導(dǎo)語：基于情景感知的信息安全體系建設(shè)一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：為改變傳統(tǒng)的事后防御的不利局面，企業(yè)信息安全防護(hù)體系建設(shè)思路已從被動防御逐步發(fā)展為主動防御，通過先驗知識檢測未知威脅，能夠?qū)ξ磥淼墓糈厔葸M(jìn)行預(yù)測。針對更加定向、持久化和多樣化的攻擊模式以及更高的預(yù)測難度，文章基于情景感知理念建設(shè)了信息安全主動防御體系，結(jié)合內(nèi)部和外部情報，通過攻擊特征、異常業(yè)務(wù)行為匹配來感知和預(yù)測未知威脅，能夠更精準(zhǔn)地發(fā)現(xiàn)高級持續(xù)威脅，從而保證預(yù)警的前瞻性和準(zhǔn)確性。

關(guān)鍵詞：信息安全；情景感知；威脅情報；主動防御；安全事件管理

0引言

人們對信息安全的認(rèn)識隨著信息安全形勢的發(fā)展、信息安全技術(shù)的革新而變化，在不同領(lǐng)域的不同時期，解決信息安全問題時的側(cè)重也各有不同。以往人們對于安全防護(hù)體系的關(guān)注焦點是以防護(hù)技術(shù)為主的相對靜態(tài)的安全體系，而技術(shù)的進(jìn)步導(dǎo)致信息安全問題愈發(fā)嚴(yán)峻，信息安全防護(hù)要求不斷提高，其動態(tài)性、過程性的發(fā)展要求凸顯。P2DR（Policy，Protection，DetectionandResponse）安全模型和IATF信息保障技術(shù)框架是信息安全體系發(fā)展的重要里程碑，奠定了信息安全體系逐步動態(tài)化、過程化的基礎(chǔ)。P2DR模型源于美國ISS公司提出的自適應(yīng)網(wǎng)絡(luò)安全模型（AdaptiveNetworkSecurityModel，ANSM），其在整體安全策略的控制和指導(dǎo)下，綜合利用防護(hù)工具和檢測工具了解、評估系統(tǒng)的安全狀態(tài)，將系統(tǒng)調(diào)整到“最安全”和“風(fēng)險最低”的狀態(tài)。在此過程中，防護(hù)、檢測和響應(yīng)形成一個完整、動態(tài)的安全威脅響應(yīng)閉環(huán)，在安全策略的整體指導(dǎo)下保證信息系統(tǒng)安全[1]。P2DR安全模型如圖1所示。圖1P2DR安全模型Fig.1P2DRsecuritymodelIATF是美國國家安全局（NSA）組織編寫的一個全面描述信息安全保障體系的框架，它提出了信息保障時代信息基礎(chǔ)設(shè)施的全套安全需求，其創(chuàng)造性在于：首次提出了信息保障依賴于人、操作和技術(shù)共同實現(xiàn)組織職能/業(yè)務(wù)運作的思想，人通過技術(shù)支持實施操作過程，最終實現(xiàn)信息保障目標(biāo)；提出穩(wěn)健的信息保障狀態(tài)取決于信息保障的各項策略、過程、技術(shù)和機(jī)制，在整個組織信息基礎(chǔ)設(shè)施的所有層面上都能得以實施[2]。IATF安全防護(hù)框架如圖2所示。網(wǎng)絡(luò)攻擊技術(shù)的不斷更新使得網(wǎng)絡(luò)安全問題日益嚴(yán)峻，特別是高級持續(xù)威脅（AdvancedPersistentThreat，APT）的出現(xiàn)，對網(wǎng)絡(luò)安全防護(hù)提出了新的挑戰(zhàn)。相較于其他攻擊形式，APT主要體現(xiàn)在攻擊者實施攻擊前需精確收集攻擊對象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)信息。而在信息收集過程中，此攻擊會主動挖掘攻擊目標(biāo)信息系統(tǒng)和應(yīng)用的漏洞，并利用這些漏洞組建起攻擊者所需的網(wǎng)絡(luò)，進(jìn)一步利用0day漏洞進(jìn)行攻擊，從而達(dá)到終極攻擊目的。針對APT攻擊的防護(hù)，Enterasys、Cisco等公司產(chǎn)品都體現(xiàn)了主動防御的理念。在安全防護(hù)體系方面，P2DR安全模型側(cè)重技術(shù)層面，通過更改安全防護(hù)策略防護(hù)已發(fā)現(xiàn)的安全事件，雖具動態(tài)性，但仍局限于被動的事后響應(yīng)；IATF安全模型側(cè)重人、操作與技術(shù)一體，強(qiáng)調(diào)人的主動性和流程的主動過程。綜上所述，如何在惡意攻擊行為發(fā)生前主動檢測網(wǎng)絡(luò)中存在的脆弱點，研究并預(yù)測攻擊者行為，建立起主動型防護(hù)體系是信息安全領(lǐng)域中的一個重要課題。本文基于以上2種思路，結(jié)合情景感知思想，構(gòu)建了新一代主動安全防護(hù)體系，在事前進(jìn)行威脅防御[3]。

