基于机器学习的行为分析技术在下一代智能化网络安全体系中的应用

0 引 言

在当前网络安全领域，安全防御技术和攻击威胁技术以零和博弈为基本原则，通过快速且不断变化的高强度相互对抗，彼此促进了相关技术的高速发展。而与物理空间如军事斗争中的攻防不同，由于网络空间的虚拟化特征，攻击方在很多方面先天占有较大优势。另一方面，鉴于能源、基础设施、金融等领域的企业组织机构在国家社会经济等方面的重要作用，经常成为个人、组织甚至国家级网络攻击行为的高价值目标。从网络恶意行为出现以来，它们一直备受攻击方的关注。

传统的企业网络安全体系的设计实现部署，主要体现了两方面思路。

第一，御敌于边界之外的防御体系。传统企业网络安全体系的核心设计理念通常将企业园区网及信息系统之外，以互联网为代表的外部网络信息环境，定义为充斥着有组织黑客、恶意软件、钓鱼网站、病毒等各类安全威胁的高度威胁环境。因此，在企业网络外部边界即与外部威胁环境的连接点上，均部署了防火墙、入侵检测防御系统、网络防病毒等安全产品。对于涉及国家重大基础设施、能源、军事等领域的企业网络，还采取物理隔离手段或VPN等基于密码技术的隔离措施，将企业内部信息系统、端点和网络设施与外部高威胁环境隔离开来。

第二，基于已识别恶意行为签名的特征检测。传统企业网络安全体系对于采用了先进隐匿技术和0day漏洞的未知特征网络攻击行为，通常需要在破坏性结果或其他显著的安全事件实际发生后，通过日志数据、专用工具，结合人工分析的方式，逐步定位威胁行为作用范围，锁定攻击向量，并提取威胁行为的文件签名、流特性和地址端口协议等网络特征。这种机制需要内部信息系统具有较高的鲁棒性，能承受一定程度的网络攻击破坏性后果。

随着定向社工、人工智能、高级隐匿、自适应变形等新兴网络威胁技术的不断发展，专业级黑客工具的广泛扩散，以及用于0day漏洞交易的地下黑产市场日益成熟，传统企业网络安全体系在应对未来新型网络威胁和攻击行为方面日益捉襟见肘，而以行为分析[1]为代表的一系列新一代网络安全技术正被视为改变这一不利局面的重要力量和关键支撑技术，得到了国内外安全产业界的高度关注和重点发展。

本文针对先进的复杂威胁、内部威胁等现有安全机制难以有效应对的网络攻击行为，对用户实体行为分析、网络行为分析、端点行为分析等基于机器学习和安全态势感知的新兴网络安全技术进行了研究，分析了行为分析的发展需求、应用现状和技术趋势，研究和讨论了其模型、架构以及在下一代网络安全体系中的应用方式。

1 现有网络安全体系难以有效应对未知的网络威胁发展的原因

1.1 边界防御对抗机制

企业网络信息环境的边界防御机制通常在企业园区网周边采取物理隔离手段，并在园区网与电信运营商网络等外部网络连接点处部署VPN的逻辑隔离网关和NGFW、NGIPS等高强度安全产品。这种“御敌于国门之外”的防御思路将安全重点和主要防御手段聚焦在企业网边界和入口处。因此，从非合作博弈的角度思考，参考洛克希德马丁的杀伤链模型[2]，在网络武器的投放阶段，网络攻击方最有利的应对思路是选择绕开安全体系防御强度最高的部分，而是选择企业网络信息环境攻击界面相对薄弱的环节进入，如注入攻击载荷建立C2通道，并进一步通过对企业内部网络的侦测，采取横向移动方式移动到预定攻击目标。由于移动办公和自带设备BYOD日益成为企业运营常态，而鱼叉攻击等定向社工技术的发展，使得过度依赖边界防御的企业网络安全体系将形同虚设。

