◆徐飛

基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)現(xiàn)狀及發(fā)展分析

◆徐飛

（公安部戶政管理研究中心 北京 100070）

近年來(lái)，隨著信息技術(shù)的快速發(fā)展和信息資源重要性的日益凸顯，網(wǎng)絡(luò)安全事件的數(shù)量與頻率大幅提升，攻擊者組織化、目標(biāo)定向化、技術(shù)多樣化的攻擊行為成為新的趨勢(shì)。偏重于外部攻擊全局預(yù)警的態(tài)勢(shì)感知和側(cè)重于內(nèi)部威脅檢測(cè)的用戶實(shí)體行為分析（User and Entity Behavior Analytics，UEBA）銜接，可以高效解決以人、資產(chǎn)、應(yīng)用為維度的賬號(hào)安全和數(shù)據(jù)安全問(wèn)題。本文總結(jié)了基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)現(xiàn)狀，并從大規(guī)模異構(gòu)平臺(tái)安全管理角度，對(duì)未來(lái)的發(fā)展方向進(jìn)行了分析。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知；UEBA；規(guī)則匹配；特征分析；機(jī)器學(xué)習(xí)

黨的十八大以來(lái)，習(xí)近平總書記站在黨和國(guó)家的全局高度，就網(wǎng)絡(luò)安全和信息化工作提出了一系列新理念新思想新戰(zhàn)略，科學(xué)分析了信息化變革給我們帶來(lái)的機(jī)遇和挑戰(zhàn)，系統(tǒng)闡述了事關(guān)網(wǎng)信事業(yè)發(fā)展的重大理論和實(shí)踐問(wèn)題，明確做出了關(guān)于建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)的戰(zhàn)略部署。近年來(lái)，我國(guó)網(wǎng)絡(luò)安全頂層設(shè)計(jì)不斷完善，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)密碼法》、《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等多項(xiàng)法律法規(guī)、配套制度及有關(guān)標(biāo)準(zhǔn)陸續(xù)發(fā)布，政府、金融、公安、電信等行業(yè)均以“合規(guī)性”為目標(biāo)，正在大力推進(jìn)網(wǎng)絡(luò)安全建設(shè)。

隨著區(qū)塊鏈、人工智能、5G、IPv6等新技術(shù)快速發(fā)展、逐步應(yīng)用，以高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）、高危零日漏洞利用（0-day）等為代表的新一代攻擊滲透技術(shù)日新月異；同時(shí)，攻擊者除了通過(guò)技術(shù)手段進(jìn)行“正面”突破外，還會(huì)著重搜集人員和管理上的漏洞，從社會(huì)工程學(xué)角度嘗試“繞行”。故此，基于規(guī)則匹配和特征分析等被動(dòng)防御技術(shù)構(gòu)建的傳統(tǒng)安全防護(hù)體系（如防火墻、入侵檢測(cè)系統(tǒng)、反病毒軟件等）已明顯存在不足，亟需提升風(fēng)險(xiǎn)排查、威脅預(yù)警、溯源取證、應(yīng)急處置等主動(dòng)防御能力。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知

網(wǎng)絡(luò)態(tài)勢(shì)是指由各種網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)的當(dāng)前狀態(tài)和變化趨勢(shì)[1]。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)變化的安全要素進(jìn)行獲取、理解、顯示以及未來(lái)趨勢(shì)預(yù)測(cè)[2]。態(tài)勢(shì)感知最初用于安全態(tài)勢(shì)可衡量、安全指標(biāo)KPI（Key Performance Indicator）考核，通過(guò)安全評(píng)估、漏洞等級(jí)、安全基線、資產(chǎn)賦值等關(guān)鍵點(diǎn)進(jìn)行評(píng)分，根據(jù)地域、資產(chǎn)、風(fēng)險(xiǎn)、業(yè)務(wù)系統(tǒng)等不同維度進(jìn)行安全態(tài)勢(shì)展示。

