鄧金祥，溫嵩杰，侯俊龍，田曉東，周恩亞，谷 峰

（成都深思科技有限公司，四川 成都 610095）

0 引言

隨著互聯(lián)網(wǎng)的蓬勃發(fā)展、聯(lián)網(wǎng)設(shè)備的日益增加，網(wǎng)絡(luò)連接設(shè)備，如路由器、交換機(jī)、防火墻等，在互聯(lián)網(wǎng)中的存量也達(dá)到了一定量級。近年來，多家路由器廠商的安全漏洞在黑客間廣為流傳，以路由器為主的網(wǎng)絡(luò)設(shè)備相關(guān)安全事件被頻繁曝出。網(wǎng)絡(luò)設(shè)備面臨的威脅風(fēng)險正在成為僅次于英特爾中央處理器（Central Processing Unit，CPU）漏洞的新增長領(lǐng)域[1]。網(wǎng)絡(luò)連接設(shè)備（以下簡稱網(wǎng)絡(luò)設(shè)備）在互聯(lián)網(wǎng)中占據(jù)著支撐地位，一旦被惡意攻擊，攻擊者可以對下游服務(wù)器和個人PC 實(shí)施精準(zhǔn)打擊，進(jìn)一步發(fā)起域名系統(tǒng)（Domain Name System，DNS）劫持、竊取信息、網(wǎng)絡(luò)釣魚等攻擊，直接威脅用戶數(shù)據(jù)存儲安全，使得相關(guān)網(wǎng)絡(luò)設(shè)備變成隨時可被引爆的“地雷”，造成嚴(yán)重后果。

1 安全現(xiàn)狀

1.1 國內(nèi)外安全形勢

在2013 年，斯諾登披露的“棱鏡計劃”就已經(jīng)表明：路由器等網(wǎng)絡(luò)設(shè)備是實(shí)施網(wǎng)絡(luò)監(jiān)聽的重要攻擊目標(biāo)。2015 年9 月，國外安全公司FireEye發(fā)現(xiàn)針對路由器的植入式后門，涉及多種型號的Cisco 路由器。2018 年3 月，卡巴斯基揭露了一起潛伏6 年的，被稱作“彈弓”的網(wǎng)絡(luò)間諜行動，攻擊者通過入侵非洲和中東多國的路由器，感染了數(shù)千臺設(shè)備。2018 年5 月，Cisco 公司稱俄羅斯黑客組織利用惡意軟件感染了全球至少50 萬臺路由器，主要影響對象為小型和家庭常用的Linksys、MikroTik、Netgear、TP-Link、華碩、華為、中興和D-Link 等路由器。2020 年3 月，360 披露了兩個神秘黑客組織通過入侵居易科技的網(wǎng)絡(luò)設(shè)備，竊取郵件及文件并添加后門的行為。

由上述安全事件中可以看出，網(wǎng)絡(luò)設(shè)備安全事件正愈演愈烈，然而，公眾所知的網(wǎng)絡(luò)設(shè)備安全事件只是冰山一角。國家信息安全漏洞共享平臺在分析驗證多家廠商的路由器產(chǎn)品后，發(fā)現(xiàn)它們都存在后門，黑客可由此直接控制路由器。在長期對各類高級可持續(xù)威脅攻擊（Advanced Persistent Threat attack，APT）案件的跟蹤中，筆者發(fā)現(xiàn)，以位于發(fā)達(dá)國家的APT 組織為主的黑客組織，其實(shí)很早就開始大量利用網(wǎng)絡(luò)設(shè)備漏洞開展竊密活動了，但由于缺乏有效的網(wǎng)絡(luò)設(shè)備流量檢測產(chǎn)品，很多安全事件沒有被及時發(fā)現(xiàn)。此外，在之前中美貿(mào)易摩擦以及“五眼”聯(lián)盟對中國華為、中興等網(wǎng)絡(luò)設(shè)備廠商的限制事件中，也可以看出，網(wǎng)絡(luò)設(shè)備安全對國家網(wǎng)絡(luò)安全至關(guān)重要，因此受到了國內(nèi)外政府的高度重視?；诖?，習(xí)近平總書記在2018 年4 月的講話中特別提到：要積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然。

1.2 當(dāng)前檢測能力的脆弱性

傳統(tǒng)的網(wǎng)絡(luò)設(shè)備識別檢測方案主要是基于一些已知的漏洞或常規(guī)攻擊手段提取一些流量上的檢測規(guī)則，再進(jìn)行全流量匹配實(shí)現(xiàn)檢測。側(cè)重于直接發(fā)現(xiàn)攻擊或者入侵的過程。這種方式在實(shí)戰(zhàn)過程中雖然也具備一定的效果，但做法比較簡單、粗暴，沒有形成體系，檢測規(guī)則基本上反映了系統(tǒng)的檢測能力，局限性非常明顯，具體體現(xiàn)在以下幾個方面：

（1）檢測規(guī)則難以做到全面覆蓋，檢測存在明顯的滯后性。網(wǎng)絡(luò)設(shè)備本身類型很多，各類設(shè)備的硬件形式、固件類型、操作系統(tǒng)都存在很大的差異，要想實(shí)現(xiàn)對漏洞等相關(guān)威脅的有效覆蓋本身就比較困難，加之目前網(wǎng)絡(luò)安全行業(yè)中針對網(wǎng)絡(luò)設(shè)備安全的關(guān)注不夠，進(jìn)一步導(dǎo)致了檢測規(guī)則的搜集和更新比較滯后，因此很多威脅無法及時被發(fā)現(xiàn)和檢測。

（2）對未知威脅的檢測能力薄弱。由于檢測方式過分依賴規(guī)則，導(dǎo)致檢測系統(tǒng)的檢測能力都是針對相關(guān)規(guī)則的已知威脅的，對于新形式的未知威脅無能為力。

