刘明 杨正午 马占祥 李志伟
国网电子商务有限公司 ,北京100000
摘要:随着互联网的高速发展,依托于区块链、5G、云技术、大数据等多种高新技术建立的电商平台规模正在飞速扩大。基于平台不断扩张的服务范围和用户群体,传统的网络安全防护体系已不足以支撑处理爆发增长的网络安全事件。为解决传统安全防护体系的安全响应滞后和情报信息不精准问题,引入关联规则挖掘对告警、日志、威胁情报进行分析、碰撞、聚合,利用人工智能的智能化和自动化特点实现安全事件的威胁预测以及小粒度的细粒化威胁情报提取。
关键词:人工智能;威胁情报;威胁预测
前言:随着5G和区块链技术的发展与推进和攻击手段的日益演变,电商平台面临的安全威胁类型亦变得日益多样化,由于数据体量的不断增高,社会对平台的安全保障需求达到了一个全新的高度。为建立能适应当前网络空间下的电商网络防护体系,通过引入人工智能、大数据技术实现智能化情报生产分析加快网络风险预警速度。本文将针对当前电商平台网络安全防护所面临的挑战及基于智能化威胁情报的网络防护体系搭建进行论述说明。
1.威胁情报及网络安全防护体系目标概述
1.1 威胁情报概述
威胁情报的概念于美国政府发布的《大数据研究与发展倡议》被正式提出,其中提到了将孤立存在威胁信息关联为威胁情报进而对其进行分析研究[1]。电商行业刚刚兴起由于缺少必要威胁情报支撑,英国电商网站cloudNine遭受网络攻击导致其宣布破产,并由其竞争对手接管业务[2]。时至至今,威胁情报依据应用场景分类可分为:
a)战略威胁情报,提供从网络空间及网络业务顶端的安全态势分析,一般不涉及技术领域,主要辅助决策层理解当前安全态势和攻击趋势。
b)运营威胁情报,针对具体的、未发生的安全事件提供预测功能的情报,辅助高级安全人员进行具体攻击的针对性防御。
c)战术威胁情报,主要针对特定组织或特定人员的特定攻击向量进行画像,更关注攻击者具体的攻击行为即TTPs,从而保证应急人员能及时针对此类记录在案的攻击进行有效的行动策略。
d)技术威胁情报,即以规则、特征值、sha1码组成的失陷标识为主体的失陷威胁情报,可自动识别记录过的攻击行为。
2.现有网络安全防护体系中威胁检测的研究
90年代初,随着中国个人计算机的普及和互联网的快速发展,网络安全的重要性也随之被重视起来,截至目前,中国的互联网安全防护体系已经经历了数个发展阶段。
2.1系统防护阶段
该阶段主要处于世纪末,在这个阶段网络安全设备开始丰富起来,各安全公司开始推出自己的安全设备,此时的安全防护主要依靠安全设备各自自主对数据通讯的包内容进行识别及过滤,利用过滤规则来阻挡已知手法的攻击[3]。
2.2联动防护阶段
随着互联网以及网络安全产业的发展,我国各类信息安全标准也逐渐完善,新安全设备及安全解决方案不断推出,安全厂商也进入到了一个快速发展期,第二代防火墙,入侵检测设备,行为管理设备,蜜罐等安全设备被不断推出市场,安全防护体系建设自此进入到了联动防护阶段[4]。
3.基于智能化情报提取的电商网络防护模型说明
现有网络安全防护体系逐渐从堡垒式防御演变为联动式防御,但仍然面临着传统威胁情报识别未知攻击能力弱的问题,并且不能对攻击源及攻击人员进行有效的安全画像。因此,本文提出了基于智能化情报分析的网络安全防护体系建设。
3.1模型架构概述
模型基于智能化威胁情报建立,为解决检测攻击连行为和画像攻击人员的问题主要设计了五大模块:资产画像模块、事件采集模块、情报数据中心、统一安全模型仓、开放式安全感知平台。五大模块采用异步运行的搭建模式分别独立维护运行,模型中涉及人工智能技术、机器学习技术、深度学习技术、大数据技术和多源异构数据结构融合技术。
