刘 祺，黄 杰，王 捷

（1.国网湖北省电力公司电力科学研究院，湖北 武汉 430077；2.国网湖北省电力公司，湖北 武汉 430077）

基于异常感知的威胁综合防护模型研究

刘 祺1，黄 杰2，王 捷1

（1.国网湖北省电力公司电力科学研究院，湖北 武汉 430077；2.国网湖北省电力公司，湖北 武汉 430077）

为了提升信息技术系统对威胁的感知能力，根据传统信息安全威胁与新态势下信息安全威胁的区别，基于异常流量分析、大数据分析和深度检测技术构建了新一代威胁综合防护模型。结合规则的自动生成和信誉库的关联，提升信息技术系统在应对攻击时候的响应能力。通过内外兼修的方式强化系统在威胁检测和威胁防御中的能力，通过综合检测和防御技术最大限度提升系统在防护外部威胁攻击方面的综合能力。

异常感知；异常流量；大数据分析；深度检测

1 新态势下的网络信息安全

1.1 传统威胁

信息安全传统威胁是指在较早之前就已经存在，并且造成了很大危害的攻击行为，现有的安全产品，如防火墙、IPS、Anti-DDoS、WAF等，能够专门针对这些攻击进行防御，常见的传统威胁包括以下几类：

Web应用攻击。注入攻击及跨站脚本攻击（XSS）是最常见的Web应用攻击方式。注入攻击中攻击者发送恶意数据欺骗解释器，以执行计划外的命令或访问未被授权的数据。成功的注入攻击可能导致网站内容被篡改，或者数据库中的内容（如信用卡、密码等）外泄。XSS允许攻击者在受害者的浏览器上执行脚本，从而劫持用户会话、危害网站、或者将用户转向至恶意网站。

溢出攻击。在内存缓冲区写入超出原本可以承受的数据量，造成部分内容溢出到邻近的内存区域，进而获得操作系统或应用程序的控制权限，以执行任意代码，溢出攻击被广泛使用在蠕虫和系统服务攻击中。

分布式拒绝服务攻击（DDOS）。指攻击者通过控制大量互联网上的机器（常称为僵尸网络），在瞬间同时向一个攻击目标发动的攻击。大量的攻击报文导致被攻击系统的链路被阻塞、应用服务器或网络防火墙等系统资源被耗尽，无法为用户提供正常业务访问。

蠕虫、木马与病毒。蠕虫是可在网络上自行复制的恶意软件，利用系统漏洞侵入，通常会通过消耗带宽的方式破坏网络通信，也可能通过感染更多的主机来窃取资料。木马指通过伪装成正常软件骗取使用者电脑的存取权限，进而盗取所需信息的恶意程序，木马常通过垃圾邮件或社交媒体传播，也有可能伪装成知名游戏或应用软件的盗版安装程序。电脑病毒附着在程序或文件上，在电脑间传播，随着传播路径感染其它电脑，和蠕虫不同的是，病毒的传播必须通过人为的操作引发。

1.2 新一代威胁

当前随着信息技术的不断发展，越来越多的攻击者在发起攻击前，会测试是否可以绕过目标网络的安全检测，因此会使用新型的攻击手段，例如零日威胁、变形及多态等高级逃避技术、多阶段攻击、APT攻击，这些新的攻击方式，即是所谓的新一代威胁。

零日攻击。包括零日漏洞攻击和零日恶意软件两类。零日漏洞攻击是基于未公开的操作系统或者应用程序的安全漏洞发动攻击，由于攻击时间处于安全厂商及大众察觉安全漏洞之前的零日（ze⁃ro day）而得名。零日恶意软件指的是为攻击特定目标而定制的恶意软件，由于这个恶意软件是全新的，安全厂商无法得到相应的样本，进而无法有效检测。零日攻击效果非常显著，因为这些攻击可长时间内不被发现。

多阶段攻击。通常一个组织的关键IT资产处于内部网络的深处，设置了层层逻辑隔离及物理隔离防护，攻击者无法直接访问。为此攻击者会采用多阶段攻击的方式，首先攻击访问互联网的终端设备，通过控制终端设备在组织内网建立立足点，然后通过侦听、探测等多种方式发现跟有价值的目标，再采取决定性的动作。

APT攻击，也称高级持续性威胁。高级可持续威胁的攻击者为黑客入侵技术方面的专家，通过使用多种新型手段，结合多种渗透方法和工具，针对确定的攻击目标，进行长期的渗透，在不被发现的情况下，持续攻击以获得最大的效果。

