基于跨域協(xié)同的網(wǎng)絡(luò)空間威脅預(yù)警模式

熊鋼，葛雨瑋，褚衍杰，曹衛(wèi)權(quán)

基于跨域協(xié)同的網(wǎng)絡(luò)空間威脅預(yù)警模式

熊鋼，葛雨瑋，褚衍杰，曹衛(wèi)權(quán)

（盲信號處理國家級重點實驗室，四川 成都 610041）

網(wǎng)絡(luò)空間威脅發(fā)展呈現(xiàn)出主動性、隱蔽性、泛在性的特點，向傳統(tǒng)被動式、局域性、孤立化的網(wǎng)絡(luò)防御模式提出了嚴峻挑戰(zhàn)。針對大數(shù)據(jù)、人工智能與網(wǎng)絡(luò)安全融合的新趨勢，提出一種跨域協(xié)同的威脅預(yù)警模式，為網(wǎng)絡(luò)空間安全防護賦能增效。首先，該模式從網(wǎng)絡(luò)空間結(jié)構(gòu)出發(fā)，通過劃分安全威脅域、解析系統(tǒng)功能、設(shè)計共享機制，構(gòu)建具有合縱連橫作用的功能框架；其次，為提升威脅信息檢測能力，設(shè)計了分層司職的協(xié)同化技術(shù)體系，闡述了威脅信息感知、處理、應(yīng)用等關(guān)鍵技術(shù)；最后，借助應(yīng)用場景，定性化描述了所提預(yù)警模式的能力增量。

網(wǎng)絡(luò)防御；人工智能；流量大數(shù)據(jù)

1 引言

伴隨網(wǎng)絡(luò)空間戰(zhàn)略地位的凸顯，網(wǎng)絡(luò)安全問題層出不窮，如病毒蠕蟲、網(wǎng)絡(luò)欺騙、拒絕服務(wù)攻擊、數(shù)據(jù)泄露[1]。特別地，高級持續(xù)性攻擊行為（APT攻擊）正成為網(wǎng)絡(luò)威脅的重要來源，對此，業(yè)界一直在不懈努力和探索，已有研究成果可分為兩類。

一類是以現(xiàn)有互聯(lián)網(wǎng)體系為基礎(chǔ)的“漸進式”方案，其主要進行安全“修補”“加固”“更新”等建設(shè)，以提高網(wǎng)絡(luò)抗風(fēng)險能力，如殺毒軟件、防火墻等安全產(chǎn)品。該類技術(shù)側(cè)重于解決局部性、單一性的安全問題，對整體網(wǎng)絡(luò)空間威脅的緩解貢獻仍不足。另一類是以未來新型網(wǎng)絡(luò)體系設(shè)計為牽引的“革命式（clean slate）”方案[2]，其將安全性作為網(wǎng)絡(luò)自身天然具備的基因，試圖從根本上消除某些網(wǎng)絡(luò)安全隱患，具體有軟件定義網(wǎng)絡(luò)[3]、擬態(tài)防御體系[4]等。該方案面臨著建設(shè)成本高、時間周期長的壓力。為此，面對大數(shù)據(jù)、人工智能發(fā)展的時代浪潮[5-6]，如何通過新技術(shù)實現(xiàn)對現(xiàn)有網(wǎng)絡(luò)防御技術(shù)的賦能增效，成為網(wǎng)絡(luò)空間安全領(lǐng)域亟待求證的命題[7]。

本文以網(wǎng)絡(luò)空間縱深化防御思想為牽引，探索構(gòu)建跨域聯(lián)動、全局協(xié)同的網(wǎng)絡(luò)威脅預(yù)警模式，以有效提升網(wǎng)絡(luò)空間應(yīng)對威脅風(fēng)險的能力。

圖1 威脅信息分類金字塔

Figure 1 Pyramid of threat information classification

2 現(xiàn)狀分析

2.1 威脅信息分析

網(wǎng)絡(luò)威脅信息是指從多種渠道獲取的用以描述網(wǎng)絡(luò)資產(chǎn)安全狀態(tài)的線索總和[8]。本文將所涉及的威脅信息劃分為3類（如圖1所示），具體內(nèi)涵如下。

一是基礎(chǔ)類威脅信息：諸如惡意文件Hash值、IP黑名單、惡意域名、URL列表、CVE漏洞等較為普遍、容易獲得的結(jié)構(gòu)化基礎(chǔ)數(shù)據(jù)。這類信息主要來源于網(wǎng)絡(luò)安全設(shè)備（如防火墻）的觀測度量和數(shù)據(jù)采集，或網(wǎng)絡(luò)安全業(yè)務(wù)廠商（如賽門鐵克、啟明星辰）的專業(yè)分析與共享，用于安全分析的初始階段。

