利用態勢感知發現海量數據背后的安全威脅

面對日益猖獗的網絡攻擊，企業在高級持續性威脅等未知威脅的發現和防御方面顯得力不從心，而眾多的安全設備和系統產生大量的零散數據和孤島數據，造成惡性攻擊事件告警隱藏在海量數據中，無法通過人工方式實時監控、預警、處置及溯源。

本文在介紹安全態勢感知相關概念和技術應用的基礎上，對基于安全態勢感知的網絡威脅分析、系統安全分析以及用戶行為分析進行了探討，著重對基于安全大數據和威脅情報進行的安全威脅場景分析進行了研究，對于企業安全能力的落地有重要意義。

基于大數據的安全

通過建立基于海量企業安全數據，構建了統一的安全數據中心，并通過大數據技術建立集中共享、威脅分析的全面安全數據分析能力。包括：關聯分析、統計分析、數據挖掘等多種分析算法，在分析算法的基礎上，多種針對企業信息安全威脅的數學分析模型也逐漸成型。

態勢感知分析場景

1 網絡威脅分析

安全態勢感知系統通過對網絡中各類安全日志等原始數據進行融合分析，結合業務系統和資源及其脆弱性情況及外部威脅情報進行網絡威脅分析。本文從以下場景進行探討和研究。

（1）網絡攻擊識別

網絡攻擊識別是安全態勢感知的基礎場景之一。安全態勢感知通過對各類安全設備的告警事件和日志，網絡流量、網站訪問日志、中間件日志、主機及應用日志等數據進行融合關聯分析，結合安全威脅情報，及時準確地識別Web攻擊、密碼猜測攻擊、惡意掃描、惡意程序、DDoS等主要攻擊。

首先抽取出IDS/IPS、WAF、抗D設備、防病毒、掛馬檢測等相應的安全告警，根據其屬性如告警類型、源目標IP、端口、時間等元素進行告警關聯，同時抽取中間件日志、網站訪問日志、網絡流量、主機及應用日志，根據各類攻擊行為特征進行檢測，生成安全事件，將安全設備的告警與日志分析產生的安全事件根據時間、源目標IP等進行關聯、去重去誤、歸并壓制，產生真正的安全攻擊告警。

（2）歷史攻擊回溯

在面對未知威脅時，安全設備和監控系統難免會有漏報，安全態勢感知通過對歷史數據的分析，發現遺漏的攻擊行為，這些攻擊行為可以作為后續的樣本數據，梳理出高風險資產和IP地址，進行重點關注或做黑名單處理。

（3）異常流量檢測

安全態勢感知的異常流量檢測采用流量基線的方法。首先需要對互聯網邊界和內部系統互聯區的流量數據進行采集和還原，然后從流量的源地址、源端口、目的地址、目的端口、流量協議類型幾個維度，通過大數據機器學習建立流量基線。流量基線包含流量地址范圍、端口范圍、協議類型、流量時間周期分布、流量總值、流量峰值、流量均值范圍等。通過流量基線的對比，發現與基線背離的異常流量，及時識別異常流量事件并告警。

（4）互聯網資產分析

在企業實際生產中，很多主機、IP、網絡設備和應用不可避免地暴露在互聯網中，這部分資產更易遭受攻擊。

安全態勢感知互聯網資產分析的對象是企業各類資產，包括類業務系統主機服務器、安全設備、網絡設備等。態勢系統通過對資產的指紋信息如主機名、IP、域名、所屬業務系統、廠商、操作系統及其版本、應用系統及版本，開放服務及端口列表等的采集，清楚地掌握資產情況，結合IP、URL/域名的信譽值及威脅類型情報數據，以及網絡重大安全事件情報（包括事件描述、影響地域、系統、資產類型等信息），進行企業資產及其指紋信息的分析對比，篩選出被攻擊、被標記的企業資產，從而進行隔離、加固及相應的處理。