（3）網(wǎng)絡(luò)設(shè)備通信常被配置為白名單。在企業(yè)級網(wǎng)絡(luò)環(huán)境中，一般都會配備防火墻、入侵防御系統(tǒng)（Intrusion Prevention Systems，IPS）、入侵檢測系統(tǒng)（Intrusion detection system，IDS）等防護(hù)設(shè)備，但在實(shí)際使用中，為保證網(wǎng)絡(luò)通暢和維護(hù)方便，常將網(wǎng)絡(luò)設(shè)備IP 及常用端口設(shè)置為白名單，這就給攻擊者可乘之機(jī)，形成安全防護(hù)漏洞。

（4）全流量環(huán)境檢測網(wǎng)絡(luò)設(shè)備風(fēng)險的效率低下。在絕大部分網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)中的流量都是非網(wǎng)絡(luò)設(shè)備產(chǎn)生的，檢測系統(tǒng)無法對流量進(jìn)行區(qū)分，只能統(tǒng)一進(jìn)行檢測。這樣的做法，導(dǎo)致大部分檢測都是無效的，浪費(fèi)了很多硬件資源，資源利用率低。此外，由于全流量檢測導(dǎo)致單臺檢測設(shè)備的流量接入能力有限，可以部署的網(wǎng)絡(luò)流量規(guī)模也就有限，從而進(jìn)一步降低了網(wǎng)絡(luò)設(shè)備風(fēng)險的檢出率。

2 網(wǎng)絡(luò)設(shè)備風(fēng)險分析

目前，網(wǎng)絡(luò)設(shè)備越來越受到APT 組織的關(guān)注，其原因與設(shè)備本身的以下特點(diǎn)密切相關(guān)。

（1）長期在線且暴露面廣。網(wǎng)絡(luò)設(shè)備作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施，不可避免地需要放置在網(wǎng)絡(luò)邊界，暴露在互聯(lián)網(wǎng)中。特別是為了方便被其他接入設(shè)備發(fā)現(xiàn)和管理，網(wǎng)絡(luò)設(shè)備往往比普通終端設(shè)備更直接地暴露在網(wǎng)絡(luò)中并提供服務(wù)。此外，為了保障網(wǎng)絡(luò)持續(xù)、穩(wěn)定、高效地運(yùn)轉(zhuǎn)，設(shè)備需要保持長期在線工作。

（2）固件更新慢且升級復(fù)雜。網(wǎng)絡(luò)設(shè)備因為其功能比較簡單，出現(xiàn)功能性問題的概率較低，因此更新通常比較慢。最為嚴(yán)重的是，大部分網(wǎng)絡(luò)設(shè)備無法自動更新固件，一旦出現(xiàn)漏洞則需要用戶主動升級固件，或者由廠商提供固件升級服務(wù)。

（3）關(guān)注度低，風(fēng)險不易發(fā)現(xiàn)。網(wǎng)絡(luò)設(shè)備一旦部署，只要網(wǎng)絡(luò)處于正常運(yùn)行狀態(tài)，用戶就很少再關(guān)注網(wǎng)絡(luò)設(shè)備的安全性，因此，即使網(wǎng)絡(luò)設(shè)備被曝出漏洞，也會因為遺忘、不關(guān)心、不了解等因素，不能及時得到修復(fù)。

（4）防護(hù)措施少，不易檢測。網(wǎng)絡(luò)設(shè)備因為其自身性能、軟件庫等因素，一般不會配備安裝防病毒、防滲透等專業(yè)防護(hù)軟件，因此受到威脅后很難被發(fā)現(xiàn)和清除。

（5）受信任度高，易于穿透。網(wǎng)絡(luò)設(shè)備是設(shè)計用于連接設(shè)備與設(shè)備、網(wǎng)絡(luò)與網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)設(shè)備，是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臉屑~，要實(shí)現(xiàn)正常通信，網(wǎng)絡(luò)設(shè)備需要完全被信任，因此所有的通信數(shù)據(jù)都會被放行通過這些設(shè)備。

基于以上特點(diǎn)，網(wǎng)絡(luò)設(shè)備一旦被控，將成為攻擊者可長期操控的穩(wěn)定攻擊源，且不易被發(fā)現(xiàn)和檢測。同時，攻擊者可以較為容易地通過被控設(shè)備對目標(biāo)網(wǎng)絡(luò)進(jìn)行內(nèi)網(wǎng)滲透、流量劫持等擴(kuò)散性攻擊，大范圍影響網(wǎng)絡(luò)安全，造成嚴(yán)重后果。

2.1 固件漏洞分析

2021 年，Cisco 公布了一個新的路由器命令注入漏洞，漏洞編號CVE-2021-1414。該漏洞允許未經(jīng)身份驗證的遠(yuǎn)程攻擊者在受影響的設(shè)備上執(zhí)行任意代碼，繼而通過路由器進(jìn)行一系列的內(nèi)網(wǎng)滲透、信息竊取、網(wǎng)絡(luò)破壞等高危攻擊和竊密行為。

受漏洞影響的設(shè)備為Cisco 的RV340 系列路由器，該系列路由器可為小型企業(yè)提供防火墻和高速上網(wǎng)服務(wù)。在人力與經(jīng)費(fèi)有限的情況下，小型企業(yè)很難防范來自網(wǎng)絡(luò)設(shè)備的漏洞攻擊。因此，APT 組織將目標(biāo)放在這些與大型企業(yè)合作的中小企業(yè)上，以中小企業(yè)為跳板，只要攻陷任何一家，就有機(jī)會滲透與其合作的大型企業(yè)，如圖1 所示。

