长江水文网络安全态势感知系统构建初探
2021-04-09贾克王立海刘迪
贾克 王立海 刘迪
摘要:2019年7月水利部印发了《加快推进智慧水利的指导意见和智慧水利总体方案》,提出到2021年基本建成水利网络安全防护体系,到2025年全面形成水利网络安全防护体系的具体目标。对照目标,长江水文急需补齐安全态势感知的短板。结合网络安全存在的问题,探讨了长江水文网络安全态势感知系统建设目标,以及如何构建网络安全态势感知系统,阐述了系统建设的关键技术和推进的工作策略,为下一步系统建设奠定了基础。
关键词:态势感知系统;网络安全;监测预警;长江水文
中图法分类号:TP393.08文献标志码:ADOI:10.15974/j.cnki.slsdkb.2021.03.014
文章编号:1006 - 0081(2021)03 - 0079- 06
网络安全作为一项系统性工程,是信息化建设与运维的一项非常基础而关键的工作,是信息系统安全稳定运行的重要保障。在中央网络安全和信息化领导小组第一次会议上,习近平总书记强调,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、部署、推进和实施,做到协调一致、齐头并进,以安全保发展、以发展促安全。
2019年7月水利部正式印发《加快推进智慧水利的指导意见和智慧水利总体方案》(以下简称《意见和方案》)。智慧水利旨在应用云计算、物联网、大数据、移动互联网和人工智能等新一代信息技术,实现对水利对象及活动的透彻感知、全面互联、智能应用与泛在服务,从而促进水治理体系和治理能力现代化建设。《意见和方案》提出了建设基础大平台、水利大数据、应用大系统及网络大安全的总体目标,要求建立多层级、一体化、主动感知、自动防御的网络大安全,具体到2021年,基本建成水利网络安全防护体系,到2025年全面形成水利网络安全防护体系。《意见和方案》将水利网络安全防护体系分为技术、管理及运营3个部分,全面概括了网络安全的总体框架[1]。
通过多年的建设,特别是在“水文三年信息化提升工程”的带动下,长江水文网络安全保障能力有所提高,但是跟《意见和方案》确定的目标仍然存在差距。主要不足为:缺少规划引领、纵深防御能力不足、预警能力弱、安全管理及运营缺乏系统性等,网络安全态势感知处于空白,无法发现潜在威胁,距离全网安全态势感知还存在很大的差距。
态势感知最早来源于美国军方在军事对抗中的研究。在军事术语中,态势感知的目的是使指挥官了解双方的情况,包括敌我的所在位置、当前状态和作战能力,以便能做出快速而正确的决策,达到知己制彼、百战不殆的目的[2]。由于网络空间的威胁与对抗,跟传统军事对抗有着极高的相似度,所以一些研究人员把态势感知引入到网络安全领域。传统的脆弱性检测、入侵检测、恶意代码检测等从不同的技术视角发现网络中可能存在的安全威胁,但缺乏全局性、宏观性,需要网络安全管理人员大量的人工分析和干预,导致整个安全运维效率低下。
近年来,网络安全态势感知系统逐步成熟,作为一种新型的网络安全监测预警手段,能较好地识别出网络内的各类网络活动,以及可能存在的网络威胁,并发出预警,供网络安全管理人员分析研判。
1 安全态势感知系统建设目标
智慧水利网络安全体系涵盖了安全管理、安全技术、安全运营三大部分,其中安全技术部分又包括纵深防御、监测预警、应急响应3个层面的建设内容,总体架构如图1所示。
从完整性考虑,本文引用智慧水利网络安全体系总体框架,但仅将“网络安全态势感知系统”作为重点讨论对象。网络安全态势感知系统作为监测预警手段之一,主要实现如下目标。
(1)安全信息全网感知。通过分布式数据采集获取全网的安全日志、流量信息、威胁行为及各类安全情报和舆情,实现长江水利委员会(以下简称“长江委”)水文局网络内安全信息的全网感知。
