張 軍

（中國(guó)太平洋保險(xiǎn)股份有限公司，上海 200233）

0 引 言

安全分析是一個(gè)涵蓋許多技術(shù)的概念與實(shí)踐。安全分析將分析技術(shù)和方法應(yīng)用到安全案例，目標(biāo)是為了實(shí)現(xiàn)更有效的威脅檢測(cè)，提升威脅監(jiān)控和響應(yīng)的效率，從而保護(hù)信息安全和網(wǎng)絡(luò)安全。安全分析的對(duì)象包括各種類型的安全數(shù)據(jù)，如日志、網(wǎng)絡(luò)流量元數(shù)據(jù)、應(yīng)用程序事務(wù)記錄和端點(diǎn)執(zhí)行記錄等。安全分析在發(fā)展過程中，經(jīng)歷了不同的發(fā)展階段。基于計(jì)數(shù)器原理的初始階段。此階段安全分析主要保障基礎(chǔ)網(wǎng)絡(luò)設(shè)備的使用安全，基本是基于計(jì)數(shù)器原理，當(dāng)一定時(shí)間內(nèi)訪問量超過一定閾值就認(rèn)為是異常，需采取必要措施。主要的功能是防范拒絕服務(wù)（DoS）攻擊和降質(zhì)（Reduction of Quality，簡(jiǎn)稱RoQ）攻擊，保證網(wǎng)絡(luò)的正常可用和服務(wù)質(zhì)量。

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)流量不斷豐富，網(wǎng)絡(luò)應(yīng)用日益增長(zhǎng)，用戶的各種信息在互聯(lián)網(wǎng)上流轉(zhuǎn)，攻擊目的也發(fā)生了變化，從最初的破壞網(wǎng)絡(luò)可用性發(fā)展到獲取用戶信息和經(jīng)濟(jì)利益等。這個(gè)階段往往有大量的安全專家參與，利用專家的安全知識(shí)制定復(fù)雜的規(guī)則，基于規(guī)則進(jìn)行流量分析，安全分析進(jìn)入規(guī)則分析時(shí)期。

現(xiàn)階段的安全分析。規(guī)則在簡(jiǎn)單場(chǎng)景、已知威脅發(fā)現(xiàn)等方面有著重要作用，也將持續(xù)發(fā)揮一定的作用。但是，隨著威脅場(chǎng)景越來越復(fù)雜，關(guān)聯(lián)的數(shù)據(jù)越來越多，規(guī)則在這些復(fù)雜場(chǎng)景或未知威脅發(fā)現(xiàn)方面顯得力不從心。隨著機(jī)器學(xué)習(xí)和人工智能的快速發(fā)展，機(jī)器學(xué)習(xí)算法融入安全產(chǎn)品，作為規(guī)則的有益補(bǔ)充。

安全分析的演進(jìn)方向。基于多流量多來源數(shù)據(jù)，利用圖分析和深度學(xué)習(xí)，讓機(jī)器自動(dòng)從中找出一些規(guī)律和發(fā)現(xiàn)異常，將是安全分析未來演進(jìn)的重要方向。

深度學(xué)習(xí)是一個(gè)具有多個(gè)隱層的非線性神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)。深層神經(jīng)網(wǎng)絡(luò)由一個(gè)輸入層、數(shù)個(gè)隱層和一個(gè)輸出層構(gòu)成。每層有若干個(gè)神經(jīng)元，神經(jīng)元之間有連接權(quán)重。每個(gè)神經(jīng)元模擬人類的神經(jīng)元細(xì)胞，節(jié)點(diǎn)之間的連接模擬神經(jīng)細(xì)胞之間的連接。

深度學(xué)習(xí)與網(wǎng)絡(luò)安全[1-3]標(biāo)志性的事件。全球第一個(gè)基于深度學(xué)習(xí)提供商業(yè)化網(wǎng)絡(luò)空間安全解決方案的公司（Deep Instinct）于2015年11月在舊金山成立。該公司宣稱其安全解決方案能夠抵御未知攻擊，能夠即時(shí)檢測(cè)0-day漏洞的威脅和APT攻擊。2016年1月，Symantec公司也宣布采用深度學(xué)習(xí)技術(shù)檢測(cè)利用0-day漏洞的病毒工具。

