李琰 胡俊

摘要：针对高安全级别信息系统提出一种利用策略和审计日志信息进行态势感知的安全态势感知模型。相比传统通过入侵检测系统采集网络数据和系统数据进行分析的方法，该模型对于威胁事件有较强的灵敏度，能够在系统发生威胁事件的第一时间觉察。同时模型依托可信计算技术，使整个系统运行在允许范围内，有效提升系统防护能力，对高安全级别信息系统的安全监控有实际意义。

关键词：态势感知;访问控制;可信计算

DOI.10.11907/rjdk.191167

中图分类号：TP309 文献标识码：A 文章编号：1672-7800（2019）012-0167-06

0引言

为了增进人们对于整个系统安全态势的了解，在网络被攻击后能够及时发现并作出响应，网络安全态势感知技术随之诞生。它可以综合多方面的安全因素，从大体上动态反映网络态势，并对其进行分析。在发生安全事件时能够及时预警，并展示其可能影响的范围，从而达到有效提升网络整体监测、响应与防护的能力。

目前，态势感知技术主要通过采集网络原始数据与系统运行生成的动态安全数据等信息，再通过对数据进行实时分析實现。这种方法适用于一般信息系统，而我国等级保护要求高安全级别系统需要以访问控制机制为核心，并以可信计算功能作为访问控制的支撑。在访问控制规则、策略和审计日志中包含了系统安全方面的大量信息。因此，对高安全级别信息系统而言，进行态势感知应当以利用访问控制相关信息为主。

本文着重研究以访问控制为核心的信息系统安全态势感知问题，采用与传统系统类似的安全态势感知步骤，但是分析对象与原理依据则由访问控制机制和可信计算机制导出。通过对访问控制和可信计算的原理分析，提出一种基于可信计算的适用于访问控制策略的安全态势感知方法，并用攻击实例说明了方法的可靠性。该研究成果对高安全级别信息系统的安全监控有实际意义。

1研究现状

目前，人们对网络安全态势感知（Network Security Situ-ation Awareness，简称NSSA）的研究存在3种观点：一种认为NSSA是网络安全事件应用大数据处理和可视化技术的汇总结果，如传统安全服务提供商（McAfee，Symantec）及新出现的重点关心APT攻击的企业（FireEye，Mandiant）等，通过公开一些技术报告记录APT的攻击实例;一种认为NSSA是基于网络安全事件融合计算的网络安全状态量化表达;还有观点认为NSSA作为一种网络安全管理工具，是网络安全检测的一种实现形式，并提出了诸多模型。

文献[7]给出了网络安全态势感知的目的，认为它是将态势感知的理论和方法应用到网络安全领域，帮助网络安全人员实时把握整个网络的安全状态，并提供决策支持，同时给出了网络安全态势感知的一般功能模型;文献[8]强调数据融合是态势感知的核心手段;文献[9]将“网络安全态势感知视为态势感知的一个子集，其主要关注的是网络安全领域，数据源主要是IDS的警报、脆弱性信息等”;文献[10]则是电力企业使用日志进行异常检测的应用;文献[11]提出了访问控制的形式化和机制描述，引入了主体、客体和访问控制矩阵的概念;文献[12]描述了访问控制是授权方通过设置访问控制策略，限制请求方的行为和操作，进而允许或禁止请求方进行相应服务请求的方法手段;文献[13]介绍可信计算是一种包括可信硬件、可信软件、可信网络和可信计算应用等诸多方面的信息系统安全技术，并对可信计算的思想、理论、技术进行了相关阐述。

2相关概念

2.1网络安全态势感知

网络安全态势感知是对网络系统安全状态的认知过程，它从系统中获取测量到的原始数据并进行分析，经过融合处理和对系统背景状态及活动语意的提取，识别系统的各类网络活动并发现其中异常活动的意图，从而获得系统当前网络安全态势和该态势对网络系统正常行为的影响情况。