(2)异构数据治理。实现多源异构网络安全数据的治理。解决各类数据源适配问题,实现数据采集、清洗、标准化存储,提供离线、实时、全文检索等多种数据订阅及分析。
(3)安全数据集中管控。对获取的各类安全类数据进行集中管控,具体包括网络设备、安全设备、主机及应用的日志,流量探针、APT威胁的采集信息,威胁情报及舆情等。
(4)安全威脅检测及溯源分析。与终端防护EDR联动,实现网络威胁防御、异常行为检测与响应;通过日志关联分析、异常行为检测、攻击者画像等,对攻击者进行溯源,满足快速处置的要求。
(5)支撑安全运维管理。针对资产、行为、数据等网络威胁的关联要素进行可视化展示,提供威胁的预警与追踪,为日常安全运维提供支撑。
2 网络安全态势感知系统设计
网络安全态势感知系统总体设计遵循3层架构,具体架构如图2所示。
2.1 数据采集感知层
感知层主要任务是对外收集网络安全情报与舆情,对内收集网络设备、安全设备、主机及各类应用日志及安全探针等与网络安全相关的各类数据,通过数据清洗、范式化、归一化等数据治理技术对数据进行整理,形成有意义、可分类的安全数据[3]。
2.1.1 分布式数据采集
通过分布式部署采集探针,实现网络环境安全类、管理类、流量数据以及资产、用户基本数据的收集。数据采集探针部署要点如下。
(1)范围广,覆盖局机关及勘测局全江主要网络区域;
(2)控边界,收集全江主要安全边界的数据流量;
(3)多类型,数据探针类型多样,包括日志采集探针、流量采集探针、终端采集探针、数据库采集探针和邮件行为采集探针等。
安全要素采集的类型包括以下几点。
(1)各类网络设备数据:路由器、交换机、DNS、网站访问日志等;
(2)网络安全设备数据:移动恶意代码、僵木蠕、异常流量、攻击溯源系统、域名安全分析系统、DDOS、防火墙、IDS、IPS、WAF等日志;
(3)管理类数据:资产数据、审计数据、网络划分环境数据;
(4)流量数据:网络全流量数据;
(5)数据库请求、访问数据:数据库请求访问审计;
(6)WEB请求数据:基于WEB请求日志审计;
(7)邮件审计数据:邮件服务器的流量数据审计;
(8)基础数据:基础信息、黑白名单库,IP基础信息、域名基础信息、URL基础信息、漏洞库、样本库、事件库等;
(9)终端数据:主机进程信息、登录信息、感染病毒、U盘使用记录、软件安装信息。
2.1.2 数据监控
对采集器的健康状况及性能进行监控,具备发现接收采集异常及时告警的能力,保证采集性能与数据量匹配,防止数据采集不完整。
2.1.3 数据字典
采集的各类信息类型众多、数据量大,通过建立数据字典,实现对各类描述数据信息集合的组织、定义及修改。
2.1.4 数据接口
为了兼容更多系统日志数据,系统须支持接口方式获取第三方数据,包括:①JDBC接口,与第三方数据库层面提供标准的JDBC接口的方式对接;②WEB Service接口,提供基于XML格式的结构化数据,用来与第三方系统应用层面的数据对接;③FTP/SFTP接口,进行文件层面的数据对接,实现与第三方平台离线数据以文件的方式对接。
2.2 数据处理和要素管理层
数据处理和要素管理层主要任务是处理和存储各类安全要素,包括识别的信息资产、各类漏洞和安全脆弱性信息以及安全事件等。
2.2.1 信息资产管理
信息资产管理作为网络安全态势感知系统的最基础功能,确定了安全管理的对象和目标,将所有业务系统的网络设备、安全设备、服务器及其承载的操作系统、数据库、应用系统、接口方式、硬件属性、使用维护人员等信息均作为资产管理的内容,提供资产录入、管理、变更等管理功能。信息资产管理主要实现如下功能。
(1)提供与第三方资源管理系统的接口以实现资源共享、同步更新、信息的查询和导入等功能;内置资产通用属性接口,用于实现与第三方资产管理系统的数据格式相互转换。
(2)信息资产的各项属性被安全事件管理、脆弱性管理、风险管理、拓扑视图、报表系统等其他安全管理模块调用。
