以动态化、实时化、主动化为特点的网络安全防御是解决网络系统中未知威胁与入侵攻击的新途径。在动态的网络安全技术体系架构中,可根据全局网络安全状态、实战化安全运营要求等不同,构建“持续监测、情报预警”的主动防御模式,组合最佳的安全感知所需元素来应对已知攻击、未知威胁,达到实战化协同处置。

网络安全防御技术的演变和动态重构需依据对系统安全态势、可能遭受的安全威胁来考虑,如何有效感知网络系统的威胁态势,提前洞悉研判、响应处置及动态防御策略的调整,是当前数字化转型时期网络安全技术创新研究领域的重要任务。

一、引言

近年来,网络空间已快速上升到大国间博弈的新战场,以政企、科研机构为代表的APT攻击、DDoS、工业互联网攻击等日益严峻,导致政企机构重要情报数据被窃取、工业互联系统被破坏、金融基础设施遭受到重大经济损失,严重危害到了我国国家安全和社会经济利益。

面对定向的APT攻击、勒索病毒、挖矿病毒等新型攻击手段,基于特征检测的传统技术手段在应对动态、多变、高强度等方面存在了较大的局限性。

在这种情况下,基于智能的数据挖掘分析、溯源定位、策略动态下发、事件自动化响应处置显得尤为重要。动态防御以高效率、弹性资源利用等优势,成为近年来网络安全防御技术研究领域的重要方向。

二、网络动态防御技术

网络安全动态防御旨在基于主动防御架构,根据网络环境的变化动态,持续调整威胁安全检测策略,协同大数据情报展开对未知安全威胁、异常活动行为等高效率、准确性的检测,在预警事件触发后,及时采取措施并加以反制,保证关键应用服务的持续运转,整体上降低威胁攻击的影响及损失,提高弹性收缩的安全防御能力。

2011年,美国国家技术委员会提出了“移动目标防御”(MTD)的概念;也有学者将MTD技术称为“动态防御技术”、“动态弹性安全防御技术”或者“动态赋能网络防御技术”。

动态防御可以主动欺骗攻击者,扰乱攻击者的视线。通过设置伪目标/诱饵,诱骗攻击者实施攻击,从而触发攻击告警。动态防御改变了网络防御的被动态势,改变了攻防双方的“游戏规则”,真正实现了“主动”防御。

目前,动态防御技术已成为网络安全理论研究的热点和技术制高点。国际上,很多网络安全研究机构聚焦在动态防御的理论和技术方面。我国对动态防御技术也进行了重点技术研究,其中,邬江兴院士提出了网络空间拟态防御(CMD)思想。CMD理论在可靠性领域非相似余度架构基础上导入异构冗余动态重构机制,实现在功能不变的条件下,目标对象内部的非相似余度构造元素始终在作数量或类型、时间或空间维度上的策略性变化或变换,用不确定防御原理来对抗网络空间的确定或不确定威胁。

完整的动态防御体系,应基于足够完善的安全防御架构基础,构建动态的防御体系,同时建立系统防御效能的安全评估,以及评估分析的结果动态反馈及调节的智能决策能力,形成完整的闭环控制机制,实现安全态势下对策略的动态调整及优化。

2.1 动态防御效能评估

实体的动态防御技术能否达到预期效果、能否提升防御能力,需要进行综合分析评价。防御与效能评估可以从定性分析和定量评估两个角度出发,结合形式化分析方法加以描述和量化。评估准则的选取,既可以考虑多指标的全面评估,也可以选取如漏洞这样单一但直观的评估标准。

为保证评估的客观性,应从防御整体、系统漏洞、攻击面、防御成本等多角度,借鉴已有防御评估标准,实现动态赋能效能评估技术路线。

  • 动态防御效能评估,是基于层次的分析方法,分析系统的要素及相互关系,将各要素归并为不同层次,计算各层次权重并加以比较。

    在对系统评估效能等级进行划分时,可考虑利用模糊综合评估方法,构造系统在动态变化中多个时段观测产生的模糊关系矩阵,进而得出综合评估结果。当系统观测的数据达到一定规模时,就可以用已经积累的数据,对下一时刻的综合评级等级进行预测和评估。

  • 基于漏洞发现的动态效能评估,可在一定程度上有效提升动态检测效果。

    因系统在动态变化的时间间隔内仍为静态的,基本思想是将系统漏洞进行分级评价,考虑多种要素,如: 攻击途径、攻击复杂度、认证、机密性影响、可用性影响、完整性影响、偏向因子、漏洞的可利用性、修复程度和报告以及潜在间接危害、主机分布等因素,通过计算产生响应的度量值并加以评估。

