网络安全挂图作战之安全监测挂图作战

    新时代网络安全的显著特征是技术对抗。为了大力提升网络安全技术对抗能力，需要建设网络安全保护平台，建设网络安全智慧大脑，利用大数据和人工智能等技术将网络安全业务上图，实施挂图作战。本文节选了《网络安全保护平台建设应用与挂图作战》相关内容，供网络安全保护工作相关单位、网络运营者和网络安全从业者们学习参考。

1．流量检测技术

    （1）协议还原与载荷提取技术

    流量检测通过获取网络数据包，对传输协议和传输内容进行分析，以判断其中是否包含攻击行为或异常行为。网络数据的传输必须遵守特定的通信协议，在基于TCP/IP协议的互联网通信中，常用的网络协议有位于传输层的TCP、UDP，以及位于应用层的HTTP、HTTPS、SMTP、POP、SSH、FTP、DNS等。这些协议有统一的字段格式和交互流程。

    要想通过网络流量对通信内容进行全面分析，必须对原始流量包进行协议解析，根据协议类型将其还原为不同种类的应用访问记录，其中就包含通过应用协议传输的载荷，如访问网页的URL请求和网站返回的内容、用户登录SSH服务器执行的操作/命令和服务器返回的结果等。

    随着网络设备安全防护能力的提升，传统的利用网络协议漏洞实施攻击的方法（如Flood）逐渐失效。威胁较大的攻击主要是针对操作系统和应用服务的攻击，如口令爆破利用服务器口令的复杂性缺陷、注入利用Web服务程序在输入校验方面的漏洞、缓冲区溢出利用应用程序在编码实现方面的疏漏等。因此，只有完整提取网络流量中的载荷，获取通信双方的交互内容，才能判断是否存在攻击活动。协议还原与载荷提取技术相对成熟，不同产品的差距主要体现在应用协议的覆盖程度及协议还原的性能上。

    （2）深度流检测技术

    “爱因斯坦”计划是一个网络安全自动监测项目，由美国国土安全部下属的美国计算机应急响应小组（US-CERT）开发，用于监测针对政府网络的入侵与攻击行为，保护政府网络系统的安全。“爱因斯坦”计划始于2003年，采用基于深度流检测（DFI）的分析技术，对网络异常流量进行检测和趋势判断。

     深度流检测技术不提取应用载荷的内容，只针对网络流所使用的传输协议的字段进行分析，包括IP地址、端口、协议类型、标志位、时间戳、流长度、流持续时间等。深度流检测技术只能发现网络流层面的异常和利用协议漏洞实施的攻击活动，检测能力有限。

    （3）深度包检测技术

    由于深度流检测技术无法发现应用协议内的攻击活动，所以，2009年启动的“爱因斯坦2”计划全面应用了深度包检测（DPI）技术，基于典型的特征匹配方法，提取网络数据包载荷的内容，与预置的已知攻击行为特征进行比对，一旦比对成功就进行安全告警。深度包检测技术也是商业入侵检测产品普遍使用的技术。

    深度包检测技术对数据包的全部内容进行匹配，能够发现包括协议攻击和应用层攻击在内的各类攻击行为。深度包检测技术的检测能力主要体现在预置行为特征库的覆盖程度和准确度上，既要保证能够检测出所有已知的攻击行为，又要确保不会被数据包中的无关内容触发而引起误报（因此，需要对特征库进行实时更新）。

2．行为分析技术

    行为分析的概念是相对于传统检测技术中的特征匹配提出的。由于特征匹配只进行数据流的简单比对，而没有从语义的角度理解攻击行为，也无法形成攻击活动的完整画像，所以无法满足应对网络安全严峻形势的需要。因此，研究人员提出了行为分析的概念，尝试对攻击活动及其人员、样本、环境等关联因素进行综合分析，以便更加准确、全面地把握网络安全态势。典型的行为分析技术包括软件源码分析技术和软件行为分析技术。

    （1）软件源码分析技术

    大量应用软件由于设计和实现时的疏漏而存在漏洞或隐患。软件源码分析技术在获取软件源码的前提下，利用扫描、污点分析、插桩等技术，分析软件程序的行为特点和安全缺陷，识别软件开发过程中可能存在的缓冲区溢出、输入错误、校验错误、内存泄漏等隐患，是网络安全保护工作的重要数据来源。软件源码分析技术用于判断安全事件的真实性和有效性，进行资产关联以实现安全预警。

