劉 祺，黃 杰，王 捷

（1.國(guó)網(wǎng)湖北省電力公司電力科學(xué)研究院，湖北 武漢 430077；2.國(guó)網(wǎng)湖北省電力公司，湖北 武漢 430077）

基于異常感知的威脅綜合防護(hù)模型研究

劉 祺1，黃 杰2，王 捷1

（1.國(guó)網(wǎng)湖北省電力公司電力科學(xué)研究院，湖北 武漢 430077；2.國(guó)網(wǎng)湖北省電力公司，湖北 武漢 430077）

為了提升信息技術(shù)系統(tǒng)對(duì)威脅的感知能力，根據(jù)傳統(tǒng)信息安全威脅與新態(tài)勢(shì)下信息安全威脅的區(qū)別，基于異常流量分析、大數(shù)據(jù)分析和深度檢測(cè)技術(shù)構(gòu)建了新一代威脅綜合防護(hù)模型。結(jié)合規(guī)則的自動(dòng)生成和信譽(yù)庫(kù)的關(guān)聯(lián)，提升信息技術(shù)系統(tǒng)在應(yīng)對(duì)攻擊時(shí)候的響應(yīng)能力。通過(guò)內(nèi)外兼修的方式強(qiáng)化系統(tǒng)在威脅檢測(cè)和威脅防御中的能力，通過(guò)綜合檢測(cè)和防御技術(shù)最大限度提升系統(tǒng)在防護(hù)外部威脅攻擊方面的綜合能力。

異常感知；異常流量；大數(shù)據(jù)分析；深度檢測(cè)

1 新態(tài)勢(shì)下的網(wǎng)絡(luò)信息安全

1.1 傳統(tǒng)威脅

信息安全傳統(tǒng)威脅是指在較早之前就已經(jīng)存在，并且造成了很大危害的攻擊行為，現(xiàn)有的安全產(chǎn)品，如防火墻、IPS、Anti-DDoS、WAF等，能夠?qū)ｉT(mén)針對(duì)這些攻擊進(jìn)行防御，常見(jiàn)的傳統(tǒng)威脅包括以下幾類(lèi)：

Web應(yīng)用攻擊。注入攻擊及跨站腳本攻擊（XSS）是最常見(jiàn)的Web應(yīng)用攻擊方式。注入攻擊中攻擊者發(fā)送惡意數(shù)據(jù)欺騙解釋器，以執(zhí)行計(jì)劃外的命令或訪問(wèn)未被授權(quán)的數(shù)據(jù)。成功的注入攻擊可能導(dǎo)致網(wǎng)站內(nèi)容被篡改，或者數(shù)據(jù)庫(kù)中的內(nèi)容（如信用卡、密碼等）外泄。XSS允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，從而劫持用戶會(huì)話、危害網(wǎng)站、或者將用戶轉(zhuǎn)向至惡意網(wǎng)站。

溢出攻擊。在內(nèi)存緩沖區(qū)寫(xiě)入超出原本可以承受的數(shù)據(jù)量，造成部分內(nèi)容溢出到鄰近的內(nèi)存區(qū)域，進(jìn)而獲得操作系統(tǒng)或應(yīng)用程序的控制權(quán)限，以執(zhí)行任意代碼，溢出攻擊被廣泛使用在蠕蟲(chóng)和系統(tǒng)服務(wù)攻擊中。

分布式拒絕服務(wù)攻擊（DDOS）。指攻擊者通過(guò)控制大量互聯(lián)網(wǎng)上的機(jī)器（常稱為僵尸網(wǎng)絡(luò)），在瞬間同時(shí)向一個(gè)攻擊目標(biāo)發(fā)動(dòng)的攻擊。大量的攻擊報(bào)文導(dǎo)致被攻擊系統(tǒng)的鏈路被阻塞、應(yīng)用服務(wù)器或網(wǎng)絡(luò)防火墻等系統(tǒng)資源被耗盡，無(wú)法為用戶提供正常業(yè)務(wù)訪問(wèn)。

