伍 榮，羅淑丹，王邦禮

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的深入應(yīng)用，網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性成為網(wǎng)絡(luò)用戶關(guān)注的焦點(diǎn)[1]。當(dāng)前，安全事件時有發(fā)生，促使網(wǎng)絡(luò)安全成為各國信息安全領(lǐng)域研究的熱點(diǎn)方向。與此同時，各國越來越重視網(wǎng)絡(luò)信息安全，產(chǎn)業(yè)界推出了下一代防火墻、高級威脅檢測產(chǎn)品、多功能融合產(chǎn)品等高對抗能力、更加智能的安全設(shè)備；學(xué)術(shù)界在基于聯(lián)動機(jī)制的安全防護(hù)體系[2]、安全防護(hù)人工智能技術(shù)、安全大數(shù)據(jù)技術(shù)方面開展了大量研究；越來越多的高等院校開辦了網(wǎng)絡(luò)安全學(xué)院。在這樣的背景下，本文提出了一種動態(tài)安全防護(hù)框架，通過安全功能載荷化，面對網(wǎng)絡(luò)攻擊“以變制變”，實(shí)現(xiàn)強(qiáng)對抗有效防護(hù)。

1 動態(tài)安全防護(hù)框架設(shè)計(jì)

動態(tài)安全防護(hù)總體架構(gòu)采用動態(tài)防護(hù)模型、安全防護(hù)功能動態(tài)重組、安全防護(hù)服務(wù)集成和安全防護(hù)載荷（能力池）4層架構(gòu)模式。其中：動態(tài)防護(hù)模型規(guī)定了安全防護(hù)動態(tài)調(diào)控流程，調(diào)控觸發(fā)方式、調(diào)控內(nèi)容、評估要素等，是動態(tài)安全防護(hù)的大腦；安全防護(hù)功能動態(tài)重組從安全防護(hù)功能定義和功能分析重組著手，實(shí)現(xiàn)安全防護(hù)功能分解、組織、編排重構(gòu)以及運(yùn)行加載等能力，再與威脅結(jié)合實(shí)現(xiàn)動態(tài)重組功能；安全防護(hù)服務(wù)集成解決安全軟件類型多、使用復(fù)雜等問題，圍繞安全防護(hù)服務(wù)軟件集成、數(shù)據(jù)集成和信息傳輸集成展開，實(shí)現(xiàn)服務(wù)可擴(kuò)充、加載、快照備份等能力；安全防護(hù)載荷實(shí)現(xiàn)對終端安全[3]防護(hù)能力、網(wǎng)絡(luò)安全[4]防護(hù)能力、云安全[5]防護(hù)能力的載荷化封裝，為構(gòu)建安全防護(hù)載荷“能力池”提供支撐?？傮w架構(gòu)如圖1所示。

2 動態(tài)防護(hù)模型

動態(tài)安全防護(hù)在動態(tài)調(diào)整驅(qū)動引擎的作用下，基于安全數(shù)據(jù)中心采集的各類安全數(shù)據(jù)，通過智能分析處理過程生成安全防護(hù)功能調(diào)整策略，觸發(fā)框架的防護(hù)調(diào)整邏輯，實(shí)現(xiàn)對安全容器（加載安全載荷的軟件框架或硬件盒子）的安全防護(hù)功能、特征庫和安全策略的動態(tài)調(diào)整，從而提升網(wǎng)絡(luò)動態(tài)安全防護(hù)能力，如圖2所示。

安全數(shù)據(jù)中心存儲了從各安全、網(wǎng)絡(luò)設(shè)備收集的大量數(shù)據(jù)，包括原始的日志、事件等數(shù)據(jù)，及經(jīng)過分析處理后的安全事件等。智能化分析處理基于安全運(yùn)行中心（Security Operation Center，SOC）、日志審計(jì)以及入侵檢測等系統(tǒng)服務(wù)，在安全大數(shù)據(jù)中主動分析排查故障、挖掘發(fā)現(xiàn)終端和網(wǎng)絡(luò)異常，在動態(tài)調(diào)整驅(qū)動引擎的推動下自動生成安全防護(hù)調(diào)整策略，用于輔助安全防護(hù)動態(tài)調(diào)整配置。調(diào)整成功后利用調(diào)整效果評估模型進(jìn)行評估，將對評估有效的處置規(guī)則添加到防護(hù)預(yù)案庫，進(jìn)一步提升系統(tǒng)的智能調(diào)整能力。

3 安全防護(hù)功能動態(tài)重組

3.1 動態(tài)重組原理

安全防護(hù)功能動態(tài)重組將現(xiàn)有安全技術(shù)軟件化、安全服務(wù)化以及功能原子化，通過對物理及虛擬的網(wǎng)絡(luò)安全設(shè)備/系統(tǒng)的部署方式、實(shí)現(xiàn)功能進(jìn)行解耦?？刂茖用嬗砂踩萜鲗?shí)現(xiàn)，頂層統(tǒng)一通過軟件編程的方式形成安全防護(hù)功能資源池，為實(shí)現(xiàn)智能化、自動化的安全防護(hù)功能編排和重組提供支撐。安全防護(hù)功能重組原理如圖3所示。