圖1 網(wǎng)絡(luò)設(shè)備攻擊

RV340 路由器使用的固件為.img 格式，由此可知，此系列的路由器是基于openwrt 開發(fā)的。OpenWRTF 是一個高度模塊化、高度自動化的嵌入式Linux 系統(tǒng)，擁有強(qiáng)大的網(wǎng)絡(luò)組件和擴(kuò)展能力，多被用于工控設(shè)備、電話、小型機(jī)器人、智能家居、路由器以及基于IP 的語音傳輸（Voice over Internet Protocol，VOIP）設(shè)備中。

本文先使用binwalk 對固件文件進(jìn)行分析，得到文件系統(tǒng)中的全部內(nèi)容，定位到目標(biāo)平臺為ARM 32 小端。然后，結(jié)合已知的公開漏洞信息對固件的文件系統(tǒng)進(jìn)行定位分析，并使用交互式反匯編器專業(yè)版（Interactive Disassembler Professional，IDA）進(jìn)行逆向工程分析，最終定位至漏洞函數(shù)setpre_snmp，如圖2 所示。此函數(shù)在調(diào)用popen 執(zhí)行命令前未對usmUserPrivKey 中的值進(jìn)行過濾，從而導(dǎo)致了命令注入。目前Cisco 官方針對此漏洞已經(jīng)出具了修復(fù)方式，即需要將固件版本升級到一定版本以上。

圖2 固件代碼漏洞

根據(jù)對上述漏洞的分析可以看出，網(wǎng)絡(luò)設(shè)備漏洞是非常容易被利用并作為攻擊手段的。此外，由于大多數(shù)路由器不支持自動升級，都需要人為進(jìn)行版本檢測再進(jìn)行在線升級，甚至有些情況下只能離線升級。

綜上，在網(wǎng)絡(luò)設(shè)備保有量不斷增加，但受關(guān)注度低的背景下，其面臨的風(fēng)險正日益增加，尤其是舊版本的網(wǎng)絡(luò)設(shè)備，都存在已知的公開的漏洞。

2.2 應(yīng)用服務(wù)漏洞分析

在現(xiàn)有的網(wǎng)絡(luò)設(shè)備中，防火墻設(shè)備本身就是網(wǎng)絡(luò)安全的屏障，可以大幅度提高網(wǎng)絡(luò)的安全性，處理過濾大部分未知流量，將風(fēng)險因素降至最低，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)能力。但是就是這樣一個專門用于網(wǎng)絡(luò)安全防護(hù)的設(shè)備，在面對現(xiàn)有的網(wǎng)絡(luò)空間環(huán)境時，也會出現(xiàn)力有不逮的情況。在網(wǎng)絡(luò)安全領(lǐng)域，防火墻漏洞也是屢見不鮮，矛與盾的沖突始終在不停地上演。

Fortigate 防火墻的cookie 棧溢出漏洞就是這一沖突之下的一角縮影。該漏洞編號為CVE-2016-6909，最早由Equation Group 組織使用來攻擊各大廠商的防火墻。該漏洞在特定版本的Fortigate 防火墻中存在。這些版本的防火墻中的Cookie 解析器存在緩沖區(qū)溢出問題，遠(yuǎn)程攻擊者可以使用特意拼接的HTTP 請求執(zhí)行任意代碼，以跳過防火墻的防護(hù)，入侵內(nèi)部網(wǎng)絡(luò)，完成內(nèi)網(wǎng)橫向滲透、信息竊取、網(wǎng)絡(luò)破壞等攻擊動作。

本文根據(jù)廠商提供的虛擬機(jī)鏡像版本FGT_VM-v400-build0482，對該漏洞進(jìn)行了深入的分析定位及復(fù)現(xiàn)，以提取其中的特征信息。通常情況下，防火墻設(shè)備不會提供shell，而是僅提供一個簡易的命令行界面（Command Line Interface，CLI），在上面只能使用其內(nèi)置的功能，這些功能并沒有組成一個可用的操作系統(tǒng)，也無法通過CLI 直接拿到shell?；诖祟愒O(shè)備特點(diǎn)，對虛擬機(jī)鏡像進(jìn)行掛載，找到內(nèi)核鏡像文件flatkc.smp 與flatkc.nosmp，配置文件extlinux.conf，從而定位到文件系統(tǒng)rootfs.gz，將其解壓，分析其init 進(jìn)程，便于后續(xù)漏洞定位。解壓的文件系統(tǒng)如圖3 所示。

圖3 文件系統(tǒng)

分析init 進(jìn)程的結(jié)果如下：

檢查/bin.tar.xz 是否存在，若是則創(chuàng)建子進(jìn)程執(zhí)行/sbin/xz -check=sha256 -d/bin.tar.xz；父進(jìn)程等待子進(jìn)程結(jié)束后刪除/bin.tar.xz；之后檢查/bin.tar是否存在，若是則創(chuàng)建子進(jìn)程執(zhí)行/sbin/ftar -xf/bin.tar；父進(jìn)程等待子進(jìn)程結(jié)束后刪除/bin.tar。

上一步成功后檢查/migadmin.tar.xz 是否存在，若是則創(chuàng)建子進(jìn)程執(zhí)行/sbin/xz -check=sha256 -d/migadmin.tar.xz；父進(jìn)程等待子進(jìn)程結(jié)束后刪除/migadmin.tar.xz；之后檢查/migadmin.tar 是否存在，若是則創(chuàng)建子進(jìn)程執(zhí)行/sbin/ftar -xf/migadmin.tar；父進(jìn)程等待子進(jìn)程結(jié)束后刪除/migadmin.tar。

刪除/sbin/xz。

刪除/sbin/ftar。

執(zhí)行/bin/init。

再對bin.tar.xz 進(jìn)行分析后，如圖4 所示，可以看出其中httpsd 等網(wǎng)絡(luò)服務(wù)都是/bin/init 的軟鏈接。/bin/init 應(yīng)當(dāng)為防火墻提供了基本的網(wǎng)絡(luò)服務(wù)，而chmod 等常用命令等都是/bin/sysctl 的軟鏈接，應(yīng)當(dāng)類似busybox 的工具庫。

