◆肖 鵬蘇永東張 睿宋 春

（1.云南電網(wǎng)有限責(zé)任公司信息中心 云南 650217；2.云南云電同方科技有限公司 云南 650217）

電網(wǎng)信息安全威脅情報(bào)自動(dòng)化應(yīng)用技術(shù)研究

◆肖 鵬1蘇永東1張 睿2宋 春2

（1.云南電網(wǎng)有限責(zé)任公司信息中心 云南 650217；2.云南云電同方科技有限公司 云南 650217）

當(dāng)前網(wǎng)絡(luò)空間安全形勢(shì)非常復(fù)雜，入侵手段不斷攀升，高危漏洞層出不窮，為開(kāi)放融合過(guò)程中的電網(wǎng)企業(yè)信息安全防護(hù)帶來(lái)新的挑戰(zhàn)。本文根據(jù)某電網(wǎng)企業(yè)的現(xiàn)狀，開(kāi)展了威脅情報(bào)自動(dòng)化應(yīng)用技術(shù)研究，形成了新漏洞快速檢測(cè)、IDS/防火墻策略自動(dòng)更新以及惡意軟件檢測(cè)規(guī)則快速應(yīng)用等基于威脅情報(bào)的縱深動(dòng)態(tài)防御體系，并針對(duì)平臺(tái)后續(xù)深入應(yīng)用給出了研究方向。

精準(zhǔn)預(yù)警；威脅情報(bào)；自動(dòng)化；電網(wǎng)企業(yè)；開(kāi)放融合網(wǎng)絡(luò)

0 引言

隨著新型漏洞和攻擊的不斷增長(zhǎng)，信息安全面臨嚴(yán)峻挑戰(zhàn)。匿名網(wǎng)絡(luò)（The Onion Router，Tor）、網(wǎng)絡(luò)跳板、僵尸網(wǎng)絡(luò)（Botnet）、惡意URL地址等方式在網(wǎng)絡(luò)攻擊者大量使用，發(fā)現(xiàn)困難、追蹤更難，這些都攻擊手段的出現(xiàn)帶來(lái)了新的挑戰(zhàn)。傳統(tǒng)方法往往只能獲取局部攻擊信息，無(wú)法構(gòu)建出完整的攻擊鏈條。隨著電力體制改革、能源互聯(lián)網(wǎng)技術(shù)的推進(jìn)，電網(wǎng)企業(yè)原有封閉的內(nèi)網(wǎng)將面臨復(fù)雜的信息安全環(huán)境，希望有類似國(guó)際刑警組織能夠獲取到各地網(wǎng)絡(luò)中的威脅信息，從而為網(wǎng)絡(luò)攻擊檢測(cè)防護(hù)、聯(lián)動(dòng)處置、信息共享提供一個(gè)決策信息平臺(tái)。近幾年在網(wǎng)絡(luò)安全領(lǐng)域逐步興起的威脅情報(bào)（Threat Intelligence）分析為電網(wǎng)企業(yè)快速獲取攻擊熱點(diǎn)并及時(shí)防護(hù)提供了支持。

對(duì)此，開(kāi)展威脅情報(bào)自動(dòng)化應(yīng)用技術(shù)研究，能夠進(jìn)一步縮短響應(yīng)防護(hù)時(shí)間，及時(shí)發(fā)現(xiàn)并阻斷攻擊，對(duì)于電網(wǎng)企業(yè)信息安全防護(hù)水平的提升具有重要意義

1 國(guó)內(nèi)外研究現(xiàn)狀

安全威脅情報(bào)（Security Threat Intelligence），它是網(wǎng)絡(luò)安全機(jī)構(gòu)為了共同應(yīng)對(duì)高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊，而逐漸興起的一項(xiàng)熱門技術(shù)，它實(shí)際上是我們從安全服務(wù)廠商、防病毒廠商、和安全組織得到安全預(yù)警通告、漏洞通告、威脅通告等，并用于對(duì)網(wǎng)絡(luò)攻擊進(jìn)行追根溯源。為了實(shí)現(xiàn)情報(bào)的自動(dòng)化應(yīng)用，國(guó)外已經(jīng)提出了一些情報(bào)共享與描述規(guī)范。