蠕蟲(chóng)、木馬與病毒。蠕蟲(chóng)是可在網(wǎng)絡(luò)上自行復(fù)制的惡意軟件，利用系統(tǒng)漏洞侵入，通常會(huì)通過(guò)消耗帶寬的方式破壞網(wǎng)絡(luò)通信，也可能通過(guò)感染更多的主機(jī)來(lái)竊取資料。木馬指通過(guò)偽裝成正常軟件騙取使用者電腦的存取權(quán)限，進(jìn)而盜取所需信息的惡意程序，木馬常通過(guò)垃圾郵件或社交媒體傳播，也有可能偽裝成知名游戲或應(yīng)用軟件的盜版安裝程序。電腦病毒附著在程序或文件上，在電腦間傳播，隨著傳播路徑感染其它電腦，和蠕蟲(chóng)不同的是，病毒的傳播必須通過(guò)人為的操作引發(fā)。

1.2 新一代威脅

當(dāng)前隨著信息技術(shù)的不斷發(fā)展，越來(lái)越多的攻擊者在發(fā)起攻擊前，會(huì)測(cè)試是否可以繞過(guò)目標(biāo)網(wǎng)絡(luò)的安全檢測(cè)，因此會(huì)使用新型的攻擊手段，例如零日威脅、變形及多態(tài)等高級(jí)逃避技術(shù)、多階段攻擊、APT攻擊，這些新的攻擊方式，即是所謂的新一代威脅。

零日攻擊。包括零日漏洞攻擊和零日惡意軟件兩類(lèi)。零日漏洞攻擊是基于未公開(kāi)的操作系統(tǒng)或者應(yīng)用程序的安全漏洞發(fā)動(dòng)攻擊，由于攻擊時(shí)間處于安全廠商及大眾察覺(jué)安全漏洞之前的零日（ze?ro day）而得名。零日惡意軟件指的是為攻擊特定目標(biāo)而定制的惡意軟件，由于這個(gè)惡意軟件是全新的，安全廠商無(wú)法得到相應(yīng)的樣本，進(jìn)而無(wú)法有效檢測(cè)。零日攻擊效果非常顯著，因?yàn)檫@些攻擊可長(zhǎng)時(shí)間內(nèi)不被發(fā)現(xiàn)。

多階段攻擊。通常一個(gè)組織的關(guān)鍵IT資產(chǎn)處于內(nèi)部網(wǎng)絡(luò)的深處，設(shè)置了層層邏輯隔離及物理隔離防護(hù)，攻擊者無(wú)法直接訪問(wèn)。為此攻擊者會(huì)采用多階段攻擊的方式，首先攻擊訪問(wèn)互聯(lián)網(wǎng)的終端設(shè)備，通過(guò)控制終端設(shè)備在組織內(nèi)網(wǎng)建立立足點(diǎn)，然后通過(guò)偵聽(tīng)、探測(cè)等多種方式發(fā)現(xiàn)跟有價(jià)值的目標(biāo)，再采取決定性的動(dòng)作。

APT攻擊，也稱高級(jí)持續(xù)性威脅。高級(jí)可持續(xù)威脅的攻擊者為黑客入侵技術(shù)方面的專家，通過(guò)使用多種新型手段，結(jié)合多種滲透方法和工具，針對(duì)確定的攻擊目標(biāo)，進(jìn)行長(zhǎng)期的滲透，在不被發(fā)現(xiàn)的情況下，持續(xù)攻擊以獲得最大的效果。

1.3 新一代威脅的特點(diǎn)

相對(duì)于傳統(tǒng)信息安全，新一代威脅的攻擊形式更加高級(jí)與先進(jìn)，具備“潛伏性”“持續(xù)性”“針對(duì)特定目標(biāo)”的特點(diǎn)，攻擊者會(huì)主動(dòng)挖掘被攻擊對(duì)象系統(tǒng)或程序漏洞，利用漏洞組建攻擊者所需網(wǎng)絡(luò)，并利用0day漏洞進(jìn)行攻擊，并且這種攻擊行為通常經(jīng)過(guò)長(zhǎng)期的經(jīng)營(yíng)策劃，具備高度隱蔽性。由于這些新的特性，導(dǎo)致新一代威脅是傳統(tǒng)安全機(jī)制無(wú)法有效檢測(cè)和防御的，因此往往會(huì)造成更大的破壞，成為當(dāng)前各方關(guān)注的焦點(diǎn)。

