李琰 胡俊

摘要：針對高安全級別信息系統(tǒng)提出一種利用策略和審計日志信息進行態(tài)勢感知的安全態(tài)勢感知模型。相比傳統(tǒng)通過入侵檢測系統(tǒng)采集網(wǎng)絡(luò)數(shù)據(jù)和系統(tǒng)數(shù)據(jù)進行分析的方法，該模型對于威脅事件有較強的靈敏度，能夠在系統(tǒng)發(fā)生威脅事件的第一時間覺察。同時模型依托可信計算技術(shù)，使整個系統(tǒng)運行在允許范圍內(nèi)，有效提升系統(tǒng)防護能力，對高安全級別信息系統(tǒng)的安全監(jiān)控有實際意義。

關(guān)鍵詞：態(tài)勢感知;訪問控制;可信計算

DOI.10.11907/rjdk.191167

中圖分類號：TP309 文獻標識碼：A 文章編號：1672-7800（2019）012-0167-06

0引言

為了增進人們對于整個系統(tǒng)安全態(tài)勢的了解，在網(wǎng)絡(luò)被攻擊后能夠及時發(fā)現(xiàn)并作出響應(yīng)，網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)隨之誕生。它可以綜合多方面的安全因素，從大體上動態(tài)反映網(wǎng)絡(luò)態(tài)勢，并對其進行分析。在發(fā)生安全事件時能夠及時預(yù)警，并展示其可能影響的范圍，從而達到有效提升網(wǎng)絡(luò)整體監(jiān)測、響應(yīng)與防護的能力。

目前，態(tài)勢感知技術(shù)主要通過采集網(wǎng)絡(luò)原始數(shù)據(jù)與系統(tǒng)運行生成的動態(tài)安全數(shù)據(jù)等信息，再通過對數(shù)據(jù)進行實時分析實現(xiàn)。這種方法適用于一般信息系統(tǒng)，而我國等級保護要求高安全級別系統(tǒng)需要以訪問控制機制為核心，并以可信計算功能作為訪問控制的支撐。在訪問控制規(guī)則、策略和審計日志中包含了系統(tǒng)安全方面的大量信息。因此，對高安全級別信息系統(tǒng)而言，進行態(tài)勢感知應(yīng)當以利用訪問控制相關(guān)信息為主。

本文著重研究以訪問控制為核心的信息系統(tǒng)安全態(tài)勢感知問題，采用與傳統(tǒng)系統(tǒng)類似的安全態(tài)勢感知步驟，但是分析對象與原理依據(jù)則由訪問控制機制和可信計算機制導(dǎo)出。通過對訪問控制和可信計算的原理分析，提出一種基于可信計算的適用于訪問控制策略的安全態(tài)勢感知方法，并用攻擊實例說明了方法的可靠性。該研究成果對高安全級別信息系統(tǒng)的安全監(jiān)控有實際意義。

1研究現(xiàn)狀

目前，人們對網(wǎng)絡(luò)安全態(tài)勢感知（Network Security Situ-ation Awareness，簡稱NSSA）的研究存在3種觀點：一種認為NSSA是網(wǎng)絡(luò)安全事件應(yīng)用大數(shù)據(jù)處理和可視化技術(shù)的匯總結(jié)果，如傳統(tǒng)安全服務(wù)提供商（McAfee，Symantec）及新出現(xiàn)的重點關(guān)心APT攻擊的企業(yè)（FireEye，Mandiant）等，通過公開一些技術(shù)報告記錄APT的攻擊實例;一種認為NSSA是基于網(wǎng)絡(luò)安全事件融合計算的網(wǎng)絡(luò)安全狀態(tài)量化表達;還有觀點認為NSSA作為一種網(wǎng)絡(luò)安全管理工具，是網(wǎng)絡(luò)安全檢測的一種實現(xiàn)形式，并提出了諸多模型。

文獻[7]給出了網(wǎng)絡(luò)安全態(tài)勢感知的目的，認為它是將態(tài)勢感知的理論和方法應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域，幫助網(wǎng)絡(luò)安全人員實時把握整個網(wǎng)絡(luò)的安全狀態(tài)，并提供決策支持，同時給出了網(wǎng)絡(luò)安全態(tài)勢感知的一般功能模型;文獻[8]強調(diào)數(shù)據(jù)融合是態(tài)勢感知的核心手段;文獻[9]將“網(wǎng)絡(luò)安全態(tài)勢感知視為態(tài)勢感知的一個子集，其主要關(guān)注的是網(wǎng)絡(luò)安全領(lǐng)域，數(shù)據(jù)源主要是IDS的警報、脆弱性信息等”;文獻[10]則是電力企業(yè)使用日志進行異常檢測的應(yīng)用;文獻[11]提出了訪問控制的形式化和機制描述，引入了主體、客體和訪問控制矩陣的概念;文獻[12]描述了訪問控制是授權(quán)方通過設(shè)置訪問控制策略，限制請求方的行為和操作，進而允許或禁止請求方進行相應(yīng)服務(wù)請求的方法手段;文獻[13]介紹可信計算是一種包括可信硬件、可信軟件、可信網(wǎng)絡(luò)和可信計算應(yīng)用等諸多方面的信息系統(tǒng)安全技術(shù)，并對可信計算的思想、理論、技術(shù)進行了相關(guān)闡述。

