別，并對匯總的信息進(jìn)行驗(yàn)證和維護(hù)，經(jīng)過一段時間反復(fù)的學(xué)習(xí)、分析、對比、更新的過程，最終可以快速、準(zhǔn)確的形成完符合業(yè)務(wù)系統(tǒng)實(shí)際網(wǎng)絡(luò)流量的“Secure By Default”安全模型。

我們假設(shè)An代表某一資產(chǎn)，Anm代表某一資產(chǎn)上的某一核心應(yīng)用，BnAnm代表某一資產(chǎn)上的某一核心應(yīng)用的訪問策略。我們從業(yè)務(wù)系統(tǒng)的現(xiàn)網(wǎng)的上行或下行流量中實(shí)時提取出源IP地址、目的IP地址、目的端口、應(yīng)用協(xié)議等信息數(shù)據(jù)，并可做如下推導(dǎo)過程：

（1）源IP地址或目的IP地址可作為資產(chǎn)信息Ai，可通過對每個資產(chǎn)信息Ai的是否歸屬于該業(yè)務(wù)系統(tǒng)的IP地址段，確定Ai是否為該業(yè)務(wù)系統(tǒng)的資產(chǎn)；

（2）目的地址、目的端口可作為核心應(yīng)用信息Aij，可通過對該流量合法性的判斷可確認(rèn)Aij是否為該業(yè)務(wù)系統(tǒng)的核心應(yīng)用；

（3）通過對源地址、目的地址、目的端口、應(yīng)用協(xié)議可作為核心應(yīng)用訪問策略信息BiAij，可通過對該流量合法性的判斷可確認(rèn)BiAij是否為該業(yè)務(wù)系統(tǒng)的核心應(yīng)用訪問策略。

通過一段時間的不斷從業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)流量中提取信息判斷，最終形成集合H{An，Anm，BnAnm}便是符合業(yè)務(wù)系統(tǒng)“Secure By Default”原則的信息集合，這也正是基于網(wǎng)絡(luò)流量學(xué)習(xí)的“Secure By Default”安全模型安全建模過程。

2 技術(shù)方案實(shí)現(xiàn)

有了基于業(yè)務(wù)系統(tǒng)的現(xiàn)網(wǎng)流量的“Secure By Default”安全模型的的解決思路，為了提高安全運(yùn)維的工作效率和準(zhǔn)確率，下面我們將設(shè)計(jì)了一套可行的基于網(wǎng)絡(luò)流量學(xué)習(xí)的“Secure By Default”安全建模系統(tǒng)。

2.1 系統(tǒng)設(shè)計(jì)

該系統(tǒng)由兩部分構(gòu)成，分別是專用的流量采集器與運(yùn)維管理平臺。流量采集器用于采集和解析訪問流量并將驗(yàn)證結(jié)果以日志形式發(fā)送給運(yùn)維管理平臺。運(yùn)維管理平臺負(fù)責(zé)分析流量日志，對資產(chǎn)信息、核心應(yīng)用信息以及訪問合法性進(jìn)行分析和匯總，為安全運(yùn)維人員呈現(xiàn)核心資產(chǎn)列表、核心應(yīng)用列表以及合法、非法、未知的訪問行為。

圖1 系統(tǒng)架構(gòu)圖

2.2 網(wǎng)絡(luò)部署

根據(jù)電信運(yùn)營商的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)，可將采集器旁路部署在業(yè)務(wù)系統(tǒng)核心交換機(jī)處，通過交換機(jī)的鏡像或分流技術(shù)實(shí)現(xiàn)對業(yè)務(wù)系統(tǒng)各安全域間流量的采集，運(yùn)營管理平臺可按需部署在統(tǒng)一辦公區(qū)的某主機(jī)上，實(shí)現(xiàn)對采集流量信息的分類匯總分析，運(yùn)維人員可使用自身終端通過B/S加密的HTTP協(xié)議登錄運(yùn)營管理平臺，建立符合業(yè)務(wù)系統(tǒng)自身特點(diǎn)的“Secure By Default”安全模型。