針對(duì)當(dāng)前新態(tài)勢(shì)下網(wǎng)絡(luò)與信息系統(tǒng)面臨的新一代威脅，本文提出基于異常流量分析、大數(shù)據(jù)分析和虛擬沙箱檢測(cè)技術(shù)，構(gòu)建面向新一代威脅的安全防護(hù)模型。

2 異常流量分析技術(shù)

2.1 網(wǎng)絡(luò)異常流量定義

一個(gè)IT操作行為的屬性包括：行為人身份（Identity）、發(fā)生時(shí)間（Time）、發(fā)生位置(Location)、行為方式(Means)、行為的類(lèi)型（Action）、行為對(duì)象（Re?source）。而基于網(wǎng)絡(luò)流量數(shù)據(jù)來(lái)檢測(cè)異常行為，異常行為的主體與客體都不是特別的明確，只能看到主、客體雙方鏈接的IP地址、端口以及相關(guān)的流量信息，并據(jù)此對(duì)IT操作行為進(jìn)行近似映射。因此，為了從網(wǎng)絡(luò)流量數(shù)據(jù)中檢測(cè)到異常行為，需要基于網(wǎng)絡(luò)鏈接關(guān)系定義所能夠發(fā)現(xiàn)和檢測(cè)的流量異常，通過(guò)檢測(cè)這些異常來(lái)盡可能地發(fā)現(xiàn)內(nèi)部用戶的誤操作、違規(guī)或越權(quán)使用等異常操作行為。

2.2 異常流量檢測(cè)分析方法

分析網(wǎng)絡(luò)流量日志記錄中關(guān)于srcip，srcport，destip，destport，protocol五個(gè)屬性間的關(guān)系，利用數(shù)據(jù)挖掘領(lǐng)域的經(jīng)典關(guān)聯(lián)規(guī)則生成算法——apriori算法，發(fā)現(xiàn)網(wǎng)絡(luò)流量數(shù)據(jù)集中的潛在關(guān)聯(lián)規(guī)則，并據(jù)此找出源地址、目的地址對(duì)應(yīng)主機(jī)之間的潛在頻繁訪問(wèn)規(guī)則關(guān)系。然后由用戶管理員審核這些挖掘出來(lái)的關(guān)聯(lián)規(guī)則，這樣就可以輔助管理員整理網(wǎng)絡(luò)資源之間的訪問(wèn)控制關(guān)系，確定網(wǎng)絡(luò)流量日志數(shù)據(jù)分析的白名單。

統(tǒng)計(jì)分析發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則所對(duì)應(yīng)頻繁網(wǎng)絡(luò)流量日志記錄的時(shí)間分布特征，作為該規(guī)則對(duì)應(yīng)網(wǎng)絡(luò)連接流量的基于時(shí)間窗的統(tǒng)計(jì)特征，進(jìn)而構(gòu)建基于時(shí)間統(tǒng)計(jì)特征的網(wǎng)絡(luò)流量異常檢測(cè)模型。

分析時(shí)依據(jù)統(tǒng)計(jì)分析的時(shí)間粒度（周、日、時(shí)或分）在時(shí)間軸上分割出統(tǒng)計(jì)時(shí)間窗口（可以為等時(shí)間間隔），并根據(jù)記錄的時(shí)間戳統(tǒng)計(jì)符合規(guī)則的記錄落在各個(gè)時(shí)間窗口的統(tǒng)計(jì)值（日志記錄出現(xiàn)的頻度）即可以反映該規(guī)則對(duì)應(yīng)網(wǎng)絡(luò)流量的在時(shí)間軸上的分布特征。因?yàn)槿罩緮?shù)據(jù)具有周期性的特征，在建模訓(xùn)練過(guò)程中，隨著時(shí)間的推進(jìn)，同一時(shí)間窗口可能會(huì)重復(fù)收到新的統(tǒng)計(jì)數(shù)值，這樣針對(duì)每一個(gè)時(shí)間窗口都會(huì)出現(xiàn)周期出現(xiàn)的統(tǒng)計(jì)值序列，進(jìn)一步計(jì)算這些統(tǒng)計(jì)值的均值、方差和分布特征，就可以得出每一個(gè)時(shí)間窗口更為精確的統(tǒng)計(jì)特征——以統(tǒng)計(jì)值序列的均值、方差表示的一個(gè)取值區(qū)間。

2.3 異常流量檢測(cè)實(shí)現(xiàn)