2相關(guān)概念

2.1網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢感知是對網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的認知過程，它從系統(tǒng)中獲取測量到的原始數(shù)據(jù)并進行分析，經(jīng)過融合處理和對系統(tǒng)背景狀態(tài)及活動語意的提取，識別系統(tǒng)的各類網(wǎng)絡(luò)活動并發(fā)現(xiàn)其中異常活動的意圖，從而獲得系統(tǒng)當前網(wǎng)絡(luò)安全態(tài)勢和該態(tài)勢對網(wǎng)絡(luò)系統(tǒng)正常行為的影響情況。

圖1為文獻[7]中給出的網(wǎng)絡(luò)安全態(tài)勢感知模型，數(shù)據(jù)進入系統(tǒng)后共分為網(wǎng)絡(luò)安全態(tài)勢覺察、網(wǎng)絡(luò)安全態(tài)勢理解、網(wǎng)絡(luò)安全態(tài)勢投射3個步驟。

網(wǎng)絡(luò)安全態(tài)勢覺察的主要目的是辨識出系統(tǒng)中的活動，通過對原始數(shù)據(jù)進行降噪以及標準化處理，得到有效信息，然后對信息進行關(guān)聯(lián)分析，進一步識別出異常活動。

網(wǎng)絡(luò)安全態(tài)勢理解的主要任務(wù)是根據(jù)異?；顒永斫馄湟鈭D，發(fā)現(xiàn)異?；顒拥墓羰侄闻c攻擊目標等信息。

網(wǎng)絡(luò)安全態(tài)勢投射的基本任務(wù)是基于識別出的攻擊活動，評估已經(jīng)出現(xiàn)的攻擊行為對被管網(wǎng)絡(luò)的危害和可能發(fā)生的攻擊行為對被管網(wǎng)絡(luò)造成的潛在威脅。其主要任務(wù)是在上述基礎(chǔ)上分析并評估威脅事件對當前系統(tǒng)中各對象的威脅情況，發(fā)現(xiàn)威脅事件已經(jīng)產(chǎn)生或可能產(chǎn)生的影響。

2.2訪問控制

訪問控制是授權(quán)者通過限制請求者的行為和操作，進而允許或限制請求者訪問能力或范圍的方法手段。該技術(shù)通過既定策略組成策略庫，將系統(tǒng)中所有合法操作進行標識，從而準許或限制所有主體對客體的訪問能力及范圍，達到保證整個系統(tǒng)時刻都運行在規(guī)定權(quán)限內(nèi)的目的。其核心在于如果根據(jù)授權(quán)策略對用戶進行授權(quán)，擁有權(quán)限的就是合法用戶，沒有權(quán)限的就是非法用戶，授權(quán)策略對所有訪問進行統(tǒng)一控制。

因此，它具有防止非法用戶訪問受保護的資源、允許合法用戶訪問受保護的資源以及防止合法用戶對于受保護的資源進行非授權(quán)訪問的特點。其作為實現(xiàn)安全操作系統(tǒng)的核心技術(shù)，既是系統(tǒng)安全的一個解決方案，又是保證信息機密性和完整性的關(guān)鍵技術(shù)。目前，對訪問控制的研究已經(jīng)成為計算機科學(xué)的熱點之一。

訪問控制系統(tǒng)一般使用引用監(jiān)視器模型，如圖2所示，它通過安全策略庫對訪問行為進行驗證，根據(jù)訪問控制策略判斷行為究竟是被允許還是禁止，同時整個過程中的訪問行為和訪問結(jié)果記錄在審計系統(tǒng)中。

2.3可信計算

可信計算是一種信息系統(tǒng)安全新技術(shù)，包括可信硬件、可信軟件、可信網(wǎng)絡(luò)和可信計算應(yīng)用等。系統(tǒng)在計算運算的同時進行安全防護，計算全程可測可控，并且不被干擾。通過這種方式可以使計算結(jié)果總是與預(yù)期結(jié)果相符。