1基于情景感知的新一代主動防御體系

主動防御是一種前瞻性防御，通過針對性地實施一系列安全防御措施，提前發(fā)現(xiàn)安全薄弱點或安全攻擊行為，并實施安全防護(hù)措施。這種防御理念不同于以往滯后于攻擊的防御，能夠檢測未知攻擊，預(yù)測未來的安全形勢。主動防御具有自學(xué)習(xí)能力，能自動對網(wǎng)絡(luò)進(jìn)行監(jiān)控，對發(fā)現(xiàn)的攻擊實時響應(yīng)，通過分析攻擊方法和技術(shù)，對網(wǎng)絡(luò)入侵進(jìn)行取證，對入侵者進(jìn)行跟蹤甚至進(jìn)行反擊等[4]。情景感知技術(shù)源于普適計算的研究，通過傳感器獲得關(guān)于用戶所處環(huán)境的相關(guān)信息，從而進(jìn)一步了解用戶的行為動機(jī)等。該技術(shù)適用于信息安全主動防御體系，能在特定功能的網(wǎng)絡(luò)應(yīng)用中識別主體、客體以及主體對客體的動機(jī)。一方面，基于情景感知技術(shù)，能及時識別如地點、時間、漏洞狀態(tài)等當(dāng)前情景的信息，提升信息安全決策正確性；另一方面，通過構(gòu)建特定的感知場景進(jìn)行分析，可降低攻擊的誤報率，包括分辨?zhèn)鹘y(tǒng)安全防護(hù)機(jī)制無法防護(hù)的攻擊以及確定有意義的偏離正常行為[5]。本文提出的主動防御模型是在P2DR安全模型的基礎(chǔ)上進(jìn)行延伸，包括情景感知（Aware）、動態(tài)防護(hù)（Protect）、深度監(jiān)測（Detect）與研判處置（Response），即APDR模型?；谇榫案兄闹鲃臃烙Ｐ腿鐖D3所示。

