基于情景感知的信息安全体系建设

导语：基于情景感知的信息安全体系建设一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

摘要：为改变传统的事后防御的不利局面，企业信息安全防护体系建设思路已从被动防御逐步发展为主动防御，通过先验知识检测未知威胁，能够对未来的攻击趋势进行预测。针对更加定向、持久化和多样化的攻击模式以及更高的预测难度，文章基于情景感知理念建设了信息安全主动防御体系，结合内部和外部情报，通过攻击特征、异常业务行为匹配来感知和预测未知威胁，能够更精准地发现高级持续威胁，从而保证预警的前瞻性和准确性。

关键词：信息安全；情景感知；威胁情报；主动防御；安全事件管理

0引言

人们对信息安全的认识随着信息安全形势的发展、信息安全技术的革新而变化，在不同领域的不同时期，解决信息安全问题时的侧重也各有不同。以往人们对于安全防护体系的关注焦点是以防护技术为主的相对静态的安全体系，而技术的进步导致信息安全问题愈发严峻，信息安全防护要求不断提高，其动态性、过程性的发展要求凸显。P2DR（Policy，Protection，DetectionandResponse）安全模型和IATF信息保障技术框架是信息安全体系发展的重要里程碑，奠定了信息安全体系逐步动态化、过程化的基础。P2DR模型源于美国ISS公司提出的自适应网络安全模型（AdaptiveNetworkSecurityModel，ANSM），其在整体安全策略的控制和指导下，综合利用防护工具和检测工具了解、评估系统的安全状态，将系统调整到“最安全”和“风险最低”的状态。在此过程中，防护、检测和响应形成一个完整、动态的安全威胁响应闭环，在安全策略的整体指导下保证信息系统安全[1]。P2DR安全模型如图1所示。图1P2DR安全模型Fig.1P2DRsecuritymodelIATF是美国国家安全局（NSA）组织编写的一个全面描述信息安全保障体系的框架，它提出了信息保障时代信息基础设施的全套安全需求，其创造性在于：首次提出了信息保障依赖于人、操作和技术共同实现组织职能/业务运作的思想，人通过技术支持实施操作过程，最终实现信息保障目标；提出稳健的信息保障状态取决于信息保障的各项策略、过程、技术和机制，在整个组织信息基础设施的所有层面上都能得以实施[2]。IATF安全防护框架如图2所示。网络攻击技术的不断更新使得网络安全问题日益严峻，特别是高级持续威胁（AdvancedPersistentThreat，APT）的出现，对网络安全防护提出了新的挑战。相较于其他攻击形式，APT主要体现在攻击者实施攻击前需精确收集攻击对象的业务流程和目标系统信息。而在信息收集过程中，此攻击会主动挖掘攻击目标信息系统和应用的漏洞，并利用这些漏洞组建起攻击者所需的网络，进一步利用0day漏洞进行攻击，从而达到终极攻击目的。针对APT攻击的防护，Enterasys、Cisco等公司产品都体现了主动防御的理念。在安全防护体系方面，P2DR安全模型侧重技术层面，通过更改安全防护策略防护已发现的安全事件，虽具动态性，但仍局限于被动的事后响应；IATF安全模型侧重人、操作与技术一体，强调人的主动性和流程的主动过程。综上所述，如何在恶意攻击行为发生前主动检测网络中存在的脆弱点，研究并预测攻击者行为，建立起主动型防护体系是信息安全领域中的一个重要课题。本文基于以上2种思路，结合情景感知思想，构建了新一代主动安全防护体系，在事前进行威胁防御[3]。