    （2）软件行为分析技术

    软件行为分析技术通过构建虚拟的动态运行环境，观察软件在虚拟环境中运行时的行为特征，包括系统中断、系统调用、文件操作、注册表操作、开放端口、网络回连等，判断是否存在可疑的操作行为（可以作为检测木马病毒或APT样本的依据）。

    典型的软件行为分析技术产品称为沙箱。主流的沙箱产品可以模拟Windows、Linux、UNIX等典型操作系统、常用数据库管理系统和应用服务，部分产品可以直接实现对CPU指令集的模拟，从而提供更接近真实环境的模拟环境，以便全面收集软件的运行特征。

    近年来，研究人员将卷积神经网络等深度学习算法应用到软件行为分析任务中，通过自动训练神经网络获得软件代码的行为画像，从而检测恶意软件。软件行为分析技术也可用于对软件进行细粒度的分析，以发现代码中可能存在的未知安全漏洞，并作为给软件打补丁和进行软件安全加固的依据。

3．网络探测技术

    流量检测技术和行为分析技术均以被动方式获取网络安全数据，主要采取旁站式监测，缺少与检测目标的交互，在数据的全面性和精准性上有欠缺。例如，通过流量检测技术可以发现攻击者针对网站服务器的攻击行为，但由于对网站服务器的了解不够，所以无法准确判断攻击行为是否对目标构成了实际威胁，即难以确定攻击活动是否奏效。网络探测技术通过主动探测的方式，感知并获取网络的拓扑结构、资产信息、系统配置及威胁情报等（可以作为网络流量和行为分析数据的有效补充）。典型的网络探测技术包括漏洞探测技术、网络测绘技术、威胁情报获取技术、知识抽取技术。

    （1）漏洞探测技术

    漏洞探测是一种基于漏洞数据库（如CVE、CCSS、CNVD、CNNVD等），通过扫描等手段对指定的远程或本地网络信息系统的脆弱性进行检测，从而发现安全漏洞的检测行为。漏洞扫描包括网络漏洞扫描、主机漏洞扫描、数据库漏洞扫描等。通过漏洞探测，可以了解网络的安全设置和所运行的应用服务的情况，及时发现安全漏洞，评估风险等级，根据扫描结果进行漏洞修补和系统加固。

    漏洞探测技术通过主动获取目标系统的版本、配置参数等信息，与已知漏洞的存在环境进行比对，实现漏洞检出。漏洞探测通常要结合渗透测试进行，通过模拟攻击者的行为来确认可以被利用的漏洞，形成实战化的漏洞探测结果。有效的渗透测试可以发现存在于操作系统、应用程序、数据库、网络设备等的可以被实际利用的漏洞，从而全面评估被测网络在安全方面的技术风险。

    （2）网络测绘技术

    网络测绘技术是资产探测技术的升级。传统的资产探测技术关注资产的基础信息和安全配置信息，网络测绘技术在此基础上增加了对资产地理位置和关联性的探测，通过绘制网络空间的节点和连接关系图，形成覆盖整个网络空间的图谱。

    网络测绘技术是开展大规模网络安全监测分析的基础。网络测绘技术通过准确掌握互联网资产状况，实现网络资产画像，与漏洞隐患和威胁攻击行为进行关联分析，从而有效支撑跨地理空间和网络空间的安全保护工作，提高监测发现的准确性。互联网上有多个项目致力于网络测绘，如Shadon、ZoomEye等。网络测绘技术有助于实现从传统地理学的“人—地”关系演变成更为复杂的“人—地—网”关系。作为网络空间地理学的核心领域，网络测绘技术将逐步发展成跨越地理学、计算机科学和网络空间安全的交叉学科。

    （3）威胁情报获取技术

    威胁情报是指与网络安全威胁、攻击活动、攻击样本、漏洞隐患、攻击资源等有关的信息。这些信息不仅与已经发生的攻击活动有关，还包括对未来可能出现的攻击活动的预测和预警。国内外有很多提供威胁情报的安全机构，如FireEye、VirusTotal、360、微步在线等，其主要采用的方法是识别和检测威胁的失陷标识，如恶意样本散列值、恶意IP地址、恶意域名、程序运行路径、注册表项等。

    威胁情报旨在为面临威胁的资产主体提供全面、准确、带有预警性质的安全知识和信息。可以通过商业交换或共享的方式获取威胁情报，也可以通过主动获取的方式得到开源的威胁情报。后者利用威胁情报源提供的API或直接使用网页爬虫获取数据，将其解析成可供机读的要素信息，或者利用自然语言处理模型对网页内容进行语义识别和分类，供网络安全大数据平台使用。