1.2 特征检测对抗机制

特征匹配检测机制[3]对于未知特征的网络威胁行为，理论上不具备检测识别能力。在实际应用环境中，它基于两点安全假设，即没有检测到和没有攻击行为爆发的情况下系统是安全的。在这两点前提下，当网络攻击行为后果实际爆发时（如勒索软件等），整个安全体系可以通过攻击涉及范围、攻击外显现象等因素，有效缩小搜索范围，并通过人工分析，结合审计、日志等辅助工具，锁定、捕获攻击代码样本，经静态或动态分析后提取相应的攻击指示器（IOC）添加到防火墙、AV、IDS等安全设备的特征匹配列表，用于后续的安全检测防御工作。

从攻击者的角度出发，自然会采用变形、多态、混淆、加密等方式有效对抗特征匹配检测机制。从发展过程来看，攻击方的策略明显更为成功和占有优势。因为相对于整个cyber行为空间或特征空间而言，规模再大的白名单库、病毒特征库、IOC数据库等，能有效覆盖的范围占比可以基本忽略不计，攻击方具有非常充分的余地绕过特征检测机制。

对于特定行业应用如军事应用，在不考虑威慑平衡的前提下，依托国家级技术力量发动的网络攻击往往具有针对高价值目标、长期潜伏、集中爆发、造成不可逆损失的特点。它的攻击向量通常不会反复使用，因此基于特征匹配的安全体系对这类网络攻击行为无论从事前还是从事后，基本上都不能发挥任何效用。

2 行为分析技术发展现状与趋势

2.1 行为分析在网络安全领域的应用需求

2.1.1 基于行为的网络威胁检测识别

当前，大部分安全公司开始在自身产品中引入人工智能和机器学习技术。这类技术可以有效提升安全产品检测异常行为的能力，其中包含对网络流量的检测和对端点设备、用户以及特定用户在使用特定设备时的行为检测。

安全分析引擎用以对来自网络设备和终端设备的通信数据进行深度分析和检测，并通过探测异常数据和行为来识别潜在的威胁。通过设定正常行为的安全基线，安全分析引擎可以将潜在恶意行为从正常行为中区分出来，并通过进一步的分析来确认这些行为是否属于恶意攻击活动。

2.1.2 内部威胁防护

内部威胁防护的主要目标包括恶意内部人士、天真不设防的雇员、机会主义雇员、通过窃取合法凭证成为内部人员的远程攻击者，其中最难以防御是恶意内部人士。传统安全控制机制如访问控制和DLP，能起到微小的作用。近年来，开始通过用户行为分析UBA技术，采用机器学习来检测网络中的异常用户行为。

2017年，美国情报与国家安全联盟INSA发布的报告提出，物理用户行为分析应更进一步，纳入依据常规行为模式设置的心理分析。这不仅是网络上可接受行为的基线，还结合了工作场所内外生活事件的心理影响，目的不单是响应已发生的异常行为，而是要未雨绸缪，在事发前预测到恶意行为。

2.2 行为分析技术发展历程与概况

2014年，Gartner发布了用户行为分析（User Behavior Analytics，UBA）市场指南，将目标市场聚焦在安全（窃取数据）和诈骗（利用窃取来的信息）方面，以帮助企业检测内部威胁，有针对地攻击和金融诈骗。随着数据窃取事件的增加，Gartner认为有必要将其从诈骗检测技术中剥离出来。

2015年，Gartner将UBA更名为用户与实体行为分析（User and Entity Behavior Analytics，UEBA），并指出“要承认为了更准确地识别威胁，除了用户外的其他实体也应被经常关注，这些实体的行为从某种程度上关联了用户行为”。UEBA关联了用户活动和其他实体，包括受控或非受控的终端、应用（云、移动和其他内部应用）、网络和外部威胁，通过实施UEBA，使得组织在内部威胁已经存在的情况下免受外部威胁的影响，从而达到保护数据不外泄的目的。

3 行为分析技术在网络安全业界的应用发展情况

3.1 赛门铁克（Symantec）

Symantec的EPP产品（Symantec Endpoint Protection，SEP）对先进威胁的检测阻断能力可达99.9%，采用了人工智能和端点行为分析技术，以监控端点事件并识别可疑行为，其中集成了威胁情报、机器学习、恶用阻断、行为分析等技术，防护未知威胁并阻断攻击链。