(3)提供资产的手动和自动发现功能,资产接入或移除,能够自动更新,并作出提示,对新接入资产进行预管理,对移除资产进行记录管理。
(4)将安全事件与资产进行绑定关联,实现以资产视角的安全事件管理,在资产拓扑视图上直接展现安全事件的信息。
(5)提供根据长江委水文局组织架构或者网络架构进行资产域/安全域划分信息。
2.2.2 脆弱性管理
网络安全态势感知系统本身不具备直接发现脆弱性的功能。依靠外面知识共享、脆弱性发现工具接入等方式,脆弱性管理掌握全网各个系统中存在的安全漏洞以及整体分布情况,并支持提供排名、分布等展示。脆弱性管理主要实现如下功能。
(1)主流扫描设备的数据接入功能,实现对接入数据的对比、去重,形成整体脆弱性报告。
(2)各個资产的整体脆弱性展示,对整个网络的脆弱性进行展示,支持根据扫描器类型、CVE/CNVD编号、弱点名称、危害程度以及受影响的资产等条件进行检索。
(3)脆弱性数据与资产和资产域,对资产域内的脆弱性分布展示;跟踪脆弱性被利用行为,实现分析和溯源。
2.2.3 安全事件管理
安全事件管理承担独立的安全事件采集、分析和集中控管功能,为网络态势感知系统的安全状态展现、安全管理调度提供支撑服务。主要提供如下功能。
(1)安全设备告警事件管理。为用户提供集中的安全设备告警事件管理功能,支持事件分析和处置及误报标记。
(2)安全事件统计。提供以资产维度和攻击链维度的安全事件统计功能,支持根据资产和攻击链进行事件检索和攻击影响范围分析。
2.3 数据分析与展示层
数据分析与展示层提供各类维度安全分析的可视化与成果展示,包括网络层面、主机、终端、数据库及应用系统等,是网络安全态势感知系统供管理员决策分析的工作界面。
2.3.1 网络安全分析
对网络层设备的安全分析结果进行可视化,以及提供审计服务。涉及到的设备包括:交换机、防火墙、IDS等安全设备和网络设备等。满足网络层面的安全攻击、入侵分析要求。网络安全分析主要提供如下功能。
(1)攻击方向识别。通过日志数据/流量数据以及长江委水文局网络环境关联分析,实现对攻击方向的识别,提供并区分外对内、内对内及内对外攻击视角。提供外部威胁感知、横向威胁感知和资产外联感知功能。
(2)异常行为分析。通过深度及关联的安全分析模型及算法,利用AI分析模型发现各系统存在的安全风险和异常的用户行为,主要包括但不限于下列分析场景:账户异常行为分析、账户权限变更行为分析、资产被访问异常分析、账户监测异常、非法外联外访、数据违法泄露、业务违规场景、APT攻击场景、挖矿病毒类等异常场景。
(3)网络安全分析报告。对网络安全分析提供报告输出。
2.3.2 主机安全分析
对主机、服务器、中间件等访问、操作日志进行安全分析,提供安全分析结果、审计结果可视化。主要提供如下功能。
(1)操作对象安全分析。提供对主机的操作对象进行安全分析,分析对象包括主机的登陆用户、访问用户等,对主机的恶意操作、删除日志、修改权限、病毒扩散等高风险操作行为进行安全分析和审计。
(2)应用性能分析。提供对主机、服务器、中间件、数据库以及应用系统的可用性、性能参数进行监控的功能,保障主机承载服务的连续性和可用性。
(3)主机安全分析报告。对主机安全分析结果提供分析报告输出。
2.3.3 终端行为分析
提供对终端用户的行为审计功能,主要包括终端的访问时间审计、访问地点审计、访问的应用系统审计、访问频率审计等。结合用户画像和资产画像,及时发现异常的终端行为。如利用安全事件溯源分析引擎,发现应用系统受到的攻击来自某个终端用户,结合用户画像,定位到具体的终端责任人,提供相应终端用户的行为审计报告和统计结果。主要提供如下功能。
(1)异常登录行为分析。包括异常时间登录、异常地点登录、堡垒机绕过等异常行为分析。
(2)终端安全事件溯源。结合用户画像分析,当终端发生安全事件时,可以定位到具体的责任人。
