李寒箬，張振紅

（云南電網(wǎng)有限責任公司信盧中心，昆明 650217）

電力安全事關(guān)國家安全，影響國計民生。近幾年來，國際上針對電力行業(yè)關(guān)鍵信盧基礎(chǔ)設施的網(wǎng)絡攻擊日益頻繁，電力系統(tǒng)的信盧安全防護面臨著嚴峻挑戰(zhàn)，及時發(fā)現(xiàn)、處置重大安全風險和隱患是電力系統(tǒng)安全穩(wěn)定運行的重要保障。隨著信盧技術(shù)的飛速發(fā)展和國家構(gòu)建以新能源為主體的新型電力系統(tǒng)戰(zhàn)略的提出，電力行業(yè)的信盧網(wǎng)絡規(guī)模逐步擴大，其廣泛的覆蓋范圍、多元化的網(wǎng)絡結(jié)構(gòu)和復雜的網(wǎng)絡分區(qū)，使得電力系統(tǒng)各安全防護設備的告警數(shù)量日益增多，給企業(yè)的日常運維帶來了巨大挑戰(zhàn)。目前，當安全事件發(fā)生時，監(jiān)控人員往往難以從海量日志和告警數(shù)據(jù)中快速定位故障，而是需要根據(jù)優(yōu)先等級對各事件起因進行順序排查，對于一些影響程度較大的安全事件，無法及時判斷其準確性和嚴重性，就不能及時進行后續(xù)處理，甚至可能導致事件范圍擴大，造成嚴重的經(jīng)濟損失和社會危害。

1 電力系統(tǒng)網(wǎng)絡安全告警現(xiàn)狀

目前，很多電力企業(yè)已建設了大量信盧安全專業(yè)防護系統(tǒng)來保障電力系統(tǒng)的安全可靠運行，包括防毒墻、入侵防御系統(tǒng)、入侵檢測系統(tǒng)、Web 應用防火墻、上網(wǎng)行為管理、主機安全防護、網(wǎng)絡阻斷系統(tǒng)、動態(tài)防護系統(tǒng)、防篡改和流量回溯等。但各廠家設備和系統(tǒng)因檢測原理和告警規(guī)則的不同，造成安全事件的大量上報，很多事件其實是同一類事件或相關(guān)相近的事件，但因這些事件的告警信盧間缺乏聚合處理及威脅情報的關(guān)聯(lián)分析，導致關(guān)鍵的安全事件被大量無效報警淹沒，安全人員每天疲于應對成千上萬的告警無法做到逐條分析，大大降低了運維工作效率，甚至面臨著漏掉高威脅事件的風險。

本文基于威脅情報數(shù)據(jù)的告警關(guān)聯(lián)分析技術(shù)提出一種威脅情報輔助研判系統(tǒng)，該系統(tǒng)通過將企業(yè)運行的各類安全防護系統(tǒng)事件日志統(tǒng)一關(guān)聯(lián)起來，并對日志告警進行監(jiān)控分析和輔助研判，實現(xiàn)網(wǎng)絡安全事件的準確定位和威脅評估、預警，提高安全事件分析的準確性和實時性，同時為企業(yè)安全團隊快速響應和處置威脅提供依據(jù)。

2 一種告警關(guān)聯(lián)分析系統(tǒng)的架構(gòu)設計與實現(xiàn)

2.1 告警關(guān)聯(lián)分析現(xiàn)有技術(shù)及發(fā)展趨勢

2.1.1 告警關(guān)聯(lián)分析技術(shù)現(xiàn)狀

告警關(guān)聯(lián)分析的主要目的是通過對告警數(shù)據(jù)進行壓縮、過濾及分析等操作，找到數(shù)據(jù)之間潛在的關(guān)聯(lián)性，并通過這些關(guān)聯(lián)信盧從一組告警序列中推理出指示故障根源的告警。常見的告警關(guān)聯(lián)分析技術(shù)有基于統(tǒng)計分析的聚類技術(shù)、基于因果分析的關(guān)聯(lián)技術(shù)和基于規(guī)則的關(guān)聯(lián)分析方法等。其中，基于規(guī)則的關(guān)聯(lián)分析是目前最常用的一種告警關(guān)聯(lián)分析方法，其按系統(tǒng)預先內(nèi)置或用戶自定義維護的關(guān)聯(lián)規(guī)則對平臺采集的范式化后的日志進行規(guī)則模型匹配分析，并按規(guī)則設定進行告警。

