安全态势感知技术在市规划和自然资源局网络中的应用

2021-03-08林立明

电子技术与软件工程 2021年23期

林立明

（杭州市规划和自然资源局调查监测中心浙江省杭州市 310000）

随着互联网技术的不断发展，一方面规划和自然资源系统的信息化水平日益提高，网上办、移动办、掌上办、跑一次的应用普遍推广；另一方面因为规划和自然资源众多数据的重要性和敏感性，需要应对各式各样的网络攻击行为，特别是需要应对一些利用未知漏洞、未知恶意代码的高级持续性威胁。

而市规划与自然资源局共有下属单位十几个，对于发现的安全问题缺乏强制抓手和流程闭环的手段，无法对于单位业务交互中的安全问题进行识别阻断和统一的通报预警，以及无法对于问题的通报展示进度和对处理结果的闭环监测。

因此，市规划和自然资源局需要一种有效的信息自监管手段，早于监管单位发现下级有被通报风险的安全事件，而且需要一种有效的方式保证上通下达过程的效率，同时应能够准确的判断安全事件是否为误报，处理过程可否支持被记录和追踪查看。

1 市规划和自然资源系统的安全现状、存在的问题和需求

1.1 传统防护手段面临失效

高级持续性威胁（Advanced Persistent Threat，简称APT）是一种可以绕过各种传统安全检测防护措施，通过精心伪装、定点攻击、长期潜伏、持续渗透等方式，伺机窃取网络信息系统核心资料和各类情报的攻击方式。

规划和自然资源系统目前采用的安全防御体系包括：接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等，所涉及的安全产品包括：防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。这些产品的数据分析虽遍布网络的第2至7层，但产品的核心技术仍属于传统防御体系。APT攻击发生在网络的第7层，而目前规划和自然资源系统部署在第7层设备主要是IDS和IPS。这些设备采用经典的CIDF检测模型，依靠匹配特征库的模式完成对攻击行为的检测。反观APT攻击，其采用的攻击手法和技术都是未知漏洞（0day）、未知恶意代码等未知行为，在这种情况下，依靠已知特征、已知行为模式进行检测的IDS和IPS设备在无法预知攻击特征、攻击行为的情况下，无法检测APT攻击。

1.2 免杀木马无法检测

木马(Trojan)，也称木马病毒，是通过特定的程序(木马程序)来控制另一台计算机的软件。木马通常有两个可执行程序:一个是控制端，另一个是被控制端。木马程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。

在APT攻击中使用的木马通常为“免杀木马”，这类木马会利用加冷门壳、加花指令改程序入口点、修改内存特征码等免杀技巧来避免自身被杀毒软件所查杀。同时为了避免被杀毒软件检测并查杀，APT组织还采用了大量对抗手法，其中针对国内的安全软件主要包括：360杀毒、瑞星杀毒、金山毒霸、金山卫士、QQ软件管家等。在对抗过程中如果发现杀毒软件，恶意代码会选择放弃执行后续的功能代码，或者会选择绕过杀毒软件的检测。

市规划和自然资源系统虽然部署实施了终端安全管理系统，但是当遇到“免杀木马”时，基于病毒库检测木马的终端安全软件还是力不从心，需要通过更多技术维度来检测处置，才能保障规划和自然资源系统终端的安全。

1.3 大量安全数据无法有效利用

目前，规划和自然资源系统的安全事件分析思路是遍历各个安全设备的告警日志，尝试找出其中的关联关系。这种分析方法不仅耗时长，效率低，而且无法检测APT攻击。

由于APT攻击的隐蔽性和特殊性，传统安全设备通常无法对APT攻击的各个阶段进行有效的检测，无法产生相应的告警，安全人员花费大量精力进行告警日志分析往往是徒劳无功。如果采用全流量采集的思路，一方面是存储不方便，每天产生的全流量数据会占用过多的存储空间，没有足够的资源来支撑长时间的存储；另一方面是全流量数据包含了结构化数据、非结构化数据，涵盖了视屏、图片、文本等等多种格式，无法直接进行格式化检索，安全人员也就无法从海量的数据中找到有价值的信息。