(3)终端用户行为分析报告。提供安全分析报表输出。
2.3.4 数据安全分析
基于关系型数据库的安全审计分析。主要为了确保数据访问是否经过授权、检测可疑访问和越权访问等,保障数据不被非法窃取、删除、篡改等恶意操作。主要提供如下功能。
(1)数据库操作行为分析。利用审计结果,提供对数据库操作的安全分析,对数据的恶意操作、删除、篡改等高风险操作行为进行安全分析和告警。
(2)数据库安全分析评估。完成对不当的数据库配置、潜在弱点、数据库用户弱口令、数据库软件补丁等的漏洞检测,包括:①风险趋势管理。通过基线扫描发现数据库结构的变化,实现基于基线的风险趋势分析。②弱点检测与弱点分析。根据内置的弱点规则,对数据库配置信息、数据库对象安全检测。③弱口令检测。依据内嵌的弱口令字典完成对口令强弱检测。④补丁检测。根据补丁信息库匹配被扫描数据库,完成补丁安装检测。⑤存储过程检测。根据内嵌的安全规则,对存储过程进行安全检测,比如是否存在SQL注入漏洞等。
(3)关联审计分析。将WEB审计与数据库审计进行关联,追溯“用户-应用-数据库”整个过程的访问链,实现攻击源定位及路径追踪分析。
(4)数据安全分析报告。提供数据安全分析报表输出。
2.3.5 应用安全分析
实现对应用系统的访问行为、连接行为、攻击行为以及应用系统性能的审计分析,及时发现异常行为并进行分析和预警。主要提供如下功能。
(1)操作对象分析。对应用系统的访问用户进行安全分析,包括访问频次、访问时间、访问地点等行为的安全审计。
(2)访问流量审计分析。对应用系统访问流量进行分析,特别是来自互联网的访问流量,包括协议解析、应用会话行为、深度风险行为以及合规行为等。
(3)应用系统漏洞被利用行为审计分析。对应用系统的漏洞被利用、尝试利用漏洞攻击等行为进行安全分析,及时发现漏洞的被利用情况,监控漏洞的修复进度,提供漏洞数据进行安全审计功能。
(4)应用性能监控。对应用程序的性能进行监控,保障应用服务的连续可用。
(5)应用安全分析报告。提供应用安全分析报表输出。
2.3.6 安全风险展示
网络安全态势感知系统集成多种报表样式。报表统计维度包括资产类、潜在威胁类、安全防御类、安全风险类等。支持不同周期、维度统计,结合定义网络安全关鍵指标,通过各种常见的图表(树状表、柱状图、雷达图和饼状图等)进行展示,并支持word、pdf等格式导出。
2.3.7 安全威胁情报管理与共享
实现管理内外部各类安全情报、安全事件、安全通知、安全通报等,并通过共享模块实现相关安全信息的共享交换。在数据流走向上分为南北向及东西向。南北向数据,即纵向数据,指来自水利部、长江委等上级单位自上而下的安全信息;东西向数据,即横向数据,指来自其他业务单位、外部企业及互联网上获取的安全信息。
3 关键技术
3.1 用户实体行为分析(UEBA)
用户实体行为分析(User Entity Behavior Analytics,UEBA)是一种面向用户和实体的行为,采用高级数据分析方法刻画正常行为、发现异常行为的技术[4]。从用户入手,围绕用户行为展开分析是UEBA的最主要特点。UEBA通过持续性的记录和分析人或实体的行为,来分析和检测所从事的操作是否存在异常行为,有助于从大量的告警中定位到存在的风险点。
UEBA将人的基础属性数据与行为数据进行统计分析,围绕人的各类数据,包括基础档案类、授权类、登陆类、行为类等数据,建立画像和标签,通过可视化的方式直观呈现人的行为及轨迹,同时展现人的概况和行为数据,以形成行为轮廓,实现对攻击者的多维度分析。
3.2 复杂异构数据的智能识别
网络存在大量异构设备,比如:不同品牌的服务器、交换机、路由器、防火墙等安全设备。这些设备产生大量的结构化和非结构化日志数据,在部分环境中存在压缩传输和压缩存储等现象,导致这部分数据无法解析和分词。针对大量复杂的异构日志,通过分词模块、词义分析模块、词义特征提取模块以及特征匹配模块,智能识别解决实现对复杂异构的非结构和半结构日志数据的解析和处理。实现对不同类型日志数据的解析,并提供人机交互的二次解析功能,实现更准确、更充分的日志解析。