2.1.2 告警關(guān)聯(lián)分析技術(shù)發(fā)展趨勢

基于規(guī)則的告警關(guān)聯(lián)分析方法主要針對已知安全事件分析，這種依賴人工經(jīng)驗建立的關(guān)聯(lián)關(guān)系存在規(guī)則覆蓋不全，創(chuàng)建新的關(guān)聯(lián)規(guī)則周期長、成本高等特點，越來越難以應對快速變化的安全威脅。隨著當前網(wǎng)絡攻擊形勢不斷演變，安全告警關(guān)聯(lián)分析需要結(jié)合網(wǎng)絡環(huán)境的動態(tài)變化、網(wǎng)絡流量、TTPs（戰(zhàn)術(shù)、技術(shù)和程序）、上下文信盧和攻擊鏈上的樣本等豐富情報信盧，通過實現(xiàn)日志告警和威脅情報數(shù)據(jù)的關(guān)聯(lián)分析，持續(xù)了解真實攻擊的本質(zhì)、意圖、技術(shù)和造成損害的能力，將傳統(tǒng)的“被動防御”轉(zhuǎn)變?yōu)榉e極的“主動防御”。

2.2 威脅情報輔助研判系統(tǒng)的架構(gòu)設計

基于威脅情報數(shù)據(jù)的告警關(guān)聯(lián)分析技術(shù)，本文提出了一種威脅情報輔助研判系統(tǒng)，其架構(gòu)設計如圖1 所示。威脅情報輔助研判系統(tǒng)將通過日志系統(tǒng)獲取的各類安全設備告警和日志信盧，經(jīng)關(guān)聯(lián)分析和輔助研判后，分析出安全告警的可信程度，過濾掉告警中的噪音事件，從而增加本地安全告警的精準度，讓企業(yè)安全人員可以迅速定位威脅來源和相關(guān)聯(lián)的資產(chǎn)和業(yè)務，并及時通過工單和處置流程進行快速響應。

圖1 威脅情報輔助研判系統(tǒng)架構(gòu)圖

威脅情報輔助研判系統(tǒng)包括數(shù)據(jù)過濾模塊、關(guān)聯(lián)情報分析模塊、數(shù)據(jù)存儲模塊和數(shù)據(jù)可視化模塊。數(shù)據(jù)過濾模塊主要完成告警數(shù)據(jù)的過濾和聚合處理，關(guān)聯(lián)情報分析模塊引入威脅情報數(shù)據(jù)進行告警數(shù)據(jù)聯(lián)合分析，數(shù)據(jù)存儲模塊對經(jīng)過濾和關(guān)聯(lián)情報分析后的威脅信盧進行本地存儲，數(shù)據(jù)可視化模塊將加載的數(shù)據(jù)以數(shù)據(jù)表、餅圖、面積圖、折線圖、數(shù)字和柱狀圖等方式進行展示。

威脅情報輔助研判系統(tǒng)集威脅情報查詢、威脅情報輔助研判功能于一體，實現(xiàn)了告警數(shù)據(jù)的過濾和關(guān)聯(lián)情報分析服務、威脅情報數(shù)據(jù)搜索查詢和存儲服務、數(shù)據(jù)往自動化運維平臺的數(shù)據(jù)傳輸接口、威脅情報文件的上傳下載、用戶交互界面及用戶管理等功能，系統(tǒng)在日志系統(tǒng)和自動化運維平臺中間提供了攻擊源威脅情報的分析和輔助研判，可大大提升企業(yè)對安全事件的監(jiān)測分析能力和威脅處置效率。

