安全數據的自動化獵捕和多源告警的溯源研究

鄧志東，唐振營，李慧芹，謝瑞楠，劉 爽

（國家電網有限公司客戶服務中心信息運維中心 天津 300309）

1 引言

在網絡環境中，對網絡攻擊進行追蹤溯源的技術具有非常重要的現實意義。其依據各種先進技術手段，精準定位網絡攻擊者，同時能夠分析網絡攻擊的傳播路徑，以此來進行有目的性的反制措施，抑制網絡攻擊的頻率，此外還能增強網絡攻擊的法律取證效果，在網絡安全領域有了極強的應用。最近幾年來，有關于網絡環境安全數據的自動化獵捕和多源告警的溯源研究有了突破性的進展，形成了多種技術融合的方案，這些技術方案面對復雜化和多樣化的網絡攻擊仍具有進一步的提升空間，需要進一步實現技術的整合和完善。國家電網安全管理系統非常龐大，每天的告警日志都能達到十萬數量級，因此對這些告警日志進行人工處理并不現實，所以需要對安全數據進行自動化分析，實現自動溯源警告。國家電網的客戶服務系統需要有一整套多源告警的溯源機制，統一歸集告警數據，在計算機處理下，對告警數據進行仔細的分析和整合，發現信息中所蘊含的規律，并精準定位危險源，實現多源告警的溯源[1]。這樣能將原有的十萬數量級的告警日志進一步簡化為數十條的告警日志，能大大減輕網絡安全管理人員的任務。分析多源告警的溯源技術時，能詳細表達相應的關聯結果，最終處理所得到的告警日志可由人工直接進行處理，之后再進行驗證處置，解放網絡安全管理人員的工作時間，同時也能詳細分析所面臨的真正的網絡安全威脅，認真地研判分析告警數據，實現整個國家電網客戶服務系統網絡終端系統的自動化維護。如果發生網絡攻擊事件能夠及時進行安全事故響應，避免發生網絡攻擊事故，減少可能出現的損失。

2 對于網絡攻擊追蹤溯源的技術性概述

對網絡攻擊追蹤溯源的技術性方案按照深度和精確度的要求，可以劃分為4個主要的層次。在此探討第一和第二層次的追蹤溯源，找到攻擊者所控制的網絡，從而實現對網絡攻擊目標的定位。

2.1 第一層次研究

第一個層次的追蹤溯源也被稱為IP追蹤，追蹤技術多種多樣，可以劃分為路由調試技術、數據摘要技術以及數據標記技術[2]等。

路由調試技術主要是利用路由器的接口沿著攻擊數據的傳播路徑，對其來源進行反向的調查。這種追蹤調查的效率比較低，僅僅依靠人工進行操作，很難自動跟蹤和查找網絡攻擊的源頭。

借助信息能夠觸發相應的ICMP數據包，計算機能夠收集ICMP路徑的信息數據，重新追蹤和溯源攻擊者的攻擊路徑。但這種方法在追蹤溯源的過程中會產生大量的流量，并且對網絡的性能影響較大，在追蹤過程中容易被網絡自身的防火墻堵塞，使用是有較多的限制。

日志技術主要是利用在網絡地址包進行傳輸過程中，由路由器對轉發的數據進行相應的復制和計算，并且記錄每一個數據包中的摘要，利用系統中的回溯機制，對于轉發的數據信息進行追蹤，包括網絡地址完整的傳輸路徑。這種技術的優點是能夠反向跟蹤所有的數據包，幾乎不存在漏檢的可能性，且操作性較強。日志技術的缺點是它要與RSP之間密切合作來完成[3]，對于路由器的存儲功能要求比較高，對于路由器的IPu消耗量比較大，并且很可能對路由器的流量帶來相應的影響，降低其使用的性能。

日志分析技術而是對于主機系統的日記信息進行分析和跟蹤，重點關注被攻擊者已經修改或者是刪除的相關聯的日志數據，對于破壞信息的過程進行全過程的跟蹤，已實現追蹤溯源的目的。

