◆邵宇航 朱小朋 王子良 刘晨光

面向APT攻击的航天信息网络安全预警模型研究

◆邵宇航 朱小朋 王子良 刘晨光

（西安卫星测控中心 陕西 710043）

本文通过分析了航天信息地面传输网络在安全防护方面的建设现状和APT威胁，提出了以引入人工智能算法的用户行为特征提取技术作为其主要应对手段。此技术能够实现对用户异常行为的准确感知与预警，对提升航天信息地面传输网络的安全防护水平具有重要作用。

航天信息；行为特征；安全预警

航天技术作为我国战略发展计划中的前沿支柱产业，其在和平时期的技术共享和战争期间的信息支援作用必将受到竞争对手或敌对势力的高度关注。鉴于网络攻击活动低成本、高收益的运行特点，通过网络渗透的形式刺探我国航天技术发展情报、掌握系统运维规律、分析防护薄弱关节、制定深度破坏计划的攻击模式将成为敌对势力的首选方案。

因此，我国航天系统需面对和防范的是一群在国家或财阀势力支持下，具备高深网络攻击技能、并且攻击目标专一、行动目的明确、持久性开展网络攻击活动的专业团体。

1 航天信息地面传输网络安全防护能力

目前，我国航天系统中各科研院所和商业团体为节约自身运营成本，部署的各类网络安全防护设备在抵御低强度、非明确目标的网络攻击时可发挥一定防护作用。但根据上文描述，从潜在的安全威胁来源、网络攻击组织方式以及攻击手段综合运用的角度分析，我国航天系统面临的最大网络威胁与高级可持续性威胁（Advanced Persistent Threat，APT）的攻击样式高度吻合。APT攻击作为传统网络入侵、渗透手段的集成和综合运用，其攻击目标极为明确，具有极强的组织性和反侦察能力。攻击者可通过操作系统Zero Day漏洞、社交媒介、物理摆渡等多种途径侵入被攻击者系统。

由于APT使用的攻击工具多数为独立开发，攻击行为往往持续几个月甚至数年，导致在具有高速和大流量信息交互需求的网络环境中，可疑流量常常湮没于正常业务流量当中，防病毒软件和流量监测系统很难发现并有效处理。而我国航天系统信息传输需求恰恰与之对应，故可推断现有人力资源和技术储备难以满足抵御敌对势力开展此类高隐蔽和长持续网络攻击的能力需求。

2 信息安全预警方案论证

2.1 方案设想

信息安全业界对APT攻击链的划分并未形成统一意见，我国的谭韧、倪振华等人也在各自论文《APT攻击分层表示模型》[3]、《面向APT攻击的网络安全防护体系能力分析》[4]中表述了不同观点。但双方均认为APT攻击者在实现攻击行动前，须与受攻击网络建立有线、无线、物理摆渡或社会工程等方式的联系或接触。而防御难点在于其用时间换空间的攻击方式，使得编制数量少、防护技能累积不充分的技术人员难以长时间保持对海量信息中异常流量的持续关注。

因此，若我们可有效识别并过滤掉航天信息地面通信网络流量中的合法业务流量，同时对灰色流量采用用户行为特征提取等分析方法，最后建立黑色流量特征库，进而构建网络安全预警系统，实现对航天系统信息网络安全态势感知和应急处置的技术串联，将可极大压缩APT的攻击空间和时间，降低人工成本和技术门槛，具有较高的经济价值和社会效益。

2.2 可行性分析

2.2.1大量合法业务流量的有效识别

相较于Internet网络，航天信息地面传输网络具有工业网络属性，较为清晰的网络边界、简单的拓扑架构以及标准的数据传输规程，这些为采集和有效识别网络中的合法业务流量降低了技术难度和时间成本。

2.2.2非法网络行为的捕获

随着网络安全防护技术的迅猛发展，主机管控、安全过滤、智能密码钥匙等安全防护设备在航天信息承载网中广泛应用，有效提升了社交攻击、物理摆渡等方式的渗透侵入难度。安全管理系统、入侵检测等设备可作为安全预警的信息源，经安全预警系统研判后，作为防火墙安全策略、交换机访问控制策略更新的依据。

2.2.3安全预警技术的产品化

当前，国内外基于用户行为特征分析的安全预警技术研究日臻成熟并产品化，经实践证明，该技术产品能够及时发现网络中的异常情况，在提高系统自主管理能力、降低网络异常状况的复杂性等方面显现出了明显优势。

2.3 基于用户特征的异常流量提取方法

针对航天系统地面传输网络中业务流量的行为特征，可采用不同的特征提取技术，分别如下：

2.3.1依据航天信息传输规程设计进行特征提取

目前业界关于APT等网络攻击的研究背景主要设定为以Internet网络为代表的大型公共网络，此类网络拓扑架构复杂、业务类别繁多、信息规程不一，使得区分网间流量的合法属性极为困难。但航天信息地面传输网络中信息流量相对稳定，传输规程统一，便于网络流量监测系统的筛选过滤。

