文│中国科学院信息工程研究所 赵昌志 刘玉岭 公安部第三研究所 陶源 全国海关信息中心 范絮妍

关键信息基础设施防护是网络安全的重中之重。网络安全监测预警作为网络安全发展过程中的重点工作,是关键信息基础设施保护工作中不可或缺的一环。它能够辅助运营者掌握设施的安全状态和安全趋势,有效提升关键信息基础设施的防护能力。早在 2015 年,美国政府为建立和完善政府与关键基础设施运营企业之间的监测预警机制,通过了《网络安全信息共享法案(2015)》,在法律上支持和规范了网络安全监测预警制度。我国于 2016 年发布了《信息安全技术 网络安全预警指南》标准,对相关的工作进行规范和指导;《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)也对相关的工作提出了明确的要求。关键信息基础设施的安全监测预警工作涉及多种技术,是一项繁杂的系统工程,涵盖了多项技术的应用和联动。本文借鉴海关业务的实战经验、结合关键信息基础设施保护场景,对常用的安全监测预警技术进行探析。

一、监测预警工作基本框架

以在海关业务场景下所展开的监测预警工作为例,在该场景的监测预警工作中融合了多种技术,满足了海关安全检查、安全防御、应急响应、攻防演练和协同作战等多个场景的需求。如下图所示。

在实施过程中,首先使用网络空间测绘的相关技术对具体的监测保护对象进行识别探测,对这些对象的具体信息进行采集,将采集的信息融合后,再参照情报内容,对保护对象的综合态势进行研判。对研判产生的告警进行关联分析之后,按照海关的安全规定和办法,对其中的突发状况进行快速响应处置,并将告警和处置信息一并呈现给安全责任人和专家。另外,最终的告警研判结果还会反馈传递给监测预警的各个系统,以对情报和算法可信度迭代优化。

图 基于海关业务场景的监测预警工作基本框架

二、强化网络空间测绘,摸清家底认清风险

“只有摸清家底,才能认清风险”。关键信息基础设施安全监测预警首要的工作就是摸清关键信息基础设施的“家底”,即对关键信息基础设施资产情况进行全面的了解。网络空间测绘技术借鉴了地理测绘中的描绘方式,通过探测、数据挖掘和算法分析等,发现识别网络空间基础设施和设备,并基于地理信息和逻辑关系进行图形绘制,最终直观展现出网络空间资产、属性、状态和安全态势等信息。网络测绘技术能够基于多维度的信息对不同的设施资产进行深层次关联并还原拓扑结构,有利于高效的管理和监测。

不同的测绘系统所使用的探测技术也有所差别。一些探测技术使用 IP 活性探测、端口扫描、指纹扫描和爬虫等技术主动对网络设施、网络协议和网络服务等信息进行探测,虽然高效快捷,但可能产生大量的异常流量,对正常服务造成影响。还有探测方法通过流量监听的方式从流量包中获取资产信息,需要长时间持续监听,可能造成探测资源的浪费。此外,有些探测方法对多源的数据进行融合,这些数据不仅数据量大而且是异构数据,需要建立高效的智能算法进行分析和数据挖掘,才能产出有用的成果。

相比于通常的网络结构和资产构成,关键信息基础设施资产类型多,拓扑结构复杂,因此,在今后的研究和应用过程中需要提高地图测绘的实时性和准确性。另外,面对时兴技术的发展,补充IPv6、虚拟化等新技术形态下地图信息,完善工业互联网、卫星互联网、物联网、区块链等新形态网络空间的测绘信息也势在必行。

此外,网络空间测绘在关键信息基础设施防护的应用过程中还面临着另一重要问题,网络空间测绘被自身用来管理和监控资产的同时,也极有可能被攻击者当作“窥探”网络内部的工具。因此,一方面需要优化网络结构、减少设施资产对外的暴露点,提升关键信息基础设施自身的防御能力,另一方面还要推进关键信息基础设施反测绘技术的相关研究和应用。

三、完善安全信息收集,智能驱动研判分析

对安全监测预警来说,信息收集技术相当于伸向关键信息基础设施的“神经触手”,对各设施进行感知接触。信息收集技术是目标设施连接到安全监测预警系统的关键纽带,负责对设施的具体运行状态的信息和威胁信息进行收集,以驱动后续的分析研判,可分为两个方面:本身脆弱性信息和外部威胁信息。