1.1事前情景感知

在攻擊發(fā)生前，主動搜集外部威脅情景和內(nèi)部情景信息，轉(zhuǎn)換特定的安全策略應(yīng)用到防護(hù)和監(jiān)測過程中，對內(nèi)外部威脅提前預(yù)警并制定防護(hù)策略，另外通過搜集威脅情報與現(xiàn)有資產(chǎn)屬性匹配，實時進(jìn)行風(fēng)險預(yù)警[6-7]。1）外部情景信息。針對外部攻擊，主要通過獲取威脅情報，依靠專業(yè)的安全分析團(tuán)隊，綜合分析之后形成情報的處置決策，并通過網(wǎng)絡(luò)安全設(shè)備或終端上的安全軟件來執(zhí)行決策，實現(xiàn)針對高級攻擊的防范，整個過程可以通過設(shè)備自動執(zhí)行。威脅情報一般包括信譽(yù)情報（“壞”的URL、IP地址、域名等）、攻擊情報（攻擊源、攻擊工具、利用的漏洞、采取的方式等）等。通常可以從安全服務(wù)廠商、CERT、防病毒廠商、政府機(jī)構(gòu)和安全組織機(jī)構(gòu)得到安全預(yù)警通告、漏洞通告、威脅通告等，這些都屬于典型的安全威脅情報。2）內(nèi)部情景信息。主要是指對內(nèi)部異常行為進(jìn)行監(jiān)控，內(nèi)部異常行為造成的破壞是導(dǎo)致安全事故的主要因素，外部攻擊者發(fā)起APT攻擊，其中的部分環(huán)節(jié)需要通過“內(nèi)部行走”才能接觸到敏感數(shù)據(jù)，從而實現(xiàn)盜取或破壞的目的。企業(yè)內(nèi)部的威脅源包括可能準(zhǔn)備離職的有惡意的內(nèi)部人員、內(nèi)部人員長期慢速的信息泄露等，內(nèi)部攻擊也可能由具備內(nèi)部訪問權(quán)限的合作伙伴或者第三方發(fā)起。通過制定不同的情景，獲取樣本，建立正常行為模型，并分析內(nèi)部網(wǎng)絡(luò)流量或終端服務(wù)器上的行為，可及早發(fā)現(xiàn)異常。內(nèi)部情景主要指“主體”到“客體”的訪問行為情景，主體是人或應(yīng)用，客體是應(yīng)用或數(shù)據(jù)。情景包含的因素有5W（Who、When、Where、What、How），常見的異常情景有：登錄異常行為，包括異常時間、頻繁登錄失敗等行為；業(yè)務(wù)違規(guī)行為，包括高頻業(yè)務(wù)訪問、業(yè)務(wù)繞行等。

1.2事中動態(tài)防護(hù)與監(jiān)測

對于事中動態(tài)防護(hù)與監(jiān)測，一方面根據(jù)已知情景進(jìn)行威脅行為模式匹配，另一方面能基于網(wǎng)絡(luò)交互上下文動態(tài)學(xué)習(xí)（自學(xué)習(xí)）和感知網(wǎng)絡(luò)特定上下文，建立相應(yīng)的情景模型，對異常行為進(jìn)行告警和阻斷[8]。1）威脅模式匹配。對于外部威脅情報中的信譽(yù)情報防護(hù)設(shè)備，直接根據(jù)安全事件的某個特征進(jìn)行模式匹配即可，如檢測有外向連接到已知的危險實體，或者檢測可作為潛在攻擊線索的事件和行為特征的序列等[9-10]。對于攻擊情報中攻擊源、攻擊工具、利用的漏洞、該采取的方式等信息進(jìn)行威脅情報建模，對安全事件進(jìn)行特征提取，形成特征序列和威脅情報模型進(jìn)行關(guān)聯(lián)分析。威脅情報標(biāo)準(zhǔn)及其可機(jī)讀性是關(guān)鍵，為使計算機(jī)能自動識別其表達(dá)行為，一般采用XML語言自描述。目前成熟的國外威脅情報標(biāo)準(zhǔn)包括網(wǎng)絡(luò)可觀察表達(dá)式（CyboX）、結(jié)構(gòu)化威脅信息表達(dá)式（StructuredThreatInformationeXpression，STIX）、可信自動交換指標(biāo)信息（TrustedAutomatedeXchangeofIndicatorInformation，TAXII）等。2）威脅行為學(xué)習(xí)。威脅行為是指不符合業(yè)務(wù)邏輯的行為，包括針對性的威脅行為（黑名單）及違反正常行為（白名單），通常表現(xiàn)為基于時間序列或基于統(tǒng)計的行為。威脅行為學(xué)習(xí)通過分析事件間的關(guān)系，利用過濾、關(guān)聯(lián)、聚合等技術(shù)，最終由簡單事件產(chǎn)生高級事件。行為的學(xué)習(xí)可以通過業(yè)務(wù)專家或者安全專家直接建模，但更多是通過機(jī)器學(xué)習(xí)方式輔以人工知識進(jìn)行建模。機(jī)器建模包括訓(xùn)練和驗證過程，一般模型的準(zhǔn)確率低于專家建模。

