面對(duì)日益猖獗的網(wǎng)絡(luò)攻擊，企業(yè)在高級(jí)持續(xù)性威脅等未知威脅的發(fā)現(xiàn)和防御方面顯得力不從心，而眾多的安全設(shè)備和系統(tǒng)產(chǎn)生大量的零散數(shù)據(jù)和孤島數(shù)據(jù)，造成惡性攻擊事件告警隱藏在海量數(shù)據(jù)中，無(wú)法通過(guò)人工方式實(shí)時(shí)監(jiān)控、預(yù)警、處置及溯源。

本文在介紹安全態(tài)勢(shì)感知相關(guān)概念和技術(shù)應(yīng)用的基礎(chǔ)上，對(duì)基于安全態(tài)勢(shì)感知的網(wǎng)絡(luò)威脅分析、系統(tǒng)安全分析以及用戶(hù)行為分析進(jìn)行了探討，著重對(duì)基于安全大數(shù)據(jù)和威脅情報(bào)進(jìn)行的安全威脅場(chǎng)景分析進(jìn)行了研究，對(duì)于企業(yè)安全能力的落地有重要意義。

基于大數(shù)據(jù)的安全

通過(guò)建立基于海量企業(yè)安全數(shù)據(jù)，構(gòu)建了統(tǒng)一的安全數(shù)據(jù)中心，并通過(guò)大數(shù)據(jù)技術(shù)建立集中共享、威脅分析的全面安全數(shù)據(jù)分析能力。包括：關(guān)聯(lián)分析、統(tǒng)計(jì)分析、數(shù)據(jù)挖掘等多種分析算法，在分析算法的基礎(chǔ)上，多種針對(duì)企業(yè)信息安全威脅的數(shù)學(xué)分析模型也逐漸成型。

態(tài)勢(shì)感知分析場(chǎng)景

1 網(wǎng)絡(luò)威脅分析

安全態(tài)勢(shì)感知系統(tǒng)通過(guò)對(duì)網(wǎng)絡(luò)中各類(lèi)安全日志等原始數(shù)據(jù)進(jìn)行融合分析，結(jié)合業(yè)務(wù)系統(tǒng)和資源及其脆弱性情況及外部威脅情報(bào)進(jìn)行網(wǎng)絡(luò)威脅分析。本文從以下場(chǎng)景進(jìn)行探討和研究。

（1）網(wǎng)絡(luò)攻擊識(shí)別

網(wǎng)絡(luò)攻擊識(shí)別是安全態(tài)勢(shì)感知的基礎(chǔ)場(chǎng)景之一。安全態(tài)勢(shì)感知通過(guò)對(duì)各類(lèi)安全設(shè)備的告警事件和日志，網(wǎng)絡(luò)流量、網(wǎng)站訪問(wèn)日志、中間件日志、主機(jī)及應(yīng)用日志等數(shù)據(jù)進(jìn)行融合關(guān)聯(lián)分析，結(jié)合安全威脅情報(bào)，及時(shí)準(zhǔn)確地識(shí)別Web攻擊、密碼猜測(cè)攻擊、惡意掃描、惡意程序、DDoS等主要攻擊。

首先抽取出IDS/IPS、WAF、抗D設(shè)備、防病毒、掛馬檢測(cè)等相應(yīng)的安全告警，根據(jù)其屬性如告警類(lèi)型、源目標(biāo)IP、端口、時(shí)間等元素進(jìn)行告警關(guān)聯(lián)，同時(shí)抽取中間件日志、網(wǎng)站訪問(wèn)日志、網(wǎng)絡(luò)流量、主機(jī)及應(yīng)用日志，根據(jù)各類(lèi)攻擊行為特征進(jìn)行檢測(cè)，生成安全事件，將安全設(shè)備的告警與日志分析產(chǎn)生的安全事件根據(jù)時(shí)間、源目標(biāo)IP等進(jìn)行關(guān)聯(lián)、去重去誤、歸并壓制，產(chǎn)生真正的安全攻擊告警。

（2）歷史攻擊回溯

在面對(duì)未知威脅時(shí)，安全設(shè)備和監(jiān)控系統(tǒng)難免會(huì)有漏報(bào)，安全態(tài)勢(shì)感知通過(guò)對(duì)歷史數(shù)據(jù)的分析，發(fā)現(xiàn)遺漏的攻擊行為，這些攻擊行為可以作為后續(xù)的樣本數(shù)據(jù)，梳理出高風(fēng)險(xiǎn)資產(chǎn)和IP地址，進(jìn)行重點(diǎn)關(guān)注或做黑名單處理。

（3）異常流量檢測(cè)