圖4 bin.tar.xz 分析

根據(jù)CVE 通告描述的Cookie，解析過程中發(fā)生緩沖區(qū)溢出的描述，構(gòu)造HTTP 請求來進(jìn)行漏洞復(fù)現(xiàn)；然后將Cookie 中的字段進(jìn)行拆分組合，最終確定AuthHash 字段是棧溢出漏洞，當(dāng)其字符數(shù)量達(dá)到0x60 時會觸發(fā)防火墻棧溢出，httpsd 服務(wù)崩潰。根據(jù)報錯信息進(jìn)行回溯后，最終定位到sub_820CB5E()函數(shù)，如圖5 所示，它對Cookie 內(nèi)容的解析使用了不安全的%s 來讀取AuthHash 到棧上，從而導(dǎo)致棧溢出漏洞。

圖5 溢出點(diǎn)

在后續(xù)研究中，嘗試使用了gadget 來拼寫攻擊載荷，組成HTTP 請求，執(zhí)行了一段關(guān)機(jī)代碼：

最終也成功終止了防火墻服務(wù)，關(guān)閉了防火墻設(shè)備，其他shellcode 則不再贅述。

綜上，防火墻設(shè)備是為了確保安全而引入的，但安全產(chǎn)品又會有新的安全問題產(chǎn)生，成了一個無解的循環(huán)。尤其在當(dāng)前愈加嚴(yán)峻的網(wǎng)絡(luò)空間安全形勢下，針對網(wǎng)絡(luò)設(shè)備所可能受到的安全風(fēng)險，需要研究提出高效、準(zhǔn)確的檢測技術(shù)及思路。

3 網(wǎng)絡(luò)設(shè)備檢測思路

從網(wǎng)絡(luò)設(shè)備安全這個角度，可以把網(wǎng)絡(luò)中的流量分為兩類：一類是網(wǎng)絡(luò)設(shè)備的自身流量，即網(wǎng)絡(luò)設(shè)備自己和外部建立通信時產(chǎn)生的流量，比如訪問路由器web 管理界面的流量；另一類是網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)的流量，就是網(wǎng)絡(luò)中的非網(wǎng)絡(luò)設(shè)備，比如手機(jī)、PC、服務(wù)器等這些設(shè)備產(chǎn)生的流量，這些流量只是會通過網(wǎng)絡(luò)設(shè)備進(jìn)行轉(zhuǎn)發(fā)，所以稱之為轉(zhuǎn)發(fā)流量，與網(wǎng)絡(luò)設(shè)備自身產(chǎn)生的流量是不同的。本文的檢測重點(diǎn)為網(wǎng)絡(luò)設(shè)備的自身流量，如圖6 所示。

圖6 網(wǎng)絡(luò)設(shè)備流量

3.1 流量采集與處理

流量采集是高對抗網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測的基礎(chǔ)。只有捕獲到正確的數(shù)據(jù)包，后續(xù)的流量分離和威脅檢測溯源才有價值。下文將對網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測使用的流量采集技術(shù)，以及主流的流量處理開發(fā)平臺進(jìn)行研究分析。

3.1.1 高速流量采集技術(shù)

原始數(shù)據(jù)包在線采集主要是通過物理層和數(shù)據(jù)鏈路層的信號解析和解幀，實(shí)現(xiàn)對原始數(shù)據(jù)包報文的獲取。傳統(tǒng)的網(wǎng)絡(luò)設(shè)備驅(qū)動需要產(chǎn)生中斷才能將數(shù)據(jù)包提交到用戶層進(jìn)行處理，并且還會對數(shù)據(jù)包進(jìn)行多次拷貝，因此性能低下。具體地，網(wǎng)絡(luò)數(shù)據(jù)包到來后，網(wǎng)卡設(shè)備先根據(jù)配置進(jìn)行直接存儲器訪問（Direct Memory Access，DMA）操作；隨后網(wǎng)卡發(fā)送硬中斷，喚醒處理器；處理器被喚醒后，則將數(shù)據(jù)包填充到讀寫緩沖區(qū)數(shù)據(jù)結(jié)構(gòu)；內(nèi)核處理完數(shù)據(jù)包后，則通知用戶層獲取數(shù)據(jù)包，用戶層收到消息以后，再將數(shù)據(jù)包拷貝到用戶層。在整個過程中，首先硬中斷和內(nèi)存拷貝非常消耗性能，每次硬中斷大約會消耗100 μs，加上終止上下文帶來的缺頁中斷，性能開銷更大；其次，Linux 在內(nèi)核態(tài)和用戶態(tài)之間的來回切換也會消耗大量性能，導(dǎo)致性能進(jìn)一步降低。

通過研究，本文重新設(shè)計的高速流量采集技術(shù)能夠克服之前架構(gòu)的性能限制，具體方式如下：

（1）預(yù)分配和重用內(nèi)存資源：在開始分組接收之前，預(yù)先分配好將要到達(dá)的數(shù)據(jù)包所需的內(nèi)存空間，用來存儲數(shù)據(jù)和元數(shù)據(jù)。

（2）并行直接通道傳遞數(shù)據(jù)包：為了解決序列化的訪問流量，建立從網(wǎng)卡多隊列（Receive Side Scaling，RSS）到應(yīng)用之間的直接并行數(shù)據(jù)通道，通過特定的RSS 隊列、特定的CPU 核和應(yīng)用三者的綁定來實(shí)現(xiàn)性能的提升。

