■ 云南 王軍峰

編者按：現(xiàn)有的網(wǎng)絡(luò)安全防御思路在安全預(yù)判、威脅識別和數(shù)據(jù)處理等方面的能力有限，而新的技術(shù)將以大數(shù)據(jù)分析架為支撐，業(yè)務(wù)安全為導(dǎo)向，構(gòu)建起以數(shù)據(jù)為核心的安全管理體系，更加主動(dòng)、智能地對網(wǎng)絡(luò)安全進(jìn)行管理和運(yùn)營。

目前，企業(yè)賴以生存的網(wǎng)絡(luò)環(huán)境非常惡劣，APT攻擊、病毒、釣魚軟件隨時(shí)威脅著正常的網(wǎng)絡(luò)秩序。但在云計(jì)算和移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)被委以重任的當(dāng)下，各種網(wǎng)絡(luò)終端和安全設(shè)備又產(chǎn)生出了令人震撼的日志數(shù)據(jù)，這使得日志管理與安全審計(jì)工作變得越來越復(fù)雜。

在茫無邊際的日志檔案面前，要發(fā)現(xiàn)異常行為的源頭，或是找出可以支撐決策的數(shù)據(jù)依據(jù)，都會(huì)讓企業(yè)IT 人員付出極大的時(shí)間和人力成本，更不可能定位那些威脅企業(yè)核心機(jī)密的源頭。這些都使得安全評估、威脅源頭追蹤，以及法規(guī)遵從工作都難以再從日志入手。

網(wǎng)絡(luò)安全不容樂觀

更多軟硬件漏洞給網(wǎng)絡(luò)安全帶來極大威脅，根據(jù)2018 年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告，當(dāng)年收錄的安全漏洞中，“零日”漏洞收錄數(shù)量占比37.9%，高達(dá)5 381 個(gè)，同比增長39.6%。給互聯(lián)網(wǎng)用戶和設(shè)備帶來無法估量的危險(xiǎn)。

攻擊技術(shù)和手段不斷提升，主動(dòng)、定制化的精準(zhǔn)攻擊開始出現(xiàn)。攻擊者利用大數(shù)據(jù)、人工智能等新技術(shù)可以對受害對象發(fā)起更加精準(zhǔn)的個(gè)體打擊，大大提高攻擊效果。

物聯(lián)網(wǎng)讓社會(huì)生活的方方面面都更深入的智能化，但是物聯(lián)網(wǎng)設(shè)備內(nèi)置的安全性薄弱，很多設(shè)備存在漏洞和弱口令，致使很多物聯(lián)網(wǎng)設(shè)備成為攻擊者的肉雞。

傳統(tǒng)安全技術(shù)無法應(yīng)對網(wǎng)絡(luò)攻擊

傳統(tǒng)的邊界隔離主要是依靠防火墻、路由器ACL 等對不同安全等級的網(wǎng)絡(luò)區(qū)域進(jìn)行劃分，但是客觀上總要存在外部接入內(nèi)部的網(wǎng)絡(luò)渠道。攻擊和探測程序就可以通過防火墻開放的端口穿越防火墻，使得傳統(tǒng)防火墻的端口過濾功能對他們無能為力。

傳統(tǒng)的安全架構(gòu)中，較多依賴特征匹配的模式。在這種模式中，防護(hù)設(shè)備需要先將某個(gè)攻擊事件寫入特征庫，然后才能防御這個(gè)攻擊。但是由于安全設(shè)備特征庫的滯后性和局限性，無法有效應(yīng)對惡意代碼變形、加殼等隱蔽手段。

突破邊界后的內(nèi)部網(wǎng)絡(luò)防護(hù)能力不足。由于傳統(tǒng)的防御體系側(cè)重于互聯(lián)網(wǎng)、第三方等邊界的網(wǎng)絡(luò)安全防護(hù)，認(rèn)為只要構(gòu)筑了企業(yè)的數(shù)字護(hù)城河，通過防火墻、WAF 和IPS等邊界安全產(chǎn)品或方案，就能實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。對于突破邊界后在內(nèi)網(wǎng)埋伏、感染、操控內(nèi)部服務(wù)器及數(shù)據(jù)的惡意行為識別和監(jiān)測缺乏有效手段。