2016年4月19日，習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上明確指出“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)”。這個(gè)要求恰恰對(duì)態(tài)勢(shì)感知的建設(shè)目標(biāo)做出了準(zhǔn)確描述：“全天候”是時(shí)間緯度，貫穿過(guò)去、現(xiàn)在和未來(lái)；“全方位”是內(nèi)容維度，要求檢測(cè)分析分析的對(duì)象覆蓋面廣（至少包括網(wǎng)絡(luò)流量、終端行為、內(nèi)容載荷三個(gè)方面）、有深度。通過(guò)多源異構(gòu)網(wǎng)絡(luò)安全數(shù)據(jù)和事件的獲取、理解、分析和評(píng)判，客觀反映網(wǎng)絡(luò)中發(fā)生的攻防行為，從時(shí)間和空間兩個(gè)維度，從OSI（開(kāi)放式系統(tǒng)互聯(lián)通信參考模型）1~7層整體角度從更高層次直觀、動(dòng)態(tài)、全面、準(zhǔn)確、細(xì)粒度地感知各類網(wǎng)絡(luò)攻擊行為，進(jìn)而提升主動(dòng)防御能力，這正是態(tài)勢(shì)感知的意義所在[3]。

目前，國(guó)內(nèi)主流的態(tài)勢(shì)感知產(chǎn)品或解決方案從技術(shù)實(shí)現(xiàn)上看可大體分為基于流量的態(tài)勢(shì)感知、基于SIEM（Security Information Event Management，安全日志事件管理）的態(tài)勢(shì)感知、基于產(chǎn)品集成的態(tài)勢(shì)感知等3種類型。

表1 國(guó)內(nèi)主流態(tài)勢(shì)感知產(chǎn)品或解決方案對(duì)比

與忽視采集分析安全監(jiān)測(cè)數(shù)據(jù)且不主動(dòng)掌握安全狀況的早期網(wǎng)絡(luò)安全運(yùn)營(yíng)模式相比較，通過(guò)建設(shè)與態(tài)勢(shì)感知相關(guān)的系統(tǒng)平臺(tái)，加強(qiáng)對(duì)安全數(shù)據(jù)的統(tǒng)計(jì)匯總和對(duì)安全狀況信息的主動(dòng)展示，確實(shí)具有較大的積極意義，并且也確實(shí)能夠揭示一些中長(zhǎng)期存在的安全問(wèn)題，并推動(dòng)展開(kāi)優(yōu)化調(diào)整安全策略等解決措施。但這種依賴“監(jiān)測(cè)事件匯聚+大屏展示”的建設(shè)導(dǎo)向，即展現(xiàn)宏觀的整體安全狀態(tài)并羅列微觀的安全事件信息，缺乏在中觀層面對(duì)安全信息進(jìn)行結(jié)構(gòu)化組織與聚合呈現(xiàn)的能力，通常存在“有態(tài)無(wú)勢(shì)”“感而不知”“感而不為”等問(wèn)題[4]。針對(duì)復(fù)雜多變的敵情，網(wǎng)絡(luò)安全態(tài)勢(shì)感知亟需由面向掌握宏觀態(tài)勢(shì)和安全策略調(diào)整的“監(jiān)測(cè)型”向注重高水平威脅對(duì)抗和響應(yīng)行動(dòng)的“戰(zhàn)術(shù)型”轉(zhuǎn)變。

2 基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)現(xiàn)狀

UEBA前身是UBA（User Behavior Analytics，用戶行為分析），最早用于購(gòu)物網(wǎng)站上，通過(guò)收集用戶搜索關(guān)鍵字，實(shí)現(xiàn)用戶標(biāo)簽畫像，并預(yù)測(cè)用戶購(gòu)買習(xí)慣，推送用戶感興趣的商品。這項(xiàng)技術(shù)很快就被應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域，通過(guò)建立用戶行為基線、進(jìn)行狀態(tài)跟蹤，在此基礎(chǔ)上增加對(duì)設(shè)備和應(yīng)用的納管，監(jiān)測(cè)用戶的同時(shí)，將與用戶互動(dòng)的資源放到同樣重要的位置。

