威脅情報(bào)輔助研判系統(tǒng)在電力系統(tǒng)安全運(yùn)維中的應(yīng)用

李寒箬，張振紅

（云南電網(wǎng)有限責(zé)任公司信盧中心，昆明 650217）

電力安全事關(guān)國家安全，影響國計(jì)民生。近幾年來，國際上針對電力行業(yè)關(guān)鍵信盧基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊日益頻繁，電力系統(tǒng)的信盧安全防護(hù)面臨著嚴(yán)峻挑戰(zhàn)，及時(shí)發(fā)現(xiàn)、處置重大安全風(fēng)險(xiǎn)和隱患是電力系統(tǒng)安全穩(wěn)定運(yùn)行的重要保障。隨著信盧技術(shù)的飛速發(fā)展和國家構(gòu)建以新能源為主體的新型電力系統(tǒng)戰(zhàn)略的提出，電力行業(yè)的信盧網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大，其廣泛的覆蓋范圍、多元化的網(wǎng)絡(luò)結(jié)構(gòu)和復(fù)雜的網(wǎng)絡(luò)分區(qū)，使得電力系統(tǒng)各安全防護(hù)設(shè)備的告警數(shù)量日益增多，給企業(yè)的日常運(yùn)維帶來了巨大挑戰(zhàn)。目前，當(dāng)安全事件發(fā)生時(shí)，監(jiān)控人員往往難以從海量日志和告警數(shù)據(jù)中快速定位故障，而是需要根據(jù)優(yōu)先等級對各事件起因進(jìn)行順序排查，對于一些影響程度較大的安全事件，無法及時(shí)判斷其準(zhǔn)確性和嚴(yán)重性，就不能及時(shí)進(jìn)行后續(xù)處理，甚至可能導(dǎo)致事件范圍擴(kuò)大，造成嚴(yán)重的經(jīng)濟(jì)損失和社會危害。

1 電力系統(tǒng)網(wǎng)絡(luò)安全告警現(xiàn)狀

目前，很多電力企業(yè)已建設(shè)了大量信盧安全專業(yè)防護(hù)系統(tǒng)來保障電力系統(tǒng)的安全可靠運(yùn)行，包括防毒墻、入侵防御系統(tǒng)、入侵檢測系統(tǒng)、Web 應(yīng)用防火墻、上網(wǎng)行為管理、主機(jī)安全防護(hù)、網(wǎng)絡(luò)阻斷系統(tǒng)、動態(tài)防護(hù)系統(tǒng)、防篡改和流量回溯等。但各廠家設(shè)備和系統(tǒng)因檢測原理和告警規(guī)則的不同，造成安全事件的大量上報(bào)，很多事件其實(shí)是同一類事件或相關(guān)相近的事件，但因這些事件的告警信盧間缺乏聚合處理及威脅情報(bào)的關(guān)聯(lián)分析，導(dǎo)致關(guān)鍵的安全事件被大量無效報(bào)警淹沒，安全人員每天疲于應(yīng)對成千上萬的告警無法做到逐條分析，大大降低了運(yùn)維工作效率，甚至面臨著漏掉高威脅事件的風(fēng)險(xiǎn)。

本文基于威脅情報(bào)數(shù)據(jù)的告警關(guān)聯(lián)分析技術(shù)提出一種威脅情報(bào)輔助研判系統(tǒng)，該系統(tǒng)通過將企業(yè)運(yùn)行的各類安全防護(hù)系統(tǒng)事件日志統(tǒng)一關(guān)聯(lián)起來，并對日志告警進(jìn)行監(jiān)控分析和輔助研判，實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的準(zhǔn)確定位和威脅評估、預(yù)警，提高安全事件分析的準(zhǔn)確性和實(shí)時(shí)性，同時(shí)為企業(yè)安全團(tuán)隊(duì)快速響應(yīng)和處置威脅提供依據(jù)。

2 一種告警關(guān)聯(lián)分析系統(tǒng)的架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)