  • 基于攻击面的度量防御效能评估,需要从两大方面考虑。

    一方面对攻击者的攻击特征进行建模,对其攻击能力进行特征化,并将其同防御系统随机变化状态相结合,每个系统状态对应不同的攻击面,进而产生攻击者视角的系统状态模型,借助Petri网络模型进行安全性分析及测试。

    另一方面,应考虑攻防双方对系统攻击面的掌握情况,对系统攻击面的状态迁移进行建模,分别对攻防双方对攻击面的了解情况及采取的供方策略进行预判,进而对攻击面下一状态进行预测,借此对系统的防御能力变化进行量化分析,可借助马尔可夫链对攻击面的状态变迁进行建模度量。

  • 动态防御系统可用性评估,要综合考虑成本与收益。

    对攻击者的攻击策略变化、防御者采取的应对策略以及产生的回报等,进行更细化的建模描述,以期为防御者选用最佳防御策略提供依据。同时,相对于传统技术而言,动态防御策略部署考虑对系统在软件开发、运行性能、软件部署、运维管理等方面的影响。

2.2 动态防御智能决策

动态智能防御,是通过智能分析、载荷生成、载荷编排三大引擎,来赋予系统中所参与的主体、通信协议、信息数据等实现特征变换的能力。

引擎工作过程需要性能计算强大的硬件支持,同时借助配合响应的智能决策技术,使系统能够跟随网络环境、安全需求变化实现按需动态防护目标,针对不同的安全威胁对载荷模块进行自适应调整,合理分配虚拟节点的网络资源。

  • 智能分析引擎需具备对威胁情报、未知威胁、网络突发事件、以及原始数据分析后的任务载荷提取、策略特征值匹配的综合分析能力。

    针对当前急剧变化的网络安全威胁形势,重点关注对网络中已知攻击特征、复杂的0Day漏洞攻击、未知威胁APT攻击等抓取分析,并如何快速地在海量数据中提取出有价值的威胁情报数据用于决策处置辅助。

    安全分析一方面对网络中的数据量、会话、文件、元数据、网络日志、网络行为等原始数据进行梳理汇总,另一方面,对前端各类网络安全设备采集的安全事件、流量数据及上层威胁情报进行充分分析。

    通过对已有威胁数据的学习及提取比对,机器学习模型能够检测到未知或之前未检测到的攻击模式。另外,机器学习模型可以从新的数据中获取信息,进行实时、批量的检索,通过前期学习训练以及聚类算法,对当前网络中可能存在的安全威胁进行判断,提高对未知威胁检测的准确度。

  • 载荷生成与编排智能决策引擎,根据载荷需求特征,生成满足需求的任务载荷,编排管理生成优秀的部署方案。

    载荷生成与编排智能决策引擎需要根据网络环境以及安全需求的变化进行自适应调整,通过智能匹配规则和最优处理规则填补安全策略模板,在元载荷中自动进行自合调用,实现按需分配服务,不需要人工干预。

    一方面,对安全策略载荷方式进行快速分析得到安全策略模板,自动优化功能载荷的性能,提高功能载荷的生成速度。综合考虑资源分配与实例选择,通过智能优化算法对安全载荷进行合理编排,有效提高安全资源的利用率。

    同时,动态优化元素功能的组合,降低安全防护成本,实现动态防御的按需载荷功能实效。

2.3 动态防御的架构模型

动态防御架构体系以可随机变化、随机适配的思路构建动态防御的“逻辑任务模型”(如图1所示)。该逻辑模型应是基于不同的网络场景或异构化安全需求,实现实时捕获及传递态势数据概貌。核心驱动是“抓取、适配、检测、联动”,它以随机时间间隔,定制网络策略配置的随机变化,各类变化由“编排配置管理中心”负责,控制“全局”动态调整配置。

图1 动态防御系统模型图

“适配引擎”对基础设施网络抓取随机变化参数,使安全状态进行随机变化,“分析平台”能够获取实时威胁数据、从“编排配置管理中心”获取当前的策略配置,确定可能的脆弱性、正在进行的攻击、以及未知威胁的研判。“适配引擎”是监测全局网络状态以及安全态势,和“逻辑安全模型”捕获的一样。“行为分析模型”由2个逻辑模型组成:战术模型和系统技术模型。

