導語：基于情景感知的信息安全體系建設一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：為改變傳統的事后防御的不利局面，企業信息安全防護體系建設思路已從被動防御逐步發展為主動防御，通過先驗知識檢測未知威脅，能夠對未來的攻擊趨勢進行預測。針對更加定向、持久化和多樣化的攻擊模式以及更高的預測難度，文章基于情景感知理念建設了信息安全主動防御體系，結合內部和外部情報，通過攻擊特征、異常業務行為匹配來感知和預測未知威脅，能夠更精準地發現高級持續威脅，從而保證預警的前瞻性和準確性。

關鍵詞：信息安全；情景感知；威脅情報；主動防御；安全事件管理

0引言

人們對信息安全的認識隨著信息安全形勢的發展、信息安全技術的革新而變化，在不同領域的不同時期，解決信息安全問題時的側重也各有不同。以往人們對于安全防護體系的關注焦點是以防護技術為主的相對靜態的安全體系，而技術的進步導致信息安全問題愈發嚴峻，信息安全防護要求不斷提高，其動態性、過程性的發展要求凸顯。P2DR（Policy，Protection，DetectionandResponse）安全模型和IATF信息保障技術框架是信息安全體系發展的重要里程碑，奠定了信息安全體系逐步動態化、過程化的基礎。P2DR模型源于美國ISS公司提出的自適應網絡安全模型（AdaptiveNetworkSecurityModel，ANSM），其在整體安全策略的控制和指導下，綜合利用防護工具和檢測工具了解、評估系統的安全狀態，將系統調整到“最安全”和“風險最低”的狀態。在此過程中，防護、檢測和響應形成一個完整、動態的安全威脅響應閉環，在安全策略的整體指導下保證信息系統安全[1]。P2DR安全模型如圖1所示。圖1P2DR安全模型Fig.1P2DRsecuritymodelIATF是美國國家安全局（NSA）組織編寫的一個全面描述信息安全保障體系的框架，它提出了信息保障時代信息基礎設施的全套安全需求，其創造性在于：首次提出了信息保障依賴于人、操作和技術共同實現組織職能/業務運作的思想，人通過技術支持實施操作過程，最終實現信息保障目標；提出穩健的信息保障狀態取決于信息保障的各項策略、過程、技術和機制，在整個組織信息基礎設施的所有層面上都能得以實施[2]。IATF安全防護框架如圖2所示。網絡攻擊技術的不斷更新使得網絡安全問題日益嚴峻，特別是高級持續威脅（AdvancedPersistentThreat，APT）的出現，對網絡安全防護提出了新的挑戰。相較于其他攻擊形式，APT主要體現在攻擊者實施攻擊前需精確收集攻擊對象的業務流程和目標系統信息。而在信息收集過程中，此攻擊會主動挖掘攻擊目標信息系統和應用的漏洞，并利用這些漏洞組建起攻擊者所需的網絡，進一步利用0day漏洞進行攻擊，從而達到終極攻擊目的。針對APT攻擊的防護，Enterasys、Cisco等公司產品都體現了主動防御的理念。在安全防護體系方面，P2DR安全模型側重技術層面，通過更改安全防護策略防護已發現的安全事件，雖具動態性，但仍局限于被動的事后響應；IATF安全模型側重人、操作與技術一體，強調人的主動性和流程的主動過程。綜上所述，如何在惡意攻擊行為發生前主動檢測網絡中存在的脆弱點，研究并預測攻擊者行為，建立起主動型防護體系是信息安全領域中的一個重要課題。本文基于以上2種思路，結合情景感知思想，構建了新一代主動安全防護體系，在事前進行威脅防御[3]。