1基于情景感知的新一代主动防御体系

主动防御是一种前瞻性防御，通过针对性地实施一系列安全防御措施，提前发现安全薄弱点或安全攻击行为，并实施安全防护措施。这种防御理念不同于以往滞后于攻击的防御，能够检测未知攻击，预测未来的安全形势。主动防御具有自学习能力，能自动对网络进行监控，对发现的攻击实时响应，通过分析攻击方法和技术，对网络入侵进行取证，对入侵者进行跟踪甚至进行反击等[4]。情景感知技术源于普适计算的研究，通过传感器获得关于用户所处环境的相关信息，从而进一步了解用户的行为动机等。该技术适用于信息安全主动防御体系，能在特定功能的网络应用中识别主体、客体以及主体对客体的动机。一方面，基于情景感知技术，能及时识别如地点、时间、漏洞状态等当前情景的信息，提升信息安全决策正确性；另一方面，通过构建特定的感知场景进行分析，可降低攻击的误报率，包括分辨传统安全防护机制无法防护的攻击以及确定有意义的偏离正常行为[5]。本文提出的主动防御模型是在P2DR安全模型的基础上进行延伸，包括情景感知（Aware）、动态防护（Protect）、深度监测（Detect）与研判处置（Response），即APDR模型。基于情景感知的主动防御模型如图3所示。

1.1事前情景感知

在攻击发生前，主动搜集外部威胁情景和内部情景信息，转换特定的安全策略应用到防护和监测过程中，对内外部威胁提前预警并制定防护策略，另外通过搜集威胁情报与现有资产属性匹配，实时进行风险预警[6-7]。1）外部情景信息。针对外部攻击，主要通过获取威胁情报，依靠专业的安全分析团队，综合分析之后形成情报的处置决策，并通过网络安全设备或终端上的安全软件来执行决策，实现针对高级攻击的防范，整个过程可以通过设备自动执行。威胁情报一般包括信誉情报（“坏”的URL、IP地址、域名等）、攻击情报（攻击源、攻击工具、利用的漏洞、采取的方式等）等。通常可以从安全服务厂商、CERT、防病毒厂商、政府机构和安全组织机构得到安全预警通告、漏洞通告、威胁通告等，这些都属于典型的安全威胁情报。2）内部情景信息。主要是指对内部异常行为进行监控，内部异常行为造成的破坏是导致安全事故的主要因素，外部攻击者发起APT攻击，其中的部分环节需要通过“内部行走”才能接触到敏感数据，从而实现盗取或破坏的目的。企业内部的威胁源包括可能准备离职的有恶意的内部人员、内部人员长期慢速的信息泄露等，内部攻击也可能由具备内部访问权限的合作伙伴或者第三方发起。通过制定不同的情景，获取样本，建立正常行为模型，并分析内部网络流量或终端服务器上的行为，可及早发现异常。内部情景主要指“主体”到“客体”的访问行为情景，主体是人或应用，客体是应用或数据。情景包含的因素有5W（Who、When、Where、What、How），常见的异常情景有：登录异常行为，包括异常时间、频繁登录失败等行为；业务违规行为，包括高频业务访问、业务绕行等。

1.2事中动态防护与监测

对于事中动态防护与监测，一方面根据已知情景进行威胁行为模式匹配，另一方面能基于网络交互上下文动态学习（自学习）和感知网络特定上下文，建立相应的情景模型，对异常行为进行告警和阻断[8]。1）威胁模式匹配。对于外部威胁情报中的信誉情报防护设备，直接根据安全事件的某个特征进行模式匹配即可，如检测有外向连接到已知的危险实体，或者检测可作为潜在攻击线索的事件和行为特征的序列等[9-10]。对于攻击情报中攻击源、攻击工具、利用的漏洞、该采取的方式等信息进行威胁情报建模，对安全事件进行特征提取，形成特征序列和威胁情报模型进行关联分析。威胁情报标准及其可机读性是关键，为使计算机能自动识别其表达行为，一般采用XML语言自描述。目前成熟的国外威胁情报标准包括网络可观察表达式（CyboX）、结构化威胁信息表达式（StructuredThreatInformationeXpression，STIX）、可信自动交换指标信息（TrustedAutomatedeXchangeofIndicatorInformation，TAXII）等。2）威胁行为学习。威胁行为是指不符合业务逻辑的行为，包括针对性的威胁行为（黑名单）及违反正常行为（白名单），通常表现为基于时间序列或基于统计的行为。威胁行为学习通过分析事件间的关系，利用过滤、关联、聚合等技术，最终由简单事件产生高级事件。行为的学习可以通过业务专家或者安全专家直接建模，但更多是通过机器学习方式辅以人工知识进行建模。机器建模包括训练和验证过程，一般模型的准确率低于专家建模。