其中人工智能技术、机器学习技术、深度学习技术集成进统一安全模型仓进行统一的算法和模型管理;大数据技术主要应用于数据中心作底层的数据驱动支撑,通过Kafka对多源数据采集器进行吞吐,storm集群配合elasticsearch和HBase实现持久化数据的秒级高效查询;数据结构融合技术应用于事件采集模块支撑流量告警、社会新闻、安全事件、开源情报等不同来源的流量数据和事件数据的异构同化处理,保证采集获得的源数据的可用性和准确性。
3.2模型模块及流程说明
整体模型的业务流程分为数据处理和数据使用两部分,同时提供对外界数据采集分析进行知识沉淀和利用知识沉淀配合安全模型实现安全威胁检测两种服务。
3.2.1数据处理
本文中数据处理主要针对两个方面:对资产的数据画像建模和安全事件的数据情报处理分析。资产画像子模块对资产进行组件级别资产画像实现资产建模,模块主要包括三部分:
探针群,对业务资产的jar文件和进程进行资产组件级使用情况的挖掘提取。
建立运营平台,平台运营人员负责搜集、整理和维护辖下网络空间资产的业务侧信息,平台设管理员对平台功能、账号进行管理。
建立资产管理平台,平台将运营平台的业务侧项目业务信息和各个探针上传的软件物理信息进行关联,最终实现资产从组件信息到业务信息的全方位资产画像。
安全事件数据情报分析子模块实现了对外界安全资料的智能化分类分析。模块利用采集器从公网采集安全事件信息进行格式规范化清洗;再调用统一安全模型仓对安全事件进行类型判定;依据事件类型调用关键信息规则进行信息提取;将分析结果与历史情报进行关联规则挖掘形成用于行为预测的情报链。
3.2.2数据使用
该部分主要涉及安全情报与网络资产画像的匹配检测。整体情报数据使用功能可总结为三大模块:应用模块、安全服务模块、安全信息反馈模块模块。
应用模块
本模块主要描述该模型提供安全服务的三种机制。第一种是由管理员进行统一配置的全局实时监控机制,由安全管理员进行具体设置实时监测策略。第二种通过创建临时的安全任务、配置任务相关参数,对监控目标执行相应的情报检测。第三种是平台提供的安全服务API,基于HTTPS协议开发为具备安全需求的用户提供远程安全服务。
安全服务模块
本模块以三项安全服务为主体:风险预测、失陷检测、入侵检测,通过智能安全检测框架进行检测,并由统一任务调度中心进行统一调控。
智能安全检测框架双向连接上文描述的资产管理平台和威胁情报库,将资产信息与不同类型的威胁情报进行抽象建模实现数据间的联动。利用威胁情报信息对镜像的日志信息和流量数据进行特征匹配。
安全信息反馈模块
该模块主要涉及了三类安全画像:资产安全画像、检测结果分析、攻击源画像。资产安全画像将目标资产的检测结果对比历史检测结果进行资产安全趋势变化分析。检测结果分析子模块根据安全服务模块的检测结果,以列表形式对其涉及产线的安全负责人发送站内整改通知和邮箱提醒。攻击源画像子模块依据检测结果对历史流量信息进行攻击行为挖掘,将结果再与威胁情报库和攻击案例库进行匹配,对攻击者进行人员/组织画像。
3.总结
随着信息化和数字化技术的不断发展,网络安全防护在金融、通信、工业、交通、等各个领域的需求日益提高,精准、全面和攻防维度上升将成为目前网络安全防护体系研究工作的重中之重。通过对基于智能化情报提取的电商网络防护模型的介绍及实现过程论述,可知人工智能和威胁情报应用于网络安全防护的研究具有重大的意义。
参考文献:
[1]美国奥巴马政府.《大数据研究与发展倡议》.学术视界,2013,Vol38 No.1.
[2]创业邦.《哪些大电商被黑客攻陷过:京东凡客淘宝》. 南方网,2013
[3] 唐甸伟. 新时代网络安全技术及其应用方式研究[J]. 网络安全技术与应用,2020(10)
[4] 王雪莉. 蔡均平.陈刚.网络空间攻击和防护策略运用研究[J]. 网络安全技术与应用,2020(10).