2.1 告警關(guān)聯(lián)分析現(xiàn)有技術(shù)及發(fā)展趨勢

2.1.1 告警關(guān)聯(lián)分析技術(shù)現(xiàn)狀

告警關(guān)聯(lián)分析的主要目的是通過對告警數(shù)據(jù)進(jìn)行壓縮、過濾及分析等操作，找到數(shù)據(jù)之間潛在的關(guān)聯(lián)性，并通過這些關(guān)聯(lián)信盧從一組告警序列中推理出指示故障根源的告警。常見的告警關(guān)聯(lián)分析技術(shù)有基于統(tǒng)計(jì)分析的聚類技術(shù)、基于因果分析的關(guān)聯(lián)技術(shù)和基于規(guī)則的關(guān)聯(lián)分析方法等。其中，基于規(guī)則的關(guān)聯(lián)分析是目前最常用的一種告警關(guān)聯(lián)分析方法，其按系統(tǒng)預(yù)先內(nèi)置或用戶自定義維護(hù)的關(guān)聯(lián)規(guī)則對平臺采集的范式化后的日志進(jìn)行規(guī)則模型匹配分析，并按規(guī)則設(shè)定進(jìn)行告警。

2.1.2 告警關(guān)聯(lián)分析技術(shù)發(fā)展趨勢

基于規(guī)則的告警關(guān)聯(lián)分析方法主要針對已知安全事件分析，這種依賴人工經(jīng)驗(yàn)建立的關(guān)聯(lián)關(guān)系存在規(guī)則覆蓋不全，創(chuàng)建新的關(guān)聯(lián)規(guī)則周期長、成本高等特點(diǎn)，越來越難以應(yīng)對快速變化的安全威脅。隨著當(dāng)前網(wǎng)絡(luò)攻擊形勢不斷演變，安全告警關(guān)聯(lián)分析需要結(jié)合網(wǎng)絡(luò)環(huán)境的動態(tài)變化、網(wǎng)絡(luò)流量、TTPs（戰(zhàn)術(shù)、技術(shù)和程序）、上下文信盧和攻擊鏈上的樣本等豐富情報(bào)信盧，通過實(shí)現(xiàn)日志告警和威脅情報(bào)數(shù)據(jù)的關(guān)聯(lián)分析，持續(xù)了解真實(shí)攻擊的本質(zhì)、意圖、技術(shù)和造成損害的能力，將傳統(tǒng)的“被動防御”轉(zhuǎn)變?yōu)榉e極的“主動防御”。

2.2 威脅情報(bào)輔助研判系統(tǒng)的架構(gòu)設(shè)計(jì)

基于威脅情報(bào)數(shù)據(jù)的告警關(guān)聯(lián)分析技術(shù)，本文提出了一種威脅情報(bào)輔助研判系統(tǒng)，其架構(gòu)設(shè)計(jì)如圖1 所示。威脅情報(bào)輔助研判系統(tǒng)將通過日志系統(tǒng)獲取的各類安全設(shè)備告警和日志信盧，經(jīng)關(guān)聯(lián)分析和輔助研判后，分析出安全告警的可信程度，過濾掉告警中的噪音事件，從而增加本地安全告警的精準(zhǔn)度，讓企業(yè)安全人員可以迅速定位威脅來源和相關(guān)聯(lián)的資產(chǎn)和業(yè)務(wù)，并及時(shí)通過工單和處置流程進(jìn)行快速響應(yīng)。

圖1 威脅情報(bào)輔助研判系統(tǒng)架構(gòu)圖

威脅情報(bào)輔助研判系統(tǒng)包括數(shù)據(jù)過濾模塊、關(guān)聯(lián)情報(bào)分析模塊、數(shù)據(jù)存儲模塊和數(shù)據(jù)可視化模塊。數(shù)據(jù)過濾模塊主要完成告警數(shù)據(jù)的過濾和聚合處理，關(guān)聯(lián)情報(bào)分析模塊引入威脅情報(bào)數(shù)據(jù)進(jìn)行告警數(shù)據(jù)聯(lián)合分析，數(shù)據(jù)存儲模塊對經(jīng)過濾和關(guān)聯(lián)情報(bào)分析后的威脅信盧進(jìn)行本地存儲，數(shù)據(jù)可視化模塊將加載的數(shù)據(jù)以數(shù)據(jù)表、餅圖、面積圖、折線圖、數(shù)字和柱狀圖等方式進(jìn)行展示。

威脅情報(bào)輔助研判系統(tǒng)集威脅情報(bào)查詢、威脅情報(bào)輔助研判功能于一體，實(shí)現(xiàn)了告警數(shù)據(jù)的過濾和關(guān)聯(lián)情報(bào)分析服務(wù)、威脅情報(bào)數(shù)據(jù)搜索查詢和存儲服務(wù)、數(shù)據(jù)往自動化運(yùn)維平臺的數(shù)據(jù)傳輸接口、威脅情報(bào)文件的上傳下載、用戶交互界面及用戶管理等功能，系統(tǒng)在日志系統(tǒng)和自動化運(yùn)維平臺中間提供了攻擊源威脅情報(bào)的分析和輔助研判，可大大提升企業(yè)對安全事件的監(jiān)測分析能力和威脅處置效率。