攻擊行為總是從異常的行為開(kāi)始的，異常的行為伴隨著通信過(guò)程中存在的異常流量。通過(guò)對(duì)網(wǎng)絡(luò)中的流量信息進(jìn)行統(tǒng)計(jì)、規(guī)則匹配以及分類(lèi)分析，發(fā)現(xiàn)流量中存在的某些特性，檢測(cè)惡意數(shù)據(jù)。網(wǎng)絡(luò)流量數(shù)據(jù)看作是一種“流量行為”，其行為屬性可表示為〈身份、時(shí)間、地點(diǎn)、方式、對(duì)象、操作〉六元組。對(duì)于每一條流量數(shù)據(jù)，系統(tǒng)抽取出其流量屬性六元組 〈源IP、時(shí)間、IF端口、包數(shù)/包大小/包速率、目的IP、協(xié)議+目的端口〉，將其映射為流量行為六元組。正常流量行為規(guī)則據(jù)此流量行為六元組屬性來(lái)制訂，表示為“以正確的身份，在正確的時(shí)間，在正確的地點(diǎn)，以正確的方式，對(duì)授權(quán)的對(duì)象，進(jìn)行正確的操作”。異常流量行為據(jù)此行為屬性六元組來(lái)制定，表示為“以不正確的身份，在不正確的時(shí)間，在不正確的地點(diǎn)，以不正確的方式，對(duì)非授權(quán)的對(duì)象，進(jìn)行不正確的操作”。

基于上述網(wǎng)絡(luò)流量行為模型，系統(tǒng)將建立相應(yīng)的黑、白名單規(guī)則以及流量行為統(tǒng)計(jì)特征，并基于這些規(guī)則匹配來(lái)檢測(cè)異常的網(wǎng)絡(luò)流量，規(guī)則匹配時(shí)的順序依次為：白名單規(guī)則、黑名單規(guī)則、流量行為統(tǒng)計(jì)特征。

白名單規(guī)則是針對(duì)已知的正常的流量行為，按照行為屬性六元組制定的規(guī)則，所有滿足此規(guī)則的流量數(shù)據(jù)為正常流量數(shù)據(jù)。

第1自然段：那是一個(gè)飄浮著橘黃色光影的美麗黃昏，我忽然對(duì)在一旁修剪茉莉花枝的母親問(wèn)道：“媽媽，你愛(ài)爸爸？”

黑名單規(guī)則是針對(duì)已知的不允許的流量行為，按照行為屬性六元組制定的規(guī)則，所有滿足此規(guī)則的流量數(shù)據(jù)為異常流量數(shù)據(jù)。

流量行為統(tǒng)計(jì)特征是考慮到業(yè)務(wù)系統(tǒng)的復(fù)雜性，制定的黑白名單不可能過(guò)濾掉所有流量數(shù)據(jù)，因此將原始數(shù)據(jù)通過(guò)黑白名單規(guī)則過(guò)濾后的數(shù)據(jù)看作灰數(shù)據(jù)，并假定歷史灰數(shù)據(jù)為正常流量數(shù)據(jù)，對(duì)其進(jìn)行數(shù)據(jù)挖掘與學(xué)習(xí)，按照行為屬性六元組的格式，找出其行為統(tǒng)計(jì)特征作為后續(xù)灰數(shù)據(jù)異常判斷的白名單規(guī)則，所有滿足基調(diào)的流量數(shù)據(jù)為正常流量數(shù)據(jù)，所有不滿足統(tǒng)計(jì)特征的流量數(shù)據(jù)為異常流量數(shù)據(jù)，所有找不到相應(yīng)的判斷統(tǒng)計(jì)特征的流量數(shù)據(jù)為未知流量數(shù)據(jù)。

3 基于大數(shù)據(jù)的安全分析技術(shù)

3.1 大數(shù)據(jù)的定義

由數(shù)量巨大、結(jié)構(gòu)復(fù)雜、類(lèi)型眾多數(shù)據(jù)構(gòu)成的數(shù)據(jù)集合，是基于云計(jì)算的數(shù)據(jù)處理與應(yīng)用模式，通過(guò)數(shù)據(jù)的整合共享，交叉復(fù)用，形成的智力資源和知識(shí)服務(wù)能力。

