基于对抗的智能态势感知和预警模型

2016-06-16李志强邵艾青何坤李凯肖岩军毕喜军马洁

广东通信技术 2016年5期

［李志强邵艾青何坤李凯肖岩军毕喜军马洁］

基于对抗的智能态势感知和预警模型

［李志强邵艾青何坤李凯肖岩军毕喜军马洁］

摘要文章描述了一种基于持续监控保障、态势感知和安全计分技术的早期预警系统的整体模型，并对模型的态势感知、持续监控、风险量化计分部分展开叙述，提出基于对抗的智能态势感知预警模型--“基于攻击行为建模的态势理解方法”和“基于对抗的APT攻击推理树态势预警方法”，基于保障的持续监控模型，和基于6sigma的自动化安全量化模型。

关键词：早期预警FISMACAESARS框架态势感知风险量化安全大数据

李志强

男，中国电信股份有限公司广东分公司，从事电信网络规划工作。

邵艾青

男，中国电信股份有限公司广东分公司，CISSP，CISP，从事网络安全管理工作。

何坤

男，绿盟科技技术总监，主要从事DDoS攻防研究和产品研发工作。

李凯

男，绿盟科技研发工程师，主要从事DDoS攻防研究和产品化工作。

肖岩军

男，绿盟科技资深安全架构师，主要研究态势感知，早期预警，APT攻击检测，安全日志挖掘，云安全和安全量化。

毕喜军

男，中国电信股份有限公司广东分公司，CISSP，CISP，从事网络安全运营工作。在网络安全渗透与防护、DDoS攻击防护方面有丰富的经验。

马洁

女，中山大学工商管理硕士，高级工程师，中国电信广东公司信息安全管理部，负责网络与信息安全管理。

1　引言

随着网络重要性的逐步加强，网络威胁日益严重，网络安全的地位日益上升到国家层面，网络战逐渐从理论转向实战。作为信息科技高度发达国家的美国，早在2010年的《四年防务评估》提出：“尽管网络空间是一个人造领域，但它目前已和陆地、海洋、天空和太空等自然领域一样，成为国防部的活动领域”。随之而来的就是从战争的角度看待网络安全，态势感知（ Situation Awareness，SA）等一系列军事名词引用到网络安全领域里，大量的创新围绕在实战或者近乎实战的背景下如何用最小的代价，获得最大的战果。另外，在不对称战争的背景下，美国作为防守方，对于未知对手的攻击情报搜集和对自身的脆弱性的感知能力都是态势感知研究的领域。Endsley将态势感知定义为“在一定的时空条件下，对环境因素的获取、理解以及对未来状态的预测”，态势感知可简单描述为“始终掌握你周边复杂、动态环境的变化”。态势感知可以分成2类，1类是基于威胁的态势感知（知彼），另一类是基于脆弱性的态势感知（知己）。而不管是哪种，态势感知强调实战的原则显得越来越重要，2009年2月，美国联邦网络安全专家联盟发布网络安全基线标准-最重要的二十项关键控制（共识审计指南（CAG）：Consensus Audit Guidelines）。其中明确提出“必须让防御了解攻击”。他们把安全手段分成4类，第一类是快速取胜（Quick Wins），第二类是改善可见性和归因（Improved Visibility and Attribution），第三类是硬化配置和改善信息安全保健（Hardened Configuration and Improved Information Security Hygiene），第四类提升（Advanced）。

在我们前期的研究中，我们也发现安全只有实战对抗才有意义，对抗是本文方法的核心。网络安全态势感知都分为态势要素的获取、态势理解和态势预测三个部分。因此，本文重点在于阐述一种基于对抗的智能态势感知预警模型，从对抗的角度来进行网络安全态势要素的获取、态势理解和态势预测。