（1）CybOX

Cyber Observable eXpression（CybOX）規(guī)范定義了一個(gè)表征計(jì)算機(jī)可觀察對(duì)象與網(wǎng)絡(luò)動(dòng)態(tài)和實(shí)體的方法?？捎^察對(duì)象包括文件，HTTP會(huì)話，X509證書(shū)，系統(tǒng)配置項(xiàng)等。CybOX 規(guī)范提供了一套標(biāo)準(zhǔn)且支持?jǐn)U展的語(yǔ)法，用來(lái)描述所有我們可以從計(jì)算系統(tǒng)和操作上觀察到的內(nèi)容。在某些情況下，可觀察的對(duì)象可以作為判斷威脅的指標(biāo)，比如Windows的RegistryKey。這種可觀察對(duì)象由于具有某個(gè)特定值，往往作為判斷威脅存在與否的指標(biāo)。IP地址也是一種可觀察的對(duì)象，通常作為判斷惡意企圖的指標(biāo)。

（2）STIX

Structured Threat Information eXpression（STIX）提供了基于標(biāo)準(zhǔn)XML的語(yǔ)法描述威脅情報(bào)的細(xì)節(jié)和威脅內(nèi)容的方法。STIX支持使用CybOX格式去描述大部分STIX語(yǔ)法本身就能描述的內(nèi)容，當(dāng)然，STIX還支持其他格式。標(biāo)準(zhǔn)化將使安全研究人員交換威脅情報(bào)的效率和準(zhǔn)確率大大提升，大大減少溝通中的誤解，還能自動(dòng)化處理某些威脅情報(bào)。實(shí)踐證明，STIX規(guī)范可以描述威脅情報(bào)中多方面的特征，包括威脅因素，威脅活動(dòng)，安全事故等。它極大程度利用DHS規(guī)范來(lái)指定各個(gè)STIX實(shí)體中包含的數(shù)據(jù)項(xiàng)的格式。

（3）TAXII

Trusted Automated eXchange of Indicator Information（TAXII）提供安全的傳輸和威脅情報(bào)信息的交換。很多文章讓人誤以為TAXII只能傳輸TAXII格式的數(shù)據(jù)，但實(shí)際上它支持多種格式傳輸數(shù)據(jù)。當(dāng)前的通常做法是用TAXII來(lái)傳輸數(shù)據(jù)，用STIX來(lái)作情報(bào)描述，用CybOX的詞匯。TAXII在標(biāo)準(zhǔn)化服務(wù)和信息交換的條款中定義了交換協(xié)議，可以支持多種共享模型，包括hub-and-spoke，peer-to-peer，subscription。

（4）MIL

輕量級(jí)交換托管事件（Managed Incident Lightweight Exchange，MILE）封裝的標(biāo)準(zhǔn)涵蓋了與DHS系列規(guī)范大致相同的的內(nèi)容，特別是CybOX，STIX和TAXII。MILE標(biāo)準(zhǔn)為指標(biāo)和事件定義了一個(gè)數(shù)據(jù)格式。該封裝還包含了事件對(duì)象描述和交換格式（Incident Object Description and Exchange Format，IODEF）。IODEF合并了許多DHS系列規(guī)范的數(shù)據(jù)格式，并提供了一種交換那些可操作的統(tǒng)計(jì)性事件信息的格式，且支持自動(dòng)處理。它還包含了結(jié)構(gòu)化網(wǎng)絡(luò)安全信息（IODEF for Structured Cybersecurity Information，IODEF-SCI）擴(kuò)展和實(shí)時(shí)網(wǎng)絡(luò)防御（Realtime Internetwork Defense， RID），支持自動(dòng)共享情報(bào)和事件。

（5）安全威脅情報(bào)共享框架OpenIOC

OpenIOC本身是一個(gè)記錄、定義以及共享安全情報(bào)的格式，它可以幫助你借助機(jī)器可讀的形式實(shí)現(xiàn)不同類型威脅情報(bào)的快速共享。OpenIOC本身是開(kāi)放、靈活的框架，因此你隨時(shí)可以根據(jù)發(fā)現(xiàn)添加新的情報(bào)，完善你的IOC（Indicator of Compromise）。OpenIOC主要使用XML（Extensible Markup Language）來(lái)實(shí)現(xiàn)，XML語(yǔ)言提供了豐富、靈活的格式來(lái)將數(shù)據(jù)表示成可機(jī)讀的形式。通常在使用OpenIOC時(shí)會(huì)定義自己的指示器屬性表（Indicator Term Documens），里面列出了要使用的諸多屬性，當(dāng)然也可以根據(jù)自己的需要添加新的屬性描述。