1.3事后溯源和研判

事后溯源和研判是指對攻擊行為進(jìn)行研判和取證，反饋攻擊行為給情景感知模型并修訂防護(hù)策略，在適當(dāng)時機(jī)通過技術(shù)或者法律手段對入侵者進(jìn)行反制。1）安全事件研判。采用可視化手段對可疑安全事件或預(yù)測性安全事件進(jìn)行分析，確定攻擊的準(zhǔn)確性以及造成的損失。事件研判需要專業(yè)能力強(qiáng)的安全運維人員來進(jìn)行，除了具備安全知識外，對應(yīng)用系統(tǒng)的行為也要非常熟悉。交互可視化可以大幅提高事件研判的效率，但定制化因素較多，也可借用成熟的工具進(jìn)行事件研判，如安全沙箱、網(wǎng)絡(luò)分析軟件等。事件研判的結(jié)果應(yīng)立即進(jìn)入處置流程，使安全事件閉環(huán)，從而進(jìn)一步完善主動防御體系。2）攻擊溯源取證。溯源是指在網(wǎng)絡(luò)攻擊發(fā)生后，通過已發(fā)現(xiàn)的攻擊路徑追尋攻擊者的相關(guān)信息。溯源相關(guān)的事件包括業(yè)務(wù)事件和網(wǎng)絡(luò)事件，業(yè)務(wù)事件的目的是查找使用者，網(wǎng)絡(luò)事件的目的是查找網(wǎng)絡(luò)報文的發(fā)送者。溯源通過事件或者日志鏈層層查找，而取證則需要對系統(tǒng)或網(wǎng)絡(luò)攻擊行為進(jìn)行還原，涉及的技術(shù)比較廣，也是目前針對企業(yè)合規(guī)及司法取證的熱點。

