李寒箬，张振红

（云南电网有限责任公司信卢中心，昆明 650217）

电力安全事关国家安全，影响国计民生。近几年来，国际上针对电力行业关键信卢基础设施的网络攻击日益频繁，电力系统的信卢安全防护面临着严峻挑战，及时发现、处置重大安全风险和隐患是电力系统安全稳定运行的重要保障。随着信卢技术的飞速发展和国家构建以新能源为主体的新型电力系统战略的提出，电力行业的信卢网络规模逐步扩大，其广泛的覆盖范围、多元化的网络结构和复杂的网络分区，使得电力系统各安全防护设备的告警数量日益增多，给企业的日常运维带来了巨大挑战。目前，当安全事件发生时，监控人员往往难以从海量日志和告警数据中快速定位故障，而是需要根据优先等级对各事件起因进行顺序排查，对于一些影响程度较大的安全事件，无法及时判断其准确性和严重性，就不能及时进行后续处理，甚至可能导致事件范围扩大，造成严重的经济损失和社会危害。

1 电力系统网络安全告警现状

目前，很多电力企业已建设了大量信卢安全专业防护系统来保障电力系统的安全可靠运行，包括防毒墙、入侵防御系统、入侵检测系统、Web 应用防火墙、上网行为管理、主机安全防护、网络阻断系统、动态防护系统、防篡改和流量回溯等。但各厂家设备和系统因检测原理和告警规则的不同，造成安全事件的大量上报，很多事件其实是同一类事件或相关相近的事件，但因这些事件的告警信卢间缺乏聚合处理及威胁情报的关联分析，导致关键的安全事件被大量无效报警淹没，安全人员每天疲于应对成千上万的告警无法做到逐条分析，大大降低了运维工作效率，甚至面临着漏掉高威胁事件的风险。

本文基于威胁情报数据的告警关联分析技术提出一种威胁情报辅助研判系统，该系统通过将企业运行的各类安全防护系统事件日志统一关联起来，并对日志告警进行监控分析和辅助研判，实现网络安全事件的准确定位和威胁评估、预警，提高安全事件分析的准确性和实时性，同时为企业安全团队快速响应和处置威胁提供依据。

2 一种告警关联分析系统的架构设计与实现

2.1 告警关联分析现有技术及发展趋势

2.1.1 告警关联分析技术现状

告警关联分析的主要目的是通过对告警数据进行压缩、过滤及分析等操作，找到数据之间潜在的关联性，并通过这些关联信卢从一组告警序列中推理出指示故障根源的告警。常见的告警关联分析技术有基于统计分析的聚类技术、基于因果分析的关联技术和基于规则的关联分析方法等。其中，基于规则的关联分析是目前最常用的一种告警关联分析方法，其按系统预先内置或用户自定义维护的关联规则对平台采集的范式化后的日志进行规则模型匹配分析，并按规则设定进行告警。

2.1.2 告警关联分析技术发展趋势

基于规则的告警关联分析方法主要针对已知安全事件分析，这种依赖人工经验建立的关联关系存在规则覆盖不全，创建新的关联规则周期长、成本高等特点，越来越难以应对快速变化的安全威胁。随着当前网络攻击形势不断演变，安全告警关联分析需要结合网络环境的动态变化、网络流量、TTPs（战术、技术和程序）、上下文信卢和攻击链上的样本等丰富情报信卢，通过实现日志告警和威胁情报数据的关联分析，持续了解真实攻击的本质、意图、技术和造成损害的能力，将传统的“被动防御”转变为积极的“主动防御”。

2.2 威胁情报辅助研判系统的架构设计

基于威胁情报数据的告警关联分析技术，本文提出了一种威胁情报辅助研判系统，其架构设计如图1 所示。威胁情报辅助研判系统将通过日志系统获取的各类安全设备告警和日志信卢，经关联分析和辅助研判后，分析出安全告警的可信程度，过滤掉告警中的噪音事件，从而增加本地安全告警的精准度，让企业安全人员可以迅速定位威胁来源和相关联的资产和业务，并及时通过工单和处置流程进行快速响应。

图1 威胁情报辅助研判系统架构图

威胁情报辅助研判系统包括数据过滤模块、关联情报分析模块、数据存储模块和数据可视化模块。数据过滤模块主要完成告警数据的过滤和聚合处理，关联情报分析模块引入威胁情报数据进行告警数据联合分析，数据存储模块对经过滤和关联情报分析后的威胁信卢进行本地存储，数据可视化模块将加载的数据以数据表、饼图、面积图、折线图、数字和柱状图等方式进行展示。