安全態(tài)勢(shì)感知的異常流量檢測(cè)采用流量基線的方法。首先需要對(duì)互聯(lián)網(wǎng)邊界和內(nèi)部系統(tǒng)互聯(lián)區(qū)的流量數(shù)據(jù)進(jìn)行采集和還原，然后從流量的源地址、源端口、目的地址、目的端口、流量協(xié)議類(lèi)型幾個(gè)維度，通過(guò)大數(shù)據(jù)機(jī)器學(xué)習(xí)建立流量基線。流量基線包含流量地址范圍、端口范圍、協(xié)議類(lèi)型、流量時(shí)間周期分布、流量總值、流量峰值、流量均值范圍等。通過(guò)流量基線的對(duì)比，發(fā)現(xiàn)與基線背離的異常流量，及時(shí)識(shí)別異常流量事件并告警。

（4）互聯(lián)網(wǎng)資產(chǎn)分析

在企業(yè)實(shí)際生產(chǎn)中，很多主機(jī)、IP、網(wǎng)絡(luò)設(shè)備和應(yīng)用不可避免地暴露在互聯(lián)網(wǎng)中，這部分資產(chǎn)更易遭受攻擊。

安全態(tài)勢(shì)感知互聯(lián)網(wǎng)資產(chǎn)分析的對(duì)象是企業(yè)各類(lèi)資產(chǎn)，包括類(lèi)業(yè)務(wù)系統(tǒng)主機(jī)服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備等。態(tài)勢(shì)系統(tǒng)通過(guò)對(duì)資產(chǎn)的指紋信息如主機(jī)名、IP、域名、所屬業(yè)務(wù)系統(tǒng)、廠商、操作系統(tǒng)及其版本、應(yīng)用系統(tǒng)及版本，開(kāi)放服務(wù)及端口列表等的采集，清楚地掌握資產(chǎn)情況，結(jié)合IP、URL/域名的信譽(yù)值及威脅類(lèi)型情報(bào)數(shù)據(jù)，以及網(wǎng)絡(luò)重大安全事件情報(bào)（包括事件描述、影響地域、系統(tǒng)、資產(chǎn)類(lèi)型等信息），進(jìn)行企業(yè)資產(chǎn)及其指紋信息的分析對(duì)比，篩選出被攻擊、被標(biāo)記的企業(yè)資產(chǎn)，從而進(jìn)行隔離、加固及相應(yīng)的處理。

（5）內(nèi)部高風(fēng)險(xiǎn)網(wǎng)絡(luò)行為分析

企業(yè)內(nèi)部高風(fēng)險(xiǎn)網(wǎng)絡(luò)行為分析，目標(biāo)就是發(fā)現(xiàn)企業(yè)內(nèi)部的可疑僵尸網(wǎng)絡(luò)和主機(jī)。安全態(tài)勢(shì)感知可以通過(guò)威脅情報(bào)對(duì)比內(nèi)部網(wǎng)絡(luò)行為特征，針對(duì)這類(lèi)高風(fēng)險(xiǎn)網(wǎng)絡(luò)行為進(jìn)行分析。主要利用域名/URL情報(bào)數(shù)據(jù)、C2情報(bào)數(shù)據(jù)。其中域名/URL情報(bào)包括其基本信息如域名解析信息、子域名信息等。C2情報(bào)是僵尸網(wǎng)絡(luò)控制主機(jī)情報(bào)，包括C2服務(wù)器地址（域名或IP）、端口號(hào)、協(xié)議等信息。將各類(lèi)安全日志、網(wǎng)絡(luò)流量中的訪問(wèn)目標(biāo)域名/URL與域名/URL情報(bào)數(shù)據(jù)進(jìn)行比對(duì)，抽取疑似僵尸網(wǎng)絡(luò)或蠕蟲(chóng)傳播的高風(fēng)險(xiǎn)網(wǎng)絡(luò)行為，對(duì)此類(lèi)高風(fēng)險(xiǎn)網(wǎng)絡(luò)行為的源地址資產(chǎn)進(jìn)行網(wǎng)絡(luò)活動(dòng)、配置基線、漏洞利用分析，以便排查僵尸網(wǎng)絡(luò)。

將各類(lèi)安全日志、網(wǎng)絡(luò)流量中的源地址/目標(biāo)地址與C2情報(bào)的服務(wù)器地址進(jìn)行比對(duì)，匹配中C2地址的對(duì)端地址認(rèn)為是疑似僵尸主機(jī)地址，對(duì)疑似僵尸主機(jī)資產(chǎn)進(jìn)行網(wǎng)絡(luò)活動(dòng)、配置基線、漏洞利用分析，以確認(rèn)僵尸主機(jī)。

2.系統(tǒng)安全分析

面向企業(yè)系統(tǒng)安全，威脅攻擊過(guò)程主要分為三個(gè)階段：通過(guò)多種手段收集企業(yè)資產(chǎn)信息，探測(cè)系統(tǒng)安全弱點(diǎn)，最后實(shí)施攻擊。如何能更準(zhǔn)確、更高效的發(fā)現(xiàn)系統(tǒng)安全威脅是安全態(tài)勢(shì)感知主要解決的問(wèn)題之一。