目前，深度學(xué)習(xí)在信息安全中的應(yīng)用還處于起步階段，但是為當(dāng)前的信息安全領(lǐng)域提供了新的思路。隨著深度學(xué)習(xí)的發(fā)展，深度學(xué)習(xí)在信息安全上的應(yīng)用越來越成熟，越來越廣泛。

隨著云計(jì)算相關(guān)技術(shù)的發(fā)展，可以將云計(jì)算與深度學(xué)習(xí)技術(shù)結(jié)合起來研究信息安全防治技術(shù)[4-5]。

當(dāng)今世界信息技術(shù)迅猛發(fā)展，人類社會(huì)正進(jìn)入一個(gè)信息社會(huì)，社會(huì)經(jīng)濟(jì)的發(fā)展對(duì)信息資源、信息技術(shù)和信息產(chǎn)業(yè)的依賴程度越來越大。在信息社會(huì)中，信息己成為人類寶貴的資源。近年來，互聯(lián)網(wǎng)正以驚人的速度在全球發(fā)展，互聯(lián)網(wǎng)技術(shù)已經(jīng)滲透到各個(gè)領(lǐng)域。然而，互聯(lián)網(wǎng)發(fā)展而帶來的網(wǎng)絡(luò)系統(tǒng)的安全問題變得日益突出，受到了越來越多的關(guān)注。因此，網(wǎng)絡(luò)安全和信息安全已成為關(guān)系國(guó)家安全的重大戰(zhàn)略問題[6]。

Gartner公司在2016年對(duì)信息安全狀況進(jìn)行了一些評(píng)估和預(yù)測(cè)[7]：從現(xiàn)在起至2020年，由于企業(yè)信息安全團(tuán)隊(duì)的數(shù)字化管理能力存在問題，將直接導(dǎo)致60%的數(shù)字化企業(yè)發(fā)生信息安全事件，同時(shí)60%的企業(yè)在信息安全方面的預(yù)算將會(huì)花在威脅快速檢測(cè)和安全應(yīng)急響應(yīng)上。

面對(duì)越來越復(fù)雜的威脅，安全廠家如何設(shè)計(jì)安全分析產(chǎn)品，用戶如何設(shè)計(jì)或從眾多安全分析產(chǎn)品中選擇真正有價(jià)值、適合自身的產(chǎn)品，成為問題的焦點(diǎn)。

現(xiàn)階段，安全分析面臨的主要挑戰(zhàn)包括：

（1）輕易上馬，分析技術(shù)預(yù)估不足。面對(duì)越來越復(fù)雜的安全威脅，為了急于找到安全分析的解決方案，安全廠家或用戶常常在沒有進(jìn)行適當(dāng)調(diào)查，沒有全面了解面臨的問題的情況下，盲目選擇“安全分析”技術(shù)。

（2）錯(cuò)誤理解安全分析的作用和成本代價(jià)。安全廠家或用戶高估了機(jī)器學(xué)習(xí)的作用，認(rèn)為非監(jiān)督的機(jī)器學(xué)習(xí)或深度學(xué)習(xí)方法可以解決絕大多數(shù)安全案例問題，不需要專業(yè)知識(shí)，可以開箱即用；低估了安全分析實(shí)施和運(yùn)營(yíng)成本，以為只需要在廉價(jià)的商品硬件上運(yùn)行，不需要太多的運(yùn)營(yíng)和維護(hù)。這往往導(dǎo)致最終無法實(shí)現(xiàn)安全目標(biāo)。

（3）用戶被動(dòng)接受夸大宣傳。基于案例的安全分析技術(shù)驗(yàn)證和測(cè)試不足，導(dǎo)致用戶無法選擇真正合適的分析技術(shù)和產(chǎn)品。