（3）內(nèi)存映射：將應(yīng)用程序的內(nèi)存區(qū)域映射到內(nèi)核態(tài)的內(nèi)存區(qū)域，應(yīng)用能夠在沒有中間副本的情況下讀寫這片內(nèi)存區(qū)域。這種方式可以使應(yīng)用直接訪問網(wǎng)卡的DMA 內(nèi)存區(qū)域，即零拷貝技術(shù)。

（4）數(shù)據(jù)包的批處理：為了避免對每個數(shù)據(jù)包重復(fù)操作的開銷，對數(shù)據(jù)包進(jìn)行批量處理，即將數(shù)據(jù)包劃分為組，按組分配緩沖區(qū)一起復(fù)制到內(nèi)核/用戶內(nèi)存。

為了滿足高性能數(shù)據(jù)接入要求，本文重寫了網(wǎng)絡(luò)驅(qū)動設(shè)備進(jìn)行數(shù)據(jù)采集，其處理流程如圖7 所示。

圖7 網(wǎng)絡(luò)設(shè)備驅(qū)動處理流程

由圖7 可知，當(dāng)數(shù)據(jù)包到來時，該網(wǎng)絡(luò)設(shè)備驅(qū)動不會產(chǎn)生中斷，而是直接將數(shù)據(jù)包保存在緩存區(qū)中。當(dāng)一塊緩存區(qū)寫滿以后，則將緩存提交到應(yīng)用層，再重新申請一塊新的緩存區(qū)用于存取數(shù)據(jù)，用戶層接收到緩存的數(shù)據(jù)后，就立即處理緩存的數(shù)據(jù)。

通過高速流量采集技術(shù)，能夠快速完整地實(shí)現(xiàn)大流量場景下的轉(zhuǎn)發(fā)流量和網(wǎng)絡(luò)設(shè)備流量采集，為后續(xù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)備流量識別、分離、分析與檢測做好數(shù)據(jù)準(zhǔn)備。

3.1.2 流量處理開發(fā)平臺

目前流行的流量處理開發(fā)主要使用Gopacket 和數(shù)據(jù)平面開發(fā)工具集（Inter Data Plane Development Kit，DPDK），網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測技術(shù)使用的則是DPDK 平臺。

DPDK 是英特爾公司設(shè)計開發(fā)的數(shù)據(jù)平面開發(fā)工具集，廣泛應(yīng)用于傳統(tǒng)電信領(lǐng)域3 層以下的應(yīng)用。在此開發(fā)平臺中，通過使用無鎖隊列、RingBuffer、AC_BM、Hyperscan 等眾多高性能匹配算法，實(shí)現(xiàn)了超大流量數(shù)據(jù)處理能力。

基于DPDK 的流量處理平臺為了滿足大流量環(huán)境，將網(wǎng)絡(luò)數(shù)據(jù)直接從網(wǎng)絡(luò)適配器傳輸?shù)接脩舫绦?，降低系統(tǒng)調(diào)用和數(shù)據(jù)復(fù)制的次數(shù)，減少CPU 在數(shù)據(jù)拷貝時候的負(fù)載，實(shí)現(xiàn)CPU 的零參與。此外，利用DPDK 的大頁內(nèi)存方式還可以提高內(nèi)存訪問效率，降低頁表緩存（Translation Lookaside Buffer，TLB）沖突概率。為實(shí)現(xiàn)物理地址到虛擬地址的轉(zhuǎn)換，Linux 一般通過查找TLB 來進(jìn)行快速映射，如果在查找TLB 時沒有命中，就會觸發(fā)一次缺頁中斷，將訪問內(nèi)存來重新刷新TLB 頁表。Linux 中，默認(rèn)頁大小為4 KB，當(dāng)用戶程序占用4 MB 的內(nèi)存時，就需要1 KB 的頁表項，如果使用2 MB 的頁面，那么只需要2 條頁表項，這樣有以下兩個好處：

（1）使用大頁內(nèi)存的內(nèi)存所需的頁表項比較少，對于需要大量內(nèi)存的進(jìn)程來說節(jié)省了很多開銷，像Oracle 之類的大型數(shù)據(jù)庫優(yōu)化都使用了大頁面配置；

（2）TLB 是CPU 中單獨(dú)的一塊高速Cache，一般只能容納100 條頁表項，采用大頁內(nèi)存可以大大降低TLB Miss 的開銷，從而降低TLB 沖突概率。

DPDK 針對英特爾網(wǎng)卡實(shí)現(xiàn)了基于輪詢方式的輪詢模式（Poll Mode Drivers，PMD）驅(qū)動，該驅(qū)動由應(yīng)用程序接口（Application Program Interface，API）和用戶空間運(yùn)行的驅(qū)動程序構(gòu)成。該驅(qū)動使用無中斷方式直接操作網(wǎng)卡的接收和發(fā)送隊列，除了鏈路狀態(tài)通知仍必須采用中斷方式以外。目前PMD 驅(qū)動支持英特爾大部分1 GB、10 GB 和40 GB 的網(wǎng)卡。

因此，可以利用DPDK 流量處理平臺，實(shí)現(xiàn)在大流量環(huán)境下的流量采集工作，采集網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)流量及網(wǎng)絡(luò)設(shè)備自身流量。本文基于DPDK 技術(shù)所奠定的流量數(shù)據(jù)基礎(chǔ)，進(jìn)一步深入研究網(wǎng)絡(luò)設(shè)備流量針對性識別與分離技術(shù)。