將控制層面和功能實(shí)現(xiàn)層面分離，控制層面利用安全容器實(shí)現(xiàn)加載、運(yùn)行，功能層面實(shí)現(xiàn)具體的防護(hù)能力，其中原子安全防護(hù)功能是可獨(dú)立運(yùn)行、不可再分的安全防護(hù)功能。它的功能實(shí)現(xiàn)主要包括功能定義描述、對控制接口的系統(tǒng)調(diào)用、原子安全防護(hù)功能之間的信息交互、數(shù)據(jù)資源使用與管理維護(hù)、原子安全防護(hù)功能的管理配置、運(yùn)行時與管控之間的事件交互以及自身運(yùn)行狀態(tài)的監(jiān)控。

3.2 實(shí)施機(jī)制

面對安全威脅，動態(tài)選取合理的原子安全防控功能進(jìn)行重組，其中實(shí)施有效調(diào)整是重組機(jī)制的核心內(nèi)容。本文提出采用基于安全特征詞加權(quán)的威脅特征與安全防控功能相似度分析技術(shù)手段。首先，采用分類算法，根據(jù)威脅特征，對解決方案庫中的解決方案進(jìn)行分類。其次，分別從解決方案分類中獲取安全特征詞的權(quán)重。再次，采用余弦相似度分析，加入安全特征詞權(quán)重，將安全威脅特征與原子安全防護(hù)功能的描述、解決方案庫中安全威脅特征進(jìn)行相似度分析。最后，當(dāng)安全威脅特征與原子安全防護(hù)功能的描述相似度大于某個閾值（如0.7）時，則該原子安全防護(hù)功能被選擇；當(dāng)安全威脅特征與解決方案庫中安全威脅特征相似度大于某個閾值（0.9）時，則該解決方案中的所有原子安全防護(hù)功能被選擇。

4 安全防護(hù)服務(wù)集成

4.1 服務(wù)集成框架

安全防護(hù)服務(wù)集成采用安全防護(hù)軟件構(gòu)件化、服務(wù)化思路，從服務(wù)集成、數(shù)據(jù)集成以及信息傳輸集成等多個層面為各類安全防護(hù)服務(wù)提供集成規(guī)范和集成接口，從而實(shí)現(xiàn)安全防護(hù)服務(wù)的無縫集成和即插即用。安全防護(hù)服務(wù)集成如圖4所示。

4.2 安全服務(wù)類型

安全防護(hù)服務(wù)集成包含服務(wù)管理、服務(wù)集成、數(shù)據(jù)集成、信息傳輸集成、服務(wù)提供與集成界面管理和內(nèi)置安全防護(hù)服務(wù)等6部分。

（1）服務(wù)管理提供服務(wù)加載/卸載、服務(wù)信息編輯、服務(wù)啟用/停用、服務(wù)狀態(tài)監(jiān)控、用戶權(quán)限管理和服務(wù)日志管理等安全防護(hù)服務(wù)管理功能。

（2）服務(wù)集成包含服務(wù)注冊、服務(wù)封裝和服務(wù)組合。通過服務(wù)注冊錄入安全防護(hù)服務(wù)資源中的原始服務(wù)。通過對原始服務(wù)的封裝構(gòu)建原子服務(wù)，并以原子服務(wù)為基礎(chǔ)，實(shí)現(xiàn)對不同的服務(wù)進(jìn)行組合。

（3）數(shù)據(jù)集成包含數(shù)據(jù)存儲、數(shù)據(jù)訪問等功能的集成。

（4）信息傳輸集成包含服務(wù)之間進(jìn)行數(shù)據(jù)交換的平臺及數(shù)據(jù)格式轉(zhuǎn)換功能，其中數(shù)據(jù)交換平臺提供訂閱/發(fā)布、P2P、請求/響應(yīng)等多種模式的數(shù)據(jù)交換機(jī)制。消息格式轉(zhuǎn)換可修改當(dāng)前消息格式和消息內(nèi)容。

（5）服務(wù)提供與集成管理界面，一方面向各類安全容器（如終端安全容器、網(wǎng)絡(luò)防控容器、云安全容器等）推送安全防護(hù)服務(wù)，另一方面為安全管理員提供服務(wù)集成和服務(wù)管理的操作界面。

（6）內(nèi)置安全防護(hù)服務(wù)包含身份認(rèn)證、授權(quán)訪問、安全管理、漏洞補(bǔ)丁、攻擊分析和日志審計(jì)等基礎(chǔ)安全防護(hù)服務(wù)。

各類需集成的外部安全防護(hù)服務(wù)基于服務(wù)集成規(guī)范進(jìn)行服務(wù)注冊和服務(wù)封裝，基于數(shù)據(jù)集成規(guī)范進(jìn)行數(shù)據(jù)的存儲和訪問，基于信息傳輸集成規(guī)范實(shí)現(xiàn)與其他服務(wù)之間的消息傳輸。