（4）錯(cuò)誤預(yù)估安全分析實(shí)施難度。一是用戶沒有充分理解和規(guī)劃安全分析案例，沒有充分考慮需要的時(shí)間、資源和機(jī)制，很多時(shí)候項(xiàng)目或產(chǎn)品需要快速上線，設(shè)計(jì)和開發(fā)時(shí)間短，導(dǎo)致準(zhǔn)備不足，實(shí)施效果與期望偏差很大。二是安全分析機(jī)制仍然未有效應(yīng)用。在項(xiàng)目生命周期中，用戶沒有投入大量時(shí)間和資源，運(yùn)營(yíng)效率和效果往往與預(yù)期差距大。

1 安全分析案例設(shè)計(jì)思路及方法

1.1 安全分析概論

缺乏足夠詳細(xì)的目標(biāo)和清晰定義的案例是導(dǎo)致安全分析失敗的最常見原因。不同的案例，不同的分析方法，實(shí)施策略會(huì)不同，實(shí)施的難度、時(shí)間和需要的資源各異，最終整體成本和實(shí)際達(dá)到的效果也不一樣。

為了實(shí)現(xiàn)安全分析目標(biāo)，首先要有詳細(xì)的業(yè)務(wù)目標(biāo)和清晰定義的案例，根據(jù)數(shù)據(jù)源情況選擇合適的安全分析方法，這是安全分析取得成功的基礎(chǔ)。

安全分析的關(guān)鍵是厘清案例、安全分析方法和安全分析所需數(shù)據(jù)之間的關(guān)系，如圖1所示。Gartner研究中，關(guān)注的是一系列特別難以解決的案例，安全分析非常適用于檢測(cè)事件，為有效捕獲、描述和分類這些案例提供建議[9]。

圖1 案例之間的關(guān)系

1.2 安全分析方法

技術(shù)的進(jìn)步、計(jì)算和數(shù)據(jù)存儲(chǔ)的成本直線下降，安全事件的可用歷史數(shù)據(jù)已經(jīng)創(chuàng)造了一個(gè)環(huán)境。其中，“安全分析”的數(shù)據(jù)科學(xué)方法即機(jī)器學(xué)習(xí)，可用于“真實(shí)世界”中的一些案例。這些安全分析顯示出越來越大的潛力，可以對(duì)抗一些最先進(jìn)和持久的安全威脅。

機(jī)器學(xué)習(xí)有下面幾種定義[8]。第一種，機(jī)器學(xué)習(xí)是一門人工智能科學(xué)，主要研究對(duì)象是人工智能，特別是如何在經(jīng)驗(yàn)學(xué)習(xí)中改善具體算法的性能。第二種，機(jī)器學(xué)習(xí)是對(duì)能通過經(jīng)驗(yàn)自動(dòng)改進(jìn)的計(jì)算機(jī)算法的研究。第三種，機(jī)器學(xué)習(xí)是用數(shù)據(jù)或以往的經(jīng)驗(yàn)優(yōu)化計(jì)算機(jī)程序的性能標(biāo)準(zhǔn)。