二是攻擊類威脅信息：與攻擊事件相關(guān)聯(lián)的網(wǎng)絡(luò)或設(shè)備特征、攻擊載荷、攻擊源等結(jié)構(gòu)化的屬性信息和非結(jié)構(gòu)化的文本信息。該類信息大多來源于安全分析人員或安全技術(shù)平臺，對網(wǎng)絡(luò)“黑市”或相關(guān)安全事件進行深入分析和定向挖掘，如卡巴斯基和安天公司先后發(fā)布的“方程式”組織分析報告[9]。

三是APT類威脅信息：以APT這類高級網(wǎng)絡(luò)威脅為對象，可為政治、外交、經(jīng)濟等重大行動或國家戰(zhàn)略制定提供支持的TTP（Tactics（戰(zhàn)術(shù)）、Techniques（技術(shù)）及Procedures（過程））情報。該類信息包含豐富的知識內(nèi)容和較強的邏輯關(guān)系，主要來源于具有專業(yè)能力的機構(gòu)和人員長期、持續(xù)投入的分析，如火眼（FireEye）和360公司發(fā)布的APT報告。

2.2 預(yù)警能力分析

當前，網(wǎng)絡(luò)威脅動機正由個人興趣、利益驅(qū)使（如竊取用戶賬號）向政治、國家意圖（如APT攻擊）轉(zhuǎn)變，這向現(xiàn)有網(wǎng)絡(luò)防御建設(shè)提出了新挑戰(zhàn)，具體表現(xiàn)如下。

一是安全防御理念的被動性難以應(yīng)對網(wǎng)絡(luò)威脅的主動性。傳統(tǒng)以防火墻、入侵檢測為代表的安全防御理念，本質(zhì)上是一種“先問題后補救”的被動式理念。然而，網(wǎng)絡(luò)威脅天生具有主動屬性，無論是漏洞挖掘，還是預(yù)留“后門”，都是攻擊者的精心設(shè)計，使被動網(wǎng)絡(luò)防御疲于應(yīng)對。

二是安全檢測技術(shù)的片面性難以應(yīng)對網(wǎng)絡(luò)威脅的隱蔽性。現(xiàn)有安全防護措施呈現(xiàn)局部性、“煙囪式”的布局，導(dǎo)致各自檢測結(jié)果的片面性，如殺毒軟件、流量分析、運營商監(jiān)控等安全手段“涇渭分明”。相反地，攻擊者利用零日漏洞、流量偽裝、匿名網(wǎng)絡(luò)等偽裝手段，使網(wǎng)絡(luò)威脅呈現(xiàn)出高隱蔽性。

三是安全告警信息的孤立性難以應(yīng)對網(wǎng)絡(luò)威脅的泛在性。現(xiàn)有網(wǎng)絡(luò)安全機制對告警信息的處理原則是自我建設(shè)、自我響應(yīng)。然而，網(wǎng)絡(luò)威脅通常具有泛在性，其體現(xiàn)在具有同類安全缺陷的網(wǎng)絡(luò)設(shè)備（或業(yè)務(wù)）可能遭受相似攻擊。因此，告警信息的孤立使用與網(wǎng)絡(luò)威脅的泛在影響之間存在失衡。

3 基于合縱連橫的跨域功能框架

基于網(wǎng)絡(luò)空間結(jié)構(gòu)分解，本文以數(shù)據(jù)在不同結(jié)構(gòu)間的串行傳輸為“縱向”，以數(shù)據(jù)在同一結(jié)構(gòu)上的并行傳輸為“橫向”，提出具有“縱橫解剖、關(guān)聯(lián)融合”核心理念的威脅預(yù)警功能框架。

圖2 網(wǎng)絡(luò)安全威脅域劃分

Figure 2 Division of network security threat domain

3.1 安全威脅域

借助“網(wǎng)絡(luò)自治域（AS域）”的概念，本文將數(shù)據(jù)在網(wǎng)絡(luò)空間中的處理、傳輸、交換等流程所經(jīng)歷的信息資產(chǎn)劃分為3個安全威脅子域，即防護目標域、匯聚傳輸域、網(wǎng)絡(luò)關(guān)口域，如圖2所示。