2.3 系統(tǒng)實(shí)現(xiàn)功能及特點(diǎn)

2.3.1 系統(tǒng)實(shí)現(xiàn)的功能

告警優(yōu)化：為了更加準(zhǔn)確高效地提取和過濾告警數(shù)據(jù)，本系統(tǒng)對日志告警信盧進(jìn)行過濾和聚合處理，首先通過過濾除掉與系統(tǒng)安全沒有關(guān)系的虛假告警和反復(fù)出現(xiàn)的冗余告警，然后對告警信盧中存在著的各種關(guān)系（有的告警來源于同一個(gè)攻擊，有的告警之間存在著因果關(guān)系等）的安全事件通過聚合相同或相近的告警對其數(shù)量進(jìn)行精簡，提高網(wǎng)絡(luò)安全事件分析的準(zhǔn)確性和實(shí)時(shí)性。

輔助研判：威脅情報(bào)數(shù)據(jù)具備豐富的上下文信盧，本系統(tǒng)利用威脅情報(bào)數(shù)據(jù)對優(yōu)化后的告警信盧進(jìn)行關(guān)聯(lián)分析，根據(jù)已知線索對攻擊對手、攻擊手法、攻擊途徑、攻擊資源和攻擊位置后果等進(jìn)行深度研判和拓展分析，獲得惡意文件的HASH（哈希值）、主機(jī)特征、網(wǎng)絡(luò)特征、事件特征、組織和人員情報(bào)等維度的情報(bào)數(shù)據(jù)，快速定位和溯源攻擊者、判定攻擊目的及分析攻擊細(xì)節(jié)，通過線索的利用和聯(lián)動分析，實(shí)現(xiàn)安全告警的輔助研判。

本地威脅情報(bào)庫：本系統(tǒng)通過全面采集多源威脅情報(bào)、多維度分析威脅信盧等構(gòu)建基于攻擊組織的關(guān)聯(lián)圖譜，搭建本地威脅情報(bào)庫。當(dāng)出現(xiàn)新的攻擊事件的時(shí)候，系統(tǒng)以待檢測的告警事件（攻擊組織）作為輸入，通過攻擊組織研判模型進(jìn)行一致性判定，并輸出研判結(jié)果。系統(tǒng)還提供專供內(nèi)部使用的Web 交互查詢界面，實(shí)現(xiàn)告警威脅歷史信盧的記錄和關(guān)聯(lián)搜索，輕松地將來自過去的攻擊者活動的信盧與當(dāng)前的信盧進(jìn)行關(guān)聯(lián)，并從過去的攻擊中學(xué)習(xí)，主動阻止攻擊者當(dāng)前和未來可能的攻擊。

聯(lián)動處置：本系統(tǒng)最后將帶有威脅情報(bào)數(shù)據(jù)的告警信盧發(fā)送到自動化運(yùn)維系統(tǒng)與基礎(chǔ)安全設(shè)施聯(lián)動，實(shí)現(xiàn)對真實(shí)攻擊的聯(lián)動處置。

溯源分析和主動防御：本系統(tǒng)不僅可定位已發(fā)生的威脅，還可輸入高級威脅情報(bào)、熱點(diǎn)事件和熱點(diǎn)漏洞等信盧，從攻擊者視角情報(bào)，實(shí)現(xiàn)對威脅進(jìn)行舉證或溯源分析，幫助用戶實(shí)現(xiàn)主動防御。

2.3.2 系統(tǒng)特點(diǎn)

威脅情報(bào)輔助研判系統(tǒng)是一套高級威脅情報(bào)分析研判工具，其收集不同來源的安全告警信盧對其進(jìn)行過濾和輔助研判，并輸出研判結(jié)果，同時(shí)能對脆弱性較大、威脅較多和存在異常的IP 給出安全處置建議。該系統(tǒng)一端對接日志系統(tǒng)，一端對接自動化運(yùn)維系統(tǒng)，也可作為中間件實(shí)現(xiàn)靈活部署，根據(jù)企業(yè)的實(shí)際情況對接各類安全事件源和聯(lián)動處置設(shè)備，從而滿足企業(yè)不同平臺的安全需求。

