基于多源信息融合的網絡安全監控技術

石兆軍，周曉俊，李 可，武 越，張建偉

(中國航天科工集團第二研究院 七〇六所，北京 100854)

0 引 言

在網絡空間攻防對抗的新形勢下，各類安全威脅日新月異，單純的被動靜態防御、網絡威脅檢測已經無法滿足網絡安全需求，亟需創新安全理念，結合大數據、安全威脅情報等新技術應用，發展動態主動的安全防御技術以及網絡安全態勢感知技術。

1 企業網絡安全現狀

近年來，隨著國家對網絡安全的重視程度不斷增加，不同企業按照國家有關政策、制度、標準要求，在網絡安全方面積極開展了一系列的對標建設。圍繞物理安全、網絡安全、主機安全、應用安全、數據安全等方面實施部署了一系列的安全防護產品，制訂了一系列的信息安全策略、制度、規程，設置了一系列的機構、崗位、人員具體落實安全防護體系建設和運維保障，有效提升了各類網絡的安全防護能力，一定程度上降低了由于人員操作失誤而造成網絡安全事件發生的概率及危害程度。同時，網絡安全等級保護制度穩步推進，也促進了網絡防護能力的不斷迭代和升級，有效保障了企業利益和國家安全。

然而，很多企業在信息安全體系建設方面仍是以標準為基線，對標建設，雖然實施部署了大量的網絡安全產品，但是，每一類產品僅針對某一類安全問題較為有效，安全防護能力實際上仍處于松散、獨立的信息孤島，沒有關聯性，不成體系，沒有形成體系化的防御鏈條。同時，由于各類產品的缺陷存在誤報、漏報，造成審計的實際作用未得到體現。在各類信息安全產品的配置和使用過程中，也存在著各種各樣的問題，一旦發生安全事件，難以溯源、分析和取證。

2 網絡安全監控模型

目前，國內外尚未統一網絡安全監控模型，比較典型的有兩類，分別是基于數據融合的網絡安全態勢感知模型和基于層次化分析的網絡安全態勢感知模型。

其中，基于數據融合的模型，是將所有安全傳感器收集到的數據，按照時序進行分析、融合成抽象數據的過程。由于安全傳感器的誤報率和漏報率一直是尾大不掉的難題，因此?；跀祿诤系哪Ｐ椭饕诙嘣串悩嫈祿M行分析，其分析模型廣泛采用美國國防部的JDL模型[11]。近年來，針對單一信息源單和準確性較差等問題，在JDL的基礎上，提出了諸如多源多層次基于貝葉斯網的信息融合[4,8]、因子加權的網絡安全感知等多種方法[5]。

層次化分析技術，簡而言之，就是將網絡安全問題逐層分解，每層聚焦于對該層級的分析。最具有代表性的是Endsley提出的基于層次化的網絡安全態勢感知概念模型[8]。該模型將網絡安全態勢感知分為獲取、理解、預測等3個部分。此后的模型設計基本都繼承了Endsley的思路。首先，從所有網絡資產獲取基礎信息、使用狀態、漏洞數量、木馬病毒、入侵報警等基礎數據，再對信息進行處理、關聯分析和數據融合，從而實現對基礎數據的理解。預測作為態勢感知框架設計的最上層，在態勢獲取和理解的基礎上，主要借助于大數據技術，預測未來一段時間內的網絡安全狀態。

3 網絡攻擊路徑及異常行為分析

要實現對網絡的安全監控，就有必要先定義好關注的監控內容，比如圍繞著信息資產，對其面臨的脆弱性、網絡安全事件、網絡威脅、網絡攻擊和網絡風險進行綜合分析[3]。其中，對于網絡攻擊路徑和異常行為的挖掘和深入分析更為重要。

3.1 攻擊路徑分析

通常來說，通過部署防火墻，劃分不同安全域是最常見的一種安全防護策略，但是這種策略也存在弊端，就是按照寬出嚴進的最小授權原則來設置訪問控制規則，嚴控由外至內的訪問，忽略了由內至外的訪問。一般來說，攻擊者都是通過以下幾個步驟來實施具體的攻擊操作：