1.3 新一代威胁的特点

相对于传统信息安全，新一代威胁的攻击形式更加高级与先进，具备“潜伏性”“持续性”“针对特定目标”的特点，攻击者会主动挖掘被攻击对象系统或程序漏洞，利用漏洞组建攻击者所需网络，并利用0day漏洞进行攻击，并且这种攻击行为通常经过长期的经营策划，具备高度隐蔽性。由于这些新的特性，导致新一代威胁是传统安全机制无法有效检测和防御的，因此往往会造成更大的破坏，成为当前各方关注的焦点。

针对当前新态势下网络与信息系统面临的新一代威胁，本文提出基于异常流量分析、大数据分析和虚拟沙箱检测技术，构建面向新一代威胁的安全防护模型。

2 异常流量分析技术

2.1 网络异常流量定义

一个IT操作行为的属性包括：行为人身份（Identity）、发生时间（Time）、发生位置(Location)、行为方式(Means)、行为的类型（Action）、行为对象（Re⁃source）。而基于网络流量数据来检测异常行为，异常行为的主体与客体都不是特别的明确，只能看到主、客体双方链接的IP地址、端口以及相关的流量信息，并据此对IT操作行为进行近似映射。因此，为了从网络流量数据中检测到异常行为，需要基于网络链接关系定义所能够发现和检测的流量异常，通过检测这些异常来尽可能地发现内部用户的误操作、违规或越权使用等异常操作行为。

2.2 异常流量检测分析方法

分析网络流量日志记录中关于srcip，srcport，destip，destport，protocol五个属性间的关系，利用数据挖掘领域的经典关联规则生成算法——apriori算法，发现网络流量数据集中的潜在关联规则，并据此找出源地址、目的地址对应主机之间的潜在频繁访问规则关系。然后由用户管理员审核这些挖掘出来的关联规则，这样就可以辅助管理员整理网络资源之间的访问控制关系，确定网络流量日志数据分析的白名单。

统计分析发现的关联规则所对应频繁网络流量日志记录的时间分布特征，作为该规则对应网络连接流量的基于时间窗的统计特征，进而构建基于时间统计特征的网络流量异常检测模型。

分析时依据统计分析的时间粒度（周、日、时或分）在时间轴上分割出统计时间窗口（可以为等时间间隔），并根据记录的时间戳统计符合规则的记录落在各个时间窗口的统计值（日志记录出现的频度）即可以反映该规则对应网络流量的在时间轴上的分布特征。因为日志数据具有周期性的特征，在建模训练过程中，随着时间的推进，同一时间窗口可能会重复收到新的统计数值，这样针对每一个时间窗口都会出现周期出现的统计值序列，进一步计算这些统计值的均值、方差和分布特征，就可以得出每一个时间窗口更为精确的统计特征——以统计值序列的均值、方差表示的一个取值区间。

2.3 异常流量检测实现

攻击行为总是从异常的行为开始的，异常的行为伴随着通信过程中存在的异常流量。通过对网络中的流量信息进行统计、规则匹配以及分类分析，发现流量中存在的某些特性，检测恶意数据。网络流量数据看作是一种“流量行为”，其行为属性可表示为〈身份、时间、地点、方式、对象、操作〉六元组。对于每一条流量数据，系统抽取出其流量属性六元组 〈源IP、时间、IF端口、包数/包大小/包速率、目的IP、协议+目的端口〉，将其映射为流量行为六元组。正常流量行为规则据此流量行为六元组属性来制订，表示为“以正确的身份，在正确的时间，在正确的地点，以正确的方式，对授权的对象，进行正确的操作”。异常流量行为据此行为属性六元组来制定，表示为“以不正确的身份，在不正确的时间，在不正确的地点，以不正确的方式，对非授权的对象，进行不正确的操作”。

基于上述网络流量行为模型，系统将建立相应的黑、白名单规则以及流量行为统计特征，并基于这些规则匹配来检测异常的网络流量，规则匹配时的顺序依次为：白名单规则、黑名单规则、流量行为统计特征。

白名单规则是针对已知的正常的流量行为，按照行为属性六元组制定的规则，所有满足此规则的流量数据为正常流量数据。

第1自然段：那是一个飘浮着橘黄色光影的美丽黄昏，我忽然对在一旁修剪茉莉花枝的母亲问道：“妈妈，你爱爸爸？”