2.4 系統(tǒng)部署及應(yīng)用

2.4.1 系統(tǒng)部署方式

威脅情報(bào)輔助研判系統(tǒng)基于現(xiàn)有的安全數(shù)據(jù)分析平臺，日志系統(tǒng)和安全運(yùn)維平臺即自動化運(yùn)維系統(tǒng)進(jìn)行部署，系統(tǒng)使用HTTP 協(xié)議接收日志系統(tǒng)數(shù)據(jù)和發(fā)送數(shù)據(jù)到自動化運(yùn)維系統(tǒng)，使用Spring Security+JWT 實(shí)現(xiàn)用戶認(rèn)證及授權(quán)，使用Maven 管理項(xiàng)目依賴。系統(tǒng)使用Spring Data JPA 訪問MySQL 數(shù)據(jù)庫，使用Tomcat 作為Web 服務(wù)器，實(shí)現(xiàn)用戶交互。其安裝部署流程：開始—選擇符合運(yùn)行環(huán)境的服務(wù)器—安裝系統(tǒng)運(yùn)行所需要的JDK—安裝系統(tǒng)運(yùn)行所需要的MySQL—進(jìn)入項(xiàng)目路徑下放置架包—啟動架包—結(jié)束。

2.4.2 系統(tǒng)工作流程

威脅情報(bào)輔助研判系統(tǒng)的工作流程如圖2 所示。系統(tǒng)從日志系統(tǒng)提取告警數(shù)據(jù)，對海量告警信盧進(jìn)行過濾和分析，然后調(diào)用威脅情報(bào)系統(tǒng)的威脅情報(bào)數(shù)據(jù)對優(yōu)化后的告警信盧和IP 指紋、Web 指紋、IP 信盧、域名信盧、漏洞庫、樣本庫、IP 信譽(yù)、域名信譽(yù)、URL 信譽(yù)、文件信譽(yù)和C&C 信譽(yù)等信盧進(jìn)行多維度的關(guān)聯(lián)分析。系統(tǒng)把研判分析后的威脅情報(bào)和資產(chǎn)信盧存儲到本地，實(shí)現(xiàn)后續(xù)相同的IP 等直接從本地?cái)?shù)據(jù)庫獲取，最后把帶有威脅情報(bào)數(shù)據(jù)的告警信盧發(fā)送到自動化運(yùn)維系統(tǒng)進(jìn)行聯(lián)動處置。

圖2 系統(tǒng)工作流程圖

2.4.3 系統(tǒng)在某電力企業(yè)中的實(shí)際應(yīng)用

目前系統(tǒng)在某電力企業(yè)部署近4 個(gè)月，平臺自上線以來，共采集2 個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)的8 個(gè)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)，覆蓋了該企業(yè)全網(wǎng)主要業(yè)務(wù)流量數(shù)據(jù)。在威脅情報(bào)輔助研判系統(tǒng)部署之前，安全人員面對告警無法對其攻擊源IP 進(jìn)行有效判斷，系統(tǒng)部署后，安全人員可將告警數(shù)據(jù)和威脅情報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析并輔助研判，確定IP 是否是惡意行為并快速鎖定攻擊。本系統(tǒng)上線后，平均每月輔助分析外部攻擊約20 萬條，初步溯源攻擊4 000余條，深入溯源100 余條，并形成10 份溯源報(bào)告。系統(tǒng)通過分析和輔助研判，每月實(shí)現(xiàn)惡意IP 自動封堵數(shù)萬條，大大提高了安全告警的分析研判效率和自動封堵時(shí)效，也進(jìn)一步提升了該企業(yè)日常監(jiān)測分析效率及對網(wǎng)絡(luò)攻擊的防護(hù)能力。

以企業(yè)日志系統(tǒng)中的主機(jī)入侵告警為例，安全設(shè)備檢測到IP 為195.54.160.149 的攻擊者對地址為10.xxx.xx.xx 的目標(biāo)IP 發(fā)起命令執(zhí)行攻擊并觸發(fā)告警，該告警屬I 類威脅等級，但相關(guān)告警中不包含威脅情報(bào)信盧，常規(guī)的，安全人員需對告警進(jìn)行人工分析和排查，通過手動輸入查詢威脅情報(bào)數(shù)據(jù)判定威脅來源，然后進(jìn)行處置決策，安全人員針對每條告警的分析時(shí)間約需2～3 min。而通過威脅情報(bào)輔助研判系統(tǒng)自動獲取該告警的攻擊源IP 是來自某國的垃圾郵件、掃描、惡意軟件、漏洞利用、log4j2_202112 和傀儡機(jī)等威脅情報(bào)信盧，并提出封堵建議，然后通過網(wǎng)絡(luò)攻擊阻斷系統(tǒng)聯(lián)動，迅速實(shí)現(xiàn)對該攻擊的自動封堵。此過程僅需幾秒鐘，大大節(jié)約了安全事件的分析研判時(shí)間，提高安全人員工作效率的同時(shí)提升了企業(yè)安全運(yùn)維的自動化和智能化水平。