5 安全防護(hù)功能載荷

安全防護(hù)功能載荷主要實(shí)現(xiàn)端安全防護(hù)功能載荷、網(wǎng)絡(luò)安全防護(hù)功能載荷、云安全防護(hù)功能載荷和安全防護(hù)功能載荷自身安全防護(hù)等。

5.1 端安全防護(hù)功能分析

端安全防護(hù)功能可細(xì)分為多種類型，功能分類如表1所示。

表1 端安全防護(hù)功能分類

不同的安全防護(hù)功能在操作系統(tǒng)上工作的層次也不相同，有的主要工作在操作系統(tǒng)核心態(tài)，有的工作在操作系統(tǒng)用戶態(tài)。載荷化封裝信息主要包含運(yùn)行操作系統(tǒng)、特殊文件存放以及運(yùn)行順序要求等。工作在Window操作系統(tǒng)的載荷還需要注冊表鍵值、操作系統(tǒng)是否重啟和驅(qū)動簽名3項(xiàng)信息。工作在Linux操作系統(tǒng)的載荷還需要內(nèi)核模塊名稱和操作系統(tǒng)是否重啟2項(xiàng)信息。

5.2 網(wǎng)絡(luò)安全防護(hù)功能分析

網(wǎng)路安全防護(hù)功能大致可劃分為安全網(wǎng)關(guān)類、安全檢測類和安全路由類3種。

安全網(wǎng)關(guān)類產(chǎn)品的核心是網(wǎng)絡(luò)訪問控制（包過濾），包括五元組訪問控制和應(yīng)用協(xié)議訪問控制。根據(jù)應(yīng)用場景的不同，以網(wǎng)絡(luò)訪問控制為基礎(chǔ)演化出多種形態(tài)的產(chǎn)品，如網(wǎng)絡(luò)防護(hù)墻、Web應(yīng)用防火墻（Web Application Firewall，WAF）以及隔離網(wǎng)閘等。

安全檢測類產(chǎn)品的核心是特征匹配和深度分析。深度分析可分為惡意代碼分析、安全威脅分析和關(guān)鍵信息分析。這些通常需要進(jìn)行多包組合還原，資源消耗較大，且分析時間較長，產(chǎn)品形態(tài)多見于在一塊專用板卡上或者在硬件設(shè)備之外搭建一套管理中心（分析服務(wù)器）。因此，深度分析軟件可納入安全防護(hù)服務(wù)范疇，由安全防護(hù)服務(wù)集成機(jī)制實(shí)現(xiàn)。特征匹配主要采用正則表達(dá)式方式匹配網(wǎng)絡(luò)數(shù)據(jù)包。部分產(chǎn)品還實(shí)現(xiàn)了應(yīng)用協(xié)議解析、還原，對應(yīng)用數(shù)據(jù)進(jìn)行匹配，以實(shí)現(xiàn)更強(qiáng)的檢測能力。

安全路由類產(chǎn)品以傳統(tǒng)路由交換產(chǎn)品為基礎(chǔ)發(fā)展，主要在接入認(rèn)證方面發(fā)力，以構(gòu)建可信網(wǎng)絡(luò)為目標(biāo)。該類產(chǎn)品常常與分析決策中心配套作為決策點(diǎn)，執(zhí)行各類安全防護(hù)操作，如思科的可信產(chǎn)品。

網(wǎng)絡(luò)安全防護(hù)功能在系統(tǒng)的內(nèi)核態(tài)和用戶態(tài)均有相應(yīng)的軟件，而內(nèi)核態(tài)軟件改變通常需要重新啟動系統(tǒng)，同時要考慮多板卡的要素。因此，網(wǎng)絡(luò)安全防護(hù)功能封裝信息需要包括運(yùn)行操作系統(tǒng)、特殊文件存放、運(yùn)行順序要求、運(yùn)行板卡要求、內(nèi)核模塊名稱以及操作系統(tǒng)是否重啟等。

5.3 云安全防護(hù)功能分析

云安全防護(hù)功能包含云終端安全、云防火墻以及云安全管控等。封裝信息和端安全防控功能載荷類似，包含運(yùn)行操作系統(tǒng)、特殊文件存放、運(yùn)行順序要求外、內(nèi)核模塊名稱以及操作系統(tǒng)是否重啟。

6 結(jié) 語

在網(wǎng)絡(luò)攻防對抗中，動態(tài)安全防護(hù)逐漸成為對抗網(wǎng)絡(luò)攻擊的主要安全解決方案。通過載荷動態(tài)調(diào)整方式，“任意”改變防護(hù)方式和防護(hù)強(qiáng)度，使攻擊者難以掌握目標(biāo)防護(hù)情況，增大在不暴露蹤跡情況下入侵的難度，從體系框架上提升安全防護(hù)能力。