步驟1 利用訪問者的身份來遍歷應用的功能模塊，尋找是否存在可被直接利用的漏洞；

步驟2 通過注冊用戶或者登錄頁面等主要功能模塊設法以合法的用戶身份登錄系統，遍歷合法用戶的功能模塊，尋找是否存在可被直接利用的漏洞；

步驟3 利用已發現的系統漏洞，獲取系統管理員的權限；

步驟4 利用系統管理員的權限，獲取服務器的控制權限或獲取用戶的敏感數據；

步驟5 對服務器植入木馬程序或后門，完成對服務器的控制。

以上雖然是對攻擊思路的概述，但實際上攻擊者采用的攻擊技術非常復雜、多樣，在本文中不對攻擊技術進行深入討論。那么，通過對攻擊思路的總結，可以繪制出攻擊者的攻擊路徑。

(1)挖掘系統的關鍵信息

攻擊者通過遍歷系統的功能模塊，收集到系統的關鍵信息，包括：系統架構、中間件、數據庫、用戶信息、管理員信息，通過踩點，甚至可以挖掘到系統使用的基礎平臺信息、版本號以及開發廠商，再利用已公開的漏洞信息，可以快速找到對應的具體漏洞，甚至是漏洞的利用方法。

(2)借助攻擊手段挖掘其存在的漏洞

在攻擊者收集到系統的關鍵信息以后，可以利用其提供的功能模塊，比如注冊功能，成為系統合法的用戶，在此基礎上再利用合法用戶的身份實施對系統漏洞的進一步挖掘?？紤]到有些系統的應用對象可能是某個企業，僅授權了企業內部人員使用，在這種情況下，攻擊者可能結合社會工程學、網絡釣魚或者水坑攻擊等方式對授權人員進行定點攻擊，從而獲取到系統的合法使用權。

(3)提權及控制

攻擊者對于系統攻擊的終極目標是控制，因此，通過層層的漏洞挖掘和利用，不斷提升攻擊者的權限，最終獲取到服務器的控制權，使攻擊效益最大化。

3.2 異常行為分析

在攻擊者實施攻擊的各個階段，其實都會留下諸多的網絡證據。攻擊路徑如圖1所示。

圖1 攻擊路徑分析

在收集信息階段，攻擊者通常會借助各種掃描技術對被攻擊系統進行全面掃描，此時在系統的日志中肯定會在連續的時間段內產生大量的訪問日志和異常的數據流量，這些日志的出現是系統遭受攻擊的前兆。

在漏洞挖掘階段，由于攻擊者會大量嘗試利用合法的用戶身份登錄系統，所以，在某一時間段內，將會出現多個賬戶在同一終端登錄操作的情況，頻繁進行賬戶切換。攻擊者在嘗試猜解合法用戶登錄口令的時候，也會產生大量的用戶登錄失敗的日志。攻擊者在實施具體攻擊的過程中，也會產生很多訪問失敗的日志記錄。

最后，在攻擊者提權控制服務器的過程中，勢必會開啟服務器的多余服務、卸載或關閉安全防護軟件，安裝后門軟件。這些操作也均會產生相應的日志。

那么，如何在攻擊者實施攻擊的過程中及時、有效地發現異常行為就顯得至關重要。通常來說，異常行為會表現在以下幾個方面。

3.2.1 應用異常

在對應用異常進行分析之前，需建立假設前提，即應用系統的安全審計功能能夠記錄所有操作記錄，并記錄操作的結果，如成功或失敗。

在攻擊者實施攻擊的初始階段，必然伴隨著諸多應用的異常事件，主要體現在身份鑒別、訪問控制等方面。

(1)身份鑒別異常

在攻擊的第一階段，攻擊者通常會利用系統的登錄入口嘗試仿冒系統合法用戶的權限進行登錄，那么，在嘗試登錄過程中，在應用系統的登錄日志中便會出現以下事件：在同一地址，反復出現登錄失敗的日志記錄；在同一地址，短時間內出現多個賬戶密集登錄的日志記錄；同一賬號，在不同設備登錄的日志記錄；同一賬號，在不同地理區域登錄的日志記錄；同一賬號，在非工作時間登錄的日志記錄。

當應用系統的登錄日志出現以上情況時，至少能夠證明登錄操作不符合合法用戶操作預期，基本能夠斷定其屬于異常事件，需要重點關注。

(2)訪問控制異常

當攻擊者獲得系統合法用戶身份登錄系統以后，必然會對所有的功能頁面進行遍歷，這種遍歷可能是以人工的方式，也可能借助于自動的掃描軟件，以期發現能夠進行利用的系統漏洞，那么在遍歷功能頁面的過程中便會出現以下事件：短時間內，密集遍歷系統的所有功能頁面；在不同功能模塊，持續使用文件上傳附件功能；嘗試使用具有系統管理的功能頁面；嘗試訪問權限以外的功能頁面；未經身份鑒別的上傳或下載操作；遍歷下載所有文件的操作。