UEBA相較于傳統(tǒng)的SOC/SIEM（Security Operations Center/Security Information Event Management，安全運(yùn)營(yíng)中心/安全日志事件管理），不關(guān)心各種海量告警、不聚焦某條高級(jí)事件，而是對(duì)“異常用戶”（即特權(quán)賬號(hào)被盜用）和“用戶異?！保春戏ǖ娜俗霾缓戏ǖ氖拢┬袨榫邆涓呙新?，使異常事件的告警更符合業(yè)務(wù)場(chǎng)景。以設(shè)備重啟為例，SOC/SIEM會(huì)認(rèn)定為高等級(jí)的安全事件并告警，而在UEBA的理解中，先判斷重啟的用戶是誰(shuí)？此用戶在過(guò)去的一年內(nèi)每月固定時(shí)間是否都有類似的行為？如果都有，即可不發(fā)送告警，僅作記錄，誤報(bào)率大幅降低。安全運(yùn)營(yíng)人員有更多的精力去關(guān)心真正的安全事件，內(nèi)部威脅特別是數(shù)據(jù)泄密在實(shí)踐中被有效發(fā)現(xiàn)。

UEBA側(cè)重于內(nèi)部威脅檢測(cè)，態(tài)勢(shì)感知強(qiáng)調(diào)的是全局預(yù)警，兩者有效銜接，可以解決以人、資產(chǎn)、應(yīng)用為維度的賬號(hào)安全和數(shù)據(jù)安全問(wèn)題。除了考慮網(wǎng)絡(luò)側(cè)的安全問(wèn)題，尤其要重視業(yè)務(wù)側(cè)面臨安全威脅的特點(diǎn)，即用戶行為是符合訪問(wèn)控制規(guī)則的，相關(guān)操作都不帶有如SQL注入、跨站腳本攻擊（XSS）等明顯的攻擊特征，且存在“低頻長(zhǎng)周期”的情況，這對(duì)基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)提出了更高的要求。從數(shù)據(jù)收集到最終決策，基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知包括數(shù)據(jù)采集、用戶畫像、判別規(guī)則生成和多規(guī)則的聯(lián)合決策等主要功能。

隨著科技的進(jìn)步，自動(dòng)化生產(chǎn)線在現(xiàn)代工業(yè)生產(chǎn)中扮演了越來(lái)越重要的角色。本文設(shè)計(jì)的機(jī)電一體化柔性制造實(shí)訓(xùn)系統(tǒng)模擬了現(xiàn)代工業(yè)產(chǎn)品的自動(dòng)化生產(chǎn)過(guò)程，演示了從原材料出庫(kù)、經(jīng)歷多道生產(chǎn)工序成為成品入庫(kù)的整個(gè)流程，融合了PLC控制技術(shù)、氣動(dòng)驅(qū)動(dòng)技術(shù)、電氣控制技術(shù)、傳感器檢測(cè)技術(shù)、工業(yè)機(jī)器人、數(shù)控機(jī)床以及網(wǎng)絡(luò)總線等多方面自動(dòng)控制技術(shù)，展現(xiàn)了現(xiàn)代工業(yè)的生產(chǎn)控制模式，為學(xué)習(xí)者掌握自動(dòng)化生產(chǎn)線提供了良好的平臺(tái)[1]。