因此，如何以恰当的方式长时间保存对安全分析有价值的流量数据，是规划和自然资源系统检测、回溯APT攻击必须解决的问题。

2 应用方案

为了进一步提高规划和自然资源系统网络安全水平，有效检测和防御各类网络攻击行为，特别是APT攻击，将态势感知技术应用于规划和自然资源网络安全领域，可以充分发挥其在检测和防御大量高级威胁攻击方面的特点和优势。

2.1 技术架构

部署全流量威胁检测的态势感知系统可以帮助规划和自然资源系统及时有效地发现未知威胁，提升安全管理人员对未知威胁的发现速度和效率，最大限度地降低规划和自然资源系统受攻击后的损失，回溯方案可以记录规划和自然资源网络的任何一次网络行为，为攻击行为溯源提供强大的支撑。如图1所示。

（1）在各级单位核心交换机旁挂检测探针，实时收集网络内的安全流量及信息，统一上报市级运营平台进行统一的分析预警，并对预判的安全问题进行研判及通报，通过安全组件的联动以及工单的下发实现安全的闭环处置监控。

（2）在区县单位出口边界部署下一代防火墙，实现边界的访问控制、入侵防范以及攻击阻断。同时配合运营平台的联动处置及时处置安全问题，提高纵深防御，联动响应的能力。

（3）同时通过SAAS化服务云眼实时监测各单位互联网网站业务的脆弱性及风险点。并将数据统一上报给市级运营中心进行统一的通报预警。

（4）市级中心平台配合安全运营服务实现安全专家7*24实时分析预警，保障网络的安全。

2.2 工作流程说明

工作流程如图2所示。

（1）资产统一管理：通过安全感知平台通报预警版，提供“互联网网站实时监测和网络内部威胁实时监测”，对各区县单位、部门的自有业务资产实现统一管理（各单位网站的风险问题由云眼探测，业务及系统安全问题由部署在各级探针进行流量采集，二者统一接入省局感知平台进行统一分析、通报、及闭环处置，实现内外网的全面安全监测体系。）

（2）7×24小时持续威胁分析预警：使用三阶共享专家模式，提供7×24小时持续服务，永不休息帮助单位持续监测安全状态；并在安全事件发生前、发生时、发生后动态调整安全策略，使单位的安全状态逐步提升，让单位的安全工作无论是脆弱性还是威胁，由主动开展，改变当前时刻都是救火员的状态。

（3）监管通报：网络中心作为网络安全责任部门，对下属分支进行监管和通报，并实时监控处置情况。发生安全事件后，可通过短信或邮件的方式告知资产所有人，并可添加附件及规定处理时间上限。

（4）任务认领：每一个接入的分支会拿到相应级别的管理员账号，可以进入自己的界面进行通报任务的认领和处理。平台会给出相应的处置建议，应对一些普通的漏洞，简单的风险威胁，各级单位人员是具备处置能力的。

（5）全流程大屏可视。

2.3 功能模块部署设计

全流量威胁检测的态势感知系统组件包括：威胁情报（云端）、流量传感器、文件威胁鉴定器（沙箱）、威胁分析平台。

2.3.1 威胁情报搜集和下发

在云端大量搜集与安全相关的数据，涵盖DNS解析记录、WHOIS信息、样本信息、文件行为日志等内容，并针对这些信息使用机器学习、深度学习、重沙箱集群、关联分析等分析手段，最终形成云端威胁情报下发到本地的分析平台用于进行安全威胁检测。

2.3.2 本地威胁检测

流量传感器负责将所有镜像流量进行还原分析，提取HTTP、SMTP、POP3、FTP等文件传输协议中出现的文件内容，将文件通过加密通道传送到文件威胁鉴定器（沙箱）。文件威胁鉴定器（沙箱）对所有文件进行解压缩、格式检查后，使用静态检测、半动态检测、沙箱检测等多种检测手段，对文件中可能包含的恶意行为进行捕捉分析以发现高级威胁攻击。使用该方案后，可以有效发现网络中出现的漏洞利用行为，木马控制行为，APT攻击中使用的“免杀木马”等，同时沙箱检测还可以提供更多高级沙箱防逃逸技术，用以避免威胁攻击绕过整个检测系统。