機(jī)器學(xué)習(xí)可以分成下面幾種類別。第一種，監(jiān)督學(xué)習(xí)。監(jiān)督學(xué)習(xí)從給定的訓(xùn)練數(shù)據(jù)集中學(xué)習(xí)一個(gè)函數(shù)，當(dāng)新的數(shù)據(jù)到來時(shí)，可以根據(jù)這個(gè)函數(shù)預(yù)測(cè)結(jié)果。監(jiān)督學(xué)習(xí)的訓(xùn)練集要求包括輸入和輸出，也可以說是特征和目標(biāo)。訓(xùn)練集中的目標(biāo)由人標(biāo)注。常見的監(jiān)督學(xué)習(xí)算法包括回歸分析和統(tǒng)計(jì)分類。第二種，非監(jiān)督學(xué)習(xí)。監(jiān)督學(xué)習(xí)和非監(jiān)督學(xué)習(xí)的差別在于訓(xùn)練集目標(biāo)是否由人標(biāo)注，它們都有訓(xùn)練集且都有輸入和輸出。非監(jiān)督學(xué)習(xí)與監(jiān)督學(xué)習(xí)相比，訓(xùn)練集沒有人為標(biāo)注的結(jié)果。常見的非監(jiān)督學(xué)習(xí)算法為聚類。第三種，半監(jiān)督學(xué)習(xí)。半監(jiān)督學(xué)習(xí)介于監(jiān)督學(xué)習(xí)與非監(jiān)督學(xué)習(xí)之間。第四種，增強(qiáng)學(xué)習(xí)。增強(qiáng)學(xué)習(xí)通過觀察來學(xué)習(xí)做成如何的動(dòng)作。每個(gè)動(dòng)作都會(huì)對(duì)環(huán)境有所影響，學(xué)習(xí)對(duì)象根據(jù)觀察到的周圍環(huán)境反饋來做出判斷。

分類是機(jī)器學(xué)習(xí)非常重要的一個(gè)組成部分，目標(biāo)是根據(jù)已知樣本的某些特征判斷一個(gè)新的樣本屬于哪種已知的樣本類。分類問題也被稱為監(jiān)督式學(xué)習(xí)（Supervised Learning），根據(jù)已知訓(xùn)練區(qū)提供的樣本，通過計(jì)算選擇特征參數(shù)，建立判別函數(shù)，以對(duì)樣本進(jìn)行分類。

回歸是一種統(tǒng)計(jì)學(xué)上分析數(shù)據(jù)的方法，目的在于了解兩個(gè)或多個(gè)變數(shù)間是否相關(guān)、相關(guān)方向與強(qiáng)度，并建立數(shù)學(xué)模型以便觀察特定變數(shù)來預(yù)測(cè)研究者感興趣的變數(shù)。具體來說，回歸分析可以幫助人們了解在只有一個(gè)自變量變化時(shí)因變量的變化量。一般來說，通過回歸分析可以由給出的自變量估計(jì)因變量的條件期望。

深度學(xué)習(xí)是機(jī)器學(xué)習(xí)的分支，是一種試圖使用包含復(fù)雜結(jié)構(gòu)或由多重非線性變換構(gòu)成的多個(gè)處理層對(duì)數(shù)據(jù)進(jìn)行高層抽象的算法。

深度學(xué)習(xí)是機(jī)器學(xué)習(xí)中一種基于對(duì)數(shù)據(jù)進(jìn)行表征學(xué)習(xí)的算法。觀測(cè)值（如一幅圖像）可以使用多種方式表示，如每個(gè)像素強(qiáng)度值的向量，或者更抽象地表示成一系列邊、特定形狀的區(qū)域等，而使用某些特定的表示方法更容易從實(shí)例中學(xué)習(xí)任務(wù)。深度學(xué)習(xí)的好處是用非監(jiān)督式或半監(jiān)督式的特征學(xué)習(xí)和分層特征提取高效算法來替代手工獲取特征。

1.3 利用自適應(yīng)安全態(tài)勢(shì)框架建立案例分類

Gartner的連續(xù)自適應(yīng)信任與風(fēng)險(xiǎn)評(píng)估（CARTA）的自適應(yīng)安全態(tài)勢(shì)提供了一個(gè)框架，將案例家族通過層次化、條理化的方式進(jìn)行歸類[9]。

這個(gè)框架可以擴(kuò)展到在網(wǎng)絡(luò)安全中很難解決的案例家族（檢測(cè)事件）。它們是安全監(jiān)控和操作的關(guān)鍵組成部分，也是執(zhí)行安全分析方法的供應(yīng)商的活躍領(lǐng)域。框架和擴(kuò)展的“攻擊保護(hù)”元素如圖2所示。