圖2 系統(tǒng)網(wǎng)絡(luò)部署圖

2.3 使用流程

圖3 系統(tǒng)使用流程圖

（1）運(yùn)維人員確定業(yè)務(wù)系統(tǒng)各安全區(qū)域的資產(chǎn)IP范圍，通過運(yùn)營管理平臺下發(fā)流量采集監(jiān)聽規(guī)則。

（2）采集器根據(jù)監(jiān)聽規(guī)則采集業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)的流量信息，首先通過木馬檢測引擎可快速發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在已知木馬信息，然后將流量信息解析成安全模型的元素信息，匯總分類給運(yùn)營管理平臺的各分項(xiàng)模塊處理，將流量信息通過“蟲圖”和日志方式可視化，通過人工對合法流量和非法流量判別，將無法識別的“灰”流量轉(zhuǎn)為相應(yīng)“白”流量和“黑”流量，進(jìn)而系統(tǒng)自動更新安全模型的信息數(shù)據(jù)。

（3）通過一定時間反復(fù)自學(xué)習(xí)分析判斷，該系統(tǒng)的安全模型的信息數(shù)據(jù)不斷更新，當(dāng)跟現(xiàn)網(wǎng)流量基本能達(dá)到95%以上的匹配，此時便建立符合業(yè)務(wù)系統(tǒng)自身特點(diǎn)的“Secure By Default”安全模型。

2.4 測試效果

為驗(yàn)證該建模系統(tǒng)的可用性，我們選取運(yùn)營商某業(yè)務(wù)系統(tǒng)部署該安全建模系統(tǒng)進(jìn)行現(xiàn)網(wǎng)測試，測試過程和效果如下：

（1）定義核心資產(chǎn)范圍（172.21.42.*，172.21.40.*），下發(fā)流量采集策略。

只會對核心資產(chǎn)范圍內(nèi)的源IP或者目的IP的流量進(jìn)行監(jiān)聽和分析，為保證資產(chǎn)發(fā)現(xiàn)的全面，對資產(chǎn)進(jìn)行整個段監(jiān)控。

（2）快速瀏覽業(yè)務(wù)系統(tǒng)的流量。

從運(yùn)維管理平臺下發(fā)采集策略生效后，該業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)中的流量信息便會在系統(tǒng)中直觀的呈現(xiàn)，流量信息分為未知流量（灰）和已知流量（白、黑）。以查看灰流量為例，通過二級的網(wǎng)絡(luò)流量信息“蟲圖”可以快速查看網(wǎng)絡(luò)中的未知流量。

圖4 第一級網(wǎng)絡(luò)流量信息“蟲圖”

上圖為一級“蟲圖”顯示了未知流量中HTTP上傳9080端口服務(wù)應(yīng)用的情況，左側(cè)為源地址信息，右側(cè)為目的地址，共有67條流量日志。如需查看更詳細(xì)的流量信息，可查看下圖的二級“蟲圖”。

（3）建立合法流量白名單策略

①根據(jù)運(yùn)營人員現(xiàn)有ACL列表進(jìn)行創(chuàng)建。通過系統(tǒng)導(dǎo)入現(xiàn)有ACL列表完成訪問策略建立，系統(tǒng)會自動進(jìn)行匹配，將未處理的灰日志轉(zhuǎn)變成已處理。

②手動逐條創(chuàng)建。運(yùn)維人員通過網(wǎng)絡(luò)流量信息“蟲圖”直觀展示，對未知流量判定為合法流量，可直接加入白名單。

圖5 第二級網(wǎng)絡(luò)流量信息“蟲圖”

（4）梳理遺漏的灰流量

建立完大部分核心資產(chǎn)的白名單策略后，但是隨著“蟲圖”的不斷變化，還是有些細(xì)小的流量還是被忽略掉了，可通過日志分析功能里的灰日志分析最多排名進(jìn)行處理。通過“轉(zhuǎn)白”或“轉(zhuǎn)黑”操作，將該條信息加入白策略或黑策略。

