APP下载

针对电子政务安全态势检测的新思路

2017-07-18汤煜康田立

信息化建设 2017年6期
关键词:态势攻击者用户

汤煜康++田立

近年来,黑客攻击技术开始从直接攻击转向以APT、定向鱼叉、跳板渗透和社工结合为主,更加强调攻击过程的政治和经济收益,关注对敏感数据的搜集和窃取,攻击者也更倾向于采取隐蔽的手段来执行攻击行为。在这个过程当中,政务单位因其信息数据的敏感性和高附加值,往往非常容易成为首当其冲的目标,而多数政务单位的安全防御体系都还是传统的边界防御和规则检测方式,难以应对这些新兴的攻击手段。

对于这些以窃密信息为目的的攻击者,潜伏、搜集和窃取是其主要行为动机,很多单位都是在自己的重要信息已经通过暗网大范围传播,才被动得知网络已经被黑的现状,这就使得大量的国家敏感文件和信息暴露在恶意攻击者和别有用心者的控制之下,需要引起足够的重视并采取相应的技术检测手段。

传统技术体系之殇

传统的安全保障手段往往采取“分析检测、查杀封堵”的思路实现安全保障目标,包括防火墙基于IP、端口的阻断策略、IPS基于特征库的入侵防御策略、反病毒软件基于病毒库的恶意代码处置都是基于此类思路,即阻断威胁网络安全和稳定运行的操作和行为。但根据Verizon的全球安全事件调查报告显示,不计算前期侦察与信息获取的过程,攻击者从实施攻击到入侵得手仅需要花费数小时的时间。但是62%以上的安全部门需要花上数周甚至超过一个月的时间才能发现黑客攻击,随后还需要数天至数周的时间完成响应和補救工作。

而在Mandiant最新的高级安全威胁报告中指出,政府机关和企事业单位发现潜藏攻击者的平均时间为229天,更为严重的是,仅有33%的组织是自行发现攻击事件的,更多的攻击事件是在被监管机构通报、曝露在暗网甚至是互联网上以后才被发现。

Ponemon Institute针对全球252个机构的1928起攻击事件的统计发现,攻击事件的平均解决时间为46天,而每延迟发现和解决攻击事件一天的成本高达21155美元。针对目前的安全现状,权威机构Gartner更是大胆指出,到2020年,企业安全部门应该将60%的预算投资到安全检测与响应中来,以应对日趋复杂的网络安全环境。

态势感知成为业界新宠

信息安全从最初的以纵深防御为代表的静态防御,逐步发展为近年来以检测响应为核心的动态体系,经历了一个长期的攻防双方对抗和升级的过程。这个过程当中,防御者长期以来都是处于一个被动的位置,急需一种新的攻击行为检测理念和技术,来弥补传统安全防护体系在黑客攻击专业化、隐蔽化和组织化形势下的不足。这个新理念就是安全态势感知,最早由M.Endsley教授在1995年提出,认为“态势感知是认知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态”,防御者开始尝试去理解攻击的行为和动机,开启了基于行为检测技术的先河。

从基本的逻辑链分析,到近年来大数据分析技术的应用,行为检测技术经历了一个快速变化和发展的过程,大数据模型下的用户行为特征的定义和识别涉及了极为复杂的立体化建模和关联分析规则。这些研究内容都需要投入大量的科研力量,在广泛收集海量原始数据的基础上,进行深入的分析、学习和研究,才能实现较好的技术突破。

电子政务领域应用正当时

安全信息和事件管理系统(SIEM)作为新一代行为检测技术的载体,虽然在大数据技术的支撑下获得了快速的发展,但实际应用却差强人意,海量数据采集即是优势,但如果不能有效分析就只能是徒有其表了。在安全态势感知的定义中,可以将对安全问题的理解分为三个阶段:态势认知、态势理解和态势预测,而多数SIEM只做到了海量数据采集,连认知都谈不上更达不到理解的程度。

我们对态势的理解和攻击行为的分析在电子政务领域具备极好的契合性,主要是因为政务网络管理规范,各机关单位的业务系统和业务数据流与普通公司或互联网企业相比具备极为清晰的规律性,用户行为特征的提取和数据流规律的分析更加准确快速,规避了普通网络中相关领域研究的一大难题。同时,政务网络与互联网等外部网络隔离的特性,也决定了网络中主要的安全隐患来自于内部威胁,行为检测技术可以有效地应对内部人员越权和违规操作的安全威胁,是现有安全保障体系的重要补充和完善手段。

通过对合法应用数据流和用户行为进行深入检测,分析关联后得出“合法、干净”的网络流量和行为特征,阻断所有不符合类似特征的网络数据,从而在根本上解决传统安全防护手段的弊端。无论终端用户访问业务系统,还是业务系统之间的调用和联动,都离不开网络层的信息交互,是任何黑客攻击所无法绕过的交通枢纽;而如果通过操作系统之上的日志和行为分析,都会面临和攻击者竞争root权限的问题,容易出现日志本身失真的情况,但网络层面进行的数据包镜像采集则具备更好的真实性和完整性。