    （4）知识抽取技术

    知识抽取在传统应用领域以不同数据源的结构化或半结构化自描述为主，抽取方法以专家定义规则和机器学习算法为代表。在近些年兴起的以文本为主要内容的非结构化数据浪潮中，知识抽取主要涉及要素实体对齐、属性识别、结构化记录等问题，如使用CRF模型进行态势实体抽取、使用远程监督方法进行态势关系抽取。在这方面具有代表性的技术是数据治理产品Lattice使用的DeepDive技术。

    国内的高校和研究机构对知识抽取技术的研究较为深入。北京大学的研究团队以图数据模型为理论基础，研究网络节点相似度模型，进而通过网络对齐实现知识抽取。中国人民大学的研究团队提出了混合算法和众包技术的学术知识获取方法。由清华大学开发的Aminer系统是一个基于信息抽取和融合技术构建的包含数百万文献和数十万研究人员的学术知识图谱。复旦大学的研究团队基于维基百科和中文百科构建了开放的中文版百科知识图谱CN-DBpedia。

    在网络空间安全领域，知识抽取技术是威胁情报获取的重要支撑技术，其研究重点是从文本类非结构化数据中抽取与网络安全有关的要素信息，包括漏洞隐患、攻击方法、攻击工具、攻击组织、保护目标、关键信息基础设施等。使用知识抽取技术，可以从获取的威胁情报中抽取上述要素信息并对其进行结构化转换，然后输入网络安全大数据平台，进行进一步的关联分析和综合研判。

    安全监测是重要行业部门、中央企业在网络安全保护业务开展过程中不可或缺的技术手段。随着威胁攻击的演进及监测发现技术的成熟，安全监测技术手段在积累中不断发展完善，逐步形成了一整套有内容、有范围、有目标的业务，一般由重要行业部门、中央企业和技术支持单位的运营人员协同完成。安全监测业务围绕威胁攻击的发现，综合采用主动检测、被动监测、共享交换等方法手段获取多源异构威胁攻击数据及关联数据，然后，利用数据融合、关联分析等技术手段，结合人工进行威胁攻击的发现，输出可反映网络安全状况的监测数据。安全监测挂图作战业务与要素如图所示。

图示：安全监测挂图作战业务与要素

    从监测对象出发，考虑监测数据的相关组成，安全监测可分为重点目标监测、重点活动监测、重点组织监测、重点单位监测、重点地区监测、重点国家监测和专项监测，分别对应于威胁攻击的目标系统、威胁攻击行为、威胁攻击方、威胁攻击针对单位、威胁攻击来源地区、威胁攻击来源国家，以及在不同时期特定威胁、特定攻击的专项监测。安全监测结果一般包括监测对象信息、监测对象级别、相关保护目标安全状况、监测结果统计分析、安全监测关联要素，以及安全监测与其他业务、安全监测与外部的协同联动信息。

    通过对安全监测业务流程和相关要素的分析可知，安全监测业务主要负责人在进行挂图作战指挥过程中关心以下问题。

• 近期安全监测的总体状况如何？有没有发现重大网络安全威胁攻击事件？

• 本部门、本行业重点保护对象情况如何，有无较大安全问题？

• 有没有发现境外攻击组织的针对性攻击？

• 有无重要专项监测任务，是否有必要启动针对特定问题的专项监测，是否需要请求外部协同？

• 安全监测要素信息流向哪些业务，是否与外部联动？

    安全监测挂图作战图形设计要能反映上述问题，并能以动态可视的方式呈现指挥交互过程。综合考虑相关需求，以网络安全监测总览、重点目标监测、重点活动监测、重点组织监测、重点国家监测、重点地区监测、专项监测为总体框架，同时对目标、活动、组织、国家、地区、威胁进行分类，结合要素之间的关联关系，以及要素在地理图层上的映射，构建网络图层及与地理图层的叠加图层。从要素轮廓出发，研发针对要素数据和要素关联数据的闭包型提取组件，提取要素信息；考虑图层内部要素之间的关联，进一步提取数据，形成图层；考虑与地理图层之间的关系，研发地理图层叠加组件；考虑与其他图层要素之间的关系，研发图层叠加组件；综合安全监测业务场景，以地理图层为基础，通过要素级别的映射，确定多图层叠加机制并研制相关组件。引入可视化表达技术，为上述图层和要素设置可视化表达策略、要素上图策略、视图转换策略、页面交互策略，输出安全监测挂图作战图形。

    关保联盟将陆续推出《网络安全保护平台建设应用与挂图作战》的部分内容，供各大家学习、交流，更多内容敬请关注本书。