防護目標域是受防護網(wǎng)絡(luò)空間內(nèi)需要保護的重點目標，通常是指重要職能機構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施、核心敏感信息等所涉及的重要網(wǎng)絡(luò)資產(chǎn)，包括用戶終端、數(shù)據(jù)服務(wù)器、智能傳感器、局域網(wǎng)關(guān)等。防護目標域內(nèi)的網(wǎng)絡(luò)資產(chǎn)是數(shù)據(jù)產(chǎn)生與處理、信息功能承載的實體，通常也是網(wǎng)絡(luò)攻擊的“靶標”。

匯聚傳輸域是數(shù)據(jù)在防護目標域與網(wǎng)絡(luò)關(guān)口域之間交換的通道，主要包括邊界路由器、程控交換機、數(shù)據(jù)中心、網(wǎng)絡(luò)鏈路等，如市、局級匯聚路由，運營商數(shù)據(jù)中心。匯聚傳輸域作為受防護網(wǎng)絡(luò)空間內(nèi)的數(shù)據(jù)匯聚與傳輸?shù)摹案咚俟肪W(wǎng)”，可被網(wǎng)絡(luò)攻擊用于數(shù)據(jù)“導(dǎo)航”。

網(wǎng)絡(luò)關(guān)口域位于受防護網(wǎng)絡(luò)空間與全球網(wǎng)絡(luò)空間鏈接的位置，主要包括網(wǎng)絡(luò)數(shù)據(jù)的出入鏈路和節(jié)點，如Internet通信鏈路和主要節(jié)點。網(wǎng)絡(luò)關(guān)口域主要用于實現(xiàn)全球網(wǎng)絡(luò)空間的互聯(lián)互通，是網(wǎng)絡(luò)威脅數(shù)據(jù)的進出“門戶”。

3.2 系統(tǒng)功能結(jié)構(gòu)

基于安全威脅域劃分，本節(jié)從“合縱連橫”的思路出發(fā)，設(shè)計預(yù)警系統(tǒng)功能結(jié)構(gòu)，如圖3虛線框所示，包括域內(nèi)威脅感知系統(tǒng)（簡稱“域內(nèi)系統(tǒng)”）和域間信息協(xié)同管理系統(tǒng)（簡稱“域間系統(tǒng)”）。域間數(shù)據(jù)的串行傳輸為“縱向”，域內(nèi)數(shù)據(jù)的并行傳輸為“橫向”。

域間系統(tǒng)是整體預(yù)警系統(tǒng)的功能中樞，其主要用于實現(xiàn)“合縱”功能，即對縱向各域威脅信息的關(guān)聯(lián)分析和預(yù)警信息管理。該系統(tǒng)以域內(nèi)系統(tǒng)的上傳數(shù)據(jù)信息為輸入，并對其進行匯聚與融合，以大數(shù)據(jù)技術(shù)為支撐展開關(guān)聯(lián)分析，形成對攻擊行為的檢測預(yù)警結(jié)果，以及產(chǎn)生新的檢測規(guī)則信息下發(fā)到各域內(nèi)系統(tǒng)。“合縱”功能模式的優(yōu)勢在于：一是充分利用各域子系統(tǒng)所感知到的攻擊行為的不同側(cè)面信息，對同一攻擊行為或事件進行更為清晰完整的刻畫；二是信息融合后的集中管理與控制，可提高預(yù)警響應(yīng)的效率。

域內(nèi)系統(tǒng)是威脅數(shù)據(jù)采集站，其主要用于實現(xiàn)“連橫”功能，即對域內(nèi)網(wǎng)絡(luò)資產(chǎn)的信息進行采集與匯聚，從而實現(xiàn)域內(nèi)攻擊信息的有效放大。域內(nèi)威脅感知系統(tǒng)分為3個子系統(tǒng)：防護目標域威脅感知系統(tǒng)、傳輸匯聚域威脅感知系統(tǒng)、網(wǎng)絡(luò)關(guān)口域威脅感知系統(tǒng)。“連橫”功能模式的優(yōu)勢在于：一是各子系統(tǒng)的功能可以基于現(xiàn)有技術(shù)能力進行升級改造，避免建設(shè)上的重復(fù)；二是對域內(nèi)威脅線索進行并行化檢測，有利于細微或者隱蔽特征的挖掘。

圖3 跨域威脅預(yù)警的功能結(jié)構(gòu)