可信度量機制在可信計算中扮演著重要角色，通過可信度量機制可以判斷系統(tǒng)是否仍然處于可信狀態(tài)。目前，國內(nèi)外對可信度量的研究主要集中在完整性檢測上。它通過對需要保護的程序、數(shù)據(jù)或者代碼進行散列計算，將得到的散列值作為參考散列值，并在系統(tǒng)運行過程中定期進行重新計算、對比，為系統(tǒng)狀態(tài)是否可信提供重要判斷依據(jù)。

3模型提出

本文基于訪問控制與可信計算原理，提出了針對訪問控制系統(tǒng)的安全態(tài)勢感知模型及其工作步驟，并描述了不同步驟下安全態(tài)勢感知所實現(xiàn)的功能。

3.1理論分析

傳統(tǒng)安全態(tài)勢感知根據(jù)入侵檢測系統(tǒng)得到的信息，包括流量信息、主機運行的動態(tài)信息等去尋找可能發(fā)生的威脅事件。其中，態(tài)勢覺察采集信息、態(tài)勢理解分析信息、態(tài)勢投射將分析結(jié)果映射到系統(tǒng)中，從而找到威脅事件，將其理解為獲取信息一分析信息一映射信息以判斷安全狀況的過程。在訪問控制系統(tǒng)中，這一過程同樣適用，因此認為訪問控制系統(tǒng)的態(tài)勢感知也包括態(tài)勢覺察、態(tài)勢理解、態(tài)勢投射3個步驟。

在訪問控制系統(tǒng)中，安全策略已被部署，通過審計機制可獲得安全策略執(zhí)行情況相關(guān)信息，外部威脅利用訪控策略的不完善和訪控執(zhí)行機制的漏洞入侵系統(tǒng)，對訪問控制機制的安全態(tài)勢感知是根據(jù)安全策略和審計信息，判斷威脅事件的影響范圍，并追溯可能的攻擊源頭，查找威脅事件，而可信機制可以在這一過程中協(xié)助篩選。

下文通過基于訪問控制模型的理論分析確定訪問控制系統(tǒng)安全態(tài)勢感知的基本原理和每一步驟的主要功能。訪問控制機制可實現(xiàn)將計算機內(nèi)部主體對客體的訪問行為限制運行在允許范圍內(nèi)，可用訪問控制矩陣描述訪問控制規(guī)則，如圖3所示。

但訪問控制策略的不完備性，使得訪問控制系統(tǒng)仍然存在被攻擊的可能，可信計算機制在整個過程中為其提供保障。在訪問控制系統(tǒng)中，通過對執(zhí)行程序、動態(tài)庫等主體進行可信度量，可信度量可以確認這些可執(zhí)行代碼的初始狀態(tài)是否被篡改。同時，訪問控制系統(tǒng)對所有可影響主體屬性及完整性的行為進行審計。

如審計機制發(fā)現(xiàn)違法行為或可信度量機制發(fā)現(xiàn)被篡改的主體，則表示系統(tǒng)中存在攻擊行為，此時需要分析審計信息以確認攻擊影響范圍，追溯攻擊源頭，這便是訪問控制系統(tǒng)態(tài)勢感知要解決的問題。系統(tǒng)中的主體集合s由不可信集合s*與可信集合s組成，即：

S=S*+S'（11）

在此過程中，記錄各主體的用戶屬性，那么s*集合中的主體所記錄的用戶屬性為嫌疑用戶，在s集合中的主體所記錄的用戶屬性為正常用戶。

3.2網(wǎng)絡(luò)安全態(tài)勢覺察

網(wǎng)絡(luò)安全態(tài)勢覺察的目的是為了發(fā)現(xiàn)威脅行為，系統(tǒng)可通過審計和可信度量獲得覺察信息，在審計信息中可以獲得違反p*的行為和p*中影響主體屬性與完整性的行為。

綜上所述，通過態(tài)勢投射模塊可以得到節(jié)點中易受威脅的資源集合Siner，以及節(jié)點現(xiàn)有策略對于威脅行為Acta→b的敏感程度，這些可以幫助系統(tǒng)管理員更好地掌握威脅事件對于系統(tǒng)各節(jié)點的影響，并且可以幫助管理員制定更加合適的防御策略。

由于態(tài)勢感知是基于原子攻擊行為對于策略庫白名單的影響，因此其感知結(jié)果與防護體系核心策略庫能夠直接進行更新，從而態(tài)勢感知系統(tǒng)在輸出整個系統(tǒng)安全態(tài)勢的同時，也具有為防護體系輸出策略，提升整體系統(tǒng)防護能力的作用。