而國(guó)內(nèi)目前也已經(jīng)建成了部分威脅情報(bào)中心，360威脅情報(bào)中心和微步在線威脅情報(bào)中心作為較為知名、較早商用的情報(bào)中心也為企業(yè)提高威脅情報(bào)。但360提供的威脅情報(bào)為360安全設(shè)備專用的機(jī)讀格式，難以與企業(yè)現(xiàn)有防御設(shè)施集成；微步在線提供的威脅情報(bào)則僅局限于惡意IP、域名等方面，并且是通過(guò)API接口查詢，并沒(méi)有應(yīng)用相關(guān)情報(bào)描述規(guī)范。

2 電網(wǎng)威脅情報(bào)自動(dòng)化應(yīng)用技術(shù)研究

2.1 應(yīng)用總體框架

威脅情報(bào)系統(tǒng)的技術(shù)框架如圖1所示，從圖中可看出它包含了內(nèi)部威脅和外部威脅兩個(gè)方面的共享和利用。

圖1 威脅情報(bào)自動(dòng)化應(yīng)用總體框架圖

外部威脅情報(bào)主要來(lái)自互聯(lián)網(wǎng)已公開(kāi)的情報(bào)源，及各種訂閱的安全信息，漏洞信息、合作交換情報(bào)信息、購(gòu)買的商業(yè)公司的情報(bào)信息。公開(kāi)的信息包含了安全態(tài)勢(shì)信息、安全事件信息、各種網(wǎng)絡(luò)安全預(yù)警信息、網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)分析結(jié)果、IP地址信譽(yù)等。在威脅情報(bào)系統(tǒng)中能夠提供潛在的惡意IP地址庫(kù)，包括惡意主機(jī)、垃圾郵件發(fā)送源頭與其他威脅，還可以將事件與網(wǎng)絡(luò)數(shù)據(jù)與系統(tǒng)漏洞關(guān)聯(lián)。

2.2 應(yīng)用平臺(tái)功能及關(guān)鍵技術(shù)

2.2.1 威脅情報(bào)應(yīng)用平臺(tái)功能架構(gòu)

為了應(yīng)用獲取到的威脅情報(bào)，威脅情報(bào)應(yīng)用平臺(tái)應(yīng)具有分析、驗(yàn)證等功能，同時(shí)需要具備外部情報(bào)在內(nèi)部的檢測(cè)與應(yīng)用的能力，如圖2所示。

圖2 威脅情報(bào)自動(dòng)化應(yīng)用平臺(tái)功能圖

2.2.2 自動(dòng)化應(yīng)用關(guān)鍵技術(shù)

（1）防火墻/IPS/IDS規(guī)則下發(fā)

威脅情報(bào)中往往帶有惡意的IP情報(bào)，主要是惡意軟件下載的地址、遠(yuǎn)控服務(wù)器地址、帶有攻擊性的Web地址、DDoS攻擊源地址等，通過(guò)將這些情報(bào)使用STIX/OpenIOC描述后，即可根據(jù)所使用的防火墻/IDS/IPS類型，自動(dòng)化的生成阻斷規(guī)則，從而能夠避免遭受相關(guān)攻擊。

（2）DNS過(guò)濾規(guī)則下發(fā)

對(duì)于域名來(lái)說(shuō)，可以在DNS服務(wù)器基礎(chǔ)上應(yīng)用開(kāi)源的DNS過(guò)濾工具RPZone，并導(dǎo)出其規(guī)則文件RPZ，實(shí)現(xiàn)對(duì)惡意域名的過(guò)濾。

（3）釣魚(yú)郵件過(guò)濾

在現(xiàn)有的郵件系統(tǒng)基礎(chǔ)上，開(kāi)發(fā)黑名單導(dǎo)入接口，將威脅情報(bào)中攜帶的釣魚(yú)、惡意郵件地址、郵件主題生成列表后，利用黑名單導(dǎo)入接口應(yīng)用到當(dāng)前郵件系統(tǒng)。

（4）惡意軟件防護(hù)

由于目前使用的惡意軟件防護(hù)軟件均未開(kāi)放特征庫(kù)編輯，僅能在網(wǎng)絡(luò)上應(yīng)用深度包檢測(cè)技術(shù)或開(kāi)源惡意代碼檢測(cè)工具，對(duì)威脅情報(bào)中提供的惡意軟件名稱、簽名等進(jìn)行比對(duì)分析。

（5）終端安全防護(hù)

