湯煜康++田立

近年來，黑客攻擊技術(shù)開始從直接攻擊轉(zhuǎn)向以APT、定向魚叉、跳板滲透和社工結(jié)合為主，更加強(qiáng)調(diào)攻擊過程的政治和經(jīng)濟(jì)收益，關(guān)注對(duì)敏感數(shù)據(jù)的搜集和竊取，攻擊者也更傾向于采取隱蔽的手段來執(zhí)行攻擊行為。在這個(gè)過程當(dāng)中，政務(wù)單位因其信息數(shù)據(jù)的敏感性和高附加值，往往非常容易成為首當(dāng)其沖的目標(biāo)，而多數(shù)政務(wù)單位的安全防御體系都還是傳統(tǒng)的邊界防御和規(guī)則檢測(cè)方式，難以應(yīng)對(duì)這些新興的攻擊手段。

對(duì)于這些以竊密信息為目的的攻擊者，潛伏、搜集和竊取是其主要行為動(dòng)機(jī)，很多單位都是在自己的重要信息已經(jīng)通過暗網(wǎng)大范圍傳播，才被動(dòng)得知網(wǎng)絡(luò)已經(jīng)被黑的現(xiàn)狀，這就使得大量的國(guó)家敏感文件和信息暴露在惡意攻擊者和別有用心者的控制之下，需要引起足夠的重視并采取相應(yīng)的技術(shù)檢測(cè)手段。

傳統(tǒng)技術(shù)體系之殤

傳統(tǒng)的安全保障手段往往采取“分析檢測(cè)、查殺封堵”的思路實(shí)現(xiàn)安全保障目標(biāo)，包括防火墻基于IP、端口的阻斷策略、IPS基于特征庫的入侵防御策略、反病毒軟件基于病毒庫的惡意代碼處置都是基于此類思路，即阻斷威脅網(wǎng)絡(luò)安全和穩(wěn)定運(yùn)行的操作和行為。但根據(jù)Verizon的全球安全事件調(diào)查報(bào)告顯示，不計(jì)算前期偵察與信息獲取的過程，攻擊者從實(shí)施攻擊到入侵得手僅需要花費(fèi)數(shù)小時(shí)的時(shí)間。但是62%以上的安全部門需要花上數(shù)周甚至超過一個(gè)月的時(shí)間才能發(fā)現(xiàn)黑客攻擊，隨后還需要數(shù)天至數(shù)周的時(shí)間完成響應(yīng)和補(bǔ)救工作。

而在Mandiant最新的高級(jí)安全威脅報(bào)告中指出，政府機(jī)關(guān)和企事業(yè)單位發(fā)現(xiàn)潛藏攻擊者的平均時(shí)間為229天，更為嚴(yán)重的是，僅有33%的組織是自行發(fā)現(xiàn)攻擊事件的，更多的攻擊事件是在被監(jiān)管機(jī)構(gòu)通報(bào)、曝露在暗網(wǎng)甚至是互聯(lián)網(wǎng)上以后才被發(fā)現(xiàn)。

Ponemon Institute針對(duì)全球252個(gè)機(jī)構(gòu)的1928起攻擊事件的統(tǒng)計(jì)發(fā)現(xiàn)，攻擊事件的平均解決時(shí)間為46天，而每延遲發(fā)現(xiàn)和解決攻擊事件一天的成本高達(dá)21155美元。針對(duì)目前的安全現(xiàn)狀，權(quán)威機(jī)構(gòu)Gartner更是大膽指出，到2020年，企業(yè)安全部門應(yīng)該將60%的預(yù)算投資到安全檢測(cè)與響應(yīng)中來，以應(yīng)對(duì)日趨復(fù)雜的網(wǎng)絡(luò)安全環(huán)境。