2.1 多源異構(gòu)數(shù)據(jù)采集

多源數(shù)據(jù)異構(gòu)性是指生成數(shù)據(jù)的設(shè)備和系統(tǒng)之間以及數(shù)據(jù)類型本身之間的差異[5]。傳統(tǒng)SOC/SIEM的數(shù)據(jù)采集，需要各種日志規(guī)格化入庫(kù)，即每接入不同類型的設(shè)備日志時(shí)定制syslog的格式，故難以快速實(shí)施。以事件等級(jí)字段為例，有的安全設(shè)備使用標(biāo)準(zhǔn)syslog且定義清晰（0-7），而有的采用私有syslog，定義并不清晰，讀懂高等級(jí)的日志可能需要廠商的配合?！耙撞杉钡幕疽笤谟谀軌蚩焖俨杉浇Y(jié)構(gòu)化、非結(jié)構(gòu)化日志，使用全文分布式索引，支持?jǐn)?shù)據(jù)格式的動(dòng)態(tài)解析、實(shí)時(shí)流式分析，實(shí)現(xiàn)百度式快速檢索，提供通用的API接口等。同時(shí)，數(shù)據(jù)源除了網(wǎng)絡(luò)流量、安全設(shè)備告警、應(yīng)用系統(tǒng)日志和威脅情報(bào)之外，還更關(guān)注用戶視角，接入門禁刷臉日志（第二代居民身份證識(shí)別記錄）、VPN日志、HR日志（入職、離職、崗位變動(dòng)等信息）、OA日志、工單日志等場(chǎng)景數(shù)據(jù)。

2.2 上下文感知與用戶畫像

上下文感知就是系統(tǒng)通過(guò)自動(dòng)收集和分析用戶的信息，利用上下文信息智能判斷用戶行為并提供高效率的信息交互，從而實(shí)現(xiàn)對(duì)用戶服務(wù)的人性化。上下文感知集中體現(xiàn)了普適計(jì)算中以人為服務(wù)中心的理念[6]。舉例來(lái)說(shuō)，當(dāng)智能手機(jī)的傳感器收集到足夠的信息（日歷、位置、郵件、提醒等），處理器通過(guò)對(duì)信息融合、建模、推理等方法，判斷使用者正在會(huì)議室開(kāi)會(huì)，自動(dòng)設(shè)置為震動(dòng)模式，非重要的電話可選擇自動(dòng)語(yǔ)音留言或拒絕接聽(tīng)。

當(dāng)上下感知應(yīng)用在基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知時(shí)，通過(guò)分析用戶是否在常用地點(diǎn)（IP地址）、常用時(shí)間（工作時(shí)間、非工作時(shí)間）登錄，從而智能判斷是否觸發(fā)相關(guān)告警，這區(qū)別于傳統(tǒng)的防護(hù)策略，即常用地址、常用時(shí)間都是基于歷史基線建模分析得出，而非配置的。

用戶畫像，即用戶信息的標(biāo)簽化，是通過(guò)收集與分析消費(fèi)者社會(huì)屬性、行為習(xí)慣等主要信息后，抽取用戶信息并進(jìn)行標(biāo)簽化和結(jié)構(gòu)化處理，完美地抽象出一個(gè)用戶的全貌。用戶畫像是一個(gè)或一類真實(shí)用戶的虛擬抽象，是基于一系列實(shí)際數(shù)據(jù)的虛擬用戶模型[7]。用戶畫像技術(shù)的關(guān)鍵是標(biāo)簽系統(tǒng)的設(shè)計(jì)與構(gòu)建，標(biāo)簽分為兩類，一是基礎(chǔ)數(shù)據(jù)（包括年齡、地區(qū)、性別、職業(yè)等信息），二是通過(guò)基礎(chǔ)數(shù)據(jù)分析而來(lái)的高度提煉的特征標(biāo)識(shí)。

在基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知中，使用同類用戶橫比和歷史基線環(huán)比的方法來(lái)發(fā)現(xiàn)異常、定義標(biāo)簽并對(duì)權(quán)重進(jìn)行賦值，根據(jù)分值來(lái)展現(xiàn)高風(fēng)險(xiǎn)前幾類人群供安全運(yùn)營(yíng)人員來(lái)決策。

表2 用戶畫像標(biāo)簽示例

2.3 規(guī)則匹配融合機(jī)器學(xué)習(xí)