（5）對已建策略進(jìn)行分析和優(yōu)化

經(jīng)過以上步驟，已經(jīng)將核心資產(chǎn)訪問策略建立完備，也對日志分析中的流量進(jìn)行了梳理，接下來可通過系統(tǒng)對已有的策略進(jìn)行優(yōu)化，細(xì)化策略和清除閑置策略。

（6）通過一定時間段的運(yùn)維人員對流量分析優(yōu)化確認(rèn)后，訪問策略信息和現(xiàn)網(wǎng)流量基本能達(dá)到95%以上的匹配，便形成符合該業(yè)務(wù)系統(tǒng)自身特點(diǎn)的“Secure By Default”安全模型，信息如下圖所示：

圖6 資產(chǎn)和核心應(yīng)用（即開放端口）

圖7 資產(chǎn)172.21.42.14的核心應(yīng)用訪問策略

（7）通過該業(yè)務(wù)系統(tǒng)的“Secure By Default”安全模型解決的部分安全問題：

①發(fā)現(xiàn)該業(yè)務(wù)系統(tǒng)未備案的資產(chǎn)和服務(wù)端口，包括172.21.42.14、172.21.42.13、172.21.40.53、172.21.40.52，詳細(xì)信息如下圖所示。②自動優(yōu)化該業(yè)務(wù)系統(tǒng)現(xiàn)有安全ACL控制策略。優(yōu)化前某條ACL策略。

圖8 發(fā)現(xiàn)的未備案資產(chǎn)和服務(wù)端口

動作源IP 目的IP 目的端口 協(xié)議允許172.21.40.* 172.21.38.* any TCP

經(jīng)系統(tǒng)通過自動學(xué)習(xí)優(yōu)化后ACL策略。

圖9 優(yōu)化后的防火墻的ACL策略

3 結(jié)束語

本文研究的一種基于網(wǎng)絡(luò)流量學(xué)習(xí)的智能“Secure By Default”安全建模技術(shù)和系統(tǒng)，不僅可以快速準(zhǔn)確的建立建立符合業(yè)務(wù)系統(tǒng)自身特點(diǎn)的“Secure By Default”安全模型，還可以提升安全管理工作的效率，提升安全運(yùn)維的效果，幫助企業(yè)縮短發(fā)現(xiàn)攻擊、抑制攻擊行為的時間，減少攻擊行為帶來的損失。

[1]李方偉，張新躍，朱江，張海波．基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J]．計(jì)算機(jī)應(yīng)用，2015．

[2]王選宏，肖云．基于信息融合的網(wǎng)絡(luò)安全態(tài)勢感知模型[J]．科學(xué)技術(shù)與工程，2010．

[3]陳秀真，鄭慶華，管曉宏，林晨光．層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法[J]．軟件學(xué)報(bào)，2006．

[4]崔艷娜．網(wǎng)絡(luò)流量態(tài)勢感知研究[D]．廣州：華南師范大學(xué)，2013．

[5]謝錦彪．內(nèi)網(wǎng)安全態(tài)勢感知技術(shù)的研究與實(shí)現(xiàn)[D]．廣州：廣東工業(yè)大學(xué)，2015．

[6]趙威，李光昱，安銳．白環(huán)境管理在企業(yè)安全運(yùn)維中的應(yīng)用[J]．電力信息與通信技術(shù)，2015．

[7]史磊．網(wǎng)絡(luò)安全態(tài)勢感知模型研究[D]．蘭州：蘭州大學(xué)，2012．

[8]黃昆，倪雅琦，李靜．基于白環(huán)境模型的網(wǎng)絡(luò)攻擊分析技術(shù)在信息安全等級保護(hù)中的應(yīng)用研究．[A]．全國信息安全等級保護(hù)技術(shù)大會會議，2013．

[9]郭海，郭義喜，李海林．網(wǎng)絡(luò)安全建模與仿真研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006．

[10]魏浩，陳性元，王超，杜學(xué)繪．一種基于數(shù)據(jù)流分析的網(wǎng)絡(luò)行為檢測[J]．計(jì)算機(jī)應(yīng)用研究，2013．