3 威脅情報(bào)輔助研判系統(tǒng)的其他應(yīng)用場景

3.1 結(jié)合安全編排和自動化響應(yīng)平臺（SOAR）的應(yīng)用

面對當(dāng)前黑客先進(jìn)智能化的攻擊方式，很多企業(yè)運(yùn)用SOAR 平臺技術(shù)來解決安全事件數(shù)量不斷增多、傳統(tǒng)防護(hù)設(shè)施設(shè)備整合度低、安全運(yùn)營人力不足且經(jīng)驗(yàn)難固化等問題。

威脅情報(bào)輔助研判系統(tǒng)與該平臺結(jié)合可針對原始安全數(shù)據(jù)和安全事件進(jìn)行攻擊源、攻擊目的等的分析，還可根據(jù)威脅情報(bào)庫威脅指示器（Indicators of Compromise，IOC）信盧不斷積累安全事件相關(guān)的痕跡物證和攻擊者的戰(zhàn)技過程指標(biāo)信盧，從而持續(xù)化地對一系列安全事件進(jìn)行追蹤和編排自動化處置。

3.2 結(jié)合安全管理平臺應(yīng)用

很多企業(yè)通過部署安全管理平臺來統(tǒng)一收集和分析企業(yè)網(wǎng)絡(luò)中各類資產(chǎn)及其安全防護(hù)系統(tǒng)運(yùn)行過程中不斷產(chǎn)生的各類安全數(shù)據(jù)和安全日志，以此實(shí)現(xiàn)對全網(wǎng)信盧系統(tǒng)整體安全風(fēng)險(xiǎn)的監(jiān)控。

威脅情報(bào)輔助研判系統(tǒng)結(jié)合該平臺的應(yīng)用可對收集的各安全事件進(jìn)行關(guān)聯(lián)情報(bào)分析并輔助研判，從平臺海量安全數(shù)據(jù)中發(fā)現(xiàn)有效的真實(shí)攻擊意圖、步驟、危害、風(fēng)險(xiǎn)等信盧，大大提升平臺的安全事件分析效率和對威脅行為的檢測、響應(yīng)速度和能力。

3.3 結(jié)合資產(chǎn)管理平臺應(yīng)用

IT 資產(chǎn)包含IP 地址、地理位置、所用組件、開放服務(wù)、底層系統(tǒng)、所屬行業(yè)和脆弱性等各種信盧，如何準(zhǔn)確繪制企業(yè)網(wǎng)絡(luò)空間資產(chǎn)底圖，進(jìn)而獲得詳細(xì)的資產(chǎn)情報(bào)，對高效管理企業(yè)IT 資產(chǎn)顯得越來越重要。

威脅情報(bào)輔助研判系統(tǒng)與資產(chǎn)管理平臺結(jié)合應(yīng)用可通過與情報(bào)聯(lián)動，將事件中的IP 地址、外聯(lián)URL 與情報(bào)碰撞，判斷來源IP、外聯(lián)目標(biāo)是否在威脅情報(bào)庫中或是否是惡意URL，從而發(fā)現(xiàn)資產(chǎn)風(fēng)險(xiǎn)，并做進(jìn)一步的研判處置，豐富資產(chǎn)信盧的同時(shí)提升網(wǎng)絡(luò)資產(chǎn)的治理能力。

4 結(jié)束語

威脅情報(bào)輔助研判系統(tǒng)對電力系統(tǒng)傳統(tǒng)安全運(yùn)維中海量告警淹沒真實(shí)攻擊的場景進(jìn)行了優(yōu)化與改進(jìn)，其通過引入威脅情報(bào)對告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和輔助研判，對傳統(tǒng)告警進(jìn)行篩選、過濾，提高準(zhǔn)確率，并提供攻擊者攻擊手段、特征等背景信盧，幫助安全人員快速有效地識別真實(shí)攻擊。本系統(tǒng)的應(yīng)用大大提高了安全人員處理安全問題的效率和速度，還可對未知安全威脅、異常活動行為進(jìn)行高效、準(zhǔn)確的檢測，整體上降低威脅攻擊的影響及損失，提升電力企業(yè)的安全防御能力。