3.2 流量識別與分離

在現(xiàn)有的網(wǎng)絡(luò)流量環(huán)境中，流量中的絕大部分都是轉(zhuǎn)發(fā)流量，而不是網(wǎng)絡(luò)設(shè)備的自身流量。兩種流量在統(tǒng)一的檢測分析中，不僅效率不高，還存在較大的互相干擾。因此，要采用一定的技術(shù)手段進(jìn)行網(wǎng)絡(luò)設(shè)備流量的分離[2]，包括網(wǎng)絡(luò)設(shè)備的正常業(yè)務(wù)流量（比如網(wǎng)絡(luò)設(shè)備web 的流量、路由協(xié)議的流量），網(wǎng)絡(luò)設(shè)備直接參與通信的流量（比如網(wǎng)絡(luò)設(shè)備被控后的回傳流量）。

兩種流量是無法簡單地基于協(xié)議特征實(shí)現(xiàn)區(qū)分的，且網(wǎng)絡(luò)設(shè)備承擔(dān)著路由轉(zhuǎn)發(fā)的功能，會將其轉(zhuǎn)發(fā)的流量數(shù)據(jù)幀改變?yōu)樽约旱腎P 或MAC 地址，因此，從IP 和MAC 地址上也無法實(shí)現(xiàn)流量的區(qū)分。同時，從網(wǎng)絡(luò)安全分析角度來看，流量中小部分的未知的流量，反而是更需要關(guān)注的流量，高級威脅往往隱藏于未知流量中。

網(wǎng)絡(luò)設(shè)備流量在網(wǎng)絡(luò)中的流量占比很小，如果流量分離技術(shù)準(zhǔn)確率不高，則必然會出現(xiàn)大量非網(wǎng)絡(luò)設(shè)備流量被誤識別，從而出現(xiàn)準(zhǔn)確識別的網(wǎng)絡(luò)設(shè)備流量被湮沒的情況，最終可能導(dǎo)致分離結(jié)果不可靠，甚至不可用。由此，必須要保證以極高的準(zhǔn)確率實(shí)現(xiàn)不局限于協(xié)議特征的流量分離能力。

針對上述問題，下文將對網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測中使用的流量分離技術(shù)進(jìn)行研究。

3.2.1 通信指紋預(yù)測技術(shù)

經(jīng)過長期的研究發(fā)現(xiàn)，網(wǎng)絡(luò)設(shè)備流量雖然在流量層面沒有直接有效的識別特征，但針對網(wǎng)絡(luò)設(shè)備的特殊應(yīng)用場景而言，仍然可以通過挖掘流量協(xié)議各層隱藏的信息并分析它們之間的聯(lián)系，來識別網(wǎng)絡(luò)設(shè)備流量，而其核心技術(shù)之一就是棧指紋辨識技術(shù)[3]。

任何一段信息，包括文字、語音、視頻、圖片等，如果對其進(jìn)行無損壓縮編碼，理論上編碼后的最短長度就是它的指紋（信息熵），在編碼算法正確的情況下，任意兩段信息的指紋都很難重復(fù)，如同人類的指紋一樣?；诓煌O(shè)備廠家對互聯(lián)網(wǎng)通信協(xié)議（Request For Comments，RFC）相關(guān)文檔的不同理解，不同的網(wǎng)絡(luò)設(shè)備廠商在具體實(shí)現(xiàn)TCP/IP協(xié)議棧的時候就可能存在極其微小的差異[4]。此外，還由于以下外部因素增大了彼此的差異：

（1）RFC 規(guī)范中存在著一些可選的特性，不同廠家可選項不一致；

（2）某些私自對TCP/IP 協(xié)議棧實(shí)現(xiàn)的改進(jìn)；

（3）少數(shù)不遵從RFC 規(guī)范的行為。

通過探測并仔細(xì)分析這些網(wǎng)絡(luò)設(shè)備的協(xié)議棧指紋差異，對不同廠商的網(wǎng)絡(luò)設(shè)備信息進(jìn)行積累，提取其網(wǎng)絡(luò)設(shè)備的協(xié)議棧指紋。目前，已經(jīng)完成34類主流路由/交換機(jī)品牌，以及30 類主流防火墻設(shè)備的協(xié)議棧指紋積累。將積累的棧指紋數(shù)據(jù)作為訓(xùn)練集，結(jié)合機(jī)器學(xué)習(xí)樸素貝葉斯算法來初步完成對網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)設(shè)備流量分離及識別。

樸素貝葉斯是基于貝葉斯定理的算法，即在兩個條件關(guān)系之間，測量每個類的概率，則每個類的條件概率給出x的值。以樣本可能屬于某類的概率來作為分類依據(jù)。在確定了網(wǎng)絡(luò)設(shè)備的棧指紋后，計算某網(wǎng)絡(luò)流量來源于網(wǎng)絡(luò)設(shè)備A 的概率是X，來源于網(wǎng)絡(luò)設(shè)備B 的概率是Y，如果X＞Y，則判定該網(wǎng)絡(luò)流量來源于網(wǎng)絡(luò)設(shè)備A。

通信指紋預(yù)測技術(shù)采用兩種策略分離網(wǎng)絡(luò)基礎(chǔ)設(shè)備流量，一是正向捕獲，二是方向過濾。正向捕獲即以上述的棧指紋識別技術(shù)為核心，通過機(jī)器學(xué)習(xí)算法不斷加深棧指紋特征匹配的準(zhǔn)確度，從而完成網(wǎng)絡(luò)基礎(chǔ)設(shè)備流量分離。反向過濾是一種過濾流量中協(xié)議棧指紋與網(wǎng)絡(luò)設(shè)備協(xié)議棧指紋不相同的方法。根據(jù)非網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)設(shè)備指紋的差異，收集非網(wǎng)絡(luò)設(shè)備的指紋形成指紋特征庫，從而可以過濾流量中非網(wǎng)絡(luò)設(shè)備的流量。針對可能出現(xiàn)的指紋相同的情況，可進(jìn)一步采用協(xié)議特征過濾的方式降低捕獲流量的誤報率。該技術(shù)包含指紋特征過濾與協(xié)議特征過濾兩大要點(diǎn)，具體如下文所述。