1基于情景感知的新一代主動防御體系

主動防御是一種前瞻性防御，通過針對性地實施一系列安全防御措施，提前發現安全薄弱點或安全攻擊行為，并實施安全防護措施。這種防御理念不同于以往滯后于攻擊的防御，能夠檢測未知攻擊，預測未來的安全形勢。主動防御具有自學習能力，能自動對網絡進行監控，對發現的攻擊實時響應，通過分析攻擊方法和技術，對網絡入侵進行取證，對入侵者進行跟蹤甚至進行反擊等[4]。情景感知技術源于普適計算的研究，通過傳感器獲得關于用戶所處環境的相關信息，從而進一步了解用戶的行為動機等。該技術適用于信息安全主動防御體系，能在特定功能的網絡應用中識別主體、客體以及主體對客體的動機。一方面，基于情景感知技術，能及時識別如地點、時間、漏洞狀態等當前情景的信息，提升信息安全決策正確性；另一方面，通過構建特定的感知場景進行分析，可降低攻擊的誤報率，包括分辨傳統安全防護機制無法防護的攻擊以及確定有意義的偏離正常行為[5]。本文提出的主動防御模型是在P2DR安全模型的基礎上進行延伸，包括情景感知（Aware）、動態防護（Protect）、深度監測（Detect）與研判處置（Response），即APDR模型。基于情景感知的主動防御模型如圖3所示。

1.1事前情景感知

在攻擊發生前，主動搜集外部威脅情景和內部情景信息，轉換特定的安全策略應用到防護和監測過程中，對內外部威脅提前預警并制定防護策略，另外通過搜集威脅情報與現有資產屬性匹配，實時進行風險預警[6-7]。1）外部情景信息。針對外部攻擊，主要通過獲取威脅情報，依靠專業的安全分析團隊，綜合分析之后形成情報的處置決策，并通過網絡安全設備或終端上的安全軟件來執行決策，實現針對高級攻擊的防范，整個過程可以通過設備自動執行。威脅情報一般包括信譽情報（“壞”的URL、IP地址、域名等）、攻擊情報（攻擊源、攻擊工具、利用的漏洞、采取的方式等）等。通常可以從安全服務廠商、CERT、防病毒廠商、政府機構和安全組織機構得到安全預警通告、漏洞通告、威脅通告等，這些都屬于典型的安全威脅情報。2）內部情景信息。主要是指對內部異常行為進行監控，內部異常行為造成的破壞是導致安全事故的主要因素，外部攻擊者發起APT攻擊，其中的部分環節需要通過“內部行走”才能接觸到敏感數據，從而實現盜取或破壞的目的。企業內部的威脅源包括可能準備離職的有惡意的內部人員、內部人員長期慢速的信息泄露等，內部攻擊也可能由具備內部訪問權限的合作伙伴或者第三方發起。通過制定不同的情景，獲取樣本，建立正常行為模型，并分析內部網絡流量或終端服務器上的行為，可及早發現異常。內部情景主要指“主體”到“客體”的訪問行為情景，主體是人或應用，客體是應用或數據。情景包含的因素有5W（Who、When、Where、What、How），常見的異常情景有：登錄異常行為，包括異常時間、頻繁登錄失敗等行為；業務違規行為，包括高頻業務訪問、業務繞行等。

1.2事中動態防護與監測

對于事中動態防護與監測，一方面根據已知情景進行威脅行為模式匹配，另一方面能基于網絡交互上下文動態學習（自學習）和感知網絡特定上下文，建立相應的情景模型，對異常行為進行告警和阻斷[8]。1）威脅模式匹配。對于外部威脅情報中的信譽情報防護設備，直接根據安全事件的某個特征進行模式匹配即可，如檢測有外向連接到已知的危險實體，或者檢測可作為潛在攻擊線索的事件和行為特征的序列等[9-10]。對于攻擊情報中攻擊源、攻擊工具、利用的漏洞、該采取的方式等信息進行威脅情報建模，對安全事件進行特征提取，形成特征序列和威脅情報模型進行關聯分析。威脅情報標準及其可機讀性是關鍵，為使計算機能自動識別其表達行為，一般采用XML語言自描述。目前成熟的國外威脅情報標準包括網絡可觀察表達式（CyboX）、結構化威脅信息表達式（StructuredThreatInformationeXpression，STIX）、可信自動交換指標信息（TrustedAutomatedeXchangeofIndicatorInformation，TAXII）等。2）威脅行為學習。威脅行為是指不符合業務邏輯的行為，包括針對性的威脅行為（黑名單）及違反正常行為（白名單），通常表現為基于時間序列或基于統計的行為。威脅行為學習通過分析事件間的關系，利用過濾、關聯、聚合等技術，最終由簡單事件產生高級事件。行為的學習可以通過業務專家或者安全專家直接建模，但更多是通過機器學習方式輔以人工知識進行建模。機器建模包括訓練和驗證過程，一般模型的準確率低于專家建模。