（5）內部高風險網絡行為分析

企業內部高風險網絡行為分析，目標就是發現企業內部的可疑僵尸網絡和主機。安全態勢感知可以通過威脅情報對比內部網絡行為特征，針對這類高風險網絡行為進行分析。主要利用域名/URL情報數據、C2情報數據。其中域名/URL情報包括其基本信息如域名解析信息、子域名信息等。C2情報是僵尸網絡控制主機情報，包括C2服務器地址（域名或IP）、端口號、協議等信息。將各類安全日志、網絡流量中的訪問目標域名/URL與域名/URL情報數據進行比對，抽取疑似僵尸網絡或蠕蟲傳播的高風險網絡行為，對此類高風險網絡行為的源地址資產進行網絡活動、配置基線、漏洞利用分析，以便排查僵尸網絡。

將各類安全日志、網絡流量中的源地址/目標地址與C2情報的服務器地址進行比對，匹配中C2地址的對端地址認為是疑似僵尸主機地址，對疑似僵尸主機資產進行網絡活動、配置基線、漏洞利用分析，以確認僵尸主機。

2.系統安全分析

面向企業系統安全，威脅攻擊過程主要分為三個階段：通過多種手段收集企業資產信息，探測系統安全弱點，最后實施攻擊。如何能更準確、更高效的發現系統安全威脅是安全態勢感知主要解決的問題之一。

（1）系統攻擊識別

針對系統攻擊，基于大數據技術，可通過主動獲取并對日志破壞檢測數據、系統提權數據、錯誤日志檢測數據等進行數據分析，分析各種系統攻擊現象，并形成系統攻擊場景預警能力。通過針對系統的脆弱性分析，可發現系統中可被黑客或已被黑客利用的安全隱患。

其中對于日志破壞數據進行檢測，基于大數據技術，構建實時計算引擎，通過對指定日志類型和日志ID、或關鍵字的篩選分析，發現日志破壞行為，判斷、識別日志清除痕跡或行為。

若識別出相應的日志破壞、修改行為，則說明企業系統可能已遭到黑客入侵，系統會自動實時輸出安全威脅告警，通知該威脅消息，并給出相應發現詳情，幫助用戶定位問題系統，為后續系統安全問題鎖定、維護、排除，管理策略制定、實施、管控等提供安全威脅數據依據。圖1為系統攻擊分析流程圖。

同時，通過事件ID、或關鍵詞的篩選，可判斷訪問權限修改行為，直接發現黑客入侵行為，并基于系統關聯分析、統計分析、數據挖掘等數學分析算法及手段，勾畫黑客入侵路徑。

（2）系統脆弱性識別

針對系統自身脆弱性分析，可從內部發現可被利用的系統薄弱點，同時通過安全脆弱點和安全事件的關聯分析，感知系統安全威脅。系統脆弱性主要包括：漏洞分析、合規配置基線分析、以及弱口令分析等。圖2為系統脆弱性分析流程圖。

圖1 系統攻擊分析流程圖

圖2 系統脆弱性分析流程圖

3 用戶行為分析

在企業內部，企業用戶由于其行為隱秘性、審計不及時、監管力度不夠等，逐漸成為企業安全需要重點關注的部分。所以基于企業業務的用戶安全場景構建和用戶行為數據分析，也就更為重要。

首先，根據企業業務特征、流程以及需求，構建企業用戶個體畫像和群體特征畫像，基于對正常用戶個體、用戶群體行為進行長時間穩定數據的大數據歸并、抽象、關聯等分析過程，建立用戶行為基線，并以此為基礎，從個體、群體不同維度出發，發現偏離基線的用戶安全威脅行為，并以視圖、告警方式及時輸出大數據分析結果。

其次，建立多種基于企業業務的用戶行為分析場景，例如用戶越權操作、不正常權限變更、繞行或非法訪問、可疑業務辦理等，以及通過時間、空間等多種視角進行用戶行為分析，發現隱藏在海量數據背后的用戶安全威脅行為。