图1　基于对抗的智能态势感知预警模型组成

2　态势感知遇到安全大数据难题

随着WEB2.0、云计算、移动互联网的快速发展，随便找一台虚拟化服务器都是双万兆网口上联，动辄几十G的出口带宽，形成了安全大数据。根据经验，1台IPS或者IDS的1G左右的流量1天告警量在20万以上，而现实中，一个有经验的安全分析师一个小时也只能分析十个告警左右，大量的告警无法处置，往往事件发生后才能追溯。也因此网络态势感知获得更大挑战，各种不同源的告警，各种无用的无关告警，造成大量的告警风暴。大量有用的告警被淹没在海量日志告警。美国奥巴马政府去年就已宣布推出 “大数据的研究和发展计划”，将大数据上升到国家战略，纳入到Cyberspace战略的核心能力。对企业而言，信息安全是为企业信息化服务，而信息化又服务于业务增长。只有将安全与业务数据相结合才能为企业带来价值，这一层看似间接却极为必要的关系在大数据时代被无限放大。Gartner报告指出，最终安全大数据将演化为IT商业智能发展趋势的一部分，即结合信息安全情报和IT业务数据，以提供更高水平的业务情报。

而现实中多个厂家的告警不统一导致网络安全态势要素的获取都存在问题，别提态势理解和态势预测。国内外安全厂家的SOC失败印证了这一点，每个SOC都在不停的接入新的设备，结果接入设备，储存告警花了大量的时间和资源。更重要的态势理解和态势预测却没有人做了。

在态势感知领域里，国外一些SIEM系统做的比较好，其强调了元语的研究，通过元语的方式将不同厂家的设备告警统一起来，从而实现态势要素的获取和态势理解。但是实际上操作比较复杂，对安全人员要求也非常高。而且虽然实现了告警的统一，但是现实中的各种误报等因素导致日志量得不到很有效的压缩，而且经常造成告警不可读或者无法呈现。

而采用数学方法也是一种较好的方法。常见的安全大数据分析方法中主要是相关性分析，聚类/离群分析等算法。但是鉴于误报、告警混淆等原因造成很大的困扰。如通过相关性分析，发现某木马和某DDOS工具存在强相关，但是实际分析发现，是扫描触发了这2个告警。因此，数学方法虽然能解决问题，但是也遇到较多现实的问题。本文后续举例也证明了这一点。

基于行为方法是我们目前认为比较好的方法。在安全大数据方面，IBM在金融大数据分析的方法，在思路有很前的前瞻性和借鉴意义。IBM团队对于每秒几千笔的交易信息中，找出金融犯罪案件，其核心是一个强大的自然语言规则引擎，风控部门风控专家可以利用规则表、规则树、自然语言、规则流来描述各种风控规则。见图2，风控部门风控专家通过历史案件进行分析，梳理出规则，然后将规则加载在大数据分析引擎中，从而实现金融犯罪案件的即时监控。可以看出IBM的方法也是基于对抗的方法，虽然存在一定的滞后性，但是更加聚焦有效，和我们的方法不谋而合。

图2　大数据中的实时精准营销与风险控制

而在现实中，公安人员办案也是采用基于行为的分析方法，如发生失窃案件或者银行抢劫案件都是调查案发前几天的周围摄像头，同时封锁周围交通，因为显示犯罪分子都遵循着踩点，下手，逃跑的步骤。虽然下手时可能蒙面，但是踩点时一般会避免别人注意，往往更容易发现不同，也更容易辨认。发现了犯罪分子相貌后，就比较容易让封锁交通的同事从海量人群中把逃跑的犯罪分子找到。在这里，公安使用了规则表（查找3天内的行踪可疑的徘徊者。）而踩点-＞下手-＞逃跑形成了规则树（或者叫证据链）。