1.3事后溯源和研判

事后溯源和研判是指對攻擊行為進行研判和取證，反饋攻擊行為給情景感知模型并修訂防護策略，在適當時機通過技術或者法律手段對入侵者進行反制。1）安全事件研判。采用可視化手段對可疑安全事件或預測性安全事件進行分析，確定攻擊的準確性以及造成的損失。事件研判需要專業能力強的安全運維人員來進行，除了具備安全知識外，對應用系統的行為也要非常熟悉。交互可視化可以大幅提高事件研判的效率，但定制化因素較多，也可借用成熟的工具進行事件研判，如安全沙箱、網絡分析軟件等。事件研判的結果應立即進入處置流程，使安全事件閉環，從而進一步完善主動防御體系。2）攻擊溯源取證。溯源是指在網絡攻擊發生后，通過已發現的攻擊路徑追尋攻擊者的相關信息。溯源相關的事件包括業務事件和網絡事件，業務事件的目的是查找使用者，網絡事件的目的是查找網絡報文的發送者。溯源通過事件或者日志鏈層層查找，而取證則需要對系統或網絡攻擊行為進行還原，涉及的技術比較廣，也是目前針對企業合規及司法取證的熱點。

2基于情景感知的主動防御體系實踐

建立主動防御系統是一項十分復雜的工程，從IATF安全保障體系來看，涉及人、流程、技術等要素的有機結合。在主動防御體系建設方面，為體現主動防御體系的前瞻性、自學習、實時響應，除了組織流程建設外，還需要在威脅感知基礎設施方面不斷進行完善，并不斷完善防護、監測等技術措施，提升主動防御體系的完整性。基于情景感知的主動防御體系如圖4所示。在組織方面，需要構建內外部威脅情景信息搜集隊伍以及可以編寫內外部威脅模型、能對安全事件進行精準研判的人員。另外，對于情報的搜集要建立適當的渠道，以確保情報的準確性、權威性。目前國內各大企業側重于體系建設、技術與產品的實施，對運維能力和組織建設方面的關注不夠，導致很多宣稱已經實現的主動防御體系僅僅落實在字面上。與組織對應的是流程體系建設，主動防御體系是基于P2DR動態防御體系之上的，需要不斷完善流程，應對不斷演進的內外部威脅。建立高效的流程體系，可以確保各種技術、管理手段得以落實，從而更好地滿足企業政策合規和生產經營需要。在技術層面，構建主動防御體系需要企業規劃有一個總體的清晰線路，各種技術手段相互關聯、補充。主動防御具有前瞻性的前提是對網絡及應用環境的資產屬性及安全屬性有全面的掌握，能實時發現系統的弱點、威脅和風險。在基礎設施方面，安全基線系統建設最為關鍵，由于被防護系統會不停變動、新的系統不斷被引入、用戶賬戶不停新建或撤銷，新的漏洞不斷披露，針對新威脅的適應改造也需一直進行。因此，應持續對終端設備、服務器端系統、漏洞和網絡交互接口、業務交互行為進行重定基線以及挖掘發現。主動防御體系關鍵數據模型如圖5所示。在數據模型方面，需要對主動防御體系的內涵進行詮釋，確保該體系建設過程中數據流和信息流能夠統一和集成。主動防御體系涉及的關鍵信息模型包括威脅情報模型（需要對不同攻擊源進行統一描述）、防護設備策略模型（不同廠商策略的統一便于威脅情報模型在防護設備中得以動態實施）、防護設備告警模型（需要統一或規范各廠商設備告警內容的一致性）、業務情景模型（需要從系統、網絡、業務層面構建統一的業務模型），以及監測層面的事件模型（統一安全事件，便于事件的統計分析和風險計算）、態勢感知預測模型（對網絡流量、業務交互頻率、安全事件發生頻率等進行建模）等。但這些模型的核心是防護對象的資產模型，包括拓撲屬性、安全屬性、運行屬性等，是上述模型的紐帶和計算基礎。

