陈泽鑫
福建省亿力信息技术有限公司,福州 350003
摘 要:针对近期发布的等级保护2.0,并结合不法分子对电力系统愈演愈烈的网络攻击,本文学习了国内外网络安全态势感知研究现状,研究了态势感知系统数据预处理、态势分析、态势预测等关键技术方法,提出将网络安全态势感知技术应用于电力网络系统的建设。最后,对目前网络安全态势感知面临的问题和对未来网络安全态势感知未来研究方向进行总结和展望。
1.引言
最近几年,在全球范围频频发生众多网络安全事件让社会上下对网络安全的关注度达到前所未有的高度,我国政府已经明确提出“没有网络安全就没有国家安全”,从国家层面强调网络安全的重要性,“网络安全等级保护制度”这一概念应运而生,为深入推进实施网络安全等级保护制度,公安部会同有关部门起草了《网络安全等级保护条例(征求意见稿)》,它可有效指导网络运营者、网络安全企业、网络安全服务机构开展网络安全等级保护工作,全面提升网络运营者的安全保护能力。
等级保护2.0更加强调安全保护能力,即能够抵御威胁、发现安全事件以及在遭到威胁攻击后能够恢复先前状态等,并加大了对新技术的应用,这些要求与电力系统对网络安全的要求不谋而合。
2.网络安全态势感知研究现状
网络安全态势感知(network security situational awareness)是一种主动防御技术,它复合了多项信息安全技术,能够实时、主动地监控当前网络状态,对当前和未来一段时间内网络的安全状况进行全面分析评估,从而预测网络安全风险并及时采取相应措施,直观显示网络环境的实时安全状况,实现静态和动态相结合的安全防御。
12 国内研究网络安全态势感知模型有文献[4]提出了一种保护关键信息基础设施广域态势感知框架;文献[5]提出了一种基于语义本体和用户自定义规则的态势推理方法的网络安全态势感知模型;文献[6]阐述了国家安全态势感知的概念,提出一个态势感知多层次分析框架等等。
国外研究网络安全态势感知模型主要有面向数据整合的模型、Endsley模型和针对分布式入侵检测提出的融合模型等。其中Endsley 模型是目前应用最广的态势感知模型之一,主要包含三个阶段:态势感知、态势理解和态势预测,模型如图1所示,第一级是对网络中各数据的感知(信息的输入),第二级是对综合理解第一级接收到的信息(信息的处理),第三级是对第二级结果的预测和输出(信息的输出)。
图1 Endsley三级模型示意图
3.态势感知系统的应用研究
为深入理解网络安全态势感知系统,本文将其引入电网系统信息网络规划设计中,图2所示为网络安全态势感知系统的应用架构。网络安全态势感知系统会对进出电网系统信息外网的所有数据进入分析,并利用系统威胁检测、漏洞扫描、深度学习等功能实现实时监测进出的数据,并将分析预测后的数据通过后台的安全分析模块和展示模块综合处理展现给用户。
图2 网络安全态势感知技术应用架构
为实现上述功能,本文将从图3所示的5个层次进行设计。这5个层次分别是数据采集层、数据预处理、态势分析、态势预测和可视化展示。
图3 网络安全态势感知技术架构
33.1数据采集
随着网络入侵和攻击正在向多元化、规模化、复杂化的趋势发展,安全威胁和攻击都和正常的流量数据混淆在一起,正常持续地收集多源异构的数据是后续分析的基础,因此数据采集可通过路由的镜像接口来实时监测采集到多源异构的网络数据,包括原始流量、日志数据、告警数据等[10]。对于大量的多源异构数据,可采用路由镜像、前置探针、NetFlow、传感器等方式进行采集。
在综合考虑到安全、成本、效率等多方面因素,布置在电力系统上的态势感知系统采用路由镜像和前置探针相结合的方法来采集通过的数据。
3.2数据预处理
由于采集的原始数据未按照系统统一格式,呈现多元化的特点,其数据格式、内容、质量千差万别,存储形式和表达的语义也不尽相同[11]。如果不对原始数据进行预处理,就会严重影响到结果的准确度和精确度,因此需要数据进行规约化、统一化处理,以改善数据质量。数据预处理就是对数据进行数据清洗、数据规约、数据融合等操作,把数据处理成一个系统可以识别的多元组整体,以便后续模块进行高性能地处理。
3.3态势分析
态势分析是将上一模块中预处理后的数据进行数据挖掘,提取出具有相关性、反映威胁性、攻击性等安全事件的特征,采用诸如无监督聚类算法、独立成分分析特征提取方法、结合专家知识和自动特征提取的攻击检测方法等对特征进行提出,实现原始数据的降维操作,从而全面掌握当前网络的整体安全情况,对当前网络进行态势分析。
布置在电力系统安全态势感知系统时引入了数据挖掘、机器学习等新技术以提高分析处理能力,可实现预处理后数据的模式识别与智能学习,通过分析数据源各个变量之间的关系,追根溯源,还原整个攻击。基于轻量级沙箱的漏洞攻击检测技术是态势感知技术使用的主要技术之一。
基于轻量级沙箱的漏洞攻击检测技术是针对传统基于签名的局限性提出的解决方案,以检测和发现主流客户端应用程序(IE/Office/AdobeReader)的可疑威胁为目标,能对客户端应用中已知漏洞和未知0day漏洞的攻击利用进行检测,它主要针对漏洞利用的相关技术进行检测,判断文件是否存在可利用的恶意代码。