用户和实体行为分析

用户和实体行为分析是一种不同于传统基于特征库的黑名单式的攻击检测技术,通过定义合法和正常用户的行为,建立基于行为白名单的安全检测能力,其核心思路是违规和异常行为的检测。

所谓违规,是指网络行为违反了一定的“规范”,例如业务科室主动访问财务系统数据库服务器,即使明显违背了人员正常行为的规范。这里的规范可以是现实世界行为关系在IT系统中的抽象,也可以是既有行为规律的机器自学习;

所谓异常,是指网络行为明显不同于“正常”数据的范式,包括两个维度的内容,一个是数据包关联的用户行为不同于其他大多数正常用户视为异常,另一个是数据包管理的用户行为不同于自身在过去的行为习惯,异常检测主要以机器自学习为主。

具体的实现包括以下特征提取和行为建模两个层面的内容,即上面提到的态势认知和态势理解:

行为特征提取

传统的网络行为分析对象包括源IP地址、源端口、目的IP地址、目的端口和传输层协议这五个量组成的集合,称之为网络通信的五元组。在同一时间五元组能够区分不同会话,并且对应的会话是唯一的,并在一定程度上能够表明通信双方的身份信息。但这种检查策略的缺点是,由于无法对数据包内容进行实时检测导致无法检测合法用户进行的非法网络攻击行为。

针对目前许多政务单位和核心部门的网络通信特点,行为特征提取可以通过“三层立体”方式实现从物理层到应用层的立体流量监测。“三层立体”指的是物理层(物理接口和二层协议+ 网络层(源IP地址、源端口、目的IP地址、目的端口、三层协议)+应用层(数据内容模式)这八个参量,能够全面的描述通信双方及其行为的合法性:

首先违规和异常策略能够针对不同方向(In/Out)的網络数据进行传输层协议分析,允许的数据将进行网络层合法性检查环节,网络层合法性检查是针对网络IP包的五元组信息进行匹配检查,只有IP地址和通信端口在允许范围内的数据包会进入到应用层检查,否则将直接判断为访问关系违规;通过网络层合法性检查后,IP包的净负荷将进入应用层异常检测环节,对业务数据进行内容识别,通过强大的高速字符搜索引擎和灵活的策略语法,可以完成应用层的业务处理。

行为分析建模

攻击者的行为往往不是以病毒、漏洞利用等明显的恶意特征出现。攻击者会通过社会工程学、钓鱼、以失陷主机为跳板等手段获取高级管理员的账号与权限;内部潜藏的恶意用户也会通过窃取、窥探等手段获得合法权限。

此外,黑客在嗅探、突破、渗透、横移、会话维持、捕获占领的整个攻击链条中,均会非常小心地隐藏自己的攻击行为,将关键文件进行打包加密甚至隐写,所有的网络会话也会在加密通道上传输,而会话维持以及远程控制服务器的通信会夹杂在代理、VPN隧道、NTP、DNS等正常网络协议中混淆视听。专业的网络分析人员可以根据经验完成数据流分析工作,然而普通运维人员却并没有类似的技术储备,而实际网络中的海量数据决定了分析量也是人力所不及的,所以必须实现对数据流特征的自学习。

主要包括以下几个方面:

第一,黑客攻击往往是由一系列行为完成的,因此可以通过监测其行为序列来描述攻击过程和用户交互行为,这本身就是一个典型的状态机模型,通过分析网络行为在不同状态之间的切换概率,就可以描述正常用户和异常用户之间的不同特征;

第二,绝大多数信息系统总是面向多个海量用户提供服务的,那么对于业务的访问来说,攻击行为相对属于小概率事件,通过识别这些和大多数用户行为不同的离散异常行为即可发现攻击者。这种离散行为检测过程适用于机器学习中的无监督异常监测算法,为了避免单点异常的干扰,iForest算法的鲁棒性特点具备更好的适用性;

第三,每个用户行为自身具备相对的规律性,同样可以通过对其过去一段时间内的行为特征进行比对,形成用户行为规律的判断依据,分析用户是否为其生成的主体,是否存在权限冒用或者被恶意攻击者控制的情况。

(作者单位:浙江嘉兴市保密技术检查中心、上海信息安全工程技术研究中心)

猜你喜欢

态势攻击者用户
基于微分博弈的追逃问题最优策略设计
2019年12月与11月相比汽车产销延续了增长态势
汇市延续小幅震荡态势
我国天然气供需呈现紧平衡态势
正面迎接批判
关注用户
关注用户
关注用户
县乡一体化探索呈加速态势
有限次重复博弈下的网络攻击行为研究