態(tài)勢(shì)感知成為業(yè)界新寵

信息安全從最初的以縱深防御為代表的靜態(tài)防御，逐步發(fā)展為近年來以檢測(cè)響應(yīng)為核心的動(dòng)態(tài)體系，經(jīng)歷了一個(gè)長(zhǎng)期的攻防雙方對(duì)抗和升級(jí)的過程。這個(gè)過程當(dāng)中，防御者長(zhǎng)期以來都是處于一個(gè)被動(dòng)的位置，急需一種新的攻擊行為檢測(cè)理念和技術(shù)，來彌補(bǔ)傳統(tǒng)安全防護(hù)體系在黑客攻擊專業(yè)化、隱蔽化和組織化形勢(shì)下的不足。這個(gè)新理念就是安全態(tài)勢(shì)感知，最早由M.Endsley教授在1995年提出，認(rèn)為“態(tài)勢(shì)感知是認(rèn)知大量的時(shí)間和空間中的環(huán)境要素，理解它們的意義，并預(yù)測(cè)它們?cè)诓痪脤淼臓顟B(tài)”，防御者開始嘗試去理解攻擊的行為和動(dòng)機(jī)，開啟了基于行為檢測(cè)技術(shù)的先河。

從基本的邏輯鏈分析，到近年來大數(shù)據(jù)分析技術(shù)的應(yīng)用，行為檢測(cè)技術(shù)經(jīng)歷了一個(gè)快速變化和發(fā)展的過程，大數(shù)據(jù)模型下的用戶行為特征的定義和識(shí)別涉及了極為復(fù)雜的立體化建模和關(guān)聯(lián)分析規(guī)則。這些研究?jī)?nèi)容都需要投入大量的科研力量，在廣泛收集海量原始數(shù)據(jù)的基礎(chǔ)上，進(jìn)行深入的分析、學(xué)習(xí)和研究，才能實(shí)現(xiàn)較好的技術(shù)突破。

電子政務(wù)領(lǐng)域應(yīng)用正當(dāng)時(shí)

安全信息和事件管理系統(tǒng)（SIEM）作為新一代行為檢測(cè)技術(shù)的載體，雖然在大數(shù)據(jù)技術(shù)的支撐下獲得了快速的發(fā)展，但實(shí)際應(yīng)用卻差強(qiáng)人意，海量數(shù)據(jù)采集即是優(yōu)勢(shì)，但如果不能有效分析就只能是徒有其表了。在安全態(tài)勢(shì)感知的定義中，可以將對(duì)安全問題的理解分為三個(gè)階段：態(tài)勢(shì)認(rèn)知、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)，而多數(shù)SIEM只做到了海量數(shù)據(jù)采集，連認(rèn)知都談不上更達(dá)不到理解的程度。

我們對(duì)態(tài)勢(shì)的理解和攻擊行為的分析在電子政務(wù)領(lǐng)域具備極好的契合性，主要是因?yàn)檎?wù)網(wǎng)絡(luò)管理規(guī)范，各機(jī)關(guān)單位的業(yè)務(wù)系統(tǒng)和業(yè)務(wù)數(shù)據(jù)流與普通公司或互聯(lián)網(wǎng)企業(yè)相比具備極為清晰的規(guī)律性，用戶行為特征的提取和數(shù)據(jù)流規(guī)律的分析更加準(zhǔn)確快速，規(guī)避了普通網(wǎng)絡(luò)中相關(guān)領(lǐng)域研究的一大難題。同時(shí)，政務(wù)網(wǎng)絡(luò)與互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)隔離的特性，也決定了網(wǎng)絡(luò)中主要的安全隱患來自于內(nèi)部威脅，行為檢測(cè)技術(shù)可以有效地應(yīng)對(duì)內(nèi)部人員越權(quán)和違規(guī)操作的安全威脅，是現(xiàn)有安全保障體系的重要補(bǔ)充和完善手段。