單打獨(dú)斗式的防御無法面對有組織有計(jì)劃的針對性攻擊。外部攻擊越來越呈現(xiàn)組織化、系統(tǒng)化、規(guī)?；约爸悄芑踔羾一奶攸c(diǎn)，依靠一己之力無法防御此類攻擊。

基于大數(shù)據(jù)、人工智能的網(wǎng)絡(luò)安全防護(hù)

1.安全信息的深度檢測分析

大數(shù)據(jù)針對信息安全領(lǐng)域內(nèi)的數(shù)據(jù)分析，主要基于日志與流量的兩大方式，通過建模分析，從海量日志中檢測異常行為，可對網(wǎng)絡(luò)流量、網(wǎng)絡(luò)行為及安全事件等進(jìn)行自動(dòng)化和全面的采集及分析。同時(shí)，關(guān)聯(lián)系統(tǒng)配置、用戶行為、應(yīng)用行為和業(yè)務(wù)行為等數(shù)據(jù)進(jìn)行分析，達(dá)到感知威脅以及攻擊取證的目的。

基于行為檢測方式，以日志分析為例，利用足夠詳細(xì)的用戶行為日志區(qū)分正常行為和異常行為。發(fā)現(xiàn)異常的方式在傳統(tǒng)的關(guān)聯(lián)技巧規(guī)則關(guān)聯(lián)、漏洞關(guān)聯(lián)、關(guān)聯(lián)列表關(guān)聯(lián)、環(huán)境關(guān)聯(lián)等進(jìn)行數(shù)據(jù)分析，對異常行為中的攻擊者畫像，列出定點(diǎn)攻擊、有明確攻擊目標(biāo)的攻擊者、自動(dòng)化攻擊和無目標(biāo)的攻擊對象，針對行為描述進(jìn)行合理建設(shè)滲透、攻擊模型。系統(tǒng)可根據(jù)所建立的模型有效感知系統(tǒng)安全態(tài)勢，從而進(jìn)行針對性的主動(dòng)防御，增加入侵攻擊的難度，提高系統(tǒng)的安全性。

2.網(wǎng)絡(luò)空間的主動(dòng)信息探測

可以通過在網(wǎng)絡(luò)的各個(gè)關(guān)鍵節(jié)點(diǎn)處（包括安全防護(hù)設(shè)備、流量采集設(shè)備、關(guān)鍵資源服務(wù)器、交換路由設(shè)備等）部署傳感器，或通過數(shù)據(jù)采集接口，實(shí)時(shí)采集各節(jié)點(diǎn)的運(yùn)行數(shù)據(jù)，包括系統(tǒng)告警、資源占用等，將其發(fā)送到系統(tǒng)的全局監(jiān)控中心，進(jìn)行實(shí)時(shí)分析、感知系統(tǒng)的當(dāng)前安全態(tài)勢。

以提供運(yùn)行環(huán)境的動(dòng)態(tài)性、非確定性、異構(gòu)性和非持續(xù)性為目的，通過網(wǎng)絡(luò)系統(tǒng)中的環(huán)境、軟件、數(shù)據(jù)等主動(dòng)重構(gòu)或遷移實(shí)現(xiàn)動(dòng)態(tài)環(huán)境，以防御者可控的方式進(jìn)行主動(dòng)變化，對攻擊者則表現(xiàn)為難以觀察和預(yù)測的動(dòng)態(tài)目標(biāo)，從而大幅增加攻擊難度和成本，大幅降低系統(tǒng)安全風(fēng)險(xiǎn)。