威胁情报辅助研判系统集威胁情报查询、威胁情报辅助研判功能于一体，实现了告警数据的过滤和关联情报分析服务、威胁情报数据搜索查询和存储服务、数据往自动化运维平台的数据传输接口、威胁情报文件的上传下载、用户交互界面及用户管理等功能，系统在日志系统和自动化运维平台中间提供了攻击源威胁情报的分析和辅助研判，可大大提升企业对安全事件的监测分析能力和威胁处置效率。

2.3 系统实现功能及特点

2.3.1 系统实现的功能

告警优化：为了更加准确高效地提取和过滤告警数据，本系统对日志告警信卢进行过滤和聚合处理，首先通过过滤除掉与系统安全没有关系的虚假告警和反复出现的冗余告警，然后对告警信卢中存在着的各种关系（有的告警来源于同一个攻击，有的告警之间存在着因果关系等）的安全事件通过聚合相同或相近的告警对其数量进行精简，提高网络安全事件分析的准确性和实时性。

辅助研判：威胁情报数据具备丰富的上下文信卢，本系统利用威胁情报数据对优化后的告警信卢进行关联分析，根据已知线索对攻击对手、攻击手法、攻击途径、攻击资源和攻击位置后果等进行深度研判和拓展分析，获得恶意文件的HASH（哈希值）、主机特征、网络特征、事件特征、组织和人员情报等维度的情报数据，快速定位和溯源攻击者、判定攻击目的及分析攻击细节，通过线索的利用和联动分析，实现安全告警的辅助研判。

本地威胁情报库：本系统通过全面采集多源威胁情报、多维度分析威胁信卢等构建基于攻击组织的关联图谱，搭建本地威胁情报库。当出现新的攻击事件的时候，系统以待检测的告警事件（攻击组织）作为输入，通过攻击组织研判模型进行一致性判定，并输出研判结果。系统还提供专供内部使用的Web 交互查询界面，实现告警威胁历史信卢的记录和关联搜索，轻松地将来自过去的攻击者活动的信卢与当前的信卢进行关联，并从过去的攻击中学习，主动阻止攻击者当前和未来可能的攻击。

联动处置：本系统最后将带有威胁情报数据的告警信卢发送到自动化运维系统与基础安全设施联动，实现对真实攻击的联动处置。

溯源分析和主动防御：本系统不仅可定位已发生的威胁，还可输入高级威胁情报、热点事件和热点漏洞等信卢，从攻击者视角情报，实现对威胁进行举证或溯源分析，帮助用户实现主动防御。

2.3.2 系统特点

威胁情报辅助研判系统是一套高级威胁情报分析研判工具，其收集不同来源的安全告警信卢对其进行过滤和辅助研判，并输出研判结果，同时能对脆弱性较大、威胁较多和存在异常的IP 给出安全处置建议。该系统一端对接日志系统，一端对接自动化运维系统，也可作为中间件实现灵活部署，根据企业的实际情况对接各类安全事件源和联动处置设备，从而满足企业不同平台的安全需求。

2.4 系统部署及应用

2.4.1 系统部署方式

威胁情报辅助研判系统基于现有的安全数据分析平台，日志系统和安全运维平台即自动化运维系统进行部署，系统使用HTTP 协议接收日志系统数据和发送数据到自动化运维系统，使用Spring Security+JWT 实现用户认证及授权，使用Maven 管理项目依赖。系统使用Spring Data JPA 访问MySQL 数据库，使用Tomcat 作为Web 服务器，实现用户交互。其安装部署流程：开始—选择符合运行环境的服务器—安装系统运行所需要的JDK—安装系统运行所需要的MySQL—进入项目路径下放置架包—启动架包—结束。

2.4.2 系统工作流程

威胁情报辅助研判系统的工作流程如图2 所示。系统从日志系统提取告警数据，对海量告警信卢进行过滤和分析，然后调用威胁情报系统的威胁情报数据对优化后的告警信卢和IP 指纹、Web 指纹、IP 信卢、域名信卢、漏洞库、样本库、IP 信誉、域名信誉、URL 信誉、文件信誉和C&C 信誉等信卢进行多维度的关联分析。系统把研判分析后的威胁情报和资产信卢存储到本地，实现后续相同的IP 等直接从本地数据库获取，最后把带有威胁情报数据的告警信卢发送到自动化运维系统进行联动处置。

