電網信息安全威脅情報自動化應用技術研究

◆肖 鵬蘇永東張 睿宋 春

（1.云南電網有限責任公司信息中心 云南 650217；2.云南云電同方科技有限公司 云南 650217）

電網信息安全威脅情報自動化應用技術研究

◆肖 鵬1蘇永東1張 睿2宋 春2

（1.云南電網有限責任公司信息中心 云南 650217；2.云南云電同方科技有限公司 云南 650217）

當前網絡空間安全形勢非常復雜，入侵手段不斷攀升，高危漏洞層出不窮，為開放融合過程中的電網企業信息安全防護帶來新的挑戰。本文根據某電網企業的現狀，開展了威脅情報自動化應用技術研究，形成了新漏洞快速檢測、IDS/防火墻策略自動更新以及惡意軟件檢測規則快速應用等基于威脅情報的縱深動態防御體系，并針對平臺后續深入應用給出了研究方向。

精準預警；威脅情報；自動化；電網企業；開放融合網絡

0 引言

隨著新型漏洞和攻擊的不斷增長，信息安全面臨嚴峻挑戰。匿名網絡（The Onion Router，Tor）、網絡跳板、僵尸網絡（Botnet）、惡意URL地址等方式在網絡攻擊者大量使用，發現困難、追蹤更難，這些都攻擊手段的出現帶來了新的挑戰。傳統方法往往只能獲取局部攻擊信息，無法構建出完整的攻擊鏈條。隨著電力體制改革、能源互聯網技術的推進，電網企業原有封閉的內網將面臨復雜的信息安全環境，希望有類似國際刑警組織能夠獲取到各地網絡中的威脅信息，從而為網絡攻擊檢測防護、聯動處置、信息共享提供一個決策信息平臺。近幾年在網絡安全領域逐步興起的威脅情報（Threat Intelligence）分析為電網企業快速獲取攻擊熱點并及時防護提供了支持。

對此，開展威脅情報自動化應用技術研究，能夠進一步縮短響應防護時間，及時發現并阻斷攻擊，對于電網企業信息安全防護水平的提升具有重要意義

1 國內外研究現狀

安全威脅情報（Security Threat Intelligence），它是網絡安全機構為了共同應對高級持續性威脅（Advanced Persistent Threat，APT）攻擊，而逐漸興起的一項熱門技術，它實際上是我們從安全服務廠商、防病毒廠商、和安全組織得到安全預警通告、漏洞通告、威脅通告等，并用于對網絡攻擊進行追根溯源。為了實現情報的自動化應用，國外已經提出了一些情報共享與描述規范。

（1）CybOX

Cyber Observable eXpression（CybOX）規范定義了一個表征計算機可觀察對象與網絡動態和實體的方法。可觀察對象包括文件，HTTP會話，X509證書，系統配置項等。CybOX 規范提供了一套標準且支持擴展的語法，用來描述所有我們可以從計算系統和操作上觀察到的內容。在某些情況下，可觀察的對象可以作為判斷威脅的指標，比如Windows的RegistryKey。這種可觀察對象由于具有某個特定值，往往作為判斷威脅存在與否的指標。IP地址也是一種可觀察的對象，通常作為判斷惡意企圖的指標。

（2）STIX

Structured Threat Information eXpression（STIX）提供了基于標準XML的語法描述威脅情報的細節和威脅內容的方法。STIX支持使用CybOX格式去描述大部分STIX語法本身就能描述的內容，當然，STIX還支持其他格式。標準化將使安全研究人員交換威脅情報的效率和準確率大大提升，大大減少溝通中的誤解，還能自動化處理某些威脅情報。實踐證明，STIX規范可以描述威脅情報中多方面的特征，包括威脅因素，威脅活動，安全事故等。它極大程度利用DHS規范來指定各個STIX實體中包含的數據項的格式。

（3）TAXII

Trusted Automated eXchange of Indicator Information（TAXII）提供安全的傳輸和威脅情報信息的交換。很多文章讓人誤以為TAXII只能傳輸TAXII格式的數據，但實際上它支持多種格式傳輸數據。當前的通常做法是用TAXII來傳輸數據，用STIX來作情報描述，用CybOX的詞匯。TAXII在標準化服務和信息交換的條款中定義了交換協議，可以支持多種共享模型，包括hub-and-spoke，peer-to-peer，subscription。

（4）MIL

輕量級交換托管事件（Managed Incident Lightweight Exchange，MILE）封裝的標準涵蓋了與DHS系列規范大致相同的的內容，特別是CybOX，STIX和TAXII。MILE標準為指標和事件定義了一個數據格式。該封裝還包含了事件對象描述和交換格式（Incident Object Description and Exchange Format，IODEF）。IODEF合并了許多DHS系列規范的數據格式，并提供了一種交換那些可操作的統計性事件信息的格式，且支持自動處理。它還包含了結構化網絡安全信息（IODEF for Structured Cybersecurity Information，IODEF-SCI）擴展和實時網絡防御（Realtime Internetwork Defense， RID），支持自動共享情報和事件。

（5）安全威脅情報共享框架OpenIOC

OpenIOC本身是一個記錄、定義以及共享安全情報的格式，它可以幫助你借助機器可讀的形式實現不同類型威脅情報的快速共享。OpenIOC本身是開放、靈活的框架，因此你隨時可以根據發現添加新的情報，完善你的IOC（Indicator of Compromise）。OpenIOC主要使用XML（Extensible Markup Language）來實現，XML語言提供了豐富、靈活的格式來將數據表示成可機讀的形式。通常在使用OpenIOC時會定義自己的指示器屬性表（Indicator Term Documens），里面列出了要使用的諸多屬性，當然也可以根據自己的需要添加新的屬性描述。