4模型驗證

本文對2017年發(fā)生的Wannacry勒索病毒攻擊事件進行復(fù)盤，從而證明該模型方案的有效性。此事件中，由于在病毒擴散前期不能有效發(fā)現(xiàn)并阻止，導(dǎo)致其擴散速度較快，產(chǎn)生了較大影響，而該系統(tǒng)可以在第一時間發(fā)現(xiàn)威脅事件并將更多信息反饋給管理員以便能夠及時響應(yīng)。

4.1病毒原理

Wannacry勒索病毒使用“永恒之藍”漏洞工具，利用cve-2017-0144漏洞進行網(wǎng)絡(luò)端口掃描攻擊，目標機器在被成功攻陷后會從攻擊機下載Wannacry木馬進行感染，并將其作為新的攻擊機繼續(xù)掃描互聯(lián)網(wǎng)或者局域網(wǎng)內(nèi)的其它主機從而造成大范圍快速擴散。

該漏洞錯誤處理了網(wǎng)絡(luò)傳人的數(shù)據(jù)長度，導(dǎo)致復(fù)制數(shù)據(jù)時出現(xiàn)內(nèi)存溢出。溢出的數(shù)據(jù)覆蓋了用于接收數(shù)據(jù)的內(nèi)存區(qū)域指針，把合法地址修改成了系統(tǒng)保留區(qū)域（KI_USER_SHARED_DATA0xffdf0000）的地址，導(dǎo)致后續(xù)發(fā)來的數(shù)據(jù)覆蓋了系統(tǒng)保留區(qū)域。系統(tǒng)保留區(qū)域中存放了系統(tǒng)調(diào)用返回（systemCallReturn）地址，從而在網(wǎng)絡(luò)接收系統(tǒng)調(diào)用完成后會跳轉(zhuǎn)到攻擊者精心布置的代碼中，使攻擊者成功執(zhí)行shellcode獲得超級用戶權(quán)限。

4.2感知防御勒索病毒攻擊

4.2.1態(tài)勢覺察

攻擊成功需要具備4個必要條件：445端口開啟;下載病毒母體程序mssecsvc.exe;病毒母體程序mssecsvc.exe擁有運行權(quán)限;相關(guān)勒索程序tasksche.exe、taskdl.exe、Wa-naDeeryptor@.exe擁有運行權(quán)限。

如果445端口沒有開啟，則計算機不會感染勒索病毒。假設(shè)計算機的445端口是開啟狀態(tài)，那么在病毒攻擊階段，本系統(tǒng)可通過主動、被動兩種方式覺察到該威脅行為。

系統(tǒng)可主動通過定期進行的可信度量，發(fā)現(xiàn)系統(tǒng)中存在的不可信應(yīng)用程序，即病毒母體程序，從而發(fā)現(xiàn)該威脅行為。同時也可在程序運行過程中，由安全策略模型被動發(fā)現(xiàn)病毒程序運行所需要的權(quán)限，不在系統(tǒng)當前安全策略模型中。

4.2.2態(tài)勢理解

針對態(tài)勢覺察發(fā)現(xiàn)的主體程序，再次利用可信計算的完整性度量過濾沒有被篡改的內(nèi)容，從而留下被篡改的程序或進程，得到其入侵路徑。

4.2.3態(tài)勢投射

根據(jù)態(tài)勢理解模塊得到的人侵路徑信息，利用資源是否存在與路徑是否存在，判斷系統(tǒng)中其它計算機是否會被該病毒感染，從而實現(xiàn)態(tài)勢投射功能。

至此，整個態(tài)勢感知系統(tǒng)運行完畢，相比傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知，以訪問控制為核心安全保護機制的態(tài)勢感知對于判斷病毒或危險行為具有更高的靈敏度。

5結(jié)語

該研究能夠為以訪問控制為核心安全保護機制的信息系統(tǒng)提供符合訪問策略的網(wǎng)絡(luò)安全態(tài)勢感知功能。傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知依靠入侵監(jiān)測系統(tǒng)發(fā)現(xiàn)攻擊活動，但其存在大量誤報和漏洞的缺陷，有一定的滯后性。而訪問控制系統(tǒng)特有的策略信息與審計信息，則可以使整個態(tài)勢感知過程變得更加準確，并且在可信計算環(huán)境下保證信息的完整性，能夠進一步提升系統(tǒng)的安全防護能力。

本研究具有一定的使用場景，其威脅行為的發(fā)現(xiàn)與態(tài)勢投射環(huán)節(jié)均利用了訪問控制機制中的策略庫，未來可以考慮將其與防御機制更密切地相結(jié)合，使其防護能力得到進一步提升。