通過對(duì)合法應(yīng)用數(shù)據(jù)流和用戶行為進(jìn)行深入檢測(cè)，分析關(guān)聯(lián)后得出“合法、干凈”的網(wǎng)絡(luò)流量和行為特征，阻斷所有不符合類似特征的網(wǎng)絡(luò)數(shù)據(jù)，從而在根本上解決傳統(tǒng)安全防護(hù)手段的弊端。無論終端用戶訪問業(yè)務(wù)系統(tǒng)，還是業(yè)務(wù)系統(tǒng)之間的調(diào)用和聯(lián)動(dòng)，都離不開網(wǎng)絡(luò)層的信息交互，是任何黑客攻擊所無法繞過的交通樞紐；而如果通過操作系統(tǒng)之上的日志和行為分析，都會(huì)面臨和攻擊者競(jìng)爭(zhēng)root權(quán)限的問題，容易出現(xiàn)日志本身失真的情況，但網(wǎng)絡(luò)層面進(jìn)行的數(shù)據(jù)包鏡像采集則具備更好的真實(shí)性和完整性。

用戶和實(shí)體行為分析

用戶和實(shí)體行為分析是一種不同于傳統(tǒng)基于特征庫的黑名單式的攻擊檢測(cè)技術(shù)，通過定義合法和正常用戶的行為，建立基于行為白名單的安全檢測(cè)能力，其核心思路是違規(guī)和異常行為的檢測(cè)。

所謂違規(guī)，是指網(wǎng)絡(luò)行為違反了一定的“規(guī)范”，例如業(yè)務(wù)科室主動(dòng)訪問財(cái)務(wù)系統(tǒng)數(shù)據(jù)庫服務(wù)器，即使明顯違背了人員正常行為的規(guī)范。這里的規(guī)范可以是現(xiàn)實(shí)世界行為關(guān)系在IT系統(tǒng)中的抽象，也可以是既有行為規(guī)律的機(jī)器自學(xué)習(xí)；

所謂異常，是指網(wǎng)絡(luò)行為明顯不同于“正?！睌?shù)據(jù)的范式，包括兩個(gè)維度的內(nèi)容，一個(gè)是數(shù)據(jù)包關(guān)聯(lián)的用戶行為不同于其他大多數(shù)正常用戶視為異常，另一個(gè)是數(shù)據(jù)包管理的用戶行為不同于自身在過去的行為習(xí)慣，異常檢測(cè)主要以機(jī)器自學(xué)習(xí)為主。

具體的實(shí)現(xiàn)包括以下特征提取和行為建模兩個(gè)層面的內(nèi)容，即上面提到的態(tài)勢(shì)認(rèn)知和態(tài)勢(shì)理解：

行為特征提取

傳統(tǒng)的網(wǎng)絡(luò)行為分析對(duì)象包括源IP地址、源端口、目的IP地址、目的端口和傳輸層協(xié)議這五個(gè)量組成的集合，稱之為網(wǎng)絡(luò)通信的五元組。在同一時(shí)間五元組能夠區(qū)分不同會(huì)話，并且對(duì)應(yīng)的會(huì)話是唯一的，并在一定程度上能夠表明通信雙方的身份信息。但這種檢查策略的缺點(diǎn)是，由于無法對(duì)數(shù)據(jù)包內(nèi)容進(jìn)行實(shí)時(shí)檢測(cè)導(dǎo)致無法檢測(cè)合法用戶進(jìn)行的非法網(wǎng)絡(luò)攻擊行為。

針對(duì)目前許多政務(wù)單位和核心部門的網(wǎng)絡(luò)通信特點(diǎn)，行為特征提取可以通過“三層立體”方式實(shí)現(xiàn)從物理層到應(yīng)用層的立體流量監(jiān)測(cè)。“三層立體”指的是物理層（物理接口和二層協(xié)議+ 網(wǎng)絡(luò)層（源IP地址、源端口、目的IP地址、目的端口、三層協(xié)議）+應(yīng)用層（數(shù)據(jù)內(nèi)容模式）這八個(gè)參量，能夠全面的描述通信雙方及其行為的合法性：