案例分為兩大類。一類是以用戶為中心的案例。用戶是對(duì)組織的IT資源（包括雇員）有合法訪問權(quán)的人。然而，這也可以包括承包商或第三方合作伙伴。人們表現(xiàn)出無限多的性質(zhì)是不確定的行為，因?yàn)槿祟惒荒苡糜邢逘顟B(tài)機(jī)來描述。

另一類是以實(shí)體為中心的案例。實(shí)體是指非人類的設(shè)備或過程，包括終端設(shè)備，如網(wǎng)絡(luò)、路由器、打印機(jī)，甚至應(yīng)用程序或OS進(jìn)程。實(shí)體表現(xiàn)出有限的行為，這些行為可以確定，作為實(shí)體的行為可以被機(jī)器人互相映射。

圖2 自適應(yīng)安全態(tài)勢(shì)框架

案例越復(fù)雜或越廣，識(shí)別和預(yù)測(cè)威脅及其行為的難度就越大，結(jié)果安全分析方法不得不更加復(fù)雜，實(shí)現(xiàn)和操作適當(dāng)?shù)慕鉀Q方案更為昂貴。行為可預(yù)測(cè)性是可以考慮的分析技術(shù)復(fù)雜性的一個(gè)很好的標(biāo)識(shí)。使用豐富的（并且干凈的）數(shù)據(jù)和簡(jiǎn)單易懂的模式的案例，將受益于基于傳統(tǒng)機(jī)器學(xué)習(xí)技術(shù)和基于規(guī)則實(shí)現(xiàn)的能力的強(qiáng)大分析模型。

2 安全分析實(shí)踐

2.1 外掛行為識(shí)別

業(yè)務(wù)目標(biāo)：通過分析業(yè)務(wù)操作日志數(shù)據(jù)，根據(jù)用戶操作次數(shù)、操作間隔、操作頻次等特征，識(shí)別出用戶的操作行為是否存在外掛行為。

數(shù)據(jù)情況：業(yè)務(wù)操作系統(tǒng)的業(yè)務(wù)操作日志數(shù)據(jù)，包含用戶工號(hào)、操作類型、操作對(duì)象、操作時(shí)間等字段，詳細(xì)記錄了用戶業(yè)務(wù)操作行為。

模型算法：取最近一個(gè)月用戶操作日志數(shù)據(jù)，模擬外掛操作行為特征如連續(xù)性、間隔穩(wěn)定性和操作頻率高等，加工用戶操作時(shí)間間隔、操作天數(shù)和操作次數(shù)等特征，根據(jù)分位數(shù)原理探索設(shè)置各操作類型的外掛行為閾值，從而檢測(cè)出疑似外掛行為的操作工號(hào)及其相應(yīng)的操作類型。

模型測(cè)試與評(píng)估：初步檢測(cè)出存在外掛行為的工號(hào)，得到客戶確認(rèn)。

外掛行為識(shí)別說明：業(yè)務(wù)目標(biāo)很明確，即識(shí)別用戶的操作行為是否存在外掛行為。對(duì)應(yīng)的數(shù)據(jù)鎖定到業(yè)務(wù)操作日志數(shù)據(jù)，不需要拓展額外的數(shù)據(jù)源，經(jīng)過充分的業(yè)務(wù)理解和業(yè)務(wù)分析，可提煉出需要分析的特征字段，通過分位數(shù)原理設(shè)置外掛行為閾值，利用簡(jiǎn)單規(guī)則達(dá)成業(yè)務(wù)目標(biāo)。整體上，實(shí)施成本低，效果也很好。

2.2 webshell檢測(cè)

業(yè)務(wù)目標(biāo)：通過分析HTTP請(qǐng)求數(shù)據(jù)，識(shí)別網(wǎng)站后門通信行為，能夠在大規(guī)模通信下發(fā)現(xiàn)異常行為。

數(shù)據(jù)情況：收集已經(jīng)標(biāo)注含webshell的HTTP請(qǐng)求數(shù)據(jù)，一部分作為訓(xùn)練集，另一部分作為測(cè)試集。