通过“对抗战术、技术”框架的构建,可深入了解应监控哪些系统以及需要从中收集哪些内容,降低因检测入侵技术滥用所造成的影响,实现对每种技术都有具体场景示例,推演出攻击者是如何通过某一恶意软件或行动方案来利用该技术的。通过行为分析模型,建立对当前覆盖范围的全局化分析,评估被攻击目标面临的风险,以为采用有意义措施来弥合差距提供参考。

在动态防御体系的有效性分析中,更多采用了攻击面理论来验证动态防御能力的有效性。攻击面理论不仅可以定性分析安全技术能力,还可以严谨地定量测量安全技术的防御能力,以快速提高动态防御体系的完善性及能力。

大多数针对系统的攻击(如基于缓冲区溢出漏洞的攻击)发生在从其操作环境向系统发送数据的过程中。同理,针对系统许多的其他攻击(如符号链接攻击)的出现,是因为系统向其发送数据。在这两类攻击中,攻击者利用系统通道(如套接字)连接至系统,调用系统程序API,并向系统发送数据项(如输入字符串)或从系统接收数据项。攻击者还能使用永久数据项(如文件)间接向系统发送数据。攻击者可以在系统即将读取的文件中写入数据。通过这种方式向系统发送数据。类似地,攻击者可利用共享的持久数据项间接地从系统接收数据,因此,攻击者可以间接地使用系统程序、通道和系统环境中出现的数据项攻击系统。

通过对系统程序、通道和数据项统一作为系统资源,可以以此来定义系统攻击面。

图2 攻击面示意图

结合图2,并不是所有的攻击源都是攻击面的一部分,只有攻击者利用某种资源攻击系统时,该资源才作为图中攻击面的一部分。

针对威胁动态的安全防御思想,主要从系统攻击面和行为攻击生存期来进行考虑,通过改变自身各种策略配置、安全属性,向攻击者呈现不断变化攻击面,使攻击者更难发起有效攻击。攻击者可能制定攻击方案所需的时间可能会变长,一旦模型建立完毕,在这段时间已发生足够变化,足以破坏攻击模型的有效性。

图3 动态防御攻击面转移模型示意图

根据上述的直观上分析,攻击面是指攻击系统时使用的各类资源(包括不限于:程序、通道和数据)的子集。动态防御的目标是防御者根据实际情况不断转移系统攻击面的防护方法,防御者根据攻击者的战术、技术能力进行挖掘、机器学习计算、矩阵化部署,防御者可不断转移或减少攻击面,增加攻击者利用系统漏洞难度及时间。若防御者转移系统的攻击面,则原本有效的攻击可能将不复存在(如图3所示攻击1),籍此攻击者需要花费更多资源进行战术和技术手段的调整,来使攻击重新有效或寻求新的攻击途径。

图4 攻击行为生存周期示意图

图4显示了攻击行为生存期,在时间t0,已有的网络防御措施将生成防御方案k0,并启动多样化服务STk0。te定义为攻击者从开始发动攻击到系统受损之间的时间,也可以认为攻击者从目标获得账户信息所需要的时间。

从图中可以看出,对于一次成功的入侵攻击,从探测到攻击完成总用时t1+teTk0,在服务STk0结束之前未能完成攻击过程。

通过上述模型,可以得出:动态防御机制可以使防御者提前研判、预知的方式随机、准确地改变系统的安全配置及应对资源组成结构,通过“蜜罐”牵引等技术快速增加安全防御的不确定性和未知性,进而增加攻击者的攻击复杂度和攻击成本,大大规避系统漏洞的暴露点和位置漏洞被广泛利用的概率,增加系统的安全防御弹性。

上述分析得出动态防御技术带来的攻击面转移并不能总是降低攻击面度量指标、快速提供系统安全性,因此需要启用合适的特征和禁用安全隐患更大的措施协同联动,将攻击难度变大,损失影响受到最大化限制。

网络动态化防御通过逆转对攻击者不对称方式,随机适配最小化攻击对关键任务能力的影响,综合运用防御、侦察、自适应技术、操作响应设计策略和技术来动态响应当前及未知威胁攻击。

网络动态化防御基于即时感知机制,对攻击事件快速做出响应更安全、更具抵抗性的体系结构调整,抵抗无意和目标明确的攻击,实现足够的弹性,能够承受初始及随之而来的破坏。同时,基于分割、隔离、封闭机制,如从可信系统中分割出不确定部分,减少攻击面,限制攻击者的利用和破坏。