3.2.2 網絡異常

在攻擊者嘗試攻擊或者實施攻擊過程中，在網絡層面也必然會伴隨著出現異常的事件。

(1)違規接入設備異常

網絡中如果已經采取了例如網絡接入控制系統等技術手段，那么當攻擊者私自接入其它設備時，即會觸發違規設備接入的報警信息。當然如果攻擊者利用已經接入網絡的合法設備進行攻擊時，可以通過該終端產生的異常網絡流量或者不符合白名單的系統進程進一步分析和判斷。

(2)網絡流量異常

通常來說，在攻擊者實施攻擊的各個階段，均會在網絡中產生異常的網絡流量。在攻擊實施階段，肯定會產生大量的攻擊探測包，很有可能被部署的入侵檢測類設備捕獲。如果在竊取數據階段，那么必然伴隨著大量數據流量的異常事件，或者利用非正常辦公時間來進行數據的竊取，也都屬于異常的網絡流量。

(3)來自外部網絡的訪問請求

當攻擊者來自于外部網絡的時候，由于在網絡邊界處采取了諸如防火墻類的邊界防護設備，就可以通過查詢邊界防護設備所產生的拒絕訪問日志來具體分析來自外部網絡的威脅。

(4)來自內部網絡的訪問請求

當內部設備已經被外部網絡的攻擊者所控制，為了便于外部攻擊者的控制，木馬程序為了繞過邊界防護設備對外部設備的訪問控制措施，均是通過由內部向外部發起反向連接請求，因為正常情況下，邊界防護設備的策略設置都是嚴格限制外部設備訪問內部資源，而對內部設備訪問外部資源的訪問策略設置都不太嚴格。因此，也可以通過加強邊界防護設備中內部設備訪問外部資源的策略設置，來及時發現來自內部網絡的異常。

3.2.3 終端異常

如果攻擊者來自企業內部，且利用了企業內部“合法”的終端，當實施攻擊的過程中，也必然會伴隨著異常事件的發生。

如果企業內部對內網設備采取嚴格的控制措施的情況下，會在用戶終端上安裝一系列的安全防護軟件，來監控和審計來自于用戶的違規操作(如安裝白名單以外的軟件、開啟多余服務等)和病毒事件。攻擊者如果要成功實施網絡攻擊，必然會用到各種各樣的攻擊工具，而這些工具的使用有可能被安全防護軟件所阻止，因此，攻擊者如果要正常使用攻擊工具，必然會嘗試關閉或卸載這些安全軟件，如果安全防護軟件的功能比較完善，當攻擊者進行關閉或卸載安全軟件或是安裝白名單以外的攻擊工具時也會產生安全事件。

4 基于多數據源信息融合的網絡安全監控技術體系架構

隨著網絡安全技術的不斷發展，從服務器、用戶終端和信息網絡中獲取原始數據已不再是面臨的難題，但是，如何有效將服務器、用戶終端和信息網絡中已實施部署的網絡安全信息孤島數據進行綜合關聯分析，從而快速、準確提取出正在發生、已發生或可能發生的網絡安全事件就顯得非常迫切。因此，有必要開展基于多數據源信息融合的網絡安全監控技術體系架構設計，為網絡安全運營者提供準確、高效、可視化的網絡安全運營視圖，提升對網絡安全的監管能力和水平。

在此，提出一種基于多數據源信息融合的網絡安全監控技術體系架構，如圖2所示，包括數據采集、數據預處理、數據理解、評估和展示等5層。

圖2 基于多數據源信息融合的網絡安全監控技術體系架構

4.1 多源數據采集

用于網絡安全監控的基礎數據來源于不同的數據源。通過在網絡和系統中部署的多類傳感器和探測設備對所有信息資產的運行數據、安全數據進行采集。運行基礎數據包括CPU、內存、I/O、存儲、進程、性能等。安全基礎數據包括違反安全策略的違規操作告警、漏洞信息、網絡攻擊檢測信息等。兩類數據都能夠反映出設備一定的安全狀態。

4.2 數據預處理

采集到的數據，由于來自眾多的信息資產，其數據要素、內容、質量和存儲格式均不相同。因此，有必要對這些來源于不同設備、不同語義的數據進行預處理和歸一化，提供相對準確、統一的精準數據源。數據預處理過程主要包括了對數據的清洗、轉換和歸并等操作。