模型算法：已經(jīng)有標(biāo)注好的數(shù)據(jù)集，所以選擇監(jiān)督學(xué)習(xí)算法。HTTP請(qǐng)求數(shù)據(jù)作為文本進(jìn)行處理，先分詞提取path、key、value等關(guān)鍵信息，然后增加如path長(zhǎng)度、key長(zhǎng)度、value長(zhǎng)度及各種統(tǒng)計(jì)信息熵，綜合上述信息作為模型輸入源。采取5-fold的交叉驗(yàn)證分割訓(xùn)練集，綜合分析決策樹、SVM和隨機(jī)森林等算法的結(jié)果后，最終選用隨機(jī)森林作為算法進(jìn)行訓(xùn)練和預(yù)測(cè)。

模型測(cè)試與評(píng)估：在2017中國(guó)網(wǎng)絡(luò)安全技術(shù)對(duì)抗賽初賽第2題F1-score達(dá)到98%，效果非常好。

Webshell檢測(cè)說明：檢測(cè)的目標(biāo)是識(shí)別webshell，并在大規(guī)模通信下發(fā)現(xiàn)異常行為。由于有大量已標(biāo)注的樣本數(shù)據(jù)，所以直接選擇學(xué)習(xí)效率高的監(jiān)督學(xué)習(xí)算法，經(jīng)過模型評(píng)估選擇隨機(jī)森林來訓(xùn)練和預(yù)測(cè)，實(shí)現(xiàn)了預(yù)期的業(yè)務(wù)目標(biāo)。此分析聚焦到識(shí)別webshell，同時(shí)滿足大規(guī)模通信下發(fā)現(xiàn)異常行為的要求，沒有盲目拓展數(shù)據(jù)源，選擇的數(shù)據(jù)源和分析方法匹配度良好，模型效率高，模型抗干擾能力也很強(qiáng)，在大規(guī)模通信下具有很好的魯棒性。

2.3 異常頁(yè)面檢測(cè)

業(yè)務(wù)目標(biāo)：統(tǒng)計(jì)各頁(yè)面入度、出度、訪問量、來訪IP、請(qǐng)求方法、響應(yīng)狀態(tài)碼等維度，利用機(jī)器學(xué)習(xí)算法分析web應(yīng)用日志，檢測(cè)出異常頁(yè)面。

數(shù)據(jù)情況：web中間件日志。

模型算法：模型假設(shè)條件是大多數(shù)用戶訪問的頁(yè)面是證券公司正常頁(yè)面，這些頁(yè)面的被訪問情況相對(duì)近似。給頁(yè)面打標(biāo)簽需要大量的人工，且隨著業(yè)務(wù)的更新，舊的標(biāo)簽很有可能失效，故這里使用非監(jiān)督的異常檢測(cè)算法。在對(duì)比高斯混合模型、孤立森林和局部異常因子三種算法的優(yōu)缺點(diǎn)后，最終敲定孤立森林為上線使用的模型。

模型測(cè)試與評(píng)估：在某證券公司實(shí)際生產(chǎn)過程中發(fā)現(xiàn)Webshell的利用，并通過溯源發(fā)現(xiàn)被利用上傳漏洞；發(fā)現(xiàn)某證券公司內(nèi)部網(wǎng)頁(yè)存在漏洞，被黑客利用獲取用戶信息；發(fā)現(xiàn)一些管理員權(quán)限的網(wǎng)頁(yè)被暴力破解（未破解成功）等。

異常頁(yè)面檢測(cè)說明：此案例相對(duì)復(fù)雜。首先，從頁(yè)面角度而不是單條記錄的角度進(jìn)行分析，維度多，業(yè)務(wù)復(fù)雜；其次，異常頁(yè)面類別復(fù)雜，沒有足夠的已標(biāo)注異常頁(yè)面樣本，所以選擇非監(jiān)督的異常檢測(cè)算法；最后，異常情況是不定期發(fā)生的，對(duì)于模型效果的驗(yàn)證提出了挑戰(zhàn)。在實(shí)際分析時(shí)，把客戶最關(guān)心、危害最大的webshell檢測(cè)放在首要位置，在攻防對(duì)抗的實(shí)戰(zhàn)中效果很好。此分析中，在大量前期需求分析和調(diào)研的基礎(chǔ)上，規(guī)避大而全的業(yè)務(wù)分析目標(biāo)，聚焦到一個(gè)重要的點(diǎn)上，選擇合適的異常檢測(cè)算法，達(dá)成了業(yè)務(wù)目標(biāo)。