黑名单规则是针对已知的不允许的流量行为，按照行为属性六元组制定的规则，所有满足此规则的流量数据为异常流量数据。

流量行为统计特征是考虑到业务系统的复杂性，制定的黑白名单不可能过滤掉所有流量数据，因此将原始数据通过黑白名单规则过滤后的数据看作灰数据，并假定历史灰数据为正常流量数据，对其进行数据挖掘与学习，按照行为属性六元组的格式，找出其行为统计特征作为后续灰数据异常判断的白名单规则，所有满足基调的流量数据为正常流量数据，所有不满足统计特征的流量数据为异常流量数据，所有找不到相应的判断统计特征的流量数据为未知流量数据。

3 基于大数据的安全分析技术

3.1 大数据的定义

由数量巨大、结构复杂、类型众多数据构成的数据集合，是基于云计算的数据处理与应用模式，通过数据的整合共享，交叉复用，形成的智力资源和知识服务能力。

3.2 基于大数据的安全分析方法

通过对大数据的分析来挖掘未感知的异常行为或攻击事件来发现潜在的攻击可能，如：异常的域名解析请求（域名异常、请求异常）、网络扫描、频繁登录失败、身份冒用、超量数据传输、非授权访问、非法外联行为、交易欺诈行为、Web攻击行为和DDOS攻击等。

聚类是将数据分类到不同的类或者簇这样的一个过程，所以同一个簇中的对象有很大的相似性，而不同簇间的对象有很大的相异性。在实际网络行为中，可以对网络的IP进行聚类分析，通过聚类分析，发现部分没有聚集的IP地址，则有可能属于感染恶意程序的主机，聚在一起IP地址则具有相似的行为。将行为集合作为适当的项集，以适当的时间为周期，生成行为记录库，用关联规则算法对行为记录做分析，分析行为之间的相关度，如果行为之间的相关度很高，则由单点的异常可以判别相关行为异常。通过以上手段来支撑对潜在攻击行为的分析，了解攻击行为潜在的攻击入口，为相关安全措施的部署提供有效的基础资源。

4 深度检测技术

4.1 虚拟沙箱技术

沙箱检测是将文件放到一个由虚拟机构建的环境当中，触发并观察文件的行为特征，通过对行为的分析，来判定是否存在有恶意。但是攻击者会采用多种的抗检测逃避技术，可以绕过沙箱的恶意行为分析。因此我们需要一种更完善的技术来检测高级恶意软件，即在漏洞利用阶段就可以检测1。

4.2 信誉系统

通过虚拟沙箱技术检测基于恶意软件的来源地址以及回连命令控制服务器地址，生成企业本地信誉库。企业信誉库可以和云安全中心进行数据交换，也可以与外部的信誉卡进行数据分享，实现广泛的信誉卡信息交换，提升对威胁的感知能力。企业信誉库收集本地网络虚拟沙箱的报警信息，提炼出恶意软件的来源地址和相应命令控制服务器地址，进行整合形成的安全情报数据库。而全球信誉库处于云端，它可以归并所连接的所有企业信誉库的情报内容，并且通过第三方合作等方式，形成更全面、完整的威胁情报数据，再推送到各企业信誉库。最终由相关的防护设备形成可防护的规则能力2。

利用云端信誉库可以得到更完整的恶意软件的情报数据，基于其中的恶意软件来源地址数据可以防止用户访问恶意网站或邮件，而命令控制服务器地址数据可以用来检测、阻断已经进入内部的恶意软件接受外部控制的通信，防止攻击的进一步发展。威胁态势是随时变化的，因此具备良好效果的信誉库不能是一个简单的黑名单功能，必须具备以下特点：

自动生成。信誉数据的生成完全是自动化的过程，不需要人工干预，这就保障了信誉数据的及时性，从TAC产生报警，到生成信誉加载到IPS上，整个的过程可以在秒级的时间内完成，保障了防御的实时性。

信誉分级。信誉库和黑名单不同，是用于处理介于“好”和“坏”之间的灰色区域。一个网络对象是黑或者白，随着时间有可能不断变化。而要帮助安全产品在瞬间作出决定，就需要随时提供最佳答案。由于存在不确定性，没有信誉分级就意味着必然陷入对威胁拦截不足或者过度拦截的两难境地。强大的信誉系统可以推算出动态信誉值，提供更高级别的准确性。最终用户可以基于不同的安全策略要求，灵活的配置不同的信誉等级对应何种的动作，包括通过、报警或者阻截。