網絡快照技術主要是能夠實時捕捉主機系統所有的狀態信息，然后將所捕獲的信息進行有效地整合與分析。網絡快照技術與日志分析技術相比，在實施性和精確性上更加有優勢，但是所花費的網絡資源更大。

網絡數據分析技術主要對在受到攻擊時，對于發生攻擊數據流上一級節點進行跟蹤識別。這種技術能夠根據攻擊數據流的時間和內容叛變攻擊的數據相關性，能夠準確梳理出主機面臨的復雜關系，然后對上部主機進行追蹤的溯源。但這種技術如果對匿名加密的攻擊流進行追蹤溯源，將面臨較大的難度。

網絡水印主要目的是確認接收和發送者之間的關系。這種技術與被動的流量分析相比，漏報率降低，進行實時觀測的數據能夠大幅度減少，但是如果面對多流的攻擊形式，網絡水印技術也難以發揮其有效的應用。

事件響應技術可以通過追蹤溯源技術人員對于網絡進行特有的干預，主要目的是觀測事件在網絡環境中的變化，有變化信息可以確認網絡行為，確定整個事件的因果之間的聯系，實現信息的實時追蹤。由于事件響應技術存在延后性，因此其正確率較低，并且信息分解的整個過程較為復雜，所以在實際中應用比較少。

2.2 第二層次的溯源目標

針對于第二層次的溯源目標，主要是確定攻擊者的主機。網絡攻擊中一般存在較強的因果聯系，這種因果聯系在網絡攻擊事件中具有某種順序，從而形成多種控制性關系。經過研究可以發現在網絡攻擊中可以形成多對多和多對一，甚至是多一對多的控制關系。網絡攻擊者要想竊取某臺主機的數據，可以根據相應的控制程序決定控制方法，也可以復制主機的控制模式，按照由弱到強的形式，將整個控制劃分為反射性控制、跳板型控制、僵尸控制以及物理性控制等多種控制技術。對于安全數據獵捕和多源告警溯源技術人員來說，在未知情況下需要確定攻擊者的攻擊手段和控制手段是非常不容易的，需要沿著網絡攻擊的事件因果鏈，逐漸逆向開展網絡追蹤溯源技術，才能確定攻擊源。第二層次追蹤溯源的目標其實是一個推理的過程，借助攻擊者所使用的網絡設備逆向對數據流傳播途徑進行有效的反向查找[3]。這一過程中必須注意網絡設備可以被攻擊者所控制，攻擊者和被攻擊者之間所形成了一場網絡博弈。目前，還沒有技術能夠直接確定網絡攻擊者的主機，因此需要對主機內部實施有效的監測，可以在主機信息日志系統信息進行分析，捕獲主機相應的信息數據，分析主機信息流，并對信息流展開相應的識別，以便確定網絡攻擊的因果關系及后續的追蹤和溯源。

3 對于大規模網絡攻擊的多源告警溯源技術探究

多源告警溯源機制經過多年的發展，已經有了成熟的系統，但是隨著網絡系統逐漸邁向復雜化和深層次化方向，對于多源告警溯源系統需要進一步進行整合，以實現實用性的解決方案。在大規模網絡攻擊條件下，多源告警溯源技術主要面臨以下幾方面的問題。

第一是關于網絡規模的問題。如果網絡環境在特別復雜的大規模條件下，對于攻擊的多源告警溯源研究必須要考慮，由于網絡規模擴大所帶來的影響，整個溯源系統面對網絡攻擊時會產生大量的數據，這種數據必須依靠強大的數據挖掘才能夠有效實現追蹤其路徑以及介質的目的。對于網絡節點所流經的數據流量比較大，對追蹤溯源方案提出了更高的性能要求。并且面對海量的數據，需要進行實時的處理和存儲，以避免發生信息的堵塞。溯源數據在大規模的網絡攻擊中，若想得到數據的有效整理，必須要采用分布式的保存形式，采用數據挖掘方法，對于溯源數據進行處理[4]。溯源數據要在整個系統內部實現協同，需要考慮大規模網絡自身對數據的影響，避免由于追蹤溯源而使得整個網絡數據受到干擾。對于追蹤溯源的設備，在使用過程中需要考慮成本的因素，以滿足經濟上的可行性和現實中的可操作性。