检测技术包含动态检测引擎和半动态检测引擎。动态引擎依赖于漏洞利用环境重现,其虚拟机执行引擎运行Windows操作系统以及相关应用程序,注入检测模块,对恶意文件利用行为特征进行检测。使用Hook、指令流分析、模拟执行等检测手段对shellcode执行生命周期的各个阶级的特定行为进行检查,检测流程如下图4所示:
图4 轻量级沙箱样本检测流程示意图
半动态引擎的检测流程如下:
(1)从文件格式解码器、Shellcode 静态特征入手,判定并抽取文件中可疑数据进行抽取,抽取的数据包括静态二进制块数据和动态语言(javascript etc)程序块。
(2)利用静态分析、动态分析等方法对抽取的数据样本进行判断,判定抽取的数据是否为shellcode。
可疑样本数据抽取的流程如下:
(1)对二进制格式文件,我们使用静态shellcode特征定位,扫描判定文件中能作为可执行数据的偏移量,然后抽取特定偏移量数据块使用模拟器动态执行,检测是否存在恶意利用特征。
(2)对应动态语言(Javascript),我们使用正则提取,语法分析,模拟执行抽取特定上下文变量值,还原使用动态语言进行HeapSpary 攻击的payload二进制数据块,然后模拟执行判定抽取的payload数据是否为恶意利用代码。
3.4态势预测
态势预测是通过分析评估当前网络安全状态和比对历史威胁攻击数据,对未来一段时间内的网络安全发展趋势进行推测和估计,是实现网络安全主动防御的关键环节。目前网络安全态势预测一般采用定性分析、时间序列分析、马尔科夫链预测方法、神经网络预测方法、深度学习预测方法、因果分析等方法。
对每一次的攻击,系统都会建立相应的攻击特征库,且此特征库会通过神经网络和尝试学习算法不断训练自身以提高识别能力,当出现新攻击时,网络安全态势感知系统会通过卷积神经网络并微调各类参数,并建立新的检测模型。当新攻击未能完全识别时,系统对结果进行可疑标注,把决定权交给安全人员,以支持更有针对性的安全响应决策。
3.5数据可视化展示
为了更直观地了解当前网络的安全状态,态势感知系统会生成网络安全直观图,用户可更直观地了解网络安全态势感知系统分析处理数据结果。态势感知系统会根据当前网络情况和用户需求关注点,有选择性地将将抽象的分析结果以图形图像直观的方式进行综合展现,帮助安全人员分析识别网络安全威胁和攻击,并为管理决策提供有力的依据。用户也可根据自身需求选择对某一方面进行深入追踪,直到得到满意的结果为止,图5是态势感知平台可视化展示图。
图5 态势感知系统概要图
4.结束语
本文在等级保护2.0的背景下,研究了国内外网络安全态势感知研究现状后,并结合等级保护2.0对网络安全提出的新要求对态势感知架构进行了研究探讨。在当前单一事前防御体系技术无法满足当前日益严峻的网络安全时,符合等级保护2.0、应用大数据、机器学习等技术的态势感知系统就应运而生,它是多项新技术的复合和增加,是企业建立牢固的安全防护体系的选项之一。
4 下一步,可研究更先进的AI预测技术并吸收借鉴其它学科优势,研究出既满足等级保护2.0对网络的要求,又符合当前复杂网络环境下的安全态势量化评估的新思路、新方法和新模型,为网络安全精准主动防御提供帮助。
参考文献:
[1]Alcaraz C,Lopez J. Wide-Area Situational Awareness for Critical Infrastructure Protection [J] Computer,2013,46(4):30-37.
[2]Xu G,Cao Y,Ren Y,et al. Network Security Situation Awareness Based on Semantic Ontology and User-defined Rules for Internet of Things [J]. IEEE Access,2017:1-1.
[3]Zhang H , Shi J , Chen X. A Multi-Level Analysis Framework in Network Security Situation Awareness [J]. Procedia Computer Science,2013,17:530-536.
[4]管磊,胡光俊,王专. 基于大数据技术的网络安全态势感知平台研究[J]. 保密科学技术,2016(05):13-19.
[5]毛军礼,汲锡林. 基于大数据的网络态势感知体系架构[J]. 无线电通信技术,2018(03):217-223.
[6]Torrano-Gimenez C,Hai T N, Alvarez G,et al. Combining expert knowledge with automatic feature extraction for reliable web attack detection[J]. Security & Communication Networks,2015,8(16):2750-2767.