面向特定网络安全事件响应的态势评估方法

2018-10-24于普漪褚智广滕征岑

计算机应用与软件 2018年10期

于普漪褚智广滕征岑赵轶汪霞

1(中国石油集团东方地球物理勘探有限责任公司信息技术中心北京 102200)2(安天实验室北京 100195)

0 引言

当网络安全事件发生时，在获取一定威胁情报线索的基础上，如何评估组织、机构内部的资产在此事件中的安全态势，并据此快速做出响应决策，有效提升响应处置速度，从而减少特定安全威胁对内部资产的损害是亟待解决的问题。

态势是系统中各个对象状态的综合。态势感知是在一定的时间和空间范围内提取系统中的要素，理解这些要素的含义，并且预测其可能的效果。Endsley[1]将其概括为3个层面：态势觉察、态势理解和态势预测。对于网络安全的态势评估，目前国内对整体网络安全态势和基于攻击指示器的检测研究较多，但针对于某个和某类特定安全事件，如何快速评估事件的影响范围、受损范围及潜在受损范围等态势，相关研究和工程应用相对不足。

本文提出了一种面向特定安全事件响应的态势评估方法，通过生成IOCs、涉及资产及利用漏洞等针对特定时间的检测要素，综合利用按需监测、历史追溯和动态推断等手段，形成对涉及资产态势、受损资产范围和潜在受损资产范围的动态评估并计算损害指数，进而对其进行可视化表征，用以形成对响应处置的决策支撑。本文的主要贡献：

1) 提出了一种面向特定网络安全事件响应的态势评估方法，为特定安全事件的响应提供态势评估辅助决策。

2) 采用可定义的网络安全事件检测要素，实现了特定网络安全事件响应过程中，涉及资产、受损资产范围及潜在受损资产范围等资产关键态势要素的检测和评估，并计算损害指数。

3) 采用可视化表征的方法，为响应决策提供更直观的判断依据。

1 相关研究现状

Bass[2]提出将态势感知技术应用于多个NIDS检测结果的数据融合分析后，学术界开始致力于网络安全态势感知的研究，提出了多种相关模型和技术[3-4]。

徐文韬等[5]基于OpenIOC框架和对威胁行为的检测分析，结合机器学习算法自动生成IOC文件。贾雪飞等[6]从攻击方、防护方、网络环境提取各种要素，构建了一个基于能力机会意图的态势感知模型。文志诚等[7]考虑多信息源与多层次异构信息融合，提出了一个全方位因子加权感知网络安全态势的框架。陈秀真等[8]从先局部后整体评估策略出发，层次化量化评估安全威胁态势。刘世文等[9]提出了一种细粒度的网络威胁态势评估方法，对威胁节点、威胁链路、威胁路径、威胁目标和全网威胁态势进行评估。

李淳等[10]提出了基于时间的网络安全态势评估框架，短期评估使用实时的动态数据，长期评估采用熵值法。赵鹏宇等[11]计算网络安全危害指数并设计实现了大规模安全态势评估系统。吴国强等[12]介绍了从传导路径的角度和事件关联关系的角度对安全事件进行分析的方法，并建立网络安全事件态势评测模型。席荣荣等[13]基于安全事件的风险级别及所针对的资产价值，分析造成的损失，最后基于安全事件发生的可能性及造成的损失量化评估网络的威胁态势。

李振兴等[14]将人引入到安全态势感知系统，生成网络安全综合态势图，多视图、多角度地与用户进行交互，显示网络中的态势数据。张胜等[15]选取了异构安全日志中的8个维度进行特征提取，引入树图和符号标志、时间序列图，展示网络运行趋势，分析攻击模式。文献[16]用影响依赖图显示了网络地形和任务之间的依赖关系，并提出算法基础指导计算网络攻击对资产和任务运营能力的影响。

2 态势评估方法

2.1 整体方法

本文的态势评估方法整体方法见图1。

图1 整体方法

1) 通过人机结合分析的方式提取针对样本的深度分析数据，生成IOCs、涉及资产的软件版本、利用的漏洞及资产防护能力等检测要素。

2) 通过具备按需检测能力和联动能力的端点探针(或端点防护软件)、流量探针以及主动扫描设备，实现按需监测；综合历史追溯和动态推断手段评估涉及资产态势、受损资产范围和潜在受损资产范围并计算损害指数。