傳統(tǒng)的基于規(guī)則匹配的分析技術(shù)從多個(gè)數(shù)據(jù)源收集日志，采用由安全專家預(yù)先創(chuàng)建的關(guān)聯(lián)規(guī)則來(lái)實(shí)時(shí)執(zhí)行，其能力局限于與系統(tǒng)或應(yīng)用程序相關(guān)的網(wǎng)絡(luò)信息的聯(lián)系，如基于源IP和目的IP關(guān)系的分析。

隨著內(nèi)部威脅的增加，尤其是人的行為在動(dòng)態(tài)變化時(shí)，由安全專家手動(dòng)定義的規(guī)則不再具有適用性，使用傳統(tǒng)的方法檢測(cè)惡意用戶行為變得非常困難。例如分析特定賬戶傳輸?shù)臄?shù)據(jù)量時(shí)，規(guī)則通常定義“閾值”大小以確定可疑活動(dòng)，但在實(shí)際場(chǎng)景中閾值取決于不同的用戶類型（某業(yè)務(wù)確需傳輸大量數(shù)據(jù)）、傳輸?shù)臅r(shí)間和頻率（單次大量數(shù)據(jù)傳輸或多次長(zhǎng)周期少量數(shù)據(jù)傳輸），靜態(tài)規(guī)則無(wú)法解決這種復(fù)雜情況。

基于自學(xué)習(xí)的關(guān)聯(lián)分析被稱為機(jī)器學(xué)習(xí)，通過(guò)學(xué)習(xí)用戶和資產(chǎn)行為，從個(gè)例數(shù)據(jù)中進(jìn)行抽象、發(fā)現(xiàn)個(gè)例背后的規(guī)律，對(duì)重大偏差產(chǎn)生告警，對(duì)規(guī)則進(jìn)行修正，從而對(duì)安全事件的發(fā)現(xiàn)和預(yù)測(cè)起指導(dǎo)作用。機(jī)器學(xué)習(xí)包括以下幾個(gè)方面的功能：

（1）形成統(tǒng)計(jì)模型：根據(jù)模型設(shè)定，統(tǒng)計(jì)每個(gè)指標(biāo)的歷史情況，根據(jù)時(shí)間維度、資產(chǎn)維度等生成統(tǒng)計(jì)模型；

（2）檢測(cè)異常點(diǎn)：基于統(tǒng)計(jì)模型，在學(xué)習(xí)過(guò)程中實(shí)時(shí)檢測(cè)數(shù)據(jù)和模型匹配情況，識(shí)別出異常數(shù)據(jù)；

（3）預(yù)測(cè)行為趨勢(shì)：根據(jù)已有模型以及一定算法，預(yù)測(cè)未來(lái)一段時(shí)間內(nèi)統(tǒng)計(jì)對(duì)象的發(fā)展趨勢(shì)，以對(duì)未來(lái)的運(yùn)營(yíng)做出分析和提出指導(dǎo)意見(jiàn)。

表3 基于規(guī)則匹配和機(jī)器學(xué)習(xí)的分析方法對(duì)比

就現(xiàn)階段技術(shù)趨勢(shì)來(lái)看，基于機(jī)器學(xué)習(xí)的高級(jí)分析方法和基于規(guī)則匹配的傳統(tǒng)分析技術(shù)正在融合，越來(lái)越多的基于大數(shù)據(jù)的安全廠商正在引入U(xiǎn)EBA高級(jí)分析模塊，而基于UEBA的廠商也正在豐富自己的大數(shù)據(jù)分析平臺(tái)的建設(shè)能力。