图2 系统工作流程图

2.4.3 系统在某电力企业中的实际应用

目前系统在某电力企业部署近4 个月，平台自上线以来，共采集2 个数据中心网络的8 个关键网络节点，覆盖了该企业全网主要业务流量数据。在威胁情报辅助研判系统部署之前，安全人员面对告警无法对其攻击源IP 进行有效判断，系统部署后，安全人员可将告警数据和威胁情报数据进行关联分析并辅助研判，确定IP 是否是恶意行为并快速锁定攻击。本系统上线后，平均每月辅助分析外部攻击约20 万条，初步溯源攻击4 000余条，深入溯源100 余条，并形成10 份溯源报告。系统通过分析和辅助研判，每月实现恶意IP 自动封堵数万条，大大提高了安全告警的分析研判效率和自动封堵时效，也进一步提升了该企业日常监测分析效率及对网络攻击的防护能力。

以企业日志系统中的主机入侵告警为例，安全设备检测到IP 为195.54.160.149 的攻击者对地址为10.xxx.xx.xx 的目标IP 发起命令执行攻击并触发告警，该告警属I 类威胁等级，但相关告警中不包含威胁情报信卢，常规的，安全人员需对告警进行人工分析和排查，通过手动输入查询威胁情报数据判定威胁来源，然后进行处置决策，安全人员针对每条告警的分析时间约需2～3 min。而通过威胁情报辅助研判系统自动获取该告警的攻击源IP 是来自某国的垃圾邮件、扫描、恶意软件、漏洞利用、log4j2_202112 和傀儡机等威胁情报信卢，并提出封堵建议，然后通过网络攻击阻断系统联动，迅速实现对该攻击的自动封堵。此过程仅需几秒钟，大大节约了安全事件的分析研判时间，提高安全人员工作效率的同时提升了企业安全运维的自动化和智能化水平。

3 威胁情报辅助研判系统的其他应用场景

3.1 结合安全编排和自动化响应平台（SOAR）的应用

面对当前黑客先进智能化的攻击方式，很多企业运用SOAR 平台技术来解决安全事件数量不断增多、传统防护设施设备整合度低、安全运营人力不足且经验难固化等问题。

威胁情报辅助研判系统与该平台结合可针对原始安全数据和安全事件进行攻击源、攻击目的等的分析，还可根据威胁情报库威胁指示器（Indicators of Compromise，IOC）信卢不断积累安全事件相关的痕迹物证和攻击者的战技过程指标信卢，从而持续化地对一系列安全事件进行追踪和编排自动化处置。

3.2 结合安全管理平台应用

很多企业通过部署安全管理平台来统一收集和分析企业网络中各类资产及其安全防护系统运行过程中不断产生的各类安全数据和安全日志，以此实现对全网信卢系统整体安全风险的监控。

威胁情报辅助研判系统结合该平台的应用可对收集的各安全事件进行关联情报分析并辅助研判，从平台海量安全数据中发现有效的真实攻击意图、步骤、危害、风险等信卢，大大提升平台的安全事件分析效率和对威胁行为的检测、响应速度和能力。

3.3 结合资产管理平台应用

IT 资产包含IP 地址、地理位置、所用组件、开放服务、底层系统、所属行业和脆弱性等各种信卢，如何准确绘制企业网络空间资产底图，进而获得详细的资产情报，对高效管理企业IT 资产显得越来越重要。

威胁情报辅助研判系统与资产管理平台结合应用可通过与情报联动，将事件中的IP 地址、外联URL 与情报碰撞，判断来源IP、外联目标是否在威胁情报库中或是否是恶意URL，从而发现资产风险，并做进一步的研判处置，丰富资产信卢的同时提升网络资产的治理能力。

4 结束语

威胁情报辅助研判系统对电力系统传统安全运维中海量告警淹没真实攻击的场景进行了优化与改进，其通过引入威胁情报对告警数据进行关联分析和辅助研判，对传统告警进行筛选、过滤，提高准确率，并提供攻击者攻击手段、特征等背景信卢，帮助安全人员快速有效地识别真实攻击。本系统的应用大大提高了安全人员处理安全问题的效率和速度，还可对未知安全威胁、异常活动行为进行高效、准确的检测，整体上降低威胁攻击的影响及损失，提升电力企业的安全防御能力。