第二個問題是關于網絡管理者的多樣化。大規模網絡流量中，每一個網絡區域后面的網絡管理機構不同，因此需要充分考慮不同的網絡管理機構如何實現區域的溯源，比如說不同的網絡機構如何交換溯源的數據，在溯源過程中如何符合網絡管理的規范性等等。

第三個問題是關于網絡架構的問題。在大規模網絡中，網絡體制不同，演進的路徑不同。例如，移動通信正在由4G向5G邁進，Rpv4逐漸向rpv6邁進[5]，同時企業之間也由于合并或者是業務之間的融合性影響，移動互聯網的發展、三網合一的影響等等。對網絡進行數據的追蹤溯源，需要考慮到大規模網絡環境下所面臨的復雜環境，對最終溯源的設備配合性、接口的接入問題以及設備的部署問題需要進行深入的探討，這樣才能夠有效保證溯源所得到的結果具備真實性和準確性，保證溯源的有效性，同時能夠實現可靠的降級。

第四個問題是關于溯源設備的部署。由于大規模網絡攻擊所面臨的非常規性以及復雜性，在進行網絡設備的部署時，需要考慮長遠，在部署溯源設備后，就能夠立即發揮效益，并且隨著溯源設備生態系統的形成，追蹤溯源的成功以及精確度能夠得到快速的提升。對于一些依靠路由器技術而進行追蹤溯源的方法，由于需要面臨路由器的升級以及改造的問題，如果重新建設網絡，進行溯源設備的大規模部署，難以在現實中完成。

第五個問題是攻擊命令以及控制的機制。對于網絡環境進行攻擊，一般使用多級跳板機制，這種性質是中間進行加密，并且對數據流進行有效的改變。有的攻擊者會利用僵尸網絡攻擊網絡環境，或采用復雜的命令控制模型，這種模型能夠有效排除安全人員的追蹤服務器，防止安全人員找到追蹤者所使用的主機。

第六個問題是關于網絡環境攻擊者所采用的隱蔽通信的技術。為了保證自己的網絡攻擊不被發現，網絡攻擊者一般采用多種隱蔽手段，如使用P2P的網絡和通信網絡采用匿名制等，隱藏惡意的木馬軟件和蠕蟲病毒，轉移僵尸客戶端和網絡攻擊者之間的通信。如果在進行大規模網絡數據工具后，所竊取的網絡數據一般也采用免費郵箱進行傳播，或者是采用數控主機上其他隱藏區域進行隱蔽式傳播。網絡攻擊者可以采用加密或者是ssl加密等技術性手段，避免在網絡攻擊中受到一些監聽的手段，因此針對于目前的技術來說，對于識別攻擊者所使用的通信環境以及數據具備相當大的難度。

要實現真正的安全數據的自動化內部以及多源告警的溯源技術，必須要解決以上的6個問題，制定出相應的解決方案，這種追蹤溯源告警技術才能夠具有實用價值。只借助于單一的追蹤網絡技術，優缺點比較明顯，同時也具有自身的適用性，在大規模網絡攻擊環境下，并不具備追蹤溯源的技術性標準，因此必須對各種追蹤技術進行有效的整合，采用多種追蹤溯源的技術性手段。

從目前技術性手段上來說，對于網絡攻擊的追蹤溯源技術采用融合手段進行研究目前掌握的文獻比較少，在特定的網絡環境下，比如說IPv4與IPv6混合的環境或者是單獨的IPv6的環境，能夠給出一定的網絡追蹤溯源的解決方法；或者是使用數據標記法與路由的記錄法之間能夠進行有效的融合，網絡中的路由器能夠根據自身轉發的數據標記，對于空余情況進行記錄，并且及時進行調整。當路由器所標記的位置發生空余時，能夠及時將相應的地址信息填入標記的位置，否則路由器將會存儲數據包中的摘要信息，并且對標記信息有效進行清除。這種方法能夠有效融合數據標記法和路由器記錄法的優點，通過使用數據標記，能夠有效減輕路由器在信息流分發時所面臨的存儲的重壓，能夠有效減少錄入數據所面臨的管理性開銷。這些融合性的方法以網絡攻擊的多源告警溯源技術作為研究，但是在實際應用中靈活性比較差，并不具備較強的通用性，一般只能處理一些特定的網絡攻擊的追蹤溯源的案例，如果無法引入新的溯源技術和手段，將很難改變單技術，進行網絡攻擊溯源的矛盾性的困境。