3.人工智能技術(shù)安全智能分析

網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)利用數(shù)據(jù)融合、數(shù)據(jù)挖掘、智能分析和可視化等技術(shù)，直觀顯示、預(yù)測網(wǎng)絡(luò)安全態(tài)勢，為網(wǎng)絡(luò)安全預(yù)警防護(hù)提供保護(hù)，可在不斷的自學(xué)習(xí)過程中提高系統(tǒng)的防御水平。人工智能技術(shù)基于統(tǒng)計(jì)學(xué)習(xí)模型、文本分析的機(jī)器學(xué)習(xí)模型、單分類模型、聚類模型等幾種建模思想，對各種網(wǎng)絡(luò)安全要素和百千級維度的安全風(fēng)險(xiǎn)數(shù)據(jù)進(jìn)行歸并融合、關(guān)聯(lián)分析，再經(jīng)過深度學(xué)習(xí)的綜合理解、評估后對安全威脅的發(fā)展趨勢做出預(yù)測，自主設(shè)立安全基線并達(dá)到精細(xì)度量網(wǎng)絡(luò)安全性的效果，從而構(gòu)建立體、動(dòng)態(tài)、精準(zhǔn)和自適應(yīng)的網(wǎng)絡(luò)安全威脅態(tài)勢感知體系。

例如，如果遇到突發(fā)大流量的情況，人工智能系統(tǒng)可以推測網(wǎng)絡(luò)中存在DDoS 攻擊，并立即分析軟件包特性，然后協(xié)調(diào)探針協(xié)作任務(wù)，將具有同類特征的所有軟件包丟棄，從而最大限度地避免對其他網(wǎng)絡(luò)業(yè)務(wù)造成損失。

4.安全態(tài)勢的可視化呈現(xiàn)

設(shè)備的網(wǎng)絡(luò)應(yīng)用情況和安全事件信息進(jìn)行準(zhǔn)確的定位和實(shí)時(shí)跟蹤，包括對歷史精確還原與對各種數(shù)據(jù)智能的統(tǒng)計(jì)分析，使得管理者清晰的認(rèn)知網(wǎng)絡(luò)運(yùn)行狀態(tài)。從應(yīng)用和用戶視角多層面地將網(wǎng)絡(luò)應(yīng)用的狀態(tài)展現(xiàn)出來，對于全網(wǎng)產(chǎn)生的海量安全事件信息內(nèi)容，通過深入的數(shù)據(jù)挖掘，能夠形成安全趨勢的分析與各種圖形化的統(tǒng)計(jì)分析報(bào)告。

從一系列安全事件來看，從植入沒有明顯惡意特征的代碼到服務(wù)器，以及利用各種機(jī)會(huì)下發(fā)病毒軟件，再到利用現(xiàn)有的網(wǎng)絡(luò)端口進(jìn)行外部遠(yuǎn)程控制通信，單獨(dú)看每一個(gè)步驟可能無法準(zhǔn)確判斷單個(gè)行為是否是惡意攻擊，但是如果將整個(gè)路徑上的行為串起來看是很有可能發(fā)現(xiàn)異常行為的。所以必須建立一種基于外部連接的異常分析模型，當(dāng)發(fā)現(xiàn)用戶主機(jī)與外部通訊時(shí)，分析通訊的進(jìn)程、相關(guān)程序文件的安裝時(shí)間、來源以及傳播路徑，檢查用戶主機(jī)通訊流量情況，并通過可視化手段可以直觀的還原出，可以及時(shí)發(fā)現(xiàn)用戶主機(jī)的異常連接。

當(dāng)然，這一方面需要大量的信息安全日志數(shù)據(jù)作為支撐，包括內(nèi)外網(wǎng)邊界及關(guān)鍵路徑上的網(wǎng)絡(luò)流量情況、服務(wù)器設(shè)備的異常行為檢測情況、惡意遠(yuǎn)程通訊IP 地址等外部威脅情報(bào)等，另一方面需要有實(shí)時(shí)快速處理海量數(shù)據(jù)和建模關(guān)聯(lián)分析的能力，以及可視化展現(xiàn)能力，畢竟可疑事件最終還是需要人工準(zhǔn)確判斷。

結(jié)語

攻擊與防御將是伴隨網(wǎng)絡(luò)發(fā)展得必然產(chǎn)物，世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展，網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。我們必須綜合考慮安全因素，制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等，才能在網(wǎng)絡(luò)的對抗中取得先機(jī)。