网络动态防御因基于自身多样性和随机性适配,可在不同的时间内使用不同操作系统和应用程序进行匹配检测,或协同处置时调用这些组件应对攻击实现复杂度的目的,减少敌方识别和攻击脆弱性的机会,维持系统原状。采用非持续性技术,可以保护系统免遭危险行动带来的长期影响。

三、动态网络安全威胁感知技术

动态防御技术是以保护网络信息系统中某种实体的数据安全、业务稳定运行为目的。一般来说,网络信息系统中的实体包括软件、网络、计算平台与数据等。

网络动态防御基于网络侧的海量多样化数据的自动化采集、机器学习、挖掘分析,协同云端情报数据,以动态化、虚拟化和随机化的方式提前对安全威胁攻击进行快速发现、源头精准定位、入侵途径及行为背景的研判与溯源,同时基于SOAR技术自动化编排,实现联动响应处置。

网络动态防御打破了原有对网络安全配置的静态性、确定性和相似性,提升了对未知威胁和攻击的定位、溯源和针对性阻断能力,使得安全防御体系具备足够的能力弹性扩展,承受随之而来的潜在破坏。

3.1 威胁情报大数据

威胁情报大数据的使用,基于云端计算资源、通过数据清洗与验证子模块对来自多数据源的数据进行清洗和验证,结合专业的网络安全研究人员的经验值分析,生成原始的威胁情报。然后,通过威胁情报规则将原始威胁进行处理,生成威胁场景的各类规则,来发现隐藏的安全威胁,并有能力对安全威胁采取相应处理手段及行为溯源。

图5 威胁情报数据流程示意图

威胁情报数据应包含大量的APT攻击行为数据、全球的IP、DNS、URL、文件黑白名单信誉数据库,这些数据通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态,不同编码风格和不同攻击原理的同源木马程序,恶意服务器(C&C)等,通过全貌特征‘跟踪’攻击者,持续地发现未知威胁。

3.2 传感容器组件

流量传感容器是对网中流量的镜像文件的在线实时采集及全量还原,还原后的流量日志以安全的传输给后端的安全分析引擎,流量抓取应具备对网络层、传输层和应用层的头部信息,甚至是重要负载信息、PE和非PE文件检测与送检能力。

图6 传感器组件架构示意图

流量传感容器应可端口匹配、流量特征检测、自动连接关联和行为特征分析能力,自身具备对入侵攻击和WEB攻击的样本特征,检测流量中的远控木马行为、Web应用攻击等Webshell、命令执行、文件包含机制。

3.3 沙箱检测

面对当期网络环境下恶意代码的复杂性和多样性,传统静态检测技术体现出特征库匹配的局限性,已无法完全检测新出现的恶意代码,而如基于沙箱动态检测技术通过动态执行,可对文件进行细粒度的行为检测,从行为层面进行细致分析,是对传统静态检测技术的有效补充。静态分析查其“形”,动态分析查其“行”,精准全面分析文件属性,对文件的恶意风险进行多维度的风险判断,直接了解潜在夹杂威胁带来的危害程度,从而采取快读的应急处置。

动态防御中对沙箱技术的使用,可充分考虑到虚拟环境模拟技术的使用,模拟虚拟环境中各种软硬件、Windows,Linux,Android等多种主流操作系统,构造纯净、透明虚拟化动态分析环境,借助支持ATT&CK技术来全景化展示、分析恶意代码行为,细粒度检测漏洞利用和恶意行为的可能性。

3.4 原始数据全包存储

动态网络防御,需要对网络中海量的原始数据全流量的完整保存,实现秒级的提取发现,并还原网络事件发生时的全部网络通讯内容,快速实现数据包级的数据取证和责任判定,并为后续及时响应处置提供数据支撑。

在动态防御体系框架中的流量传感容器组件,将实时抓取网络中海量流量数据包,这些捕获数据包流量在存储性能、分析粒度都提出了十分高的要求,对传感容器组件本身的性能带来更大考验,如果设计不足将大大降低动态处置效率及目标。

因此,应充分加强威胁检测能力的分析及后续处置效率,全景化展现威胁,应采用分布式存储技术,实现对文件系统、对象存储的集中化管理,将这些分散存储资源构成虚拟的存储设备,并基于丰富存储接口,满足多种检测数据类型需求。