2基于情景感知的主動防御體系實踐

建立主動防御系統(tǒng)是一項十分復(fù)雜的工程，從IATF安全保障體系來看，涉及人、流程、技術(shù)等要素的有機(jī)結(jié)合。在主動防御體系建設(shè)方面，為體現(xiàn)主動防御體系的前瞻性、自學(xué)習(xí)、實時響應(yīng)，除了組織流程建設(shè)外，還需要在威脅感知基礎(chǔ)設(shè)施方面不斷進(jìn)行完善，并不斷完善防護(hù)、監(jiān)測等技術(shù)措施，提升主動防御體系的完整性?；谇榫案兄闹鲃臃烙w系如圖4所示。在組織方面，需要構(gòu)建內(nèi)外部威脅情景信息搜集隊伍以及可以編寫內(nèi)外部威脅模型、能對安全事件進(jìn)行精準(zhǔn)研判的人員。另外，對于情報的搜集要建立適當(dāng)?shù)那?，以確保情報的準(zhǔn)確性、權(quán)威性。目前國內(nèi)各大企業(yè)側(cè)重于體系建設(shè)、技術(shù)與產(chǎn)品的實施，對運維能力和組織建設(shè)方面的關(guān)注不夠，導(dǎo)致很多宣稱已經(jīng)實現(xiàn)的主動防御體系僅僅落實在字面上。與組織對應(yīng)的是流程體系建設(shè)，主動防御體系是基于P2DR動態(tài)防御體系之上的，需要不斷完善流程，應(yīng)對不斷演進(jìn)的內(nèi)外部威脅。建立高效的流程體系，可以確保各種技術(shù)、管理手段得以落實，從而更好地滿足企業(yè)政策合規(guī)和生產(chǎn)經(jīng)營需要。在技術(shù)層面，構(gòu)建主動防御體系需要企業(yè)規(guī)劃有一個總體的清晰線路，各種技術(shù)手段相互關(guān)聯(lián)、補(bǔ)充。主動防御具有前瞻性的前提是對網(wǎng)絡(luò)及應(yīng)用環(huán)境的資產(chǎn)屬性及安全屬性有全面的掌握，能實時發(fā)現(xiàn)系統(tǒng)的弱點、威脅和風(fēng)險。在基礎(chǔ)設(shè)施方面，安全基線系統(tǒng)建設(shè)最為關(guān)鍵，由于被防護(hù)系統(tǒng)會不停變動、新的系統(tǒng)不斷被引入、用戶賬戶不停新建或撤銷，新的漏洞不斷披露，針對新威脅的適應(yīng)改造也需一直進(jìn)行。因此，應(yīng)持續(xù)對終端設(shè)備、服務(wù)器端系統(tǒng)、漏洞和網(wǎng)絡(luò)交互接口、業(yè)務(wù)交互行為進(jìn)行重定基線以及挖掘發(fā)現(xiàn)。主動防御體系關(guān)鍵數(shù)據(jù)模型如圖5所示。在數(shù)據(jù)模型方面，需要對主動防御體系的內(nèi)涵進(jìn)行詮釋，確保該體系建設(shè)過程中數(shù)據(jù)流和信息流能夠統(tǒng)一和集成。主動防御體系涉及的關(guān)鍵信息模型包括威脅情報模型（需要對不同攻擊源進(jìn)行統(tǒng)一描述）、防護(hù)設(shè)備策略模型（不同廠商策略的統(tǒng)一便于威脅情報模型在防護(hù)設(shè)備中得以動態(tài)實施）、防護(hù)設(shè)備告警模型（需要統(tǒng)一或規(guī)范各廠商設(shè)備告警內(nèi)容的一致性）、業(yè)務(wù)情景模型（需要從系統(tǒng)、網(wǎng)絡(luò)、業(yè)務(wù)層面構(gòu)建統(tǒng)一的業(yè)務(wù)模型），以及監(jiān)測層面的事件模型（統(tǒng)一安全事件，便于事件的統(tǒng)計分析和風(fēng)險計算）、態(tài)勢感知預(yù)測模型（對網(wǎng)絡(luò)流量、業(yè)務(wù)交互頻率、安全事件發(fā)生頻率等進(jìn)行建模）等。但這些模型的核心是防護(hù)對象的資產(chǎn)模型，包括拓?fù)鋵傩浴踩珜傩?、運行屬性等，是上述模型的紐帶和計算基礎(chǔ)。

3結(jié)語

從國內(nèi)信息安全主動防御體系建設(shè)來看，電信行業(yè)起步較早，以傳統(tǒng)的安全信息和事件管理（SIEM）為起點，逐漸發(fā)展安全管理平臺（SMP），實現(xiàn)了終端、網(wǎng)絡(luò)、應(yīng)用防護(hù)技術(shù)的統(tǒng)一，并且承載安全管理、安全合規(guī)、安全處置和安全規(guī)劃等能力，安全建設(shè)更加體系化，為主動防護(hù)體系實施奠定了基礎(chǔ)。在能源行業(yè)，電力二次系統(tǒng)從最早的邊界防護(hù)到一體化調(diào)度支撐系統(tǒng)的建設(shè)，再到可信計算的應(yīng)用，實現(xiàn)了終端、網(wǎng)絡(luò)、應(yīng)用的層次化縱深防護(hù)，也為主動防御體系建設(shè)奠定了基礎(chǔ)。如何構(gòu)建更加智能主動的防御體系，還需要結(jié)合具體的業(yè)務(wù)情景進(jìn)行不斷研究。隨著威脅情報標(biāo)準(zhǔn)的制定以及大數(shù)據(jù)實時流處理、機(jī)器學(xué)習(xí)技術(shù)的應(yīng)用，實時動態(tài)感知威脅情報、實時威脅情景學(xué)習(xí)與預(yù)測將使安全防護(hù)措施識別攻擊的成功率和精準(zhǔn)度進(jìn)一步提升，促進(jìn)主動防御體系的進(jìn)一步成熟。