4.3 數據理解

數據理解過程主要通過關聯分析，從海量告警信息中分析、提取出真正的網絡安全事件。關聯分析簡要來說，就是結合事件主體和時間等信息挖掘出某一攻擊行為或安全事件在特定時間和空間上的協同攻擊行為，識別真實的網絡安全事件。

4.4 評 估

評估是按照選定的模型和算法，計算出與網絡安全相關聯的有意義的數值，給出網絡安全當前所處的狀態。評估通常有定量和定性兩種不同的方法。但是，都需要建立一套評估指標體系。目前，國內外并沒有一套統一的評估指標體系，都需要結合實際的關注重點，持續的對評估指標體系進行調整優化，以不斷滿足企業對網絡安全的具體需要。等級保護工作雖然也可視作一種評估的指標體系，但是評估結果僅能反映出某一時刻的安全狀態，無法動態實時進行評估，通常是作為一種第三方監管措施來進行實施。

4.5 展 示

為了便于網絡的安全運營與監管，需要對評估的狀態進行展示。通常來說，展示就是將評估后的真實數據和抽象化的數據，利用圖形學和圖像處理技術進行表現。并且能夠針對展示的內容進行深層次的鉆取，快速發現并提取網絡安全威脅，直觀掌握當前的網絡安全狀況。

5 關鍵技術及系統設計

5.1 量化評估指標體系

對于網絡的量化評估指標體系設計，參考等級保護、分級保護等標準依據，采用先局部后整體的量化評估策略。其中，信息資產作為基礎數據，可以按照設備類型，從脆弱性、可用性、完整性、保密性等方面，設計不同的量化指標。在學術界，量化評估算法[1,6,7,10]是研究的一大關鍵技術之一。

脆弱性主要是對信息資產當前系統運行狀態存在的漏洞情況進行綜合分析統計，比如操作系統類型、版本，開放的服務、端口，安裝軟件的版本，再借助于漏洞掃描設備，定位每個設備存在漏洞的具體情況，最后綜合所有存在漏洞的設備及數量，并結合設備的關鍵程度權值對脆弱性進行綜合量化。

可用性主要對信息資產當前系統運行狀態進行實時采集，比如對CPU、內存、存儲、I/O、并發、吞吐、網絡延時，以及系統必須的基礎服務是否正常運行等進行綜合分析統計，再結合設備的關鍵程度權值對可用性進行綜合量化。

完整性主要是通過綜合已部署的安全設備所產生的告警信息，來分析正在發生或已經發生的網絡安全事件，比如服務器或用戶終端的安全基線是否遭到了篡改，是否開啟了安全基線以外的進程、端口，是否創建了多余的系統賬戶，是否安裝了多余的軟件，是否遭受了網絡端口掃描,是否遭受了針對應用的WEB攻擊，是否存在違反安全策略的數據通信等，并結合設備關鍵程度權值對完整性進行綜合量化。

保密性主要是針對數據資產保護而言，根據數據資產保護策略，通過對終端、系統和網絡中是否發生違反策略的行為，比如是否違規存儲處理了授權范圍以外的數據，是否違規查詢或使用了權限范圍以外的數據，是否違規向外發送了企業的重要數據等，進行綜合量化。

5.2 信息融合理解技術

通常來說，為了實現企業的網絡安全，都會建設覆蓋各個層面的網絡安全防護技術措施，有的部署于設備或系統自身，按照策略要求對設備或系統自身實施安全防護；有的串行部署在網絡中，按照設定的安全策略對網絡數據流量進行實施過濾；有的旁路部署在網絡中，對網絡流量實施深度的還原檢測。每類防護設施主要都是針對一個點或幾個點或某一類進行加強和防護，那么如何把這些防護點的安全事件提取出來，進行融合分析，來還原出真正的整個網絡安全事件脈絡，就需要借助信息融合理解技術對不同設備和系統的安全告警信息進行匯聚和關聯分析。