企業(yè)當(dāng)前應(yīng)用的終端安全管理系統(tǒng)能夠有效檢測(cè)終端注冊(cè)表、文件等配置，而威脅情報(bào)中對(duì)于惡意軟件如何實(shí)現(xiàn)駐留的描述，可以通過(guò)向終端安全管理系統(tǒng)推送駐留特征實(shí)現(xiàn)，包括初次釋放的文件、修改的注冊(cè)表、修改的文件等行為，利用終端安全管理系統(tǒng)進(jìn)行檢測(cè)，并設(shè)置安全策略：“檢測(cè)到異常后隔離該終端，禁止網(wǎng)絡(luò)訪問(wèn)”，在不擴(kuò)大感染的情況下由人工介入進(jìn)行排查修復(fù)。

（6）惡意URL訪問(wèn)檢測(cè)

針對(duì)威脅情報(bào)中提供的惡意URL，利用上網(wǎng)行為審計(jì)系統(tǒng)實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)記錄的告警，以便快速響應(yīng)。

（7）安全漏洞精確關(guān)聯(lián)與修復(fù)

威脅情報(bào)中往往帶有該攻擊或惡意軟件使用的系統(tǒng)安全漏洞，一般為CVE漏洞編號(hào)。通過(guò)在內(nèi)網(wǎng)建立CVE漏洞鏡像庫(kù)或?qū)崟r(shí)訪問(wèn)官網(wǎng)漏洞信息，可以獲取該漏洞的影響范圍和修復(fù)方法。包括影響的系統(tǒng)類型、版本，修復(fù)該漏洞的版本等，將這些信息在內(nèi)網(wǎng)資產(chǎn)庫(kù)中進(jìn)行比對(duì)，即可精確定位面臨威脅的資產(chǎn)，針對(duì)性的組織修復(fù)。

而當(dāng)前該企業(yè)正在建設(shè)自動(dòng)化運(yùn)維系統(tǒng)，還可以將自動(dòng)化運(yùn)維系統(tǒng)與威脅情報(bào)應(yīng)用平臺(tái)接口，自動(dòng)化的完成漏洞修復(fù)版本的測(cè)試和正式應(yīng)用。

（8）攻擊跡象檢測(cè)

除了上述響應(yīng)行為外，平臺(tái)通過(guò)將威脅情報(bào)中的各屬性內(nèi)容在信息安全審計(jì)系統(tǒng)中進(jìn)行檢測(cè)，發(fā)現(xiàn)正在進(jìn)行的隱蔽攻擊或已結(jié)束的攻擊，開(kāi)展取證、影響分析工作，做好攻擊后處理。

3 結(jié)束語(yǔ)

目前，威脅情報(bào)的自動(dòng)化應(yīng)用仍在探索中，其主要難點(diǎn)在于可機(jī)讀的威脅情報(bào)難以在封閉的基礎(chǔ)安全設(shè)施中直接應(yīng)用，需要定制開(kāi)發(fā)相關(guān)接口。因此，在電網(wǎng)信息安全情報(bào)自動(dòng)化應(yīng)用技術(shù)方面我們主要采用定制開(kāi)發(fā)接口的形式向基礎(chǔ)安全設(shè)施提供最新的檢測(cè)屬性，在非關(guān)鍵場(chǎng)景下應(yīng)用可直接集成的開(kāi)源工具。

可以預(yù)見(jiàn)，隨著軟件定義安全技術(shù)的廣泛應(yīng)用，威脅情報(bào)的應(yīng)用將變的更加方便與快捷。

[1]王曉甜，張玉清.安全漏洞自動(dòng)收集系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程，2006.

[2]葛先軍，李志勇，何友.漏洞信息數(shù)據(jù)挖掘系統(tǒng)設(shè)計(jì)[J].計(jì)算機(jī)工程與設(shè)計(jì)，2009.

[3]顧韻華，張金喜，李佩.網(wǎng)絡(luò)安全漏洞信息采集系統(tǒng)的研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011.

[4]Common Vulnerabilities and Exposures(CVE) [EB/OL].http://eve.mitre.org/,2016.

[5]高寅生.安全漏洞庫(kù)設(shè)計(jì)與實(shí)現(xiàn).微電子學(xué)與計(jì)算機(jī)，2007.

[6]About NVD[EB/OL].http://nvd.nist.gov/about.cfm/,20-16.

[7]About Us.& More About US-CERT[EB/OL].http://w w-w.uscert.gov/aboutus.html,2016.

[8]Common vulnerability scoring system[EB/OL]. http:// -www.first.org/cvss/,2016.