Figure 3 Functional structure of cross domain threat early warning

3.3 信息共享機制

為有效解決威脅信息共享過程中的描述、傳輸、關(guān)聯(lián)等問題，本節(jié)基于OASIS標準規(guī)范[10]，設(shè)計跨域威脅信息共享機制，如圖4所示，主要包括3個信息共享的操作環(huán)節(jié)，分別是：域內(nèi)威脅信息描述、威脅信息共享、域間威脅信息描述。

圖4 威脅信息共享機制流程

Figure 4 Flow of threat information sharing mechanism

域內(nèi)威脅信息描述是指將各安全威脅域的采集數(shù)據(jù)轉(zhuǎn)換為威脅信息的過程，基于STIX（structured threat information eXpression）和CybOX（cyber observable eXpression）規(guī)范進行描述。其中，網(wǎng)絡(luò)威脅分析是指分析師對采集到的數(shù)據(jù)進行識別、評估和分類。明確威脅指標特征是指對威脅情境及其相關(guān)數(shù)據(jù)的可觀測度量，建立威脅描述指標特征，如惡意郵件的源／目的IP。

威脅信息共享是指實現(xiàn)各域內(nèi)威脅描述信息研判與傳輸?shù)倪^程，基于TAXII（trusted automated eXchange of indicator information）規(guī)范實現(xiàn)。信息研判是指網(wǎng)絡(luò)管理員通過共享決策機制，決定威脅信息的共享范圍、途徑、方式等內(nèi)容，如共享惡意附件等信息。信息傳輸是指域內(nèi)信息向域間系統(tǒng)進行信息匯集的過程，包括離線傳輸和在線傳輸。

域間威脅信息描述是指將各域內(nèi)威脅信息轉(zhuǎn)化為預(yù)警響應(yīng)決策的過程，基于STIX規(guī)范和CybOX規(guī)范進行描述。其中，威脅信息關(guān)聯(lián)分析是對接收到的域內(nèi)威脅信息進行關(guān)聯(lián)分析，形成高價值的威脅預(yù)警分析結(jié)果。威脅響應(yīng)管理是指根據(jù)預(yù)警結(jié)果制定檢測規(guī)則、漏洞修復(fù)、配置更新等威脅響應(yīng)決策，如分析惡意郵件威脅態(tài)勢等響應(yīng)。

4 基于分層司職的協(xié)同技術(shù)體系

本節(jié)以高效獲取網(wǎng)絡(luò)威脅信息為目標，對關(guān)鍵技術(shù)進行層次化編排，提出“分層司職”的協(xié)同技術(shù)體系，如圖5所示。其中，基礎(chǔ)技術(shù)層位于域內(nèi)系統(tǒng)，協(xié)同技術(shù)層和應(yīng)用技術(shù)層位于域間系統(tǒng)。

圖5 協(xié)同技術(shù)體系分層結(jié)構(gòu)

Figure 5 Hierarchical structure of collaborative technology architecture

4.1 面向威脅感知的基礎(chǔ)技術(shù)層

基礎(chǔ)技術(shù)層主要是對各安全威脅域進行數(shù)據(jù)采集與分析，以獲得基礎(chǔ)類威脅信息。根據(jù)各域職能劃分，基礎(chǔ)技術(shù)層涉及的技術(shù)分為3類，如圖6所示。

（1）網(wǎng)絡(luò)關(guān)口域威脅感知技術(shù)

網(wǎng)絡(luò)關(guān)口域主要面對大規(guī)模流量數(shù)據(jù)，其威脅感知依賴于網(wǎng)絡(luò)異常流量檢測技術(shù)，具體挑戰(zhàn)如下。一是海量高速流量建模。網(wǎng)絡(luò)關(guān)口流量速率通常為百Gbit/s甚至Tbit/s數(shù)量級，以全流量采集或單一業(yè)務(wù)類型為主的傳統(tǒng)局域網(wǎng)流量模型難以適用，需要發(fā)展抽樣統(tǒng)計模型、信號分析（如小波變換）等復(fù)雜環(huán)境下的流量建模方法。二是流量特征工程。傳統(tǒng)流量特征提取主要依賴于研究者的精心設(shè)計和長期經(jīng)驗積累，而深度學(xué)習(xí)等人工智能分析方法的發(fā)展能夠促進特征提取的智能化和自動化。三是未知/隱蔽的流量檢測。網(wǎng)絡(luò)威脅利用加密、協(xié)議偽裝等手段，使流量數(shù)據(jù)的內(nèi)容分析更為困難。

（2）匯聚傳輸域威脅感知技術(shù)