（1）系統(tǒng)攻擊識(shí)別

針對(duì)系統(tǒng)攻擊，基于大數(shù)據(jù)技術(shù)，可通過(guò)主動(dòng)獲取并對(duì)日志破壞檢測(cè)數(shù)據(jù)、系統(tǒng)提權(quán)數(shù)據(jù)、錯(cuò)誤日志檢測(cè)數(shù)據(jù)等進(jìn)行數(shù)據(jù)分析，分析各種系統(tǒng)攻擊現(xiàn)象，并形成系統(tǒng)攻擊場(chǎng)景預(yù)警能力。通過(guò)針對(duì)系統(tǒng)的脆弱性分析，可發(fā)現(xiàn)系統(tǒng)中可被黑客或已被黑客利用的安全隱患。

其中對(duì)于日志破壞數(shù)據(jù)進(jìn)行檢測(cè)，基于大數(shù)據(jù)技術(shù)，構(gòu)建實(shí)時(shí)計(jì)算引擎，通過(guò)對(duì)指定日志類(lèi)型和日志ID、或關(guān)鍵字的篩選分析，發(fā)現(xiàn)日志破壞行為，判斷、識(shí)別日志清除痕跡或行為。

若識(shí)別出相應(yīng)的日志破壞、修改行為，則說(shuō)明企業(yè)系統(tǒng)可能已遭到黑客入侵，系統(tǒng)會(huì)自動(dòng)實(shí)時(shí)輸出安全威脅告警，通知該威脅消息，并給出相應(yīng)發(fā)現(xiàn)詳情，幫助用戶(hù)定位問(wèn)題系統(tǒng)，為后續(xù)系統(tǒng)安全問(wèn)題鎖定、維護(hù)、排除，管理策略制定、實(shí)施、管控等提供安全威脅數(shù)據(jù)依據(jù)。圖1為系統(tǒng)攻擊分析流程圖。

同時(shí)，通過(guò)事件ID、或關(guān)鍵詞的篩選，可判斷訪問(wèn)權(quán)限修改行為，直接發(fā)現(xiàn)黑客入侵行為，并基于系統(tǒng)關(guān)聯(lián)分析、統(tǒng)計(jì)分析、數(shù)據(jù)挖掘等數(shù)學(xué)分析算法及手段，勾畫(huà)黑客入侵路徑。

（2）系統(tǒng)脆弱性識(shí)別

針對(duì)系統(tǒng)自身脆弱性分析，可從內(nèi)部發(fā)現(xiàn)可被利用的系統(tǒng)薄弱點(diǎn)，同時(shí)通過(guò)安全脆弱點(diǎn)和安全事件的關(guān)聯(lián)分析，感知系統(tǒng)安全威脅。系統(tǒng)脆弱性主要包括：漏洞分析、合規(guī)配置基線分析、以及弱口令分析等。圖2為系統(tǒng)脆弱性分析流程圖。

圖1 系統(tǒng)攻擊分析流程圖

圖2 系統(tǒng)脆弱性分析流程圖

3 用戶(hù)行為分析

在企業(yè)內(nèi)部，企業(yè)用戶(hù)由于其行為隱秘性、審計(jì)不及時(shí)、監(jiān)管力度不夠等，逐漸成為企業(yè)安全需要重點(diǎn)關(guān)注的部分。所以基于企業(yè)業(yè)務(wù)的用戶(hù)安全場(chǎng)景構(gòu)建和用戶(hù)行為數(shù)據(jù)分析，也就更為重要。

首先，根據(jù)企業(yè)業(yè)務(wù)特征、流程以及需求，構(gòu)建企業(yè)用戶(hù)個(gè)體畫(huà)像和群體特征畫(huà)像，基于對(duì)正常用戶(hù)個(gè)體、用戶(hù)群體行為進(jìn)行長(zhǎng)時(shí)間穩(wěn)定數(shù)據(jù)的大數(shù)據(jù)歸并、抽象、關(guān)聯(lián)等分析過(guò)程，建立用戶(hù)行為基線，并以此為基礎(chǔ)，從個(gè)體、群體不同維度出發(fā)，發(fā)現(xiàn)偏離基線的用戶(hù)安全威脅行為，并以視圖、告警方式及時(shí)輸出大數(shù)據(jù)分析結(jié)果。

其次，建立多種基于企業(yè)業(yè)務(wù)的用戶(hù)行為分析場(chǎng)景，例如用戶(hù)越權(quán)操作、不正常權(quán)限變更、繞行或非法訪問(wèn)、可疑業(yè)務(wù)辦理等，以及通過(guò)時(shí)間、空間等多種視角進(jìn)行用戶(hù)行為分析，發(fā)現(xiàn)隱藏在海量數(shù)據(jù)背后的用戶(hù)安全威脅行為。