當然，需要進行信息融合理解，首先需要有統一的時鐘源，這樣不同的設備產生的安全告警才有統一的時鐘，才能基于統一的時間線進行關聯分析。另外，考慮到不同安全設備、系統的安全告警規則和告警級別不盡相同，為了最大化不遺漏任何高級別告警，需要取高級別告警全集。再以高級別告警中的IP為對象，以時間軸進行排序，其中，可以以終端設備告警的IP為主，以網絡設備告警的IP為輔，因為通常情況下，網絡攻擊或網絡事件都是從具體某個設備發起，所以整個關聯分析過程應該以終端設備為主，輔以網絡安全告警和目標對象告警。當然，如果該設備是外部接入設備，就需要首先從網絡接入的合規性和安全性進行分析，再利用網絡設備的告警目標對象的告警進行深入關聯，從而梳理出整個的網絡安全事件原貌。

5.3 系統設計

綜上所述僅是對網絡攻擊路徑和在發起攻擊過程中可能伴隨出現的異常行為進行說明，然而，實際上網絡攻擊遠比舉例內容更復雜、比如針對性極強的、極具潛伏性的、危害極其巨大的APT攻擊，對APT攻擊的檢測絕對無法單靠某一個安全設備或者某幾個安全產品聯動就能檢測和發現，需要打破現有的信息防護孤島，重新建立一套整體的、集實時監測能力、防御響應能力、發現誘捕能力、取證打擊能力為一體的網絡安全主動防御、精準防控體系，最終達到沈昌祥院士提出的“進不去、拿不到、看不懂、改不了、癱不成、賴不掉”的安全防護效果。

隨著企業信息化建設的不斷推進，信息系統規模和復雜程度不斷增加，安全管控難度大幅提高，如何高速、準確提取和分析海量數據，盡早發現安全威脅，及時處置安全事件顯得極其迫切。近年來，一些學者也圍繞著提升網絡主動防御能力提出了基于態勢感知的主動防御架構設計[2,6,9]。

因此，有必要開展基于多數據源信息融合的網絡安全監控技術研究。通過融合終端、服務器、網絡設備、安全產品、應用系統的運行日志和操作日志，以及全網的數據流量，經過數據解析、過濾、歸一化分析、聚合，利用智能分析引擎對用戶及實體進行分析建模，構建其基線畫像，再通過實時監測當前用戶行為，及時發現和定位異常行為。并且，能夠實時可視化網絡中資產、漏洞、安全事件、異常事件、攻擊事件等視圖，通過提供多維度的風險畫像，為最終的管理決策提供指揮與控制、應急響應和溯源取證。技術框架如圖3所示。

圖3 基于多源信息融合的網絡安全監控技術框架

5.3.1 數據源

通過兩種方式采集來自終端、服務器、網絡設備、安全設備及應用系統的數據信息。

(1)主動采集：在網絡中通過部署流量探針，旁路鏡像端口實現對網絡全流量數據的抓取和采集。

(2)被動采集：利用數據通信協議，如SNMP、SYSLOG、TCP、UDP、ODBC、JDBC等以及定制API(如webservice)的方式接收被監控對象的轉發日志。

5.3.2 大數據中心

當采集到海量的原始數據信息以后，需要對數據進行預處理，理想狀態下，應對運行數據和安全數據進行分類過濾，去重聚合，對數據進行歸一化清洗，再統一存儲進大數據平臺，以便于統一的檢索、統計所使用。

5.3.3 智能分析引擎

智能分析引擎主要利用大數據機器學習技術，通過對多維度的信息和多源數據進行整合、關聯、智能分析和預測，結合外部的威脅情報，刻畫用戶及實體行為畫像，精準定位異常事件，提高對未知威脅攻擊的發現、防御和回溯能力。

5.3.4 可視化中心

可視化中心能夠從多維度、多視角，直觀化、形象化的展示網絡重要的數據信息，比如網絡資產、網絡存在的安全漏洞、網絡中已發生的安全事件、網絡中發生的異常事件以及網絡攻擊事件等，便于網絡管理者迅速了解并掌握當前網絡的安全狀態。

5.3.5 應用中心

應用中心提供多維度的網絡安全風險畫像，從對標的合規性和網絡防護能力等方面展示網絡所面臨的安全風險，同時，針對網絡安全風險提供指揮與控制接口和應急響應支撐，提供針對網絡安全事件的溯源取證能力。

6 結束語

當前，我們個人、企業都在經歷著數字化、信息化帶來的巨大變革，在享受數字化、信息化紅利的同時，也一定要認識新技術、新模式、新應用所帶來的新的安全風險和挑戰。網絡安全更應該充分利用新技術、新思維，利用多數據源信息融合的威脅分析與監控技術，改造升級網絡安全防御思路和防控能力，鑄就網絡安全屏障，筑牢企業防御天網，護衛企業安全發展。