3.2 惠普（HPE）

HPE在2017年2月表示计划收购安全分析和网络取证软件提供商Niara。Niara的行为分析软件可自动检测企业组织内部的攻击和风险行为，帮助安全团队动态缩短调查和响应安全事件的时间，减少所需的技能。该次收购增强了HPE的Aruba ClearPass网络安全产品，使其具备围绕下一代产品进行行为信息、可见性和攻击检测分析的关键能力。

3.3 Cylance

Palo Alto Networks在2017年2月进军火热的行为分析市场，宣布收购以色列初创公司LightCyber。LightCyber的泄露检测和修复产品为Active Breach Detection。Cylance的安全产品利用行为分析来了解高级攻击、有目标性的攻击、内部威胁以及绕过了传统控制措施的攻击。

3.4 山石网科（HillStone Networks）

HillStone Networks的云影沙箱将特征匹配无法识别的文件传送到沙箱进行动态行为分析。云影可以模拟文件的真实运行环境，并通过触发文件的各种行为来发现隐藏其中的高级未知威胁，以实现对未知威胁和恶意软件的检测。

3.5 Acalvio

安全公司Acalvio的ShadowPlex平台的核心技术，是对手行为分析（ABA）功能。ABA提供对手行为上下文，以回顾并确定攻击者侵入网络的路径。ABA帮助确定攻击发生的根源分析，从攻击者侵入诱饵的过程收集已知事实，然后从公司部署的SIEM（安全信息与事件管理）处获取所需信息，查出事件全貌。

4 基于机器学习的行为分析技术在下一代网络安全体系中的应用

行为分析技术从数据维度上如图1所示，可分为端点、网络、人员实体和非人员实体等4个维度。从具体发展应用情况看，目前它可分为用户实体行为分析、端点行为分析、网络行为分析三个方向。其中，用户实体行为分析通常采用监督和非监督机器学习技术检测异常行为和发现威胁。监督机器学习模型通常利用海量数据样本进行训练，并用于提供快速的威胁指示。非监督学习模型提供自学习能力，能随着网络威胁行为的变化，持续、自适应、准确地识别异常行为。

行为分析主要基于网络安全态势感知广泛采集端点、用户、应用、服务等企业网络信息环境中的人员实体和非人员实体的行为数据及相关安全事件数据，通过上下文技术构建包含复杂行为模式的全局性的实体行为场景（如图2所示），并运用深度学习和强化学习等机器学习技术，对全局行为数据进行智能化分析，实现对未知复杂威胁行为模式的自动提取和检测识别。 

5 结 语

相比传统基于特征签名或统计学的网络威胁检测机制，行为分析在威胁分析机制方面对所依据的特征范围进行了极大扩展，包括主机行为、网络宽度、上下文情景、用户操作等，更大程度地保留了网络威胁的原始数据特征，并且利用机器学习对采集的海量安全数据和事件进行更大尺度、更细粒度的智能化分析和自动化行为模式挖掘，因此更有利于检测采用先进隐匿技术的高级威胁和未知攻击行为，并将成为未来有可能改变网络安全攻防不对称局势的关键性技术，极具发展潜力和应用前景。

参考文献：

[2] 网络杀伤链[J].通信技术,2016,49(05):581.

[3] 张树壮,罗浩,方滨兴.一种面向网络安全检测的高性能正则表达式匹配算法[J].云晓春计算机学报,2010,33(10):1976-1986.

作者简介：

陈 捷，西南通信技术研究所高级工程师，硕士，主要研究方向为网络信息系统安全体系；

丛 键，西南通信技术研究所高级工程师，博士，主要研究方向为人工智能、通信网络及系统；

张海燕，西南通信技术研究所高级工程师，硕士，主要研究方向为人工智能、通信网络及系统。

（本文选自《通信技术》2018年第八期）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。