根据分析统计，航天信息地面传输网络中合法业务流量的具备14个行为特征量，通过流量监测系统对具备正常行为特征的流量进行梳理过滤，剩余灰色和黑色流量可作为网络安全预警系统的输入。以航天网络中的常用协议信息流量为例，可提取的行为特征量如表1所示。

表1 航天信息常用协议行为选择特征量

据此可对航天信息地面传输网络中各类流量做初次筛除，判断其行为是否合法。

2.3.2基于网络流量结构稳定性的行为特征

对于符合航天信息传输规程的网络流量，为避免不同链路通道、不同时间段、不同网络安全预警系统部署点位、以及攻击者伪装欺骗等原因带来的对非法业务流量的错检、漏检情况，再次进行关于流量结构稳定性方面的行为特征提取。

利用归一化和区间对齐等方法，通过比对历史流量信息特征、当前流量信息生成时间与设备工作计划、流量接收频次、重复概率、以及流量中具有物理意义的数值连续性等结构稳定性的行为特征，达到对航天信息地面传输网中合法流量的准确辨识和数据清洗目的。

3 航天信息地面传输网络安全预警系统

3.1 系统架构

航天信息地面传输网络安全预警系统包括用户行为数据源、数据采集与预处理、数据仓库、用户行为分析、特征提取与建模、异常检测与预警、系统配置与管理、系统界面显示共八个模块，系统架构如图1所示。

图1 航天信息地面传输网络安全预警系统架构

3.2 技术实现

（1）用户行为采集模块

通过对航天信息地面传输网络中的数据流量，或已部署的主机管控、统一安全管理系统等安全防护设备上报的数据统计，了解网络中固定区域或方向的业务参与程度和数据交互级别，从而实时采集用户行为数据，为建立数据仓库提供可靠数据来源。

（2）数据采集与预处理模块

将采集到的数据进行预处理，经过归一化、时标等区间对齐的方式对数据进行识别和清洗，实现航天信息地面传输网络中所有合法业务流量的有效分类，剩余无法识别数据将根据用户行为特征进行解析研判。

（3）数据仓库模块

数据仓库按照已经识别确认的正常业务数据、一时难以定性的灰色信息以及网络安全人员预先配置的具有攻击属性特征的黑色流量进行重新分类并存储，供安全预警系统其他模块分析研判。

（4）用户行为分析模块

用户行为分析包括对用户行为习惯、用户来源、用户分布、用户动态、用户关联、系统访问等方面的分析功能。通过对网络历史流量的无监督或半监督学习，完成对网络流量属性、分布等信息的分类、统计等工作。

（5）特征提取与建模模块

特征提取与建模模块是整个系统架构的核心部分，通过用户行为分析模块获得用户行为数据，再利用基于人工智能的机器学习方法对用户的行为特征建模，并构建一个行为特征库，作为用户行为新数据合法性的匹配对象。

（6）异常检测与预警模块

异常检测与预警模块采用误用检测和异常检测相结合的两层混合异常检测模型，使用基于簇中心位置变化的异常检测方法和基于K近邻的异常检测算法，将用户实时行为数据与行为模式库中的模式进行比对与检测，并将异常结果报告给界面模块。

（7）系统配置与管理模块

系统配置和系统管理模块负责系统中各种参数的设置、对数据库的管理和维护等工作。

（8）系统界面显示模块

系统界面显示模块负责完成预警系统监听结果的可视化显示、模式挖掘的结果显示、异常分析报告显示以及用户命令的输入等工作。

5 结论

本文分析了航天信息地面传输网络在安全防护方面面临的威胁，结合威胁样式和航天系统通信网络工作特点，提出了以提取用户行为特征为主要应对手段的网络安全预警系统架构及其关键技术。同时，在系统架构的设计中引入人工智能算法，建立合法、非法以及灰色三种行为特征库，通过机器迭代对库中特征和结构进行优化，从而实现安全预警模型的自动升级，对提升航天信息地面传输网络整体安全防护水平有着重要的现实意义。

[1]樊世杰，陈刚，郭巍，等.航天测控系统网络安全评估与建设方法研究[J].宇航动力学学报，2017（4）：62-65.

[2]雷璟.用户行为特征提取及安全预警建模技术[J].中国电子科学研究院学报，2019（4）：368-372.

[3]谭韧，殷肖川，廉哲，等.APT攻击分层表示模型[J].计算机应用，2017（9）：2551-2556.

[4]倪振华，刘靖旭，王泽军，等.面向APT攻击的网络安全防护体系能力分析[J].兵器装备工程学报，2017（4）：127-131.