1.3事后溯源和研判

事后溯源和研判是指对攻击行为进行研判和取证，反馈攻击行为给情景感知模型并修订防护策略，在适当时机通过技术或者法律手段对入侵者进行反制。1）安全事件研判。采用可视化手段对可疑安全事件或预测性安全事件进行分析，确定攻击的准确性以及造成的损失。事件研判需要专业能力强的安全运维人员来进行，除了具备安全知识外，对应用系统的行为也要非常熟悉。交互可视化可以大幅提高事件研判的效率，但定制化因素较多，也可借用成熟的工具进行事件研判，如安全沙箱、网络分析软件等。事件研判的结果应立即进入处置流程，使安全事件闭环，从而进一步完善主动防御体系。2）攻击溯源取证。溯源是指在网络攻击发生后，通过已发现的攻击路径追寻攻击者的相关信息。溯源相关的事件包括业务事件和网络事件，业务事件的目的是查找使用者，网络事件的目的是查找网络报文的发送者。溯源通过事件或者日志链层层查找，而取证则需要对系统或网络攻击行为进行还原，涉及的技术比较广，也是目前针对企业合规及司法取证的热点。

2基于情景感知的主动防御体系实践

建立主动防御系统是一项十分复杂的工程，从IATF安全保障体系来看，涉及人、流程、技术等要素的有机结合。在主动防御体系建设方面，为体现主动防御体系的前瞻性、自学习、实时响应，除了组织流程建设外，还需要在威胁感知基础设施方面不断进行完善，并不断完善防护、监测等技术措施，提升主动防御体系的完整性。基于情景感知的主动防御体系如图4所示。在组织方面，需要构建内外部威胁情景信息搜集队伍以及可以编写内外部威胁模型、能对安全事件进行精准研判的人员。另外，对于情报的搜集要建立适当的渠道，以确保情报的准确性、权威性。目前国内各大企业侧重于体系建设、技术与产品的实施，对运维能力和组织建设方面的关注不够，导致很多宣称已经实现的主动防御体系仅仅落实在字面上。与组织对应的是流程体系建设，主动防御体系是基于P2DR动态防御体系之上的，需要不断完善流程，应对不断演进的内外部威胁。建立高效的流程体系，可以确保各种技术、管理手段得以落实，从而更好地满足企业政策合规和生产经营需要。在技术层面，构建主动防御体系需要企业规划有一个总体的清晰线路，各种技术手段相互关联、补充。主动防御具有前瞻性的前提是对网络及应用环境的资产属性及安全属性有全面的掌握，能实时发现系统的弱点、威胁和风险。在基础设施方面，安全基线系统建设最为关键，由于被防护系统会不停变动、新的系统不断被引入、用户账户不停新建或撤销，新的漏洞不断披露，针对新威胁的适应改造也需一直进行。因此，应持续对终端设备、服务器端系统、漏洞和网络交互接口、业务交互行为进行重定基线以及挖掘发现。主动防御体系关键数据模型如图5所示。在数据模型方面，需要对主动防御体系的内涵进行诠释，确保该体系建设过程中数据流和信息流能够统一和集成。主动防御体系涉及的关键信息模型包括威胁情报模型（需要对不同攻击源进行统一描述）、防护设备策略模型（不同厂商策略的统一便于威胁情报模型在防护设备中得以动态实施）、防护设备告警模型（需要统一或规范各厂商设备告警内容的一致性）、业务情景模型（需要从系统、网络、业务层面构建统一的业务模型），以及监测层面的事件模型（统一安全事件，便于事件的统计分析和风险计算）、态势感知预测模型（对网络流量、业务交互频率、安全事件发生频率等进行建模）等。但这些模型的核心是防护对象的资产模型，包括拓扑属性、安全属性、运行属性等，是上述模型的纽带和计算基础。