而國內目前也已經建成了部分威脅情報中心，360威脅情報中心和微步在線威脅情報中心作為較為知名、較早商用的情報中心也為企業提高威脅情報。但360提供的威脅情報為360安全設備專用的機讀格式，難以與企業現有防御設施集成；微步在線提供的威脅情報則僅局限于惡意IP、域名等方面，并且是通過API接口查詢，并沒有應用相關情報描述規范。

2 電網威脅情報自動化應用技術研究

2.1 應用總體框架

威脅情報系統的技術框架如圖1所示，從圖中可看出它包含了內部威脅和外部威脅兩個方面的共享和利用。

圖1 威脅情報自動化應用總體框架圖

外部威脅情報主要來自互聯網已公開的情報源，及各種訂閱的安全信息，漏洞信息、合作交換情報信息、購買的商業公司的情報信息。公開的信息包含了安全態勢信息、安全事件信息、各種網絡安全預警信息、網絡監控數據分析結果、IP地址信譽等。在威脅情報系統中能夠提供潛在的惡意IP地址庫，包括惡意主機、垃圾郵件發送源頭與其他威脅，還可以將事件與網絡數據與系統漏洞關聯。

2.2 應用平臺功能及關鍵技術

2.2.1 威脅情報應用平臺功能架構

為了應用獲取到的威脅情報，威脅情報應用平臺應具有分析、驗證等功能，同時需要具備外部情報在內部的檢測與應用的能力，如圖2所示。

圖2 威脅情報自動化應用平臺功能圖

2.2.2 自動化應用關鍵技術

（1）防火墻/IPS/IDS規則下發

威脅情報中往往帶有惡意的IP情報，主要是惡意軟件下載的地址、遠控服務器地址、帶有攻擊性的Web地址、DDoS攻擊源地址等，通過將這些情報使用STIX/OpenIOC描述后，即可根據所使用的防火墻/IDS/IPS類型，自動化的生成阻斷規則，從而能夠避免遭受相關攻擊。

（2）DNS過濾規則下發

對于域名來說，可以在DNS服務器基礎上應用開源的DNS過濾工具RPZone，并導出其規則文件RPZ，實現對惡意域名的過濾。

（3）釣魚郵件過濾

在現有的郵件系統基礎上，開發黑名單導入接口，將威脅情報中攜帶的釣魚、惡意郵件地址、郵件主題生成列表后，利用黑名單導入接口應用到當前郵件系統。

（4）惡意軟件防護

由于目前使用的惡意軟件防護軟件均未開放特征庫編輯，僅能在網絡上應用深度包檢測技術或開源惡意代碼檢測工具，對威脅情報中提供的惡意軟件名稱、簽名等進行比對分析。

（5）終端安全防護

企業當前應用的終端安全管理系統能夠有效檢測終端注冊表、文件等配置，而威脅情報中對于惡意軟件如何實現駐留的描述，可以通過向終端安全管理系統推送駐留特征實現，包括初次釋放的文件、修改的注冊表、修改的文件等行為，利用終端安全管理系統進行檢測，并設置安全策略：“檢測到異常后隔離該終端，禁止網絡訪問”，在不擴大感染的情況下由人工介入進行排查修復。

（6）惡意URL訪問檢測

針對威脅情報中提供的惡意URL，利用上網行為審計系統實現內網訪問記錄的告警，以便快速響應。

（7）安全漏洞精確關聯與修復

威脅情報中往往帶有該攻擊或惡意軟件使用的系統安全漏洞，一般為CVE漏洞編號。通過在內網建立CVE漏洞鏡像庫或實時訪問官網漏洞信息，可以獲取該漏洞的影響范圍和修復方法。包括影響的系統類型、版本，修復該漏洞的版本等，將這些信息在內網資產庫中進行比對，即可精確定位面臨威脅的資產，針對性的組織修復。

而當前該企業正在建設自動化運維系統，還可以將自動化運維系統與威脅情報應用平臺接口，自動化的完成漏洞修復版本的測試和正式應用。

（8）攻擊跡象檢測

除了上述響應行為外，平臺通過將威脅情報中的各屬性內容在信息安全審計系統中進行檢測，發現正在進行的隱蔽攻擊或已結束的攻擊，開展取證、影響分析工作，做好攻擊后處理。

3 結束語

目前，威脅情報的自動化應用仍在探索中，其主要難點在于可機讀的威脅情報難以在封閉的基礎安全設施中直接應用，需要定制開發相關接口。因此，在電網信息安全情報自動化應用技術方面我們主要采用定制開發接口的形式向基礎安全設施提供最新的檢測屬性，在非關鍵場景下應用可直接集成的開源工具。

可以預見，隨著軟件定義安全技術的廣泛應用，威脅情報的應用將變的更加方便與快捷。

[1]王曉甜，張玉清.安全漏洞自動收集系統的設計與實現[J].計算機工程，2006.

[2]葛先軍，李志勇，何友.漏洞信息數據挖掘系統設計[J].計算機工程與設計，2009.

[3]顧韻華，張金喜，李佩.網絡安全漏洞信息采集系統的研究[J].計算機工程與設計，2011.

[4]Common Vulnerabilities and Exposures(CVE) [EB/OL].http://eve.mitre.org/,2016.

[5]高寅生.安全漏洞庫設計與實現.微電子學與計算機，2007.

[6]About NVD[EB/OL].http://nvd.nist.gov/about.cfm/,20-16.

[7]About Us.& More About US-CERT[EB/OL].http://w w-w.uscert.gov/aboutus.html,2016.

[8]Common vulnerability scoring system[EB/OL]. http:// -www.first.org/cvss/,2016.