（1）指紋特征過濾?；谘芯糠治霭l(fā)現(xiàn)，大部分網(wǎng)絡(luò)設(shè)備指紋與PC 或服務(wù)器等非網(wǎng)絡(luò)設(shè)備存在一定的差異，基于這些差異可提取非網(wǎng)絡(luò)設(shè)備的指紋形成非網(wǎng)絡(luò)設(shè)備指紋特征庫，用于過濾非網(wǎng)絡(luò)設(shè)備流量。

（2）協(xié)議特征過濾?？紤]到存在非網(wǎng)絡(luò)設(shè)備指紋特征與網(wǎng)絡(luò)設(shè)備相同的情況，在指紋特征過濾后，可根據(jù)需要基于協(xié)議（HTTP 等）特征進(jìn)一步過濾非網(wǎng)絡(luò)設(shè)備流量。

網(wǎng)絡(luò)設(shè)備流量反向過濾主要流程如圖8 所示。反向流程先提取流量中的設(shè)備指紋，與非網(wǎng)絡(luò)設(shè)備指紋特征相匹配，如果匹配成功則過濾流量；匹配不成功，則進(jìn)一步提取協(xié)議特征，與非網(wǎng)絡(luò)設(shè)備協(xié)議特征庫相匹配，匹配成功則提取設(shè)備指紋加入非網(wǎng)絡(luò)設(shè)備指紋庫并過濾流量，否則保存流量。

圖8 網(wǎng)絡(luò)設(shè)備流量反向過濾

正向捕獲能夠保證捕獲特定網(wǎng)絡(luò)設(shè)備的流量，反向過濾能夠保證未知網(wǎng)絡(luò)設(shè)備流量不丟失。結(jié)合上述兩種策略，通信指紋預(yù)測技術(shù)既可以分離特定網(wǎng)絡(luò)設(shè)備的流量，又可以分離未知網(wǎng)絡(luò)設(shè)備的流量，從而能大幅度提高網(wǎng)絡(luò)設(shè)備流量分離的精確度。

3.2.2 設(shè)備時鐘分析技術(shù)

設(shè)備時鐘分析技術(shù)是基于采集流量信息中的時間戳信息[5]進(jìn)行分析，并計算對應(yīng)設(shè)備的時鐘頻率、相位差[6]等信息，從而實(shí)現(xiàn)硬件來源判斷的技術(shù)。該技術(shù)的原理為在RFC1323 協(xié)議中新增了兩個TCP選項，即窗口擴(kuò)大選項和時間戳（Timestamp）選項。其中，時間戳選項可以使TCP 對報文段進(jìn)行更加精確的往返時延（Round-Trip Time，RTT）測量[7]，即發(fā)送方在每個報文中放置一個時間戳數(shù)值，接收方在確認(rèn)中返回這個數(shù)值，從而允許發(fā)送方為每一個收到的ACK 計算RTT。時間戳是一個單調(diào)遞增的值，RFC1323推薦在1 ms～1 s之間將時間戳值加1。

一個特定的網(wǎng)絡(luò)設(shè)備可能具備多個獨(dú)立的時鐘脈沖，包括設(shè)備的系統(tǒng)時間和設(shè)備自身的TCP 堆棧時鐘脈沖（時間戳選項時鐘脈沖）。雖然專業(yè)管理下的設(shè)備系統(tǒng)時鐘脈沖可以通過網(wǎng)絡(luò)時間協(xié)議（Network Time Protocol，NTP）與真實(shí)時間同步，但是對于大多數(shù)網(wǎng)絡(luò)設(shè)備而言，NTP 協(xié)議的安裝并不能使主機(jī)的系統(tǒng)時鐘脈沖與真實(shí)時間保持同步，或者只是偶爾能保持同步。這樣，對于一個非專業(yè)管理設(shè)備，如果能夠通過分析流量信息中的時間戳信息來及時掌握設(shè)備系統(tǒng)時鐘脈沖值，那么就能推斷出系統(tǒng)時鐘脈沖相位差的信息。在實(shí)踐中，任何網(wǎng)絡(luò)基礎(chǔ)設(shè)備的系統(tǒng)時鐘脈沖都不是絕對穩(wěn)定的，實(shí)際的時鐘脈沖頻率總是存在或大或小的相位偏差?；谏鲜鲇布A(chǔ)，可以利用時間戳原理測量實(shí)際存在的網(wǎng)絡(luò)基礎(chǔ)設(shè)備相位差，從而實(shí)現(xiàn)硬件來源判斷。

綜上，通信指紋預(yù)測技術(shù)和設(shè)備時鐘分析技術(shù)結(jié)合，再通過分析各層協(xié)議中可能存在的網(wǎng)絡(luò)設(shè)備隱藏信息，對流量進(jìn)行佐證判斷，最終實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備流量的分離準(zhǔn)確率達(dá)到99%以上。

3.3 威脅分析與檢測

通過控制網(wǎng)絡(luò)基礎(chǔ)設(shè)備進(jìn)行擴(kuò)散攻擊是頂級APT 組織的常用攻擊手法。因此，在分離出網(wǎng)絡(luò)基礎(chǔ)設(shè)備流量后，如何對其流量進(jìn)行全方位的安全檢查與分析[8]，找出潛藏其中的風(fēng)險也是一項富有挑戰(zhàn)性的工作。

一般的入侵行為被歸類為冒充攻擊、穿透安全控制、泄露、拒絕服務(wù)和惡意使用等。網(wǎng)絡(luò)基礎(chǔ)設(shè)備作為備受青睞的攻擊跳板或攻擊隱藏手段，基于網(wǎng)絡(luò)設(shè)備的隱藏的攻擊方式仍然可以歸類到上述攻擊手法中。