3) 采用可视化表征提高态势展现的直观性，并根据响应处置的需要，细分为用以进行各子网的安全态势评估结果展现的初步表征方法和用以进行各子网内的关键安全态势评估结果展现的细化表征方法，从而实现对响应处置的决策辅助。

2.2 检测要素生产

目前，用以检测特定安全事件的方法主要是通过攻击指示器IOCs(恶意代码文件的属性、注册表改变的特征等)检测网络中是否发生入侵攻击。但是IOCs无法用来检测攻击针对的目标资产情况及攻击利用的漏洞等脆弱性情况，进而导致在安全事件发生时，组织和机构无法有效评估特定安全事件的涉及资产、受损资产范围、潜在受损资产范围等态势。此外，在评估特定安全事件的潜在受损范围时，关键安全防护设备及软件对该事件的防护能力也是评估需要重点考虑的检测要素。

本方法针对特定安全事件的攻击样本，采取人机结合的方式，将其投放到建有模拟环境的沙箱中，并模拟操作，诱导未知文件中的恶意代码发出攻击行为，监控其运行过程以及所有相关进程和模块的活动，并对其代码特征和攻击特点做详细的揭示。例如对于WannaCry样本，可检测到的行为包含延时、扫描445端口尝试访问系统共享文件夹、文档篡改等危险行为，并发现其衍生出新文件tasksche.exe。同时，沙箱可模拟网络环境监控并记录样本网络行为，其中包含IP、端口、域名等。

结合逆向工程等人工分析方法，能获取到样本更完整的网络与终端行为，可以从分析结果中提取关键的攻击指示器、涉及资产、利用漏洞等可用于评估的检测要素。通过上述方式生产的WannaCry事件部分检测要素见表1。

表1 WannaCry事件的部分检测要素

2.3 态势动态评估

动态评估方法概述见图2。

图2 动态评估方法概述

1) 通过具备按需监测能力的端点探针、流量探针主动扫描系统，持续监控特定安全事件检测要素，对检测结果进行数据融合，获得资产数量、资产的运行状态、威胁状态和漏洞情况等动态评估所需的实时数据。

2) 考虑到实时检测速度、资产不在线不可实时检测等因素，需要进一步融合历史监测数据以实现安全态势的初步动态评估：包括涉及资产整体态势、受损资产范围和潜在受损资产范围。

3) 为进一步得出受损资产，尤其是潜在受损资产合理评估结果，需要通过综合资产与漏洞关联、资产防护体系的能力及资产的运营能力，进行推断并修正评估。

2.3.1 按需检测

鉴于监测软件的通用性和安全事件的差异性之间的矛盾，为了获取特定安全事件的相关数据，对检测要素进行按需监测显得尤为重要。遵循主体、客体以及二者在时间、空间域内的局部性特点，采用按需检测的方式可以在减少终端和网络所需关注数据量的同时形成进一步的推断依据。

端点监测软件可通过黑白双控机制，对黑、白要素进行检测，同时可对非黑非白的灰要素(即未知文件)进行检测，此外，还包括漏洞情况、端点防护软件版本等。结合对客体文件的向量化拆解与系统关键防御点的布防体系，以特定安全事件的具体检测要素为依据可实现按需监测，如WannaCry事件中可以检测出威胁文件、未知文件、注册表、漏洞、补丁情况等。同时相关向量与检测结果也可以作为后续评估与推断的依据，并与网络侧检测的数据互为佐证。

流量监测软件通过对不同资产之间的通信数据进行解析(如检测http流量时对主机信息、域名信息进行留存)，并对载荷进行向量化提取，结合特定安全事件的IOCs与载荷的向量特征，实现按需监测。对于流量中的载荷，需要对载荷向量化后的数据进行规则匹配形成后续传播情况的推断依据，推断恶意代码向其他资产的传播情况。例如在WannaCry事件中，通过对流量数据的解析可以检测到域名、大量连接请求的源IP和目的IP、端口、协议等，数据报文载荷检测匹配到|FF|SMB3|00 00 00 00|等诸多关键字表示正在进行传播。