匯聚傳輸域內(nèi)的網(wǎng)絡(luò)設(shè)備（如路由器）具有較好的連通性和匯聚性，主要技術(shù)手段在于識別惡意網(wǎng)絡(luò)目標，具體如下。一是惡意樣本捕獲技術(shù)。為了獲取網(wǎng)絡(luò)攻擊所采用的攻擊手段、攻擊載荷、攻擊武器等威脅線索，可利用匯聚傳輸域的數(shù)據(jù)優(yōu)勢，構(gòu)建蜜罐、蜜網(wǎng)等高仿真誘捕環(huán)境，捕獲惡意樣本信息。二是惡意節(jié)點識別技術(shù)。由于路由、交換等設(shè)備在數(shù)據(jù)傳輸上的重要性，匯聚傳輸域內(nèi)的網(wǎng)絡(luò)節(jié)點通常被惡意利用，以產(chǎn)生攻擊跳板、路由劫持、中間人攻擊等威脅行為，需要研究網(wǎng)絡(luò)設(shè)備身份認證、目標屬性判證等技術(shù)，以獲取惡意節(jié)點威脅信息。

圖6 基礎(chǔ)技術(shù)層分析

Figure 6 Analysis of basic technology layer

（3）防護目標域威脅感知技術(shù)

防護目標域的威脅主要源于病毒、木馬、未知插件等惡意代碼對設(shè)備、數(shù)據(jù)等信息資產(chǎn)進行的惡意操作，具體技術(shù)如下。一是資產(chǎn)脆弱性分析，通過對域內(nèi)的軟硬件系統(tǒng)、應(yīng)用程序等功能部件進行漏洞、后門測試分析，以獲取其潛在風(fēng)險影響。或者通過安全組件（防火墻等）對網(wǎng)絡(luò)運行狀態(tài)進行監(jiān)控，以獲取安全日志信息。二是攻擊行為特征分析，針對進入域內(nèi)的潛在威脅對象（木馬程序、惡意文件等），通過靜態(tài)分析（操作碼、反編譯等）和動態(tài)分析（API調(diào)用、沙箱執(zhí)行等）相結(jié)合，提取操作行為特征作為威脅信息。

4.2 面向信息融合的協(xié)同技術(shù)層

協(xié)同技術(shù)層是域間系統(tǒng)的核心技術(shù)環(huán)節(jié)，用于對域內(nèi)系統(tǒng)基礎(chǔ)威脅信息進行管理和協(xié)同利用，以生成攻擊類威脅信息，并為應(yīng)用層提供技術(shù)支撐。協(xié)同處理各域內(nèi)威脅信息有助于實現(xiàn)特征間信息互補以及威脅信息碎片的串聯(lián)，進而提升威脅檢測的精度和效率，具體技術(shù)手段及挑戰(zhàn)如圖7所示。

（1）威脅大數(shù)據(jù)協(xié)同處理技術(shù)

威脅大數(shù)據(jù)的協(xié)同處理技術(shù)需要實現(xiàn)對各域內(nèi)系統(tǒng)所得多源異構(gòu)威脅數(shù)據(jù)進行統(tǒng)一處理和關(guān)聯(lián)利用。一是需要研究威脅大數(shù)據(jù)預(yù)處理方法，對大量異構(gòu)的基礎(chǔ)信息進行數(shù)據(jù)集成、規(guī)約、編排、存儲、查詢等統(tǒng)一處理，提高信息利用效率；二是需要數(shù)據(jù)挖掘分析方法，對預(yù)處理后的數(shù)據(jù)原材料進行邏輯關(guān)聯(lián)、關(guān)系挖掘等精加工處理，提高數(shù)據(jù)的利用價值；三是構(gòu)建威脅信息的知識圖譜，實現(xiàn)同一威脅事件或威脅源的信息關(guān)聯(lián)，提升協(xié)同分析性能。例如，通過建立攻擊組織的IP列表、木馬工具、攻擊手法等數(shù)據(jù)資源的知識圖譜，可以實現(xiàn)目標精細監(jiān)測、信息快速關(guān)聯(lián)等目的。

（2）人機協(xié)同的智能分析技術(shù)

人機協(xié)同的攻擊智能分析技術(shù)需要解決現(xiàn)有檢測技術(shù)僅依賴于人工研判（效率低、漏警高）或僅依賴于機器學(xué)習(xí)（缺乏可解釋性、虛警率高）的問題。近年來，在大數(shù)據(jù)資源驅(qū)動下，以深度學(xué)習(xí)為代表的人工智能技術(shù)在文本、語音、圖像等領(lǐng)域取得突破，并且正逐步向網(wǎng)絡(luò)安全領(lǐng)域拓展，表1列舉了部分應(yīng)用。