2.3.3 威胁行为回溯

分析平台可以依靠自身独特的分布式搜索架构设计，将所有传送至此的行为信息和告警信息进行快速地存储并建立索引，可以长时间保存对安全分析有价值的流量数据。建立索引后的信息可以在分析平台上快速地搜索到。安全管理人员可以利用该方案记录过去一段时间内出现的任何一次网络行为，发现任何一次网络行为中的具体细节，提升网络透明度及可视性，快速发现高级威胁并结合本地系统进行准确溯源，牢牢掌握规划和自然资源系统网络安全工作的主导位置，满足上级监管单位对于安全工作的溯源及定位要求。

2.4 应用效果

浙江省一些规划和自然资源系统通过在办公网络、生产网络中多个关键节点试行部署网络安全态势感知产品，在经过日常网络安全工作及公安攻防行动中的应用与检验后，都证实了其能够大幅提升全局整体网络安全形势的感知能力，为网络安全管理人员和网络运维人员提供有效的威胁告警和处置措施，为单位领导提供一个实时了解整个规划和自然资源系统网络安全形势的有力工具。

2.4.1 网站攻击感知

部署和使用网络安全态势感知平台后，能够从其产生的安全告警中，直接掌握网站正在遭受的攻击情况，包括攻击趋势、攻击数量、攻击类型、攻击源分布、攻击目标，以及攻击结果等。从某局运用此平台分析近1月的网站安全形势可以看出，共发现81.6万余次各类威胁行为，包括端口扫描、网站扫描、弱口令、WebShell利用等，同时从右边的趋势图可以看出近1月每天的告警数量趋势，这些数据使得分析人员、分管领导能够实时掌握网站安全动态，为对日常监控网站安全状态提供决策依据。

例如某某局网站遭受攻击的情况，通过里面的被攻击网站top5、攻击类型top10功能，分析人员、分管领导能直接了解到哪些分支机构正在遭到大量攻击、正在遭受什么类型的攻击行为，为进一步的措施提供数据支撑。

2.4.2 终端威胁感知

部署和使用网络安全态势感知平台后，使网络安全管理人员能够从网络流量层面，实时捕获终端设备发出的所有流量包括免杀木马，检索并匹配威胁流量，定位发出威胁流量的终端设备。例如某某局通过态势感知平台筛查了近1个月的终端威胁数据可以看出，近1个月内，平台共发现了2.58万次一直都潜藏在网络中的终端威胁告警，包括勒索软件、电脑病毒、僵尸网络、黑市工具、远控木马等，为提前预警、采取措施提供依据。

2.4.3 恶意文件感知

部署和使用网络安全态势感知平台后，通过态势感知中的沙箱检测技术，能够检测到网络中传播的恶意文件流量，包括僵木蠕毒文件、无文件落地的威胁流量、捆绑了恶意代码的文件、宏病毒文件等。例如某某局通过查看文件检测沙箱数据，共送检3845657个文件，检测出353个文件存在可疑行为或恶意代码。

2.4.4 高危行为感知

部署和使用网络安全态势感知平台后，通过态势感知平台中存储的全流量记录，结合威胁分析模型，能够直接通过态势感知平台，了解各类资产或账号的多种异常行为，如异常的登录行为、异常的数据库行为、异常的访问行为、异常的网站服务器行为等。例如某某局针对常规检测规则难以检测、发现的攻击源TOP5、被攻击的受害IP TOP5，使得分析人员能直接发现这种业务逻辑性的攻击行为，以采取封堵、加固等措施。

2.4.5 资产感知

部署和使用网络安全态势感知平台后，可以运用资产感知能力、大数据分析能力，通过流量采集的形式，主动搜索感知到网络中的所有资产信息,形成一份全面的资产清单表。例如某某局发布要求排查weblogic中间件、关闭weblogic IIOP模块时，便是通过在态势感知平台中，所有weblogic中间件特征，查询出一批准确的weblogic资产，避免了以往使用扫描探测手段产生的误报、资产登记不及时导致的遗漏情况。

2.4.6 流量审计

部署和使用网络安全态势感知平台后，作为流量存储和审计的一种形式，满足单位的等保合规需求。在公安部“HW-2020”期间，通过其他省局发现、分享的攻击IP，某某局直接在态势感知平台中查询相关IP，即能发现该IP是否访问过相关系统、信息踩点、尝试攻击等行为，为做进一步的排查提供线索，极大的提升了网络安全应急排查、响应的效率。