2.4 攻擊溯源分析

業(yè)務(wù)目標(biāo)：給定域名歷史解析記錄以及域名對(duì)應(yīng)的whois信息記錄，通過對(duì)給定惡意域名的通信行為溯源關(guān)聯(lián)分析，挖掘出隱藏在后面的黑客組織的身份和關(guān)聯(lián)域名IP資源信息。

數(shù)據(jù)情況：一是DNS解析記錄表，二是域名對(duì)應(yīng)的whois信息表。這兩個(gè)表中最關(guān)鍵的是domain、ip、user和 email信息。

模型算法：由于目標(biāo)是要挖掘惡意域名背后的黑客組織的身份和關(guān)聯(lián)域名IP資源等信息，所以首要目標(biāo)是要把這些關(guān)系建立好，找出相互之間的關(guān)系，真正達(dá)成業(yè)務(wù)目標(biāo)。

圖（Graph）數(shù)據(jù)庫(kù)及圖分析技術(shù)，對(duì)于處理大規(guī)模復(fù)雜關(guān)系數(shù)據(jù)集有著天然的優(yōu)勢(shì)。圖數(shù)據(jù)庫(kù)本身就是為解決傳統(tǒng)數(shù)據(jù)庫(kù)無法表達(dá)對(duì)象之間復(fù)雜關(guān)聯(lián)關(guān)系而設(shè)計(jì)的。選擇圖數(shù)據(jù)庫(kù)進(jìn)行溯源分析，圖的節(jié)點(diǎn)由domain、ip、user和email四類組成。如果任兩者出現(xiàn)在DNS解析表的同一條或者whois的同一條記錄中，則表示兩種之間有直接聯(lián)系，建立一條邊，邊的權(quán)重按照業(yè)務(wù)理解中的關(guān)系遠(yuǎn)近設(shè)置，整個(gè)關(guān)系圖就建立起來了。

給定惡意域名（ip、user或email），利用Dijkstra算法可以很快找到關(guān)聯(lián)的節(jié)點(diǎn)信息。

模型測(cè)試與評(píng)估：在2017中國(guó)網(wǎng)絡(luò)安全技術(shù)對(duì)抗賽決賽第1題，溯源成功。

攻擊溯源分析說明：攻擊溯源分析在安全分析中有著至關(guān)重要的作用，安全分析找到攻擊不是最終目的，希望找到攻擊的來龍去脈，然后針對(duì)性地采取防御或者響應(yīng)措施。而攻擊溯源分析也是相對(duì)較難的課題。首先，溯源分析一般涉及多個(gè)數(shù)據(jù)源；其次，要找出各個(gè)因素之間的關(guān)聯(lián)關(guān)系；最后，要排查出最關(guān)鍵的因素。

要找出惡意域名后面的黑客組織及其相關(guān)資源信息，數(shù)據(jù)源聚焦到DNS和whois信息。由于要關(guān)聯(lián)分析，逐步探索，所以選擇了具有天然優(yōu)勢(shì)的圖分析技術(shù)，最終實(shí)現(xiàn)的效果也很完美。

3 安全分析實(shí)踐小結(jié)

安全分析將其檢測(cè)事件用案例對(duì)比描述為結(jié)構(gòu)化方法的四個(gè)案例類別，最大限度地減少歧義并理解要考慮的安全分析方法（參見表1）。