入侵檢測技術(shù)[9]的主要目的是盡快、盡可能可靠地檢測出網(wǎng)絡(luò)基礎(chǔ)設(shè)備中的攻擊行為。它的核心是分析網(wǎng)絡(luò)基礎(chǔ)設(shè)備的行為以檢測異常流量。入侵檢測主要通過統(tǒng)計方法和預(yù)測模式生成來進(jìn)行檢測。統(tǒng)計方法先通過文件訪問、CPU、I/O 利用率、出錯率、企圖登錄失敗的次數(shù)等構(gòu)成一個用戶原始輪廓；然后利用入侵檢測技術(shù)將當(dāng)前活動產(chǎn)生的輪廓與原始輪廓進(jìn)行比較，如發(fā)現(xiàn)明顯偏離，即可認(rèn)為是一次入侵事件。預(yù)測模式生成則是試圖應(yīng)用一系列規(guī)則和算法得出的概率，并根據(jù)過去的行為序列來預(yù)測某個主體將來的行為，大方向偏離所預(yù)測的結(jié)果也被標(biāo)志為入侵行為。

3.3.1 k-means 惡意行為特征提取技術(shù)

由于機(jī)器學(xué)習(xí)具有較好的擬合性和泛化性，能夠保證在對已知惡意行為進(jìn)行精確識別的前提下，對未知惡意行為保持較好的識別能力，所以利用機(jī)器學(xué)習(xí)技術(shù)對惡意行為進(jìn)行智能判定。

利用入侵檢測技術(shù)，在網(wǎng)絡(luò)基礎(chǔ)設(shè)備行為流量中提取到惡意行為的基因（高維向量）后，對惡意行為代碼樣本庫中的惡意代碼根據(jù)其基因利用k-means 算法[10]進(jìn)行聚類，其中，k值需要手工指定并且每一個類別的標(biāo)簽需要人工標(biāo)注。

聚類算法試圖將數(shù)據(jù)集中的樣本劃分為若干個通常是不相交的子集，每個子集被稱為一個“簇”(cluster)。通過這樣的劃分，每個簇可能對應(yīng)一些潛在的概念或類別。

k-Means 算法思想：對給定的樣本集，事先確定聚類簇數(shù)k，讓簇內(nèi)的樣本盡可能緊密分布在一起，使簇間的距離盡可能大。該算法試圖將集群數(shù)據(jù)分為n組獨(dú)立數(shù)據(jù)樣本，并使n組集群間的方差相等，數(shù)學(xué)描述為最小化慣性或集群內(nèi)的平方和。k-Means 作為無監(jiān)督的聚類算法，實(shí)現(xiàn)較簡單，聚類效果好。算法流程如圖9 所示，具體的算法流程描述如下：

圖9 k-means 算法流程

3.3.2 層次聚類惡意行為同源判定技術(shù)

利用k-Means 惡意行為特征提取技術(shù)在網(wǎng)絡(luò)基礎(chǔ)設(shè)備行為流量中提取到惡意行為的特征基因（高維向量）后，對不處于惡意行為代碼樣本庫中的惡意代碼，基于其基因利用層次聚類算法進(jìn)行聚類，主要用于非標(biāo)注惡意代碼家族的變種識別和相似性判定。在數(shù)量超過一定閾值后，也可以通過人工標(biāo)注的方式加入惡意行為代碼基因庫中。

層次聚類算法[11]分為凝聚和分裂兩種。凝聚使用自底向上的策略，即最開始每個對象是獨(dú)立的類（N類），經(jīng)過不斷合并成更大的類，直到所有對象都合并到同一個類中，或者算法達(dá)到某個終止條件即停止。合并過程是將兩個相近的類合并成一個類，所以整個算法過程最多進(jìn)行N次迭代，即可將所有對象合并到同一個類下。分裂采用自頂向下的策略，即最開始每個對象都在同一個類中（1 類），經(jīng)過不斷拆分成更小的類，直到最小的類都相對獨(dú)立或只有一個對象。

在網(wǎng)絡(luò)設(shè)備攻擊行為相似性判定過程中，采用層次聚類算法的凝聚策略，將每個獨(dú)立的攻擊行為作為底層最原始的合并對象，并將基于k-means 算法提取的攻擊特征，如源IP、端口、證書、腳本、指紋、回連地址、時間等要素，作為合并條件；然后合并同源或相似攻擊；最終，結(jié)合威脅情報等信息進(jìn)行同源性判定。

入侵檢測技術(shù)結(jié)合兩種惡意行為特征提取和同源判定技術(shù)[12]，能夠完成自動提取攻擊載荷、域名、IP、指紋等關(guān)鍵基因信息，以及API 調(diào)用流程、攻擊者畫像、惡意代碼積累、攻擊手法歸類、APT 組織溯源等行為特征，助力威脅情報生產(chǎn)，完成針對網(wǎng)絡(luò)設(shè)備的惡意攻擊行為的檢測工作。

4 結(jié)語

本文梳理了國內(nèi)外網(wǎng)絡(luò)安全形勢現(xiàn)狀及網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測技術(shù)的現(xiàn)狀，并聚焦主流技術(shù)觀察與核心技術(shù)突破，總結(jié)了網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測技術(shù)。網(wǎng)絡(luò)基礎(chǔ)設(shè)備作為網(wǎng)絡(luò)世界在現(xiàn)實(shí)世界的重要支撐，其面臨的安全風(fēng)險不容忽視，而每一位關(guān)注網(wǎng)絡(luò)安全的研究者都應(yīng)是其守護(hù)者。面對日益增長的網(wǎng)絡(luò)基礎(chǔ)設(shè)備安全風(fēng)險，應(yīng)持續(xù)推動相關(guān)安全技術(shù)的發(fā)展，守護(hù)網(wǎng)絡(luò)空間安全，守護(hù)國家安全。