2.4 多維度行為分析決策

長(zhǎng)期以來(lái)，安全設(shè)備內(nèi)置的威脅檢測(cè)技術(shù)如數(shù)據(jù)防泄露（Data leakage prevention，DLP）、端點(diǎn)保護(hù)平臺(tái)（Endpoint Protection Platform，EPP）、上網(wǎng)行為管理等多是以特征匹配為手段，即使后來(lái)出現(xiàn)的沙箱檢測(cè)技術(shù)，也主要是依賴于專家經(jīng)驗(yàn)提取已知病毒與攻擊的行為特征進(jìn)行分析，不能適應(yīng)新類型的威脅或系統(tǒng)行為，對(duì)一些高級(jí)的未知威脅檢測(cè)效果更是有限。例如DLP以關(guān)鍵字或模式匹配來(lái)識(shí)別敏感數(shù)據(jù)的流向、上網(wǎng)行為管理以是否訪問(wèn)招聘網(wǎng)站或者競(jìng)爭(zhēng)對(duì)手網(wǎng)站來(lái)判斷員工是否具有離職傾向，但其只關(guān)注數(shù)據(jù)內(nèi)容、缺乏情景分析，由于觀察維度單一導(dǎo)致誤報(bào)太多，很難真正意義上作為安全分析的決策依據(jù)。

基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知?jiǎng)t增加了對(duì)人員或?qū)嶓w多維度行為的關(guān)聯(lián)分析，從而更準(zhǔn)確地定位異常。以病毒檢測(cè)場(chǎng)景為例，EPP基于已知病毒文件的特征值匹配來(lái)查找病毒感染文件，但只要出現(xiàn)任何形式的病毒變種，哪怕是同一個(gè)病毒家族的變種，靜態(tài)的特征值匹配的技術(shù)會(huì)失效；而終端檢測(cè)和響應(yīng)技術(shù)（Endpoint Detection & Response，EDR）作為補(bǔ)充和升級(jí)，通過(guò)對(duì)終端上的文件執(zhí)行和修改、注冊(cè)表更改、網(wǎng)絡(luò)連接、可執(zhí)行程序的運(yùn)行等行為的實(shí)時(shí)監(jiān)控，查找異?；蜻M(jìn)一步的取證分析，即使遇到病毒變種的情況，因?yàn)槠湎嗨频男袨?，也能最終檢測(cè)出變種，基于終端行為的威脅檢測(cè)范圍更大，覆蓋效果更加明顯。

3 基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)發(fā)展分析

回顧近年來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的發(fā)展，無(wú)論是傳統(tǒng)安全廠商還是新興創(chuàng)業(yè)公司，先期的注意力主要是集中在對(duì)未知威脅的檢測(cè)領(lǐng)域，借助相關(guān)產(chǎn)品和技術(shù)，用戶獲得了更低的MTTI（平均檢測(cè)時(shí)間），更快、更準(zhǔn)確地檢測(cè)出攻擊和入侵，但這些產(chǎn)品和技術(shù)大都沒(méi)有幫助用戶降低MTTR（平均響應(yīng)時(shí)間）。

以筆者參與建設(shè)、運(yùn)維的支撐平臺(tái)為例，服務(wù)器、網(wǎng)絡(luò)和安全等各類設(shè)備近500臺(tái)（套），承載的應(yīng)用系統(tǒng)50余個(gè)且類型多樣（包括信息查詢類的頁(yè)面和接口、視頻結(jié)構(gòu)化、人像比對(duì)、數(shù)據(jù)抽取同步等）、部署架構(gòu)不一（包括物理機(jī)、虛擬機(jī)、云平臺(tái)、大數(shù)據(jù)平臺(tái)等），受攻擊面大、薄弱環(huán)節(jié)多。同時(shí)，參與項(xiàng)目建設(shè)、運(yùn)維的外部人員（包括應(yīng)用研發(fā)單位、系統(tǒng)集成單位、廠商等）較多，安全技術(shù)、意識(shí)不高，存在一定的失泄密風(fēng)險(xiǎn)。面對(duì)如此大規(guī)模的異構(gòu)平臺(tái)安全管理工作，檢測(cè)出問(wèn)題僅是第一步，對(duì)問(wèn)題進(jìn)行響應(yīng)則更加重要，即考慮全網(wǎng)整體安全運(yùn)維，需要將分散的檢測(cè)能力與響應(yīng)機(jī)制整合起來(lái)。