首先違規(guī)和異常策略能夠針對(duì)不同方向（In/Out）的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行傳輸層協(xié)議分析，允許的數(shù)據(jù)將進(jìn)行網(wǎng)絡(luò)層合法性檢查環(huán)節(jié)，網(wǎng)絡(luò)層合法性檢查是針對(duì)網(wǎng)絡(luò)IP包的五元組信息進(jìn)行匹配檢查，只有IP地址和通信端口在允許范圍內(nèi)的數(shù)據(jù)包會(huì)進(jìn)入到應(yīng)用層檢查，否則將直接判斷為訪問關(guān)系違規(guī)；通過網(wǎng)絡(luò)層合法性檢查后，IP包的凈負(fù)荷將進(jìn)入應(yīng)用層異常檢測(cè)環(huán)節(jié)，對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行內(nèi)容識(shí)別，通過強(qiáng)大的高速字符搜索引擎和靈活的策略語法，可以完成應(yīng)用層的業(yè)務(wù)處理。

行為分析建模

攻擊者的行為往往不是以病毒、漏洞利用等明顯的惡意特征出現(xiàn)。攻擊者會(huì)通過社會(huì)工程學(xué)、釣魚、以失陷主機(jī)為跳板等手段獲取高級(jí)管理員的賬號(hào)與權(quán)限；內(nèi)部潛藏的惡意用戶也會(huì)通過竊取、窺探等手段獲得合法權(quán)限。

此外，黑客在嗅探、突破、滲透、橫移、會(huì)話維持、捕獲占領(lǐng)的整個(gè)攻擊鏈條中，均會(huì)非常小心地隱藏自己的攻擊行為，將關(guān)鍵文件進(jìn)行打包加密甚至隱寫，所有的網(wǎng)絡(luò)會(huì)話也會(huì)在加密通道上傳輸，而會(huì)話維持以及遠(yuǎn)程控制服務(wù)器的通信會(huì)夾雜在代理、VPN隧道、NTP、DNS等正常網(wǎng)絡(luò)協(xié)議中混淆視聽。專業(yè)的網(wǎng)絡(luò)分析人員可以根據(jù)經(jīng)驗(yàn)完成數(shù)據(jù)流分析工作，然而普通運(yùn)維人員卻并沒有類似的技術(shù)儲(chǔ)備，而實(shí)際網(wǎng)絡(luò)中的海量數(shù)據(jù)決定了分析量也是人力所不及的，所以必須實(shí)現(xiàn)對(duì)數(shù)據(jù)流特征的自學(xué)習(xí)。

主要包括以下幾個(gè)方面：

第一，黑客攻擊往往是由一系列行為完成的，因此可以通過監(jiān)測(cè)其行為序列來描述攻擊過程和用戶交互行為，這本身就是一個(gè)典型的狀態(tài)機(jī)模型，通過分析網(wǎng)絡(luò)行為在不同狀態(tài)之間的切換概率，就可以描述正常用戶和異常用戶之間的不同特征；

第二，絕大多數(shù)信息系統(tǒng)總是面向多個(gè)海量用戶提供服務(wù)的，那么對(duì)于業(yè)務(wù)的訪問來說，攻擊行為相對(duì)屬于小概率事件，通過識(shí)別這些和大多數(shù)用戶行為不同的離散異常行為即可發(fā)現(xiàn)攻擊者。這種離散行為檢測(cè)過程適用于機(jī)器學(xué)習(xí)中的無監(jiān)督異常監(jiān)測(cè)算法，為了避免單點(diǎn)異常的干擾，iForest算法的魯棒性特點(diǎn)具備更好的適用性；

第三，每個(gè)用戶行為自身具備相對(duì)的規(guī)律性，同樣可以通過對(duì)其過去一段時(shí)間內(nèi)的行為特征進(jìn)行比對(duì)，形成用戶行為規(guī)律的判斷依據(jù)，分析用戶是否為其生成的主體，是否存在權(quán)限冒用或者被惡意攻擊者控制的情況。

（作者單位：浙江嘉興市保密技術(shù)檢查中心、上海信息安全工程技術(shù)研究中心）