圖7 協(xié)同技術(shù)層分析

Figure 7 Analysis of collaborative technology layer

表1 網(wǎng)絡(luò)安全中的人工智能應(yīng)用舉例

基于分支領(lǐng)域的應(yīng)用，人工智能技術(shù)將會向多源協(xié)同、人機交互、行為分析等網(wǎng)絡(luò)安全的綜合應(yīng)用發(fā)展。為此，需要進一步開展的研究包括：一是利用循環(huán)神經(jīng)網(wǎng)絡(luò)、卷積神經(jīng)網(wǎng)絡(luò)、對抗學(xué)習(xí)網(wǎng)絡(luò)等深度學(xué)習(xí)方法，構(gòu)建具有自我學(xué)習(xí)和自動更新能力的威脅檢測平臺，提高檢測工作效率；二是設(shè)計人機交互機制，通過引入專家知識的反饋，提高人工智能對網(wǎng)絡(luò)威脅行為檢測的可解釋性，提高檢測準確性。

4.3 面向安全預(yù)警的應(yīng)用技術(shù)層

應(yīng)用技術(shù)層是域間管理系統(tǒng)的輔助技術(shù)環(huán)節(jié)，其目的是對協(xié)同層的攻擊類威脅信息進行綜合分析，以生成高價值的威脅信息，并支撐安全預(yù)警響應(yīng)，重點關(guān)注的技術(shù)如下。

（1）網(wǎng)絡(luò)安全態(tài)勢分析技術(shù)

網(wǎng)絡(luò)安全態(tài)勢分析是基于協(xié)同層的攻擊信息，提煉出包含攻擊行為的戰(zhàn)術(shù)、技術(shù)、過程等意圖的高價值威脅信息。具體支持技術(shù)包括：一是安全風(fēng)險度量技術(shù)，通過對威脅信息進行定量描述，為安全態(tài)勢的數(shù)值化分析和精確度量奠定基礎(chǔ)；二是安全態(tài)勢推理技術(shù)，基于量化的威脅信息，利用數(shù)理模型、邏輯推導(dǎo)、群體智能等理論工具，挖掘網(wǎng)絡(luò)威脅態(tài)勢中的潛在規(guī)律或意圖。

（2）網(wǎng)絡(luò)威脅預(yù)警響應(yīng)技術(shù)

網(wǎng)絡(luò)威脅預(yù)警響應(yīng)技術(shù)主要是利用域間和域內(nèi)系統(tǒng)提供的威脅信息，指導(dǎo)預(yù)警策略的生成。該技術(shù)結(jié)合威脅信息的具體特征和跨域協(xié)同模式的結(jié)構(gòu)特點，以最優(yōu)化理論為指導(dǎo)，形成預(yù)警響應(yīng)的指導(dǎo)策略。例如，根據(jù)威脅信息的價值大小決策響應(yīng)操作的強度和廣度，根據(jù)攻擊威脅的技術(shù)手段決策預(yù)警信息作用的安全威脅域，根據(jù)威脅信息的安全態(tài)勢決策預(yù)警操作時間分配。

5 應(yīng)用場景

基于上述跨域協(xié)同預(yù)警模式的功能框架和技術(shù)體系，本節(jié)闡述威脅信息在該網(wǎng)絡(luò)預(yù)警模式中的具體應(yīng)用，如圖8所示，其中，短虛線表示域間縱向場景，長虛線表示域內(nèi)橫向場景。

圖8 跨域協(xié)同模式應(yīng)用場景

Figure 8 Application scenario of cross domain and collaboration model

在縱向應(yīng)用場景中，網(wǎng)絡(luò)關(guān)口1的流量分析、匯聚傳輸域的蜜網(wǎng)分析以及防護目標域的防火墻日志在工作過程生成了相應(yīng)的基礎(chǔ)威脅信息（如可疑的IP、惡意的郵件信息、隱蔽通信的痕跡），通過域間管理平臺對基礎(chǔ)威脅信息的協(xié)同關(guān)聯(lián)分析，得到攻擊類威脅信息（即“某黑客組織通過釣魚攻擊方式對防護目標A進行竊密型攻擊”）。根據(jù)攻擊信息的指導(dǎo)，制定預(yù)警策略，對目標A內(nèi)黑客正在攻擊或可能攻擊的重要終端設(shè)備進行安全防護。

