探討安全大數(shù)據(jù)分析建模

信息安全涉及面較廣，信息安全控制點較為分散，信息安全管理的全面性要求實施了眾多的信息安全技術(shù)系統(tǒng)，如防火墻、IPS/IDS、WAF、網(wǎng)絡(luò)準(zhǔn)入、堡壘機、加密/DLP、終端管理、網(wǎng)絡(luò)審計、數(shù)據(jù)庫審計、上網(wǎng)行為管理等等。而這么多信息安全技術(shù)系統(tǒng)，每個系統(tǒng)都會產(chǎn)生大量的信息安全日志，比如文檔加密的文檔解密日志、終端管理的文檔拷出日志、網(wǎng)絡(luò)安全審計的文檔流轉(zhuǎn)日志、防火墻的攻擊攔截日志等等。

按照網(wǎng)絡(luò)安全法要求，這些日志都要保存6個月以上，并對日志要進行分析，以發(fā)現(xiàn)其中的攻擊、泄密等安全隱患，并為處置信息安全事件提供證據(jù)。然而目前這些海量的日志如果單靠人力分析已經(jīng)不能滿足當(dāng)前的要求，而且也缺乏相應(yīng)的人力。

為了解決此信息安全業(yè)務(wù)的矛盾，提升IT對信息安全的預(yù)防、隱患排查和處置能力，我們需要利用大數(shù)據(jù)的技術(shù)，通過對海量信息安全日志進行聚合、搜索、提取、分組、聯(lián)合、拆分、格式化和可視化。

下面筆者結(jié)合自己的工作實踐，對系信息安全大數(shù)據(jù)分析系統(tǒng)的建設(shè)和其中最重要的數(shù)據(jù)分析模型建立進行一些闡述。

建立信息安全大數(shù)據(jù)分析系統(tǒng)，首先要收集日志數(shù)據(jù)，這里的日志除了包括傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備系統(tǒng)日志如防火日志、網(wǎng)絡(luò)交換機日志、操作系統(tǒng)日志之外，還要包括業(yè)務(wù)系統(tǒng)的日志，比如郵件系統(tǒng)的登錄日志（非主機系統(tǒng)登錄日志）、網(wǎng)絡(luò)行為日志、文件操作增刪改的日志、終端計算機USB口拷入拷出日志等等。在日志的收集過程中，需要注意一個問題，日志的格式問題。不同的平臺，日志格式也不一樣。國外網(wǎng)絡(luò)安全系統(tǒng)日志輸出大部分有接口，只需要做相應(yīng)的配置即可；而國內(nèi)網(wǎng)絡(luò)安全系統(tǒng)的日志輸出大多沒有標(biāo)準(zhǔn)接口，需要進行日志接口開發(fā)，如果開發(fā)困難，就需要編寫正則表達式，通過手工導(dǎo)出、自動導(dǎo)入等半自動化手段，將需要的日志導(dǎo)入到大數(shù)據(jù)分析平臺。

其次，信息安全大數(shù)據(jù)分析平臺要考慮性能問題，按照1000人上網(wǎng)規(guī)模來算，筆者所在的單位產(chǎn)生的網(wǎng)絡(luò)安全相關(guān)日志能夠達到3000條/s。日志量的大小和企業(yè)的網(wǎng)絡(luò)業(yè)務(wù)繁忙程度以及業(yè)務(wù)系統(tǒng)多少有關(guān)系。上述數(shù)據(jù)供大家參考。

再次，信息安全大數(shù)據(jù)分析平臺還要考慮日志聚合去重、關(guān)聯(lián)分析能力及事件模型建立能力，其中建模能力是大數(shù)據(jù)分析平臺的重點。

下面筆者將重點介紹幾個信息安全事件分析模型供大家參考。

對于日志分析我們有幾個緯度重點考慮：時間、頻次、區(qū)域（地點）。模型也是從這幾個角度來考慮。

模型一：密碼泄漏（被盜）模型

日志對象：應(yīng)用系統(tǒng)登錄成功日志

時間：30分鐘內(nèi)（時間窗口可調(diào)整）

區(qū)域：2個（含）以上

頻次：2次（含）以上

模型規(guī)則：

當(dāng)同一ID登錄某個應(yīng)用系統(tǒng)成功，30分鐘出現(xiàn)了2次，且2次成功登錄的源IP并不在同一區(qū)域，即判定為該應(yīng)用系統(tǒng)此ID密碼被盜用。

比如來源IP，一個是在內(nèi)網(wǎng)、一個在公網(wǎng)；或者一個在北京，一個在上海。在該模型中，應(yīng)用不同，時間窗口可以不同。因為同一個人不可能在短時間內(nèi)出現(xiàn)空間瞬移，即在北京又在上海。

模型二：DDOS攻擊模型

圖1 欺詐者病毒發(fā)現(xiàn)模型實例

日志對象：外網(wǎng)單個IP主機觸發(fā)防火墻ACL規(guī)則

時間：10秒鐘

頻次：500次以上

模型規(guī)則：

主要對防火墻日志進行分析，發(fā)現(xiàn)同一外網(wǎng)IP，短時間內(nèi)出現(xiàn)大量的連接請求，即判斷為DDoS攻擊，可以及時進行攔截和清洗。