3.1 基于搜索的可視化溯源

網(wǎng)絡(luò)安全態(tài)勢(shì)可視化的目的是生成網(wǎng)絡(luò)安全綜合態(tài)勢(shì)圖，使網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的分析處理數(shù)據(jù)可視化、態(tài)勢(shì)可視化。網(wǎng)絡(luò)安全態(tài)勢(shì)可視化是一個(gè)層層遞進(jìn)的過(guò)程，包括數(shù)據(jù)轉(zhuǎn)化、圖像映射、視圖變換3個(gè)部分。數(shù)據(jù)轉(zhuǎn)化是把分析處理后的數(shù)據(jù)映射為數(shù)據(jù)表，將數(shù)據(jù)的相關(guān)性以關(guān)系表的形式存儲(chǔ)；圖像映射是把數(shù)據(jù)表轉(zhuǎn)換為對(duì)應(yīng)圖像的結(jié)構(gòu)和圖像屬性；視圖變換是通過(guò)坐標(biāo)位置、縮放比例、圖形著色等方面來(lái)創(chuàng)建視圖，并可通過(guò)調(diào)控參數(shù)，完成對(duì)視圖變換的控制[8]。目前，絕大多數(shù)安全廠商的相關(guān)產(chǎn)品界面已非常絢麗，可以將原本碎片化的威脅告警、異常行為告警、資產(chǎn)管理信息等數(shù)據(jù)結(jié)構(gòu)化，形成3D圖表、雷達(dá)圖、拓?fù)鋱D、熱度圖等多種樣式。

但安全威脅特別是數(shù)據(jù)泄漏類安全事件的最終確認(rèn)、全方位的風(fēng)險(xiǎn)評(píng)估以及溯源分析還是要透過(guò)對(duì)原始日志、事件的分析判定，因此對(duì)海量日志、事件的搜索能力以及將搜索的結(jié)果轉(zhuǎn)化成圖表/儀表盤的能力非常關(guān)鍵。

通過(guò)強(qiáng)大的圖形分析、內(nèi)置的基于時(shí)間軸的異常人員或?qū)嶓w的行為圖譜、異常行為的可視化標(biāo)示，對(duì)安全事件全過(guò)程還原，呈現(xiàn)出完整的攻擊鏈條，覆蓋攻擊的源頭、手段、目標(biāo)、范圍等相關(guān)信息。對(duì)安全運(yùn)營(yíng)人員來(lái)說(shuō)，這將極大簡(jiǎn)化工作量，提高應(yīng)對(duì)各類威脅的技術(shù)門檻，豐富有效面對(duì)新增威脅的技術(shù)手段。

3.2 基于SOAR的聯(lián)動(dòng)處置

2017年，Gartner提出了安全編排自動(dòng)化響應(yīng)（Security Orchestration Automation and Response，SOAR）概念，其定義為“幫助企業(yè)和組織收集安全運(yùn)維團(tuán)隊(duì)監(jiān)控到的各種信息（包括各種安全系統(tǒng)產(chǎn)生的告警），并對(duì)這些信息進(jìn)行事件分析和告警分診。然后，在標(biāo)準(zhǔn)工作流程的指引下，利用人機(jī)結(jié)合的方式幫助安全運(yùn)維人員定義、排序和驅(qū)動(dòng)標(biāo)準(zhǔn)化的事件響應(yīng)活動(dòng)”。