2.3 系統(tǒng)實現(xiàn)功能及特點

2.3.1 系統(tǒng)實現(xiàn)的功能

告警優(yōu)化：為了更加準確高效地提取和過濾告警數(shù)據(jù)，本系統(tǒng)對日志告警信盧進行過濾和聚合處理，首先通過過濾除掉與系統(tǒng)安全沒有關(guān)系的虛假告警和反復出現(xiàn)的冗余告警，然后對告警信盧中存在著的各種關(guān)系（有的告警來源于同一個攻擊，有的告警之間存在著因果關(guān)系等）的安全事件通過聚合相同或相近的告警對其數(shù)量進行精簡，提高網(wǎng)絡安全事件分析的準確性和實時性。

輔助研判：威脅情報數(shù)據(jù)具備豐富的上下文信盧，本系統(tǒng)利用威脅情報數(shù)據(jù)對優(yōu)化后的告警信盧進行關(guān)聯(lián)分析，根據(jù)已知線索對攻擊對手、攻擊手法、攻擊途徑、攻擊資源和攻擊位置后果等進行深度研判和拓展分析，獲得惡意文件的HASH（哈希值）、主機特征、網(wǎng)絡特征、事件特征、組織和人員情報等維度的情報數(shù)據(jù)，快速定位和溯源攻擊者、判定攻擊目的及分析攻擊細節(jié)，通過線索的利用和聯(lián)動分析，實現(xiàn)安全告警的輔助研判。

本地威脅情報庫：本系統(tǒng)通過全面采集多源威脅情報、多維度分析威脅信盧等構(gòu)建基于攻擊組織的關(guān)聯(lián)圖譜，搭建本地威脅情報庫。當出現(xiàn)新的攻擊事件的時候，系統(tǒng)以待檢測的告警事件（攻擊組織）作為輸入，通過攻擊組織研判模型進行一致性判定，并輸出研判結(jié)果。系統(tǒng)還提供專供內(nèi)部使用的Web 交互查詢界面，實現(xiàn)告警威脅歷史信盧的記錄和關(guān)聯(lián)搜索，輕松地將來自過去的攻擊者活動的信盧與當前的信盧進行關(guān)聯(lián)，并從過去的攻擊中學習，主動阻止攻擊者當前和未來可能的攻擊。

聯(lián)動處置：本系統(tǒng)最后將帶有威脅情報數(shù)據(jù)的告警信盧發(fā)送到自動化運維系統(tǒng)與基礎(chǔ)安全設施聯(lián)動，實現(xiàn)對真實攻擊的聯(lián)動處置。

溯源分析和主動防御：本系統(tǒng)不僅可定位已發(fā)生的威脅，還可輸入高級威脅情報、熱點事件和熱點漏洞等信盧，從攻擊者視角情報，實現(xiàn)對威脅進行舉證或溯源分析，幫助用戶實現(xiàn)主動防御。

2.3.2 系統(tǒng)特點

威脅情報輔助研判系統(tǒng)是一套高級威脅情報分析研判工具，其收集不同來源的安全告警信盧對其進行過濾和輔助研判，并輸出研判結(jié)果，同時能對脆弱性較大、威脅較多和存在異常的IP 給出安全處置建議。該系統(tǒng)一端對接日志系統(tǒng)，一端對接自動化運維系統(tǒng)，也可作為中間件實現(xiàn)靈活部署，根據(jù)企業(yè)的實際情況對接各類安全事件源和聯(lián)動處置設備，從而滿足企業(yè)不同平臺的安全需求。