图1为文献[7]中给出的网络安全态势感知模型，数据进入系统后共分为网络安全态势觉察、网络安全态势理解、网络安全态势投射3个步骤。

网络安全态势觉察的主要目的是辨识出系统中的活动，通过对原始数据进行降噪以及标准化处理，得到有效信息，然后对信息进行关联分析，进一步识别出异常活动。

网络安全态势理解的主要任务是根据异常活动理解其意图，发现异常活动的攻击手段与攻击目标等信息。

网络安全态势投射的基本任务是基于识别出的攻击活动，评估已经出现的攻击行为对被管网络的危害和可能发生的攻击行为对被管网络造成的潜在威胁。其主要任务是在上述基础上分析并评估威胁事件对当前系统中各对象的威胁情况，发现威胁事件已经产生或可能产生的影响。

2.2访问控制

访问控制是授权者通过限制请求者的行为和操作，进而允许或限制请求者访问能力或范围的方法手段。该技术通过既定策略组成策略库，将系统中所有合法操作进行标识，从而准许或限制所有主体对客体的访问能力及范围，达到保证整个系统时刻都运行在规定权限内的目的。其核心在于如果根据授权策略对用户进行授权，拥有权限的就是合法用户，没有权限的就是非法用户，授权策略对所有访问进行统一控制。

因此，它具有防止非法用户访问受保护的资源、允许合法用户访问受保护的资源以及防止合法用户对于受保护的资源进行非授权访问的特点。其作为实现安全操作系统的核心技术，既是系统安全的一个解决方案，又是保证信息机密性和完整性的关键技术。目前，对访问控制的研究已经成为计算机科学的热点之一。

访问控制系统一般使用引用监视器模型，如图2所示，它通过安全策略库对访问行为进行验证，根据访问控制策略判断行为究竟是被允许还是禁止，同时整个过程中的访问行为和访问结果记录在审计系统中。

2.3可信计算

可信计算是一种信息系统安全新技术，包括可信硬件、可信软件、可信网络和可信计算应用等。系统在计算运算的同时进行安全防护，计算全程可测可控，并且不被干扰。通过这种方式可以使计算结果总是与预期结果相符。

可信度量机制在可信計算中扮演着重要角色，通过可信度量机制可以判断系统是否仍然处于可信状态。目前，国内外对可信度量的研究主要集中在完整性检测上。它通过对需要保护的程序、数据或者代码进行散列计算，将得到的散列值作为参考散列值，并在系统运行过程中定期进行重新计算、对比，为系统状态是否可信提供重要判断依据。

3模型提出

本文基于访问控制与可信计算原理，提出了针对访问控制系统的安全态势感知模型及其工作步骤，并描述了不同步骤下安全态势感知所实现的功能。

3.1理论分析

传统安全态势感知根据入侵检测系统得到的信息，包括流量信息、主机运行的动态信息等去寻找可能发生的威胁事件。其中，态势觉察采集信息、态势理解分析信息、态势投射将分析结果映射到系统中，从而找到威胁事件，将其理解为获取信息一分析信息一映射信息以判断安全状况的过程。在访问控制系统中，这一过程同样适用，因此认为访问控制系统的态势感知也包括态势觉察、态势理解、态势投射3个步骤。

在访问控制系统中，安全策略已被部署，通过审计机制可获得安全策略执行情况相关信息，外部威胁利用访控策略的不完善和访控执行机制的漏洞入侵系统，对访问控制机制的安全态势感知是根据安全策略和审计信息，判断威胁事件的影响范围，并追溯可能的攻击源头，查找威胁事件，而可信机制可以在这一过程中协助筛选。

下文通过基于访问控制模型的理论分析确定访问控制系统安全态势感知的基本原理和每一步骤的主要功能。访问控制机制可实现将计算机内部主体对客体的访问行为限制运行在允许范围内，可用访问控制矩阵描述访问控制规则，如图3所示。

但访问控制策略的不完备性，使得访问控制系统仍然存在被攻击的可能，可信计算机制在整个过程中为其提供保障。在访问控制系统中，通过对执行程序、动态库等主体进行可信度量，可信度量可以确认这些可执行代码的初始状态是否被篡改。同时，访问控制系统对所有可影响主体属性及完整性的行为进行审计。

如审计机制发现违法行为或可信度量机制发现被篡改的主体，则表示系统中存在攻击行为，此时需要分析审计信息以确认攻击影响范围，追溯攻击源头，这便是访问控制系统态势感知要解决的问题。系统中的主体集合s由不可信集合s*与可信集合s组成，即：