作者:楊維永 郭靚 廖鵬 金倩倩 單位:南京南瑞集團(tuán)公司

參考文獻(xiàn)：

[1]JAJODIAS.網(wǎng)絡(luò)空間態(tài)勢感知問題與研究[M].余健,游凌,樊龍飛,等譯.北京:國防工業(yè)出版社,2014.

[2]王慧強(qiáng),賴積保,朱亮,等.網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)研究綜述[J].計算機(jī)科學(xué),2006,33(10):5-10.WANGHui-qiang,LAIJi-bao,ZHULiang,etal.Surveyofnetworksituationawarenesssystem[J].ComputerScience,2006,33(10):5-10.

[3]陳秀真,鄭慶華,管曉宏,等.網(wǎng)絡(luò)化系統(tǒng)安全態(tài)勢評估的研究[J].西安交通大學(xué)學(xué)報,2004,38(4):404-408.CHENXiu-zhen,ZHENGQing-hua,GUANXiao-hong,etal.Studyonevaluationforsecuritysituationofnetworkedsystems[J].JournalofXi'anJiaotongUniversity,2004,38(4):404-408.

[4]李蕊,李仁發(fā).上下文感知計算及系統(tǒng)框架綜述[J].計算機(jī)研究與發(fā)展,2007a,44(2):269-276.LIRui,LIRen-fa.Asurveyofcontext-awarecomputinganditssysteminfrastructure[J].JournalofComputerResearchandDevelopment,2007,44(2):269-276.

[5]張屹,張帆,程明鳳,等.泛在學(xué)習(xí)環(huán)境下基于情境感知的學(xué)習(xí)資源檢索模型構(gòu)建[J].中國電化教育,2010(6):104-107.

[6]賈焰,王曉偉,韓偉紅,等.YHSSAS:面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知系統(tǒng)[J].計算機(jī)科學(xué),2011,38(2):4-8.JIAYan,WANGXiao-wei,HANWei-hong,etal.YHSSAS:Large-scalenetworkorientedsecuritysituationalawarenesssystem[J].ComputerScience,2011,38(2):4-8.

[7]溫輝,徐開勇,趙彬,等.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析及主動響應(yīng)機(jī)制的研究[J].計算機(jī)應(yīng)用與軟件,2010,27(4):60-63.WENHui,XUKai-yong,ZHAOBin,etal.Onnetworksecurityeventcorrelationanalysisandactiveresponsemechanism[J].ComputerApplicationsandSoftware,2010,27(4):60-63.

[8]韋勇,連一峰,馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機(jī)研究與發(fā)展,2009,46(3):353-362.WEIYong,LIANYi-feng,FENGDeng-guo.Anetworksecuritysituationalawarenessmodelbasedoninformationfusion[J].JournalofComputerResearchandDevelopment,2009,46(3):353-362.

[9]CHENSH,JAKEMANAJ,NORTONJP.Artificialintelligencetechniques:anintroductiontotheiruseformodellingenvironmentalsystems[J].MathematicsandComputersinSimulation,2008,78(3):379-400.

[10]張勇,譚小彬,崔孝林,等.基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢感知方法[J].軟件學(xué)報,2011,22(3):495-508.ZHANGYong,TANXiao-bin,CUIXiao-lin,etal.NetworksecuritysituationawarenessapproachbasedonMarkovgamemodel[J].JournalofSoftware,2011,22(3):495-508.