(一)漏洞检测技术

本身的脆弱性信息主要是设施存在的漏洞信息。在漏洞信息的收集过程中,可以使用安全扫描的方法对设施进行定期的扫描以发现漏洞信息,对于潜在的和未知的漏洞可以使用源代码扫描、反汇编扫描、环境错误注入等方法进行收集。目前,在漏洞已知的情况下,进行漏洞检测的技术相对成 熟,但关键信息基础设施的漏洞库信息相对较少, 因此针对关键信息基础设施的漏洞库亟需健全和完善。关键信息基础设施中的系统功能复杂,通过传统的检测方法不仅工作量庞大而且很难发现隐蔽的漏洞,所以,未来应加强针对关键信息基础设施的未知漏洞检测方法的研究。

(二)日志流量收集技术

外部威胁信息,主要是设施遭受攻击和威胁所产生的信息。传统的方式是从内部对设施的流量和日志信息进行收集,这两种信息会记录设施运转过程中大部分的状态和事件,也会记录程序或系统产生的异常信息以及攻击者所产生的攻击痕迹。在收集这部分信息时,可以使用日志协议对日志信息进行收集,对流量收集时则可以采用流量探针或嗅探工具进行收集。

关键信息基础设施由于其体量较大,产生的日志和流量信息的规模非常可观,而且由于关键信息基础设施中的信息系统类型繁杂,产生的日志等信息也是多种多样。因此,如何处理好异构信息和超规模信息存储,是今后关键信息基础设施信息采集时需重点考虑的问题。

四、探索异构形态蜜罐,提升欺骗防御能力

除了以上的信息采集技术,还可以使用一些方法在设施的外部或者边界进行信息采集。例如,从防火墙等防护设备中采集已拦截的威胁信息。此外,还可以通过设置蜜罐对威胁信息进行诱捕。蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为。蜜罐本身的设置就是为了引诱和搜集信息,因此蜜罐所产生的所有流量都预示着安全风险和恶意行为。近年来,蜜罐技术与人工智能技术相结合后表现出了更高的隐蔽性和学习性。还有些蜜罐技术与遗传演化计算结合,使蜜罐具备自适应、自组织、自演化等优势,从而可以更高效、隐蔽地对威胁信息进行收集。

但是,外部或边界上部署的这些防御诱捕方法也难免被突破,当这些设置被绕过以后,还需要对内部的流量和日志信息进行收集分析才能捕获到威胁信息。同时,考虑到关键信息基础设施的业务更为复杂,因此蜜罐的隐蔽性还需要进一步提升。

五、平战结合态势感知,提升决策支撑能力

态势感知技术为检测预警技术提供类似“大脑”的功能,在收集到关键信息基础设施的多方信息后,对繁杂的信息进行处理、挖掘、分析和研判。包括对设施目前所处状态的评估和后续状态趋势的预测,以达到监测和预警的效果。

态势感知的概念最早起源于 20 世纪 80 年代的美国空军,是对一定时间和空间内的多种信息因素进行感知,并对这些信息进行分析和理解,在勾画出当前形势的同时,对未来可能产生的变化进行预测。该技术在网络安全领域的应用,通常是对网络安全相关的各种影响因素收集后进行分析和预测。利用态势感知技术,可以使用信息收集阶段所感知到的数据,对设施当前所处的安全状态进行评判,并对未来一段时间内态势趋势做出预测。

针对关键信息基础设施的态势感知技术主要涉及两方面的技术,一是设施安全态势评估技术,另一个是设施安全态势预测技术。常用的态势评估技术可以分为四类:基于数学模型的评估方法、基于知识推理的评估方法、基于模式分类的评估方法和基于机器学习的评估方法。基于数学模型的方法可以明确地给出数学表达式,也能给出明确的结果,但态势要素中可能存在不易定性表示的方法,表达式的建立就比较困难。基于知识推理的方法是通过专家知识及经验建立评估模型,进而进行推理评估。常用的方法有基于产生式规则的推理、基于图模型的推理和基于证据理论的推理,虽然相对成熟但容易产生高复杂度推理路径。基于模式分类的方法将安全要素等属性视为模式目标、将态势值视为模式类别或者分类器进行建模,该类方法过程资源占用相对较多。基于机器学习的方法则是在要素空间上建模,在训练的过程中完成要素到态势的映射,该方法的效果则比较依赖数据的质量和模型的选择。

态势预测中常用的方法有基于时间序列的预测方法和基于机器学习的预测方法。基于时间序列的预测方法将预测目标的历史数据按时间的顺序排列成为时间序列,然后分析它随时间的变化趋势,外推预测目标的未来值。该方法对具有非线性关系、非正态分布特性的宏观网络态势值所形成的时间序列数据处理效果不理想。基于机器学习的方法不需要过多依赖专家经验,能够从部分数据中学习后完成预测任务,但对结果难以提供可信的解释,而且预测效果容易受数据集质量和数量的影响。