另外，按需检测产生的向量化数据结合资产信息构成的知识图谱可以进一步作为态势推断的基础数据之一。

2.3.2 涉及资产态势评估

涉及资产是指攻击针对的目标资产，比如在针对Windows系统的攻击事件中，Linux及Mac系统均为非涉及资产。在线的涉及资产数量可以通过融合端点监测软件主动上报的资产数量、流量监测软件监测的IP数据、主动扫描工具获取的资产数量得到。离线的涉及资产总体数量通过数据融合后的最新数据可以得到，从而得到涉及资产数量。

2.3.3 受损资产范围评估

受损资产是指已被攻陷的资产。通过融合端点监测、流量监测数据及历史数据(包括资产数据、运行日志、威胁日志和漏洞日志)，可得到受损资产数据。考虑到复杂网络环境下，安全设备和安全防护软件针对不同安全事件的检测能力、响应能力甚至部署版本的不同，数据融合过程中，需要根据按需检测产生的向量化数据结合资产信息构成的知识图谱进行部分态势推断，补充受损资产数据(例如根据端点侧检测到的被攻击及网络侧检测到的传播等补充受损资产)。

2.3.4 潜在受损资产范围评估

潜在受损资产是指存在攻击利用漏洞且资产当前安装的防护软件无法防护该攻击。通过融合的漏洞数据和端点的防护能力综合评估，可得到潜在受损资产数据，其中利用漏洞数据来自于主动扫描和端点防护软件的监测数据，端点防护能力来自于各资产端点防护软件的类型、版本等。

考虑到复杂网络环境的不同状态下，存在资产离线、主动扫描未及时完成等情况，资产的漏洞情况和防护软件版本数据，通常会存在无法获取或历史数据距当前时间间隔较远的问题，需要通过态势推断的方法进一步推断潜在受损资产数据。本方法主要用到资产关联和运营能力推断。资产关联推断是指通过资产的多种软件组合与配置推断可能导致的漏洞情况；运营能力推断是用于漏洞的修复、升级等资产日常运营能力度量因子，还用于对漏洞和资产软件版本的历史数据进行调优。

2.3.5 损害指数

网络安全事件对子网造成的损害主要表现在影响情况A、传播情况T及重要等级S方面。影响情况即子网受损资产A1、潜在受损资产数量A2，传播情况即子网向其他子网传播成功的攻击数量，攻击数量可以通过全要素检测结果得出。重要等级为不同层次的资产的重要等级。将子网中的资产划分为5个等级。将主机资产定义为第1级，将直接与主机相连的路由器定为第2级，与第2级相连而不与第1级相连的资产定为第3级，以此类推，5级及5级以上均为5级。对于服务器资产则在原等级上提高1级，以体现它的重要程度。m在这里为修正值。

根据上述方法给出损害指数的量化计算公式，R即为损害指数，由下式确定：

(1)

2.4 可视化表征

根据上述评估方法评估得出涉及资产态势、受损资产范围、潜在受损资产范围后，可通过可视化表征方式进行展现，用以辅助快速直观地做出响应决策。表征的方法包括用于辅助评估各子网安全态势的初步表征和评估子网内某类态势的细化表征。

2.4.1 初步表征

图3显示了某安全事件整体态势初步表征图。

图3 安全事件态势初步表征图

初步表征主要内容包括影响情况、传播情况及严重级别的表征。

影响情况的表征：通过半圆形面积(或其他图形面积)表征不同子网的相关资产数量，其中：整体面积(忽略底部的椭圆装饰部分)为涉及资产数量；A区域面积为受损资产数量；B区域面积为潜在受损资产数量；C区域面积为其他资产数量。

传播情况的表征：通过子网间箭头表征攻击传播状态，并用箭头宽度表征传播的攻击数量。其中实线箭头表征攻击传播成功，有一次攻击传播成功则表示传播成功；虚线箭头表征攻击传播未成功，每次攻击传播都未成功则表示攻击传播未成功。