3.5 威胁感知与研判处置

威胁感知及研判处置应对威胁事件态势、资产安全态势、异常行为态势等进行综合关联分析展现,结合威胁情报数据周期性进行碰撞原始日志、异常行为的场景智能化分析,发现未知威胁攻击,并从攻击链维度将攻击行为划分、深度调查分析,以告警中受攻击迫害资产为线索还原整个攻击过程(侦察-入侵-命令控制-横向渗透-数据外泄-痕迹清理),给出协同化的应急处置方案。

图7威胁感知与研判处置流程示意图

威胁感知应可对各类未知已知威胁的分布、攻击源TOP(排名)、Web攻击、威胁告警趋势、威胁告警类型、威胁情报数据命中情况、被攻击对象的横纵向访问等情况统一进行分析。在分析得出的重大未知安全威胁时,充分结合技术专家知识库,对已运营的部署的安全资源进行逻辑上快速编排,实现快速精准的协同联动防御。

通常来说,可利用传统被动防御架构作为第一道防线,解决大部分目前已知的网络攻击手段的防御问题;利用主动防御架构作为第二道防线,解决未知漏洞和后门的防御问题。在主动防御发现入侵攻击时,可通过所记录的入侵攻击轨迹进行学习,得到新入侵攻击的特征,对被动防御的特征库和检测规则进行智能更新。被动防御可以利用现有的高效检测机制在入侵到达第二道阵线前过滤掉大部分攻击,如:应用防护系统防御大多数已知攻击,利用欺骗伪装技术实现指纹伪装、统一资源定位器(URL)跳变、虚拟蜜罐欺骗、敏感信息过滤、页面信息加扰和头部字段混淆,再利用动态异构冗余机制实现异构冗余体的动态调度、攻击入侵的主动感知和异常部件的有效清洗与恢复。

通过上述主被动联合协作动态化防御,不仅实现了对已知威胁、漏洞防御,而且通过动态变化、欺骗与清洗,将多个复杂化未知服务应用结合,形成了一个动态随机的安全防御技术机制。

3.6 蜜罐诱骗伪装

利用伪装、诱骗等手段,使入侵者无法获取真实的系统信息等数据,诱骗入侵者攻击一些预先设置的陷阱系统来发现入侵采用的战术和技术手段。

网络通信中攻击与防御的问题可视为博弈问题,在传统蜜罐基础上通过使用模拟服务环境的保护色机制和模拟蜜罐特征的警戒色机制这些主动欺骗技术,使攻击者无法区分蜜罐和实际生产系统,从而达到对攻击者的有效迷惑和诱骗。蜜罐的保护色技术是指蜜罐通过模仿周边运行环境和拟保护系统特征,使攻击者无法识别蜜罐的存在。

蜜罐的警戒色机制则是指生产系统模仿蜜罐,使得攻击者将系统识别为蜜罐而躲避攻击。蜜罐防护是攻防双方参与的理性、非合作的诱骗过程,双方策略相互依存,都期望保护自身信息并获得对方信息以达到收益最大化,是一种非合作不完全信息动态博弈。从攻击者视角看,对手不只是提供真实服务的生产系统,而是“蜜罐”和“伪蜜罐”,从防御者视角看,对手则包含合法用户和攻击者。

结语

在新时期数字化转型、新基建大环境下,如何在保障经济快速发展的同时实现网络安全的有效防护,这是当前网络安全学术界与产业生态界亟需共同解决的重大课题。

基于传统知识和精确识别的防护手段,因其静态性和相似性,难以应对动态、智能、高强度的未知漏洞及未知威胁攻击。

动态防御则是对网络空间安全防御技术和体系的探索,其可将安全能力作为系统增强防御标准属性的提升,通过动态防御技术,让网络系统的安全防御呈现不可预测的变化态势,大大提高了攻击者发现攻击的难度和成本。

通过情报数据、欺骗等战术战法的有效结合,将攻击者引入网络攻击逻辑黑洞,进而加强分析研判、触发预警及实施阻断攻击,对于提升安全防御能力、实现从被动防御到积极防御的转变具有重要的战略意义和应用价值。

关于作者

张卓:虎符智库专家,奇安信大数据威胁分析事业部总经理,IEEE Vast Challeange 杰出奖项获得者,曾参与主导多个国家级重大项目与课题研究和制定多个国家标准。

陈毓端 :虎符智库专家、PHP官方/PECL开发组成员,Phdfs、luajit-jsonnet/rust-jsonnet、cydphp等多个开源项目作者。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。