3　基于对抗的智能态势感知预警模型

3.1整体思路

基于对抗的智能态势感知预警模型的核心思想是通过对抗来获取自然语言行为规则，通过行为规则来解决不同告警源带来的态势要素获取和态势理解难题，从实践来看，这种方法可以较好的跳过告警元语理解的步骤，实现高效的态势理解和精准的态势检测，配合攻击推理树则能更好的实现态势预警。见图3整体模型，从下向上，我们能看到，针对我们保护的的信息资产的攻击行为（知彼）和评估行为（知己），这些行为会造成各种告警（warning），这些告警都是基于特征的，可以用IDS、IPS、WAF、扫描器等各种设备实现。下一步告警（warning）需要形成事件（event），事件是人可读的，可以响应处置的。在这个阶段，我们就用本文的基于对抗的智能态势感知预警模型-基于攻击行为建模的态势理解方法。在本阶段我们能输出可信的事件，给下一步的态势预警做支撑。而态势预警采用证据链或者规则树的方式，进行态势预警。预警可能的结果，同时对当前的态势展开评判，这部分就是下一篇文章的范畴了。

图3　基于对抗的智能态势感知预警模型全貌

3.2基于攻击行为建模的态势理解方法

基于攻击行为建模的态势理解方法是一种大数据下分析方法，是在实践中发现比较好的方法，他可以快速进行态势理解，特别是在当前大数据下，多源告警泛滥的现实中，这种方法体现的独特性可以跳过安全元语的复杂设定，形成快速的态势理解，实践表明，在海量日志下，通过本方法可以将关注重点关注在我们关注事件上，有效的去除误报和无用告警，把每日的事件告警数量形成人可以处置的水平。当然，这种方法的前提是需要一定经验的安全专家，但是在其他安全大数据分析分态势理解方法也同样需要这些专家。具体流程见图4。

3.2.1基于专家知识的攻击行为建模

本阶段重点是通过专家知识进行攻击行为建模，来构建相关的攻防场景，核心的核心是基于对抗，安全专家通过其专业知识对常见攻击进行分析，构建常见的攻防场景。一般而言，不建议做比较复杂的攻击行为建模，一般而言，DDOS攻击，网络入侵、WEB入侵、暴力破解入侵、僵木蠕和APT高级持续性攻击，是主要的攻防场景，可以针对这6种事件进行攻击行为建模。至于攻击结果，则可能是信息泄露、系统不可用、代理攻击等不同的结果。针对不同的攻击场景，我们需要采用不同安全设备进行告警采样。当然，如果是成熟客户，有自己的SIEM和SOC，也可以参考这个方法进行开发自己的安全态势感知平台。

图4　基于攻击行为建模的态势理解方法步骤

3.2.2实现攻击告警采样

在完成基于专家知识的攻击行为建模后，安排相应的安全攻防人员进行现场攻击告警采样，在采样的同时，实现不同检测设备的元语关联。相对的，每种检测设备的关注指标是不同的，如在DDOS攻击方面，我们关注的流量，一个1G的DDOS和10M的DDOS显然是不一样的。但是入侵采用入侵检测/防护设备来检测DDOS，由于缺乏流量数据，一个1G的syn flood攻击和10M的syn flood攻击，其告警都是syn包每秒大于3K的告警xx多次，因此，我们更建议采用异常流量监测系统来检测DDOS攻击。

3.2.3安全专家输出行为规则

在本阶段，由经验丰富的安全分析师来进行行为分析，传统的检测设备都是特征检测的，如IDS、WAF等，但是基于特征的检测很有可能遇到无法检测的情况，如SSH，HTTPS的加密协议，或者web表单暴力破解，因为程序都是自行开发的，很难找到通用个规则来进行检测。但是基于行为检测，我们就能发现有趣的误报。表2就是一个web表单暴力破解的告警（注：为了更好的体现效果，我们调整了NIDS告警归并时间，调整成1分钟。）

表1　攻击告警采样清单

可以看出，实际上用1.1.1.1对2.2.2.2的80端口的网站进行暴力破解，于是1.1.1.1开始随机端口连接2.2.2.2 的80端口，于是IDS看起来像是2.2.2.2对1.1.1.1进行端口扫描（看看1.1.1.1的1-65535端口那个开放了）。从IDS设备本身基于特征的检测方法来看，这没有错。但是现实确实是一个误报。观察完成后，写下了如WEB表的行为规则。WEB表单暴力破解行为规则是：