面對這種情況，可以采用這種手段進行有效的融合，以實現對網絡攻擊進行有效的追蹤溯源的方法。可以借助于協作以及非協作之間的追蹤溯源機制，利用通用的網絡追蹤溯源的技術性框架來實現溯源算法以及系統架構的有機融合，以實現對于多源告警準確定位的目的。

4 多源告警追蹤溯源機制的系統性網絡構架

采用多種的追蹤溯源技術需要進行有效地融合，對于系統架構進行充分完整的設計，對于所追蹤的溯源信息要實現規范化，對于追蹤到的信息，要進行有效的處理。在設計多源告警追蹤溯源機制系統構架的過程中，需要充分考慮構建的整體分布，對于單一來源的溯源，要進行有效的組建聚合，對于組件之間的通信機制要深入進行研究，需要保證信息的可拓展性。規范化處理溯源的信息是多源告警追蹤溯源機制的基礎，能有效解決統一性的描述問題。借助于多源信息的有效處理，能夠充分匯聚不同網絡來源的信息，并且實現對信息數據的挖掘和判定。在設計有效的系統架構時，能夠實現多源追蹤系統有效的定位，這也是多種溯源技術的核心所在。

多源告警追蹤溯源機制主要由網絡攻擊信息的采集組件、信息的處理組件、數據庫分析組件以及協同組件等相關部分組成。網絡攻擊信息數據采集系統的主要功能是能夠對各種追蹤溯源的信息進行收集和整理，具有多種形態。網絡系統主機上的流量監控軟件能夠及時收集防火墻和安全防護系統的日志信息，實現其有效整合，并能與管理體系對安全信息軟件模塊的信息進行交換，收集路由器內部功能模塊的數據，并整理網絡信息數據，這一部分專門使用的硬件設備組成了信息收集系統。

溯源系統的軟件部分主要負責匯聚各種溯源信息，轉換各種溯源信息的格式，規范化處理后將信息轉存到相應的信息數據庫中。處理過網絡攻擊的數據庫之后，與單一追蹤溯源技術相互結合，從而實現有效的銜接。

根據溯源信息所建立的數據庫主要負責儲存收集來的溯源信息。信息庫不是一個獨立的實體，它可以根據網絡管理的要求保證所收集的溯源信息能夠可靠的存在，并滿足性能標準。

有效分析溯源信息是溯源任務的基本需求，可通過快速查詢系統管理數據信息數據庫，獲得有效的溯源追蹤任務成果，另外還能進行跨越網絡的溯源轉化，有效處理協同組件。

對于溯源協同的組件可以形成跨越網絡的管理任務，能夠實現網絡管理的多個層級的轉換，在大規模網絡多源溯源研究中具有廣泛的應用。它能夠有效實現內部的信息，互相聯通，并且兼顧區域內部的任務完成度，有效實現在大規模網絡內部對于信息的有效保護。同時這一溯源組件還對于跨越網絡的溯源方法進行有效的整合，比如說在基于DNS防御中的攻擊溯源等領域具有廣泛的應用。

進行多源告警溯源機制技術核心主要是將以往多種單一的溯源技術進行有機的融合，這一融合方法需要對組件進行分析，然后進行協同，這樣才能夠處理不同類型的溯源信息，對于不同溯源技術所帶來的數據變化以及特征之轉換和關聯分析之間進行有效的整合，以實現過程中的銜接任務[6]。