模型三：病毒主機發(fā)現(xiàn)模型

日志對象：內(nèi)網(wǎng)單個IP主機觸發(fā)的連接請求

時間：30分鐘

頻次：1000次以上

模型規(guī)則：

當(dāng)內(nèi)網(wǎng)單個IP主機短時間內(nèi)有大量的訪問多個IP地址的某一個端口或者多個端口，日志頻次達到1000次以上即觸發(fā)該模型規(guī)則，判斷為異常告警，然后通過人力干預(yù)判斷是否為異常，比如中毒或者對外進行端口掃描。

此模型建立之后，在欺詐者病毒的排查上啟到了積極作用。如圖1所示。

通過模型匹配日志發(fā)現(xiàn)，有較多的內(nèi)網(wǎng)IP，在訪問諸多國外IP的445端口，30分鐘內(nèi)出現(xiàn)了15萬條以上，模型匹配成功，即刻告警。我們收到告警后進一步找到該IP主機，發(fā)現(xiàn)該主機未修復(fù)補丁，殺毒軟件病毒庫也未及時升級，通過病毒查殺發(fā)現(xiàn)，該機器中了欺詐者病毒，即刻進行了后續(xù)處置。

模型四：暴力破解模型

日志對象：登錄失敗日志

時間：24小時

頻次：50次

模型規(guī)則：

當(dāng)一天內(nèi)某一ID的登錄失敗次數(shù)超過了50次，即判斷為暴力破解。該模型比較簡單，但是模型建立后，就發(fā)現(xiàn)了暴力破解現(xiàn)象，比較實用。

筆者所在的單位建立該模型后就發(fā)現(xiàn)了子公司存在大量的防火墻口令暴力破解現(xiàn)象（24小時破解784次），發(fā)現(xiàn)該現(xiàn)象后，我們通過對防火墻口令，設(shè)置較高的復(fù)雜度，從而增加破解難度；禁用默認管理員用戶，比如禁用Netscreen，創(chuàng)建自定義的管理員用戶名；設(shè)置防火墻登錄IP范圍，如僅允許分/子公司內(nèi)網(wǎng)IP訪問，或者固定某一段IP訪問防火墻；增加管理員登錄失敗鎖定時間等四個修復(fù)措施，防止了信息安全事件的擴大升級。采取措施之后，觸發(fā)的告警就隨之消失。

模型五：運維堡壘機繞過模型

日志對象：操作系統(tǒng)登錄日志、應(yīng)用系統(tǒng)管理臺登錄日志

時間：即時

頻次：1次

模型規(guī)則：

該模型較為復(fù)雜。首先,我們需要將監(jiān)控的服務(wù)器和應(yīng)用管理臺Web URL 加入到監(jiān)控目錄表；

其次,建立監(jiān)控的管理員ID目錄，比如Admin、Administrator、Root等；

然后對登錄日志進行分析，對于操作系統(tǒng)主機的登錄日志，我們不區(qū)分ID，只要發(fā)現(xiàn)登錄來源IP非堡壘機地址的，即進行報警，發(fā)現(xiàn)有非法者直接繞過堡壘機遠程運維服務(wù)器；

對于Web登錄日志，當(dāng)?shù)卿汭D為管理員且來源地址IP非堡壘機地址的，即進行報警。

此模型規(guī)則相對前四個模型較為負責(zé)，判斷條件較多，但對于外包維護能啟到較好的審計作用，并能及時告警和發(fā)現(xiàn)。目前的外包運維為做好審計都需要用堡壘機進行跳轉(zhuǎn)，對外違規(guī)操作能起到震懾作用。

模型六：泄密發(fā)現(xiàn)模型

日志對象：終端計算機文檔操作記錄（增刪改，關(guān)注更名記錄）、文檔的解密記錄、文檔的傳輸記錄（郵件發(fā)送、拷出、網(wǎng)盤等）

時間：24小時

頻次 ：1/50 次

模型規(guī)則：

此模型細分為兩個，一是一天內(nèi)當(dāng)某用戶對某一個文件進行更名（比如取消密級標(biāo)識），然后又對該文件進行了解密，隨后又通過郵件、USB、網(wǎng)盤等形式有發(fā)送日志，即判斷為有泄密風(fēng)險，即刻告警；

二是一天內(nèi)某一用戶解密文件數(shù)量超過50個（數(shù)量根據(jù)業(yè)務(wù)來判斷，需通過前期日常業(yè)務(wù)的大數(shù)據(jù)分析判斷一個平均值），同時伴隨著這些文件的外發(fā)，即判斷為有泄密風(fēng)險。通過該模型的建立我們發(fā)現(xiàn)了較多的員工離職預(yù)警，即只要匹配該模型成功，在接下來的一個月內(nèi)被匹配的員工就會提交離職報告。對此我們根據(jù)此預(yù)警信息提前采取相應(yīng)的安全措施，防止了公司文件的外泄。

信息安全大數(shù)據(jù)的分析模型還有很多，其中離職模型還可以從員工的日常上網(wǎng)行為日志中來進行挖掘，比如瀏覽求職網(wǎng)站、搜索關(guān)鍵字、終端文檔操作信息文檔名有簡歷、薪資等內(nèi)容等幾個緯度來建立模型。信息安全大數(shù)據(jù)分析模型的建立需要我們和業(yè)務(wù)相結(jié)合，來發(fā)現(xiàn)業(yè)務(wù)的共同點，建立多維模型。

筆者上述的六個模型并不一定適用于所有的場景，僅供各位專家參考，希望在此能拋磚引玉給大家提供一些思路，也為信息安全中的信息安全風(fēng)險的預(yù)判和監(jiān)測提供一些幫助。