2.4 系統(tǒng)部署及應用

2.4.1 系統(tǒng)部署方式

威脅情報輔助研判系統(tǒng)基于現(xiàn)有的安全數(shù)據(jù)分析平臺，日志系統(tǒng)和安全運維平臺即自動化運維系統(tǒng)進行部署，系統(tǒng)使用HTTP 協(xié)議接收日志系統(tǒng)數(shù)據(jù)和發(fā)送數(shù)據(jù)到自動化運維系統(tǒng)，使用Spring Security+JWT 實現(xiàn)用戶認證及授權(quán)，使用Maven 管理項目依賴。系統(tǒng)使用Spring Data JPA 訪問MySQL 數(shù)據(jù)庫，使用Tomcat 作為Web 服務器，實現(xiàn)用戶交互。其安裝部署流程：開始—選擇符合運行環(huán)境的服務器—安裝系統(tǒng)運行所需要的JDK—安裝系統(tǒng)運行所需要的MySQL—進入項目路徑下放置架包—啟動架包—結(jié)束。

2.4.2 系統(tǒng)工作流程

威脅情報輔助研判系統(tǒng)的工作流程如圖2 所示。系統(tǒng)從日志系統(tǒng)提取告警數(shù)據(jù)，對海量告警信盧進行過濾和分析，然后調(diào)用威脅情報系統(tǒng)的威脅情報數(shù)據(jù)對優(yōu)化后的告警信盧和IP 指紋、Web 指紋、IP 信盧、域名信盧、漏洞庫、樣本庫、IP 信譽、域名信譽、URL 信譽、文件信譽和C&C 信譽等信盧進行多維度的關(guān)聯(lián)分析。系統(tǒng)把研判分析后的威脅情報和資產(chǎn)信盧存儲到本地，實現(xiàn)后續(xù)相同的IP 等直接從本地數(shù)據(jù)庫獲取，最后把帶有威脅情報數(shù)據(jù)的告警信盧發(fā)送到自動化運維系統(tǒng)進行聯(lián)動處置。

圖2 系統(tǒng)工作流程圖

2.4.3 系統(tǒng)在某電力企業(yè)中的實際應用

目前系統(tǒng)在某電力企業(yè)部署近4 個月，平臺自上線以來，共采集2 個數(shù)據(jù)中心網(wǎng)絡的8 個關(guān)鍵網(wǎng)絡節(jié)點，覆蓋了該企業(yè)全網(wǎng)主要業(yè)務流量數(shù)據(jù)。在威脅情報輔助研判系統(tǒng)部署之前，安全人員面對告警無法對其攻擊源IP 進行有效判斷，系統(tǒng)部署后，安全人員可將告警數(shù)據(jù)和威脅情報數(shù)據(jù)進行關(guān)聯(lián)分析并輔助研判，確定IP 是否是惡意行為并快速鎖定攻擊。本系統(tǒng)上線后，平均每月輔助分析外部攻擊約20 萬條，初步溯源攻擊4 000余條，深入溯源100 余條，并形成10 份溯源報告。系統(tǒng)通過分析和輔助研判，每月實現(xiàn)惡意IP 自動封堵數(shù)萬條，大大提高了安全告警的分析研判效率和自動封堵時效，也進一步提升了該企業(yè)日常監(jiān)測分析效率及對網(wǎng)絡攻擊的防護能力。

以企業(yè)日志系統(tǒng)中的主機入侵告警為例，安全設備檢測到IP 為195.54.160.149 的攻擊者對地址為10.xxx.xx.xx 的目標IP 發(fā)起命令執(zhí)行攻擊并觸發(fā)告警，該告警屬I 類威脅等級，但相關(guān)告警中不包含威脅情報信盧，常規(guī)的，安全人員需對告警進行人工分析和排查，通過手動輸入查詢威脅情報數(shù)據(jù)判定威脅來源，然后進行處置決策，安全人員針對每條告警的分析時間約需2～3 min。而通過威脅情報輔助研判系統(tǒng)自動獲取該告警的攻擊源IP 是來自某國的垃圾郵件、掃描、惡意軟件、漏洞利用、log4j2_202112 和傀儡機等威脅情報信盧，并提出封堵建議，然后通過網(wǎng)絡攻擊阻斷系統(tǒng)聯(lián)動，迅速實現(xiàn)對該攻擊的自動封堵。此過程僅需幾秒鐘，大大節(jié)約了安全事件的分析研判時間，提高安全人員工作效率的同時提升了企業(yè)安全運維的自動化和智能化水平。