3.3 AI建模
在长江委水文局安全场景下,通过机器学习算法进行训练,实现对异常行为的定位跟踪,风险阈值的智能动态调整,智能安全判定,对残余风险、隐蔽威胁、未知攻击和0day攻击等未知风险检测。系统提供AI安全分析建模如下。
(1)攻击者画像建模分析。对攻击者的多维度画像分析,包含攻击者的网络指纹数据、偏好攻击手段、攻击破坏力分析等维度,实现攻击者维度对事件的追溯分析。
(2)资产画像建模分析。对内网信息资产的多维度画像分析,包含资产的风险点、被攻击的趋势、频繁被攻击方式、攻击影响范围以及资产的风险值等,并提供高度可视化的攻击,实现资产维度安全事件的追踪溯源分析。
(3)安全事件组合关联分析。针对某一安全事件的攻击链追溯分析,提供针对资产的关联攻击链日志以及系统漏洞信息关联分析,为运维人员提供攻击链日志和漏洞对比信息,快速感知当前资产的安全状况。
4 系统建设的工作策略
网络安全态势感知系统建设作为2020年长江委水文局年度重点工作,是加强网络安全管理、提升网络安全防护能力的重要抓手,对于完善水文局网络安全预警体系,提升全局安全预警能力具有非常重要的意义。网络安全态势感知系统覆盖范围广,涉及要素多,笔者认为建好、用好、管好该系统可以遵循“全局统领,上下联动,共建共享,迭代推进”的工作策略。
(1)坚持全局统领,层层落实责任推进项目建设和管理。网络安全态势感知系统采集端分布式的部署在各勘测局,中心端部署在长江委水文局机关。系统建设涉及面广,协调难度大,一些技术要点还需要集体攻关。必须坚持全局统领,明确项目牵头和配合单位职责,分工协作、层层落实推进系统建设。
(2)坚持上下联动,确保系统建设贴近实际。长江委水文局机关与外业网络环境存在差异,网络安全态势感知系统在实际建设中,各地的策略也需要因地制宜。保持上下联动,确保系统建设贴近实际,并做好内外业的沟通协调,及时收集建设中的问题。
(3)坚持共建共享,充分发挥外业积极性。网络安全态势感知系统须建立共建共享的思维,对内充分整合水文局各类网络安全信息,对外跟长江委网络安全态势感知系统进行信息共享与交换,发挥安全威胁信息整合共享效益。水文局下属勘测局立足自身提出需求,做好所属子网的安全信息整合,提升自身安全预警能力。
(4)坚持迭代推进,保证系统持续发挥效益。目前态势感知系统和技术仍然处在不断发展和完善之中,为保证系统继续发挥效益,需要做好系统日常升级与维护;同时,系统的建设和管理也是迭代推进的过程,持续建、持续用、持续管会成为日后系统运管模式的常态。
5 结 语
践行“水利工程补短板、水利行业强监管”总基调,坚持问题导向,落实水利网信工作“安全、实用”总要求,对长江水文未来网络安全建设有现实指导意义。网络安全态势感知系统将过去看不见的威胁,通过可视化手段进行呈现与分析,极大的提高了网络安全分析预警能力。但同时,也应该看到网络安全态势感知系统实施阶段存在的诸多困难,比如多类型采集端配置、日志汇集的性能适配、内外业视图管理、建模分析等。需要长江委水文局各级单位、部门扎实推进,才能达到预期目标。
参考文献:
[1] 水利部网络安全与信息化领导小组办公室. 智慧水利总体方案[R]. 北京:水利部网络安全与信息化领导小组办公室,2019.
[2] 龚俭,臧小东,苏琪,等. 网络安全态势感知综述[J]. 软件学报,2017(4):1010-1026.
[3] 詹全忠,张潮. 智慧水利總体方案之网络安全[J]. 水利信息化,2019(4):20-24,29.
[4] 司德睿,华程,杨红光,等. 一种基于机器学习的安全威胁分析系统[J]. 网络与信息安全,2019(4):37-41.
(编辑:李 晗)