3結語

從國內信息安全主動防御體系建設來看，電信行業起步較早，以傳統的安全信息和事件管理（SIEM）為起點，逐漸發展安全管理平臺（SMP），實現了終端、網絡、應用防護技術的統一，并且承載安全管理、安全合規、安全處置和安全規劃等能力，安全建設更加體系化，為主動防護體系實施奠定了基礎。在能源行業，電力二次系統從最早的邊界防護到一體化調度支撐系統的建設，再到可信計算的應用，實現了終端、網絡、應用的層次化縱深防護，也為主動防御體系建設奠定了基礎。如何構建更加智能主動的防御體系，還需要結合具體的業務情景進行不斷研究。隨著威脅情報標準的制定以及大數據實時流處理、機器學習技術的應用，實時動態感知威脅情報、實時威脅情景學習與預測將使安全防護措施識別攻擊的成功率和精準度進一步提升，促進主動防御體系的進一步成熟。

作者:楊維永 郭靚 廖鵬 金倩倩 單位:南京南瑞集團公司

參考文獻：

[1]JAJODIAS.網絡空間態勢感知問題與研究[M].余健,游凌,樊龍飛,等譯.北京:國防工業出版社,2014.

[2]王慧強,賴積保,朱亮,等.網絡態勢感知系統研究綜述[J].計算機科學,2006,33(10):5-10.WANGHui-qiang,LAIJi-bao,ZHULiang,etal.Surveyofnetworksituationawarenesssystem[J].ComputerScience,2006,33(10):5-10.

[3]陳秀真,鄭慶華,管曉宏,等.網絡化系統安全態勢評估的研究[J].西安交通大學學報,2004,38(4):404-408.CHENXiu-zhen,ZHENGQing-hua,GUANXiao-hong,etal.Studyonevaluationforsecuritysituationofnetworkedsystems[J].JournalofXi'anJiaotongUniversity,2004,38(4):404-408.

[4]李蕊,李仁發.上下文感知計算及系統框架綜述[J].計算機研究與發展,2007a,44(2):269-276.LIRui,LIRen-fa.Asurveyofcontext-awarecomputinganditssysteminfrastructure[J].JournalofComputerResearchandDevelopment,2007,44(2):269-276.

[5]張屹,張帆,程明鳳,等.泛在學習環境下基于情境感知的學習資源檢索模型構建[J].中國電化教育,2010(6):104-107.

[6]賈焰,王曉偉,韓偉紅,等.YHSSAS:面向大規模網絡的安全態勢感知系統[J].計算機科學,2011,38(2):4-8.JIAYan,WANGXiao-wei,HANWei-hong,etal.YHSSAS:Large-scalenetworkorientedsecuritysituationalawarenesssystem[J].ComputerScience,2011,38(2):4-8.

[7]溫輝,徐開勇,趙彬,等.網絡安全事件關聯分析及主動響應機制的研究[J].計算機應用與軟件,2010,27(4):60-63.WENHui,XUKai-yong,ZHAOBin,etal.Onnetworksecurityeventcorrelationanalysisandactiveresponsemechanism[J].ComputerApplicationsandSoftware,2010,27(4):60-63.

[8]韋勇,連一峰,馮登國.基于信息融合的網絡安全態勢評估模型[J].計算機研究與發展,2009,46(3):353-362.WEIYong,LIANYi-feng,FENGDeng-guo.Anetworksecuritysituationalawarenessmodelbasedoninformationfusion[J].JournalofComputerResearchandDevelopment,2009,46(3):353-362.

[9]CHENSH,JAKEMANAJ,NORTONJP.Artificialintelligencetechniques:anintroductiontotheiruseformodellingenvironmentalsystems[J].MathematicsandComputersinSimulation,2008,78(3):379-400.

[10]張勇,譚小彬,崔孝林,等.基于Markov博弈模型的網絡安全態勢感知方法[J].軟件學報,2011,22(3):495-508.ZHANGYong,TANXiao-bin,CUIXiao-lin,etal.NetworksecuritysituationawarenessapproachbasedonMarkovgamemodel[J].JournalofSoftware,2011,22(3):495-508.