动态更新。随着系统不断获得有关某个对象的更多信息，应该使用这些信息作为基础持续调整信誉。例如，一台合法计算机受特洛伊木马程序恶意软件感染后，变成发送垃圾邮件的僵尸网络的一部分，然后该计算机得到清理后又恢复安全。这个过程中，该计算机完成了一个循环，从低风险到高风险，然后再回到低风险。信誉系统能够随时反映计算机的精确状态。

只有这种基于动态信誉机制的系统，才能有效的分享安全情报，才能够形成全网协同的安全防护能力。

5 威胁综合防护模型

攻击者总是会想尽一起办法来规避检测，通过实践也会找到相关方法。因此一个完整的防御方案不能依赖某个单一的检测点，或者某种单一的技术来控制重大的安全风险，在新一代威胁防御方面更是如此。因此需要建立的是一个纵深的、多层次检测防御体系，通过多种技术，对攻击整个生命周期的各个阶段都提供检测能力，最大程度防止攻击发生了而攻击者却一无所知的状况出现。基于前面提到的高级恶意软件防御及内网安全检测两部分的内容，提出一套综合防护的技术方法。

如图1所示，异常检测技术的核心就是建立符合业务需要的行为基线，检测对这个行为基线的偏离来发现攻击或滥用行为，可以发现没有传统攻击特征，但又实际产生危害的活动。通过应用基于大数据的安全检测技术对系统中行为进行建模，发现潜在的攻击行为，同时建模的数据又可以作为异常检测的输入，来提升异常检测的准确性和完整性。

图1 威胁综合防护模型Fig.1 Comprehensive threat protection model

在异常检测和基于大数据的安全检测系统中存在一定的异常数据或者异常通信行为时，会提取相关的样本特征，该样本特征会传递到虚拟沙箱中，应用虚拟沙箱技术提供和实际环境已知的虚拟化软件环境模拟的真实运行环境，来对具备相关特征的数据在虚拟沙箱中执行。通过查看相关执行的效果来检测是否存在恶意的攻击行为，虚拟沙箱技术可以有效的检测出系统中需要特定条件触发的威胁动作。在有效检测到攻击行为后，虚拟沙箱会通知相关的防护设备来更新规则，同时会把相关预警推送到本地信誉库中。本地信誉库通过与云端信誉库的交互，及时更新内部的规则，及时提升防护能力。

6 结语

针对传统信息安全威胁与新态势下的信息安全威胁区别，本文提出基于异常流量分析、大数据分析和深度检测技术构建新一代威胁综合防护模型，通过内外兼修的方式，来强化系统在威胁检测和威胁防御中的能力，尤其各种信息安全威胁层出不穷的今天，通过综合检测和防御技术最大限度提升系统在防护外部威胁攻击方面的综合能力。

（References）

[1]蒋诚智，余勇，林为民.基于智能Agent的电力信息网络安全态势感知模型研究[J].计算机科学,2012,39（12）：98-101.

JIANG Chengzhi,YU Yong,LIN Weimin.Research on Electric Information Netwrok Security Situation Awareness Model Based on IntelligentAgent[J]. Computer Science,2012,39（12）：98-101.

[2]胡东星.基于人工智能的信息网络安全态势感知技术[J].信息通信，2012(6)：80-81.

HU Dongxing.Information network security situa⁃tional awareness technology based on artificial in⁃telligence[J].Information and Communications,2012 (6)：80-81.

Research on the Model of Comprehensive Protection Based on Abnormal Perception

LIU Qi1，HUANG Jie2，WANG Jie1
（1.State Grid Hubei Electric Power Research Institute，Wuhan Hubei 430077,China; 2.State Grid Hubei Electric Power Company，Wuhan Hubei 430074,China）

In order to improve the perceived ability of the information technology system,accord⁃ing to the different information security threats under the traditional and the new situation,based on the abnormal flow analysis technology,big data analysis technology and virtual sandbox technolo⁃gy,a new generation comprehensive threat protection model is constructed.The automatic genera⁃tion of rules and the association of reputation database are combined to promote the ability of IT system in response to attack.The system capability in threat detection and threat defense is strengthened by internally and externally,the comprehensive ability in the protection of external threats attack is improved to maximum with the aid of comprehensive detection and Defense Tech⁃nology.

abnormal perception;abnormal flow;big data analysis;deep inspection

TP393.08

A

1006-3986(2016)07-0042-05

10.19308/j.hep.2016.07.010

2016-06-10

刘 祺（1983），男，湖北荆州人，工程师。