2.4.2 细化表征

细化表征图用于表征某子网内，涉及资产、受损资产及潜在受损资产中某类情况的详细态势。在安全事件响应过程中，潜在受损资产的详细态势通常是最需要进行细化表征的。针对某个子网资产的潜在受损范围，可以进一步分析潜在受损资产的分类，绘制出安全事件态势细化表征图。图4显示了某安全事件发生时，某子网内不具备防护能力的潜在受损资产的范围，其中:“已安装”是指已安装能应对本事件的端点防护软件但未及时升级的资产数量；“未安装”是指未安装能应对本事件的端点防护软件的资产数量。

图4 安全事件态势细化表征图

3 实验验证

本方法通过网络安全演练环境模拟了某大型公司的网络环境、资产环境及业务环境，并进行了验证。其中构建了六个子网，共100 000个路由资产，5 700 000个其他资产。通过实体机和虚拟机结合的方式在各子网内部署了相关软硬件资产(主要操作系统为各类常用Windows版本)。同时为了模拟真实情况，除了模拟部署常用的安全防护体系外，各类端点上部署了不同类型和不同版本的端点防护软件。在本环境中，经分别模拟魔窟(WannaCry)、暗云III(BootKit)、魔鼬(TROJ_ELKNOT.A)等1 000个类似事件的传播，可验证各特定事件的事前和事中阶段的响应处置过程中。通过本方法可有效地评估态势、支撑处置决策。下面以魔窟(WannaCry)事件为例进行态势评估方法说明。

3.1 检测要素生产

在端点侧进行威胁文件、未知文件、注册表、漏洞、补丁情况等检测要素的按需检测，在流量侧进行域名、IP、端口、协议等检测要素的按需检测。通过人机结合方式分析，生产的WannaCry事件的检测要素如表2所示。

表2 WannaCry事件的检测要素

续表2

3.2 态势动态评估

通过融合端点侧、流量侧按需监测数据及历史数据，并综合运用多种手段及推断方法得出涉及资产、受损资产数量及潜在受损资产数量，如图5所示。

图5 涉及资产、受损资产及潜在受损资产数量(万)

对于不同的安全事件规模，各子网的损害指数如表3所示。

表3 实验结果

通过实验结果可以看出，随着安全事件数量的增加，各子网损害度有上升的趋势。

3.3 可视化表征

根据上述评估数据可绘制该安全事件态势的初步表征图。图6显示了实验环境下WannaCry事件态势初步表征图。

图6 实验环境WannaCry事件安全态势初步表征图(万)

从图6可以看出，目前恶意代码未全面扩散，B、D、E、F子网暂未被感染。根据初步表征图，可辅助做出全局性和网络侧判断处置决策如下：

1) A子网和C子网先后在本事件中受损且潜在受损资产数量较大，并分别向其他子网传播(其中A子网极可能为首先被感染子网)，可能由于其他子网防火墙对445端口的阻断或其他子网大量涉及资产不在线的原因，目前其他子网暂未受损。为避免A、C子网对其他网络传播，应优先更新A、C两子网防火墙的阻断策略；对潜在受损资产在端点侧紧急处置；有条件的话应考虑配置灭活域名。

2) B、D、E、F子网尽管暂未受损，但潜在受损数量较大(其中B子网潜在受损数量最大、E子网潜在受损占比高)，形势最为严峻。

图7显示了B子网的潜在受损资产的细化表征图，其中:“已安装”是指已安装能应对本事件的端点防护软件但未及时升级的资产数量；“未安装”是指未安装能应对本事件的端点防护软件的资产数量。

图7 潜在受损资产安全态势细化表征图(万)

根据细化表征图，可辅助做出在B子网和端点侧的判断处置决策如下：

1) 未受损资产的主要原因是资产当前处于离线状态(因非正常工作时间)，有必要核实并更新B子网的防火墙策略。

2) 离线潜在受损资产中，既有能通过端点防护软件解决的情况，也有当前安装的端点防护软件无法处置的情况。故需制定综合的端点处置策略，包括：处于关机状态的主机，为避免开机后受到感染，需拔掉网线后开机，开机后使用应急免疫工具(免疫工具的主要方法为设置组策略)处理；待升级资产数量众多，需要准备离线补丁后，在资产重启联网前安装补丁。