3.2 基于大數(shù)據(jù)的安全分析方法

通過(guò)對(duì)大數(shù)據(jù)的分析來(lái)挖掘未感知的異常行為或攻擊事件來(lái)發(fā)現(xiàn)潛在的攻擊可能，如：異常的域名解析請(qǐng)求（域名異常、請(qǐng)求異常）、網(wǎng)絡(luò)掃描、頻繁登錄失敗、身份冒用、超量數(shù)據(jù)傳輸、非授權(quán)訪問(wèn)、非法外聯(lián)行為、交易欺詐行為、Web攻擊行為和DDOS攻擊等。

聚類(lèi)是將數(shù)據(jù)分類(lèi)到不同的類(lèi)或者簇這樣的一個(gè)過(guò)程，所以同一個(gè)簇中的對(duì)象有很大的相似性，而不同簇間的對(duì)象有很大的相異性。在實(shí)際網(wǎng)絡(luò)行為中，可以對(duì)網(wǎng)絡(luò)的IP進(jìn)行聚類(lèi)分析，通過(guò)聚類(lèi)分析，發(fā)現(xiàn)部分沒(méi)有聚集的IP地址，則有可能屬于感染惡意程序的主機(jī)，聚在一起IP地址則具有相似的行為。將行為集合作為適當(dāng)?shù)捻?xiàng)集，以適當(dāng)?shù)臅r(shí)間為周期，生成行為記錄庫(kù)，用關(guān)聯(lián)規(guī)則算法對(duì)行為記錄做分析，分析行為之間的相關(guān)度，如果行為之間的相關(guān)度很高，則由單點(diǎn)的異?？梢耘袆e相關(guān)行為異常。通過(guò)以上手段來(lái)支撐對(duì)潛在攻擊行為的分析，了解攻擊行為潛在的攻擊入口，為相關(guān)安全措施的部署提供有效的基礎(chǔ)資源。

4 深度檢測(cè)技術(shù)

4.1 虛擬沙箱技術(shù)

沙箱檢測(cè)是將文件放到一個(gè)由虛擬機(jī)構(gòu)建的環(huán)境當(dāng)中，觸發(fā)并觀察文件的行為特征，通過(guò)對(duì)行為的分析，來(lái)判定是否存在有惡意。但是攻擊者會(huì)采用多種的抗檢測(cè)逃避技術(shù)，可以繞過(guò)沙箱的惡意行為分析。因此我們需要一種更完善的技術(shù)來(lái)檢測(cè)高級(jí)惡意軟件，即在漏洞利用階段就可以檢測(cè)1。

4.2 信譽(yù)系統(tǒng)

通過(guò)虛擬沙箱技術(shù)檢測(cè)基于惡意軟件的來(lái)源地址以及回連命令控制服務(wù)器地址，生成企業(yè)本地信譽(yù)庫(kù)。企業(yè)信譽(yù)庫(kù)可以和云安全中心進(jìn)行數(shù)據(jù)交換，也可以與外部的信譽(yù)卡進(jìn)行數(shù)據(jù)分享，實(shí)現(xiàn)廣泛的信譽(yù)卡信息交換，提升對(duì)威脅的感知能力。企業(yè)信譽(yù)庫(kù)收集本地網(wǎng)絡(luò)虛擬沙箱的報(bào)警信息，提煉出惡意軟件的來(lái)源地址和相應(yīng)命令控制服務(wù)器地址，進(jìn)行整合形成的安全情報(bào)數(shù)據(jù)庫(kù)。而全球信譽(yù)庫(kù)處于云端，它可以歸并所連接的所有企業(yè)信譽(yù)庫(kù)的情報(bào)內(nèi)容，并且通過(guò)第三方合作等方式，形成更全面、完整的威脅情報(bào)數(shù)據(jù)，再推送到各企業(yè)信譽(yù)庫(kù)。最終由相關(guān)的防護(hù)設(shè)備形成可防護(hù)的規(guī)則能力2。

利用云端信譽(yù)庫(kù)可以得到更完整的惡意軟件的情報(bào)數(shù)據(jù)，基于其中的惡意軟件來(lái)源地址數(shù)據(jù)可以防止用戶訪問(wèn)惡意網(wǎng)站或郵件，而命令控制服務(wù)器地址數(shù)據(jù)可以用來(lái)檢測(cè)、阻斷已經(jīng)進(jìn)入內(nèi)部的惡意軟件接受外部控制的通信，防止攻擊的進(jìn)一步發(fā)展。威脅態(tài)勢(shì)是隨時(shí)變化的，因此具備良好效果的信譽(yù)庫(kù)不能是一個(gè)簡(jiǎn)單的黑名單功能，必須具備以下特點(diǎn)：