S=S*+S'（11）

在此过程中，记录各主体的用户属性，那么s*集合中的主体所记录的用户属性为嫌疑用户，在s集合中的主体所记录的用户属性为正常用户。

3.2网络安全态势觉察

网络安全态势觉察的目的是为了发现威胁行为，系统可通过审计和可信度量获得觉察信息，在审计信息中可以获得违反p*的行为和p*中影响主体属性与完整性的行为。

综上所述，通过态势投射模块可以得到节点中易受威胁的资源集合Siner，以及节点现有策略对于威胁行为Acta→b的敏感程度，这些可以帮助系统管理员更好地掌握威胁事件对于系统各节点的影响，并且可以帮助管理员制定更加合适的防御策略。

由于态势感知是基于原子攻击行为对于策略库白名单的影响，因此其感知结果与防护体系核心策略库能够直接进行更新，从而态势感知系统在输出整个系统安全态势的同时，也具有为防护体系输出策略，提升整体系统防护能力的作用。

4模型验证

本文对2017年发生的Wannacry勒索病毒攻击事件进行复盘，从而证明该模型方案的有效性。此事件中，由于在病毒扩散前期不能有效发现并阻止，导致其扩散速度较快，产生了较大影响，而该系统可以在第一时间发现威胁事件并将更多信息反馈给管理员以便能够及时响应。

4.1病毒原理

Wannacry勒索病毒使用“永恒之蓝”漏洞工具，利用cve-2017-0144漏洞进行网络端口扫描攻击，目标机器在被成功攻陷后会从攻击机下载Wannacry木马进行感染，并将其作为新的攻击机继续扫描互联网或者局域网内的其它主机从而造成大范围快速扩散。

该漏洞错误处理了网络传人的数据长度，导致复制数据时出现内存溢出。溢出的数据覆盖了用于接收数据的内存区域指针，把合法地址修改成了系统保留区域（KI_USER_SHARED_DATA0xffdf0000）的地址，导致后续发来的数据覆盖了系统保留区域。系统保留区域中存放了系统调用返回（systemCallReturn）地址，从而在网络接收系统调用完成后会跳转到攻击者精心布置的代码中，使攻击者成功执行shellcode获得超级用户权限。

4.2感知防御勒索病毒攻击

4.2.1态势觉察

攻击成功需要具备4个必要条件：445端口开启;下载病毒母体程序mssecsvc.exe;病毒母体程序mssecsvc.exe拥有运行权限;相关勒索程序tasksche.exe、taskdl.exe、Wa-naDeeryptor@.exe拥有运行权限。

如果445端口没有开启，则计算机不会感染勒索病毒。假设计算机的445端口是开启状态，那么在病毒攻击阶段，本系统可通过主动、被动两种方式觉察到该威胁行为。

系统可主动通过定期进行的可信度量，发现系统中存在的不可信应用程序，即病毒母体程序，从而发现该威胁行为。同时也可在程序运行过程中，由安全策略模型被动发现病毒程序运行所需要的权限，不在系统当前安全策略模型中。

4.2.2态势理解

针对态势觉察发现的主体程序，再次利用可信计算的完整性度量过滤没有被篡改的内容，从而留下被篡改的程序或进程，得到其入侵路径。

4.2.3态势投射

根据态势理解模块得到的人侵路径信息，利用资源是否存在与路径是否存在，判断系统中其它计算机是否会被该病毒感染，从而实现态势投射功能。

至此，整个态势感知系统运行完毕，相比传统网络安全态势感知，以访问控制为核心安全保护机制的态势感知对于判断病毒或危险行为具有更高的灵敏度。

5结语

该研究能够为以访问控制为核心安全保护机制的信息系统提供符合访问策略的网络安全态势感知功能。传统网络安全态势感知依靠入侵监测系统发现攻击活动，但其存在大量误报和漏洞的缺陷，有一定的滞后性。而访问控制系统特有的策略信息与审计信息，则可以使整个态势感知过程变得更加准确，并且在可信计算环境下保证信息的完整性，能够进一步提升系统的安全防护能力。

本研究具有一定的使用场景，其威胁行为的发现与态势投射环节均利用了访问控制机制中的策略库，未来可以考虑将其与防御机制更密切地相结合，使其防护能力得到进一步提升。