表1 檢測(cè)事件案例對(duì)比

從上面安全分析案例可以看出：

（1）明確的業(yè)務(wù)目標(biāo)和清晰定義的用例是安全分析成功的基礎(chǔ)。有了明確的業(yè)務(wù)目標(biāo)和清晰定義的案例，尋找合適的數(shù)據(jù)源，匹配相應(yīng)的分析方法，才能達(dá)成業(yè)務(wù)目標(biāo)。

（2）從簡(jiǎn)單案例開始，安全分析更容易成功。上述案例中，外掛行為識(shí)別和webshell檢測(cè)相對(duì)簡(jiǎn)單，而異常頁(yè)面檢測(cè)和攻擊溯源分析，無論從業(yè)務(wù)理解、數(shù)據(jù)源選擇還是分析方法的選擇，都比較復(fù)雜。項(xiàng)目實(shí)踐中，可以從類似外掛行為識(shí)別這樣的簡(jiǎn)單案例開始。這樣業(yè)務(wù)目標(biāo)容易實(shí)現(xiàn)，實(shí)施和運(yùn)營(yíng)成本也較低，然后逐步實(shí)現(xiàn)后面兩個(gè)案例。

（3）不要迷信深度學(xué)習(xí)等機(jī)器學(xué)習(xí)技術(shù)，選擇合適的分析技術(shù)最重要。在外掛行為識(shí)別案例中，只需要設(shè)置簡(jiǎn)單的規(guī)則就能取得很好的效果，實(shí)現(xiàn)業(yè)務(wù)目標(biāo)。這時(shí)如果片面選擇深度學(xué)習(xí)等技術(shù)，會(huì)需要更多的數(shù)據(jù)，不但有可能達(dá)不到期望效果，還會(huì)增加技術(shù)難度、實(shí)施和維護(hù)成本。

（4）案例選擇要充分考慮成本因素。安全分析除了案例和分析技術(shù)選擇外，還要考慮項(xiàng)目（產(chǎn)品）實(shí)施難度，要充分考慮時(shí)間、資源和落地機(jī)制等因素，確保在生命周期內(nèi)有效運(yùn)營(yíng)。例如，異常頁(yè)面檢測(cè)和攻擊溯源分析兩個(gè)案例，項(xiàng)目實(shí)施難度和后期運(yùn)營(yíng)成本都較高，在實(shí)際項(xiàng)目中需要權(quán)衡各方面因素，尤其是成本因素，從而決定是否應(yīng)用這類案例。

4 結(jié) 語

本文系統(tǒng)性描述了安全分析和安全分析方法，闡述了安全分析進(jìn)化路線，分析了Gartner自適應(yīng)安全態(tài)勢(shì)框架建立案例分類的理論和框架。在此基礎(chǔ)上，利用不同層次案例進(jìn)行了安全分析實(shí)踐，將理論與實(shí)踐相結(jié)合，指導(dǎo)在具體的安全分析實(shí)踐中如何做到成本、效益的均衡和有效。

從基于案例的安全分析實(shí)踐中可以得出：

（1）具體案例為指引的安全分析，對(duì)日志等的收集目的性更強(qiáng)，更有針對(duì)性，避免了日常分析存在的數(shù)據(jù)收集不全或者過多而導(dǎo)致的各種問題；

（2）在具體案例指引下，能更好地考慮數(shù)據(jù)收集成本、模型復(fù)雜度、計(jì)算成本等綜合成本，能夠更有效地開展安全分析工作；

（3）選擇合適的案例是安全分析成功的基礎(chǔ)。不同的分析方法成本不一樣，實(shí)施策略也不同，選擇恰當(dāng)?shù)陌踩治龇椒ㄊ浅晒﹃P(guān)鍵。綜合考慮產(chǎn)品實(shí)施、產(chǎn)品運(yùn)營(yíng)的各個(gè)方面，確保產(chǎn)品成功實(shí)施、成功運(yùn)營(yíng)達(dá)到業(yè)務(wù)目標(biāo)。下一步研究將聚焦到如何設(shè)計(jì)案例框架上，這對(duì)于安全分析具有重要意義，也具有較大挑戰(zhàn)。