自動(dòng)生成。信譽(yù)數(shù)據(jù)的生成完全是自動(dòng)化的過(guò)程，不需要人工干預(yù)，這就保障了信譽(yù)數(shù)據(jù)的及時(shí)性，從TAC產(chǎn)生報(bào)警，到生成信譽(yù)加載到IPS上，整個(gè)的過(guò)程可以在秒級(jí)的時(shí)間內(nèi)完成，保障了防御的實(shí)時(shí)性。

信譽(yù)分級(jí)。信譽(yù)庫(kù)和黑名單不同，是用于處理介于“好”和“壞”之間的灰色區(qū)域。一個(gè)網(wǎng)絡(luò)對(duì)象是黑或者白，隨著時(shí)間有可能不斷變化。而要幫助安全產(chǎn)品在瞬間作出決定，就需要隨時(shí)提供最佳答案。由于存在不確定性，沒(méi)有信譽(yù)分級(jí)就意味著必然陷入對(duì)威脅攔截不足或者過(guò)度攔截的兩難境地。強(qiáng)大的信譽(yù)系統(tǒng)可以推算出動(dòng)態(tài)信譽(yù)值，提供更高級(jí)別的準(zhǔn)確性。最終用戶可以基于不同的安全策略要求，靈活的配置不同的信譽(yù)等級(jí)對(duì)應(yīng)何種的動(dòng)作，包括通過(guò)、報(bào)警或者阻截。

動(dòng)態(tài)更新。隨著系統(tǒng)不斷獲得有關(guān)某個(gè)對(duì)象的更多信息，應(yīng)該使用這些信息作為基礎(chǔ)持續(xù)調(diào)整信譽(yù)。例如，一臺(tái)合法計(jì)算機(jī)受特洛伊木馬程序惡意軟件感染后，變成發(fā)送垃圾郵件的僵尸網(wǎng)絡(luò)的一部分，然后該計(jì)算機(jī)得到清理后又恢復(fù)安全。這個(gè)過(guò)程中，該計(jì)算機(jī)完成了一個(gè)循環(huán)，從低風(fēng)險(xiǎn)到高風(fēng)險(xiǎn)，然后再回到低風(fēng)險(xiǎn)。信譽(yù)系統(tǒng)能夠隨時(shí)反映計(jì)算機(jī)的精確狀態(tài)。

只有這種基于動(dòng)態(tài)信譽(yù)機(jī)制的系統(tǒng)，才能有效的分享安全情報(bào)，才能夠形成全網(wǎng)協(xié)同的安全防護(hù)能力。

5 威脅綜合防護(hù)模型

攻擊者總是會(huì)想盡一起辦法來(lái)規(guī)避檢測(cè)，通過(guò)實(shí)踐也會(huì)找到相關(guān)方法。因此一個(gè)完整的防御方案不能依賴某個(gè)單一的檢測(cè)點(diǎn)，或者某種單一的技術(shù)來(lái)控制重大的安全風(fēng)險(xiǎn)，在新一代威脅防御方面更是如此。因此需要建立的是一個(gè)縱深的、多層次檢測(cè)防御體系，通過(guò)多種技術(shù)，對(duì)攻擊整個(gè)生命周期的各個(gè)階段都提供檢測(cè)能力，最大程度防止攻擊發(fā)生了而攻擊者卻一無(wú)所知的狀況出現(xiàn)。基于前面提到的高級(jí)惡意軟件防御及內(nèi)網(wǎng)安全檢測(cè)兩部分的內(nèi)容，提出一套綜合防護(hù)的技術(shù)方法。

如圖1所示，異常檢測(cè)技術(shù)的核心就是建立符合業(yè)務(wù)需要的行為基線，檢測(cè)對(duì)這個(gè)行為基線的偏離來(lái)發(fā)現(xiàn)攻擊或?yàn)E用行為，可以發(fā)現(xiàn)沒(méi)有傳統(tǒng)攻擊特征，但又實(shí)際產(chǎn)生危害的活動(dòng)。通過(guò)應(yīng)用基于大數(shù)據(jù)的安全檢測(cè)技術(shù)對(duì)系統(tǒng)中行為進(jìn)行建模，發(fā)現(xiàn)潛在的攻擊行為，同時(shí)建模的數(shù)據(jù)又可以作為異常檢測(cè)的輸入，來(lái)提升異常檢測(cè)的準(zhǔn)確性和完整性。