关键信息基础设施的层次构成多样,与普通网络内的态势感知不同,针对关键信息基础设施的态势感知需要更广泛的信息和能力互通,需要建设条块结合、上下贯通的网络安全高速公路,提供跨地域、跨行业、跨网域的信息共享、指令传达,实现全网安全能力协同、重大事件联合指挥。另外还要建设网内高通量数据融合系统,覆盖更高(如太空网)、更深(如产业网)、更快(如 5G 网)、更广(如物联网)维度的网络空间;借助联邦学习、知识迁移技术,建设跨网态势协同感知系统,提升跨网复杂安全事件深层研判能力;构建任务驱动的多域联合指挥体系,提升智能安全决策支撑能力。

六、高效利用威胁情报,实现防御能力协同

威胁情报技术在安全监测预警中也是重要的一环,其在安全态势感知的过程中发挥着强大作用。威胁情报是从安全数据中提炼的与网络空间威胁相关的信息,如威胁来源、威胁能力、威胁意图、威胁目标和威胁手法等,还包括用于解决威胁或应对危害的知识,相应的数据共享交换机制及智能处理技术。威胁情报旨在为防御者提供有关于攻击者的知识,帮助防御者了解攻击者在防御者环境中的行动、攻击者的能力和攻击手法,进而从攻击者身上获得相关经验教训,以更好地识别威胁和做出响应,实现“一处发现、全局共享、全网防御”。在体系化的防护模式中,态势感知位于中上游环节,向下需要依托于一定的基础防护能力,向上需要广泛收集情报并有效利用,因此情报的应用是态势感知的重要环节。

威胁情报的核心内容包括威胁情报感知采集、威胁情报分析处理和威胁情报共享与应用。威胁分析与应用所需的情报数据量大、种类多、时效性强、更新频率快,需要对人工情报、开源情报等进行采集、去重、过滤、融合、存储。感知采集主要涉及多源情报采集和异构情报聚合与统一存储技术。分析处理主要包括情报智能校验、评估与推荐和情报关联分析。共享与应用则主要包括情报表达、数据共享交换规范和基于威胁情报的恶意行为发现等。

在威胁发现的过程中,威胁情报技术已经表现出了良好的成效。但通用威胁情报技术存在着智能性与交互性不足、情报质量以及可参考性不足,以及情报数据间相互割裂、关联性不足的问题,并且当前针对关键信息基础设施的威胁情报信息数量也较少。因此,在应用威胁情报的过程中,不仅要加强威胁信息的关联分析能力,还要完善情报的共享机制,提升针对关键信息基础设施威胁情报的搜集能力。这需要政府部门积极支持,完善相关标准的内容和关键信息基础设施威胁情报的体系建设,以及产业界的积极参与。

七、及时准确预警通报,强化事件应急处置

对关键信息基础设施的环境要素、信息进行处理分析后,会产生来自不同设施以及不同时间节点的威胁告警信息,这些离散的初始告警信息需要经过预警通报技术进一步的分析和处理后,才能报送呈现给运营管理者。这其中的核心技术是告警关联。告警关联的方法可以根据不同的场景进行选取,其中基于模型语言的关联方法是在知识库中明确攻击事件关联关系,该类方法需要人工描述攻击场景,具有简单高效的特点,但只能识别已知的攻击场景。并且,该方法对于漏告警比较敏感,存在漏报时无法将告警信息有效关联的问题。基于隐马尔科夫模型的关联方法则适用于攻击步骤的时间跨度较大、有多种相似类型、难以准确提供复杂攻击训练数据的应用场景。基于相似度的关联方法是通过建立相似度评估函数,依赖告警信息的属性进行相似度评估实现告警关联。另外,针对不同时间节点的告警信息可使用时间序列方法来解决,如自然语言处理领域常用的 LSTM 方法等,对告警的时间依赖关系进行挖掘,以此来关联时序上的告警信息。大多数的告警关联系统都会将多种方法相结合,以适应和解决可能出现的各种意外情况。

关键信息基础设施所产生的初始告警信息通常数量庞大,而且存在潜在关联的告警信息持续时间也更长,这就要求预警通报技术能够挖掘更深层和适应更长战线的告警关联。对关键信息基础设施的预警通报应做到足够及时、足够准确和足够全面,此外还要针对预警通报信息制定全方位、全天候的应急处置方案,才能让预警结果回馈到安全保障之中。

(本文刊登于《中国信息安全》杂志2022年第9期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。