在橫向應(yīng)用場景中，網(wǎng)絡(luò)關(guān)口1和網(wǎng)絡(luò)關(guān)口2通過分析各自的流量數(shù)據(jù)得到，有大量的外部IP通向境內(nèi)同一IP的流量數(shù)據(jù)，進而各自將該情況作為威脅信息上報共享。域間管理系統(tǒng)對網(wǎng)絡(luò)關(guān)口的域內(nèi)信息進行協(xié)同分析，得到境內(nèi)IP對應(yīng)的防護目標B內(nèi)的重要服務(wù)器正遭受外來DDoS攻擊，進而生成相應(yīng)的預(yù)警信息，對防護目標B進行安全防護。

基于上述設(shè)計，本文研發(fā)的域間原型系統(tǒng)的測試界面如圖9所示。在某數(shù)據(jù)平臺的測試表明，該系統(tǒng)通過日志檢索、目標管理、流量IP等信息的綜合處理，能夠及時有效地發(fā)現(xiàn)木馬、蠕蟲、黑市工具、僵尸網(wǎng)絡(luò)、APT攻擊、勒索軟件等網(wǎng)絡(luò)威脅。

圖9 域間原型系統(tǒng)測試界面

Figure 9 Test interface of inter domain prototype system

6 結(jié)束語

針對傳統(tǒng)網(wǎng)絡(luò)威脅檢測模式的不足，本文以網(wǎng)絡(luò)空間縱深防御思想為指導(dǎo)，設(shè)計跨域協(xié)同的網(wǎng)絡(luò)威脅預(yù)警模式，提升網(wǎng)絡(luò)威脅預(yù)警能力的主動性和聯(lián)動性。所提模式的特點可以概括為“跨域框架、技術(shù)協(xié)同、聯(lián)動響應(yīng)”，具體技術(shù)貢獻如下。一是設(shè)計“合縱連橫”的跨域預(yù)警功能框架，實現(xiàn)對現(xiàn)有獨立網(wǎng)絡(luò)安全能力的有機整合與賦能提效，避免各安全功能組件的各自為戰(zhàn)、重復(fù)建設(shè)。二是編排以威脅大數(shù)據(jù)感知和智能化處理為核心的協(xié)同技術(shù)體系，實現(xiàn)碎片化威脅信息的綜合利用，提升高價值網(wǎng)絡(luò)威脅情報的生產(chǎn)能力。三是具備全局化的聯(lián)動響應(yīng)能力，改變現(xiàn)有自我預(yù)警響應(yīng)的方式，通過威脅信息共享和預(yù)警策略生成，實現(xiàn)各安全域的聯(lián)動響應(yīng)與預(yù)先防護。當前，APT攻擊、網(wǎng)絡(luò)勒索等新威脅向網(wǎng)絡(luò)空間安全提出了嚴峻挑戰(zhàn)，后續(xù)研究將加快推進對所提預(yù)警模式的功能機制和關(guān)鍵技術(shù)的研發(fā)、實驗和優(yōu)化工作。

[1] 方濱興. 定義網(wǎng)絡(luò)空間安全[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2018, 4(1): 1-5.

FANG B X. Define cyberspace security[J]. Chinese Journal of Network and Information Security, 2018, 4(1): 1-5.

[2] 黃韜, 劉江, 霍如, 等. 未來網(wǎng)絡(luò)體系架構(gòu)研究綜述[J]. 通信學(xué)報, 2014, 35(8):184-197.

HUANG T, LIU J, HUO R, et al. Survey of research on future network architectures[J]. Journal on Communications, 2014, 35(8):184-197.

[3] 譚晶磊, 張紅旗, 雷程, 等. 面向SDN的移動目標防御技術(shù)研究進展[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2018, 4(7): 1-12.

TAN J L, ZHANG H Q, LEI C, et al. Research progress on moving target defense for SDN[J]. Chinese Journal of Network and Information Security, 2018, 4(7): 1-12.

[4] 鄔江興. 擬態(tài)計算與擬態(tài)安全防御的原意和愿景[J]. 電信科學(xué), 2014, 30(7): 2-7.

WU J X. Meaning and vision of mimic computing and mimic security defense[J]. Telecommunications Science, 2014, 30(7): 2-7.

[5] 付鈺, 李洪成, 吳曉平, 等. 基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述[J]. 通信學(xué)報, 2015, 36(11): 1-14.