圖1 威脅綜合防護(hù)模型Fig.1 Comprehensive threat protection model

在異常檢測(cè)和基于大數(shù)據(jù)的安全檢測(cè)系統(tǒng)中存在一定的異常數(shù)據(jù)或者異常通信行為時(shí)，會(huì)提取相關(guān)的樣本特征，該樣本特征會(huì)傳遞到虛擬沙箱中，應(yīng)用虛擬沙箱技術(shù)提供和實(shí)際環(huán)境已知的虛擬化軟件環(huán)境模擬的真實(shí)運(yùn)行環(huán)境，來(lái)對(duì)具備相關(guān)特征的數(shù)據(jù)在虛擬沙箱中執(zhí)行。通過(guò)查看相關(guān)執(zhí)行的效果來(lái)檢測(cè)是否存在惡意的攻擊行為，虛擬沙箱技術(shù)可以有效的檢測(cè)出系統(tǒng)中需要特定條件觸發(fā)的威脅動(dòng)作。在有效檢測(cè)到攻擊行為后，虛擬沙箱會(huì)通知相關(guān)的防護(hù)設(shè)備來(lái)更新規(guī)則，同時(shí)會(huì)把相關(guān)預(yù)警推送到本地信譽(yù)庫(kù)中。本地信譽(yù)庫(kù)通過(guò)與云端信譽(yù)庫(kù)的交互，及時(shí)更新內(nèi)部的規(guī)則，及時(shí)提升防護(hù)能力。

6 結(jié)語(yǔ)

針對(duì)傳統(tǒng)信息安全威脅與新態(tài)勢(shì)下的信息安全威脅區(qū)別，本文提出基于異常流量分析、大數(shù)據(jù)分析和深度檢測(cè)技術(shù)構(gòu)建新一代威脅綜合防護(hù)模型，通過(guò)內(nèi)外兼修的方式，來(lái)強(qiáng)化系統(tǒng)在威脅檢測(cè)和威脅防御中的能力，尤其各種信息安全威脅層出不窮的今天，通過(guò)綜合檢測(cè)和防御技術(shù)最大限度提升系統(tǒng)在防護(hù)外部威脅攻擊方面的綜合能力。

（References）

[1]蔣誠(chéng)智，余勇，林為民.基于智能Agent的電力信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型研究[J].計(jì)算機(jī)科學(xué),2012,39（12）：98-101.

JIANG Chengzhi,YU Yong,LIN Weimin.Research on Electric Information Netwrok Security Situation Awareness Model Based on IntelligentAgent[J]. Computer Science,2012,39（12）：98-101.

[2]胡東星.基于人工智能的信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)[J].信息通信，2012(6)：80-81.

HU Dongxing.Information network security situa?tional awareness technology based on artificial in?telligence[J].Information and Communications,2012 (6)：80-81.

Research on the Model of Comprehensive Protection Based on Abnormal Perception

LIU Qi1，HUANG Jie2，WANG Jie1
（1.State Grid Hubei Electric Power Research Institute，Wuhan Hubei 430077,China; 2.State Grid Hubei Electric Power Company，Wuhan Hubei 430074,China）

In order to improve the perceived ability of the information technology system,accord?ing to the different information security threats under the traditional and the new situation,based on the abnormal flow analysis technology,big data analysis technology and virtual sandbox technolo?gy,a new generation comprehensive threat protection model is constructed.The automatic genera?tion of rules and the association of reputation database are combined to promote the ability of IT system in response to attack.The system capability in threat detection and threat defense is strengthened by internally and externally,the comprehensive ability in the protection of external threats attack is improved to maximum with the aid of comprehensive detection and Defense Tech?nology.

abnormal perception;abnormal flow;big data analysis;deep inspection

TP393.08

A

1006-3986(2016)07-0042-05

10.19308/j.hep.2016.07.010

2016-06-10

劉 祺（1983），男，湖北荊州人，工程師。