3结语

从国内信息安全主动防御体系建设来看，电信行业起步较早，以传统的安全信息和事件管理（SIEM）为起点，逐渐发展安全管理平台（SMP），实现了终端、网络、应用防护技术的统一，并且承载安全管理、安全合规、安全处置和安全规划等能力，安全建设更加体系化，为主动防护体系实施奠定了基础。在能源行业，电力二次系统从最早的边界防护到一体化调度支撑系统的建设，再到可信计算的应用，实现了终端、网络、应用的层次化纵深防护，也为主动防御体系建设奠定了基础。如何构建更加智能主动的防御体系，还需要结合具体的业务情景进行不断研究。随着威胁情报标准的制定以及大数据实时流处理、机器学习技术的应用，实时动态感知威胁情报、实时威胁情景学习与预测将使安全防护措施识别攻击的成功率和精准度进一步提升，促进主动防御体系的进一步成熟。

作者:杨维永 郭靓 廖鹏 金倩倩 单位:南京南瑞集团公司

参考文献：

[1]JAJODIAS.网络空间态势感知问题与研究[M].余健,游凌,樊龙飞,等译.北京:国防工业出版社,2014.

[2]王慧强,赖积保,朱亮,等.网络态势感知系统研究综述[J].计算机科学,2006,33(10):5-10.WANGHui-qiang,LAIJi-bao,ZHULiang,etal.Surveyofnetworksituationawarenesssystem[J].ComputerScience,2006,33(10):5-10.

[3]陈秀真,郑庆华,管晓宏,等.网络化系统安全态势评估的研究[J].西安交通大学学报,2004,38(4):404-408.CHENXiu-zhen,ZHENGQing-hua,GUANXiao-hong,etal.Studyonevaluationforsecuritysituationofnetworkedsystems[J].JournalofXi'anJiaotongUniversity,2004,38(4):404-408.

[4]李蕊,李仁发.上下文感知计算及系统框架综述[J].计算机研究与发展,2007a,44(2):269-276.LIRui,LIRen-fa.Asurveyofcontext-awarecomputinganditssysteminfrastructure[J].JournalofComputerResearchandDevelopment,2007,44(2):269-276.

[5]张屹,张帆,程明凤,等.泛在学习环境下基于情境感知的学习资源检索模型构建[J].中国电化教育,2010(6):104-107.

[6]贾焰,王晓伟,韩伟红,等.YHSSAS:面向大规模网络的安全态势感知系统[J].计算机科学,2011,38(2):4-8.JIAYan,WANGXiao-wei,HANWei-hong,etal.YHSSAS:Large-scalenetworkorientedsecuritysituationalawarenesssystem[J].ComputerScience,2011,38(2):4-8.

[7]温辉,徐开勇,赵彬,等.网络安全事件关联分析及主动响应机制的研究[J].计算机应用与软件,2010,27(4):60-63.WENHui,XUKai-yong,ZHAOBin,etal.Onnetworksecurityeventcorrelationanalysisandactiveresponsemechanism[J].ComputerApplicationsandSoftware,2010,27(4):60-63.

[8]韦勇,连一峰,冯登国.基于信息融合的网络安全态势评估模型[J].计算机研究与发展,2009,46(3):353-362.WEIYong,LIANYi-feng,FENGDeng-guo.Anetworksecuritysituationalawarenessmodelbasedoninformationfusion[J].JournalofComputerResearchandDevelopment,2009,46(3):353-362.

[9]CHENSH,JAKEMANAJ,NORTONJP.Artificialintelligencetechniques:anintroductiontotheiruseformodellingenvironmentalsystems[J].MathematicsandComputersinSimulation,2008,78(3):379-400.

[10]张勇,谭小彬,崔孝林,等.基于Markov博弈模型的网络安全态势感知方法[J].软件学报,2011,22(3):495-508.ZHANGYong,TANXiao-bin,CUIXiao-lin,etal.NetworksecuritysituationawarenessapproachbasedonMarkovgamemodel[J].JournalofSoftware,2011,22(3):495-508.