FU Y, LI H C, WU X P, et al. Detecting APT attacks: a survey from the perspective of big data analysis[J]. Journal on Communications, 2015, 36(11): 1-14.

[6] 張蕾, 崔勇, 劉靜, 等. 機器學(xué)習(xí)在網(wǎng)絡(luò)空間安全研究中的應(yīng)用[J]. 計算機學(xué)報, 2018, 41(9): 1943-1975.

ZHANG L, CUI Y, LIU J, et al. Application of machine learning in cyberspace security research[J]. Chinese Journal of Computers, 2018, 41(9): 1943-1975.

[7] 楊德全, 劉衛(wèi)民, 俞宙. 基于蜜罐的主動防御應(yīng)用研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2018, 4(1): 57-62.

YANG D Q, LIU W Q, YU Z. Research on active defense application based on honeypot[J]. Chinese Journal of Network and Information Security, 2018, 4(1): 57-62.

[8] 楊沛安, 武楊, 蘇莉婭, 等. 網(wǎng)絡(luò)空間威脅情報共享技術(shù)綜述[J]. 計算機科學(xué), 2018, 45(6): 9-18.

YANG P A, WU Y, SU L Y, et al. Overview of threat intelligence sharing technologies in cyberspace[J]. Computer Science, 2018, 45(6): 9-18.

[9] Antiy CERT. 從“方程式”到“方程組”EQUATION攻擊組織高級惡意代碼的全平臺能力解析[EB].

Antiy CERT. From “equation” to “equation group”, full platform capability solution of advanced malicious code of EQUATION attack organization[EB].

[10] 李建華. 網(wǎng)絡(luò)空間威脅情報感知、共享與分析技術(shù)綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2016, 2(2):16-29.

LI J H. Overview of the technologies of threat intelligence sensing,sharing and analysis in cyber space[J]. Chinese Journal of Network and Information Security, 2016, 2(2): 16-29.

Model of cyberspace threat early warning based on cross-domain and collaboration

XIONG Gang, GE Yuwei, CHU Yanjie, CAO Weiquan

National Key Laboratory of Science and Technology on Blind Signal Processing, Chengdu 610041, China

The development of network threat shows the characteristics of initiative, concealment and ubiquity. It poses a severe challenge to the passive, local and isolated traditional network defense mode. In view of the new trend of integration of big data，artificial intelligence and network security, a cross-domain collaborative network threat early warning model wasproposed, which could enable and increase efficiency for cyberspace security. Firstly, starting from the overall structure of the protected network space, the model constructs a cross-domain function framework with the vertical and horizontal conjunction by dividing the security threat domain, decomposing the system function, designing the information sharing mechanism. Secondly, to enhance the ability of threat information detection, the collaborative technology architecture is designed by the logic of hierarchical management, and the key technologies involved in threat information perception, processing and application, are systematically introduced. Finally, with the help of application scenarios, qualitatively the capability increment of the proposed threat early warning model was described.

Network defense, artificial intelligence, big traffic data

Key Foundation Project of Chinese Ministry of Education (6141A02011904)

TP393

A

10.11959/j.issn.2096?109x.2020078

熊鋼（1986? ），男，四川綿陽人，博士，盲信號處理實驗室助理研究員，主要研究方向為網(wǎng)絡(luò)安全設(shè)計、網(wǎng)絡(luò)異常檢測。

葛雨瑋（1991? ），男，四川成都人，碩士，盲信號處理實驗室工程師，主要研究方向為網(wǎng)絡(luò)流量分析、二進制分析。

褚衍杰（1982? ），男，山東棗莊人，博士，盲信號處理實驗室副研究員，主要研究方向為網(wǎng)絡(luò)體系安全、態(tài)勢感知。

曹衛(wèi)權(quán)（1989? ），男，河北寧晉人，博士，盲信號處理實驗室助理研究員，主要研究方向為軟件安全、智能信息處理。

論文引用格式：熊鋼, 葛雨瑋, 褚衍杰, 等. 基于跨域協(xié)同的網(wǎng)絡(luò)空間威脅預(yù)警模式[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2020, 6(6): 88-96.

XIONG G, GE Y W, CHU Y J, et al. Model of cyberspace threat early warning based on cross-domain and collaboration[J]. Chinese Journal of Network and Information Security, 2020, 6(6): 88-96.

2020?02?18；

2020?07?28

熊剛，xg1226@126.com

教育部重點基金項目（6141A02011904）