3 威脅情報輔助研判系統(tǒng)的其他應用場景

3.1 結(jié)合安全編排和自動化響應平臺（SOAR）的應用

面對當前黑客先進智能化的攻擊方式，很多企業(yè)運用SOAR 平臺技術(shù)來解決安全事件數(shù)量不斷增多、傳統(tǒng)防護設施設備整合度低、安全運營人力不足且經(jīng)驗難固化等問題。

威脅情報輔助研判系統(tǒng)與該平臺結(jié)合可針對原始安全數(shù)據(jù)和安全事件進行攻擊源、攻擊目的等的分析，還可根據(jù)威脅情報庫威脅指示器（Indicators of Compromise，IOC）信盧不斷積累安全事件相關(guān)的痕跡物證和攻擊者的戰(zhàn)技過程指標信盧，從而持續(xù)化地對一系列安全事件進行追蹤和編排自動化處置。

3.2 結(jié)合安全管理平臺應用

很多企業(yè)通過部署安全管理平臺來統(tǒng)一收集和分析企業(yè)網(wǎng)絡中各類資產(chǎn)及其安全防護系統(tǒng)運行過程中不斷產(chǎn)生的各類安全數(shù)據(jù)和安全日志，以此實現(xiàn)對全網(wǎng)信盧系統(tǒng)整體安全風險的監(jiān)控。

威脅情報輔助研判系統(tǒng)結(jié)合該平臺的應用可對收集的各安全事件進行關(guān)聯(lián)情報分析并輔助研判，從平臺海量安全數(shù)據(jù)中發(fā)現(xiàn)有效的真實攻擊意圖、步驟、危害、風險等信盧，大大提升平臺的安全事件分析效率和對威脅行為的檢測、響應速度和能力。

3.3 結(jié)合資產(chǎn)管理平臺應用

IT 資產(chǎn)包含IP 地址、地理位置、所用組件、開放服務、底層系統(tǒng)、所屬行業(yè)和脆弱性等各種信盧，如何準確繪制企業(yè)網(wǎng)絡空間資產(chǎn)底圖，進而獲得詳細的資產(chǎn)情報，對高效管理企業(yè)IT 資產(chǎn)顯得越來越重要。

威脅情報輔助研判系統(tǒng)與資產(chǎn)管理平臺結(jié)合應用可通過與情報聯(lián)動，將事件中的IP 地址、外聯(lián)URL 與情報碰撞，判斷來源IP、外聯(lián)目標是否在威脅情報庫中或是否是惡意URL，從而發(fā)現(xiàn)資產(chǎn)風險，并做進一步的研判處置，豐富資產(chǎn)信盧的同時提升網(wǎng)絡資產(chǎn)的治理能力。

4 結(jié)束語

威脅情報輔助研判系統(tǒng)對電力系統(tǒng)傳統(tǒng)安全運維中海量告警淹沒真實攻擊的場景進行了優(yōu)化與改進，其通過引入威脅情報對告警數(shù)據(jù)進行關(guān)聯(lián)分析和輔助研判，對傳統(tǒng)告警進行篩選、過濾，提高準確率，并提供攻擊者攻擊手段、特征等背景信盧，幫助安全人員快速有效地識別真實攻擊。本系統(tǒng)的應用大大提高了安全人員處理安全問題的效率和速度，還可對未知安全威脅、異常活動行為進行高效、準確的檢測，整體上降低威脅攻擊的影響及損失，提升電力企業(yè)的安全防御能力。