在進行多源告警溯源信息來源分析中，許多數據信息類型不同，比如說所使用的安全管理的信息，網絡數據的信息，保護機制的信息等等，其各種信息在真度上也存在差異。比方說是基于網絡日志的追蹤溯源，包含完整的數據整合信息，有的只包含數據摘要的信息。因此在處理溯源信息時，情況較為復雜，涉及到溯源信息的整體規范化和特征化處理，對于溯源信息進行關聯性分析。我們采用一個簡化場景來探討追蹤溯源的主要原理。

在大規模數據網絡a中，網絡管理系統發現一個攻擊數據包，因此由管理系統將攻擊數據包的信息完整的轉接給數據溯源系統。在整體網絡a設置有溯源的設備，主要是信息日志的采集裝置，這種信息采集裝置能夠有效涵蓋并查詢信息數據包的完整信息。對于攻擊網絡黑的數據源進行溯源分析，借用相應的溯源分析的組件，可以對相應的內部數據庫進行有效的查詢。網絡數據a的大規模數據可以集中進行保存，也可以采用分布式存儲的方法。然后進行溯源分析，經過一定的分析和處理之后，能夠確定網絡攻擊的來源主要是起源于網絡的外部，并且能夠確認是由邊界路由器A1所導致的。

在網絡溯源系統中，根據溯源系統任務分工的不同，將溯源任務重新交給子系統進行進一步的深化溯源。如果在網絡信息域間存在有子系統或者是其他協同軟件支持網絡協議等溯源，能夠進一步確認攻擊網絡a的下一步網絡c，那么需要對網絡c進行進一步溯源。如果相應的溯源機制沒有其他網絡的制度化支持，則可以借助于相應的路由器系統。將網絡工地的溯源任務部署在其他溯源設備中。首先是需要根據網絡數據包內部的信息摘要系統以及從內部數據庫所對比的信息，以確認能夠攻擊網絡的主機a以及相關的邊界路由器之間的連接路徑。如果攻擊網絡環境主機的a旁邊部署了相應的安全審計信息收集設施，那么可以直接提取相應的信息數據流的日志，如果不存在信息數據的日志，那么可以根據攻擊主機的網絡流的時間以及流量等其他特征，對于主機是否是攻擊者所使用的僵尸主機或者是進行其他攻擊的跳板進行有效的驗證；如果經過分析之后確認攻擊來源的控制手機是進行攻擊的主要方面，那么需要結束整個溯源的過程，并且將溯源的結果返回到整個溯源系統顯示中。如果沒有這樣的結論，那么需要進一步提取溯源信息，并且需要對上一主機的進行進一步的追蹤，以實現精確的追蹤溯源的目的。

多源告警溯源具有耦合性，它能夠根據溯源信息作為主要的中心，然后融合不同的溯源技術方法，這樣能夠有效減輕在進行數據多源告警溯源過程中所面臨的強耦合的問題。多源溯源系統具有異構的特性，能夠根據項目完成的實際情況，分階段的對溯源系統進行部署，可以允許部分設備在部署完成時就可以對路徑進行追蹤溯源，一旦缺少某些設備，也能夠完成整體的溯源工作；多源告警溯源機制具有可拓展性，借助于不同的溯源設施，能夠融合不同的溯源技術方法，同時也可以方便增加比較新的溯源技術機制；多源告警溯源機機制同時還具有分布性，借助于多源溯源信息存儲及處理系統，能有效降低網絡信息單點的處理能力，同時它能夠有效強化系統面對網絡攻擊時的反應能力，因此具有非常廣泛的使用價值。

5 結論

在大規模網絡環境下，國家電網客服服務系統和其他管理系統很容易受到網絡病毒的攻擊，因此對于網絡攻擊進行追蹤溯源具有非常重要的現實意義。在追蹤溯源的過程中，需要融合多種技術方法，將這些方法在統一的構架上進行融合，同時要具備較強的可拓展性，同時需要方便部署，將多種溯源方法進行有效的整合，實現信息的聯通以及協同，這樣才能夠實現整個網絡信息系統的安全。目前對于安全數據的自動化獵捕和多源告警溯源技術研究還處于初步階段，需要進行進一步深化，才能不斷完善多源攻擊追蹤溯源技術，不斷保障網絡環境的安全。