為了提高平均響應(yīng)時(shí)間，基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知還需要利用SOAR思想進(jìn)行聯(lián)動(dòng)安全防護(hù)。發(fā)現(xiàn)疑似安全事件時(shí)，實(shí)現(xiàn)強(qiáng)制切斷連接、病毒消殺、安裝漏洞補(bǔ)丁等處置措施，其技術(shù)難點(diǎn)在于對(duì)不同廠商安全防護(hù)設(shè)備的兼容。以最有效、最常見(jiàn)安全防護(hù)設(shè)備防火墻為例，主流廠商包括華為、新華三、深信服、網(wǎng)御星云、Cisco、Juniper等，遠(yuǎn)程管理接口類型不同（Telnet、SSH、SNMP、HTTP/HTTPS等），ACL（訪問(wèn)控制列表）的命令集也都不一樣，需要定制開(kāi)發(fā)才能下發(fā)策略。

因此，基于SOAR的聯(lián)動(dòng)處置應(yīng)包括以下幾個(gè)步驟：

（1）編排策略的預(yù)設(shè)條件：針對(duì)不同資產(chǎn)、事件級(jí)別、事件類型來(lái)選擇聯(lián)動(dòng)范圍；

（2）設(shè)置編排策略的響應(yīng)手段：針對(duì)不同場(chǎng)景、事件級(jí)別的安全事件，選擇不同的響應(yīng)手段，一旦事件被觸發(fā)，則自動(dòng)執(zhí)行相應(yīng)的編排策略；

（3）設(shè)置編排策略的執(zhí)行對(duì)象：針對(duì)不同響應(yīng)手段，選擇不同的聯(lián)動(dòng)設(shè)備，同時(shí)還可以選擇策略生效時(shí)間段。

4 結(jié)束語(yǔ)

時(shí)至今日，通過(guò)不斷夯實(shí)網(wǎng)絡(luò)安全防護(hù)堡壘，加強(qiáng)業(yè)務(wù)系統(tǒng)健壯性，力求抵御黑客一波又一波的攻擊，基于UEBA的網(wǎng)絡(luò)安全態(tài)勢(shì)感知因其具備多種關(guān)鍵技術(shù)能力成為了高效的主動(dòng)防御手段，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全事件的事后、事中、事前管控。從實(shí)際出發(fā)，技術(shù)最終是被人使用，因此還需要通過(guò)加強(qiáng)安全意識(shí)培訓(xùn)、組建安全運(yùn)營(yíng)團(tuán)隊(duì)、完善安全管理制度、構(gòu)建安全閉環(huán)流程等方式方法，才能有效降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

[1]韓偉紅，隋品波，賈焰.大規(guī)模網(wǎng)絡(luò)安全態(tài)勢(shì)分析與預(yù)測(cè)系統(tǒng)YHSAS[J]. 信息網(wǎng)絡(luò)安全，2012（8）：11-14.

[2]管磊，胡光俊，王專.基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究 [J]. 信息網(wǎng)絡(luò)安全，2016（9）：46-50.

[3]杜嘉薇，周穎，郭榮華，索國(guó)偉.網(wǎng)絡(luò)安全態(tài)勢(shì)感知：提取、理解和預(yù)測(cè) [M].北京：機(jī)械工業(yè)出版社，2018.

[4]Alexander Kott，等.網(wǎng)絡(luò)空間安全防御與態(tài)勢(shì)感知 [M].黃晟等譯.北京：機(jī)械工業(yè)出版社，2018.

[5]蘇小玉，徐奎奎.網(wǎng)絡(luò)安全態(tài)勢(shì)感知中數(shù)據(jù)融合算法應(yīng)用描述[J]. 河北省科學(xué)院學(xué)報(bào)，2020（6）：37-44.

[6]張樂(lè)媛.基于上下文感知的網(wǎng)絡(luò)用戶行為分析[D].[碩士學(xué)位論文].北京：北京郵電大學(xué)，2010.

[7]趙剛，姚興仁.基于用戶畫像的異常行為檢測(cè)模型[J]. 信息網(wǎng)絡(luò)安全，2017（7）：18-24.

[8]陶源，黃濤，張墨涵，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究及發(fā)展趨勢(shì)分析[J].信息網(wǎng)絡(luò)安全，2018（8）：79-85.