基于PPDRR模型可攻击溯源的新型安全管理平台的设计

2021-07-20戴翔倪浩杰

网络安全技术与应用 2021年6期

◆戴翔倪浩杰

（江苏省国际信托有限责任公司江苏 210000）

1 引言

金融机构一直是网络犯罪分子攻击的重要目标，金融业面临的内外威胁与日俱增，APT 攻击事件层出不穷。2019年国家颁布网络安全等级保护2.0 标准，明确提出安全管理中心概念，首次将安全管理中心作为五大技术防护手段之一。鉴于现今基于PDR 模型的安全管理平台较为成熟，但存在被动防御和无溯源能力等不足。本文通过对PDR 模型优缺点的分析，提出了基于PPDRR模型可攻击溯源的新型安全管理平台的设计方法。

2 基于PDR 模型的传统安全管理平台

2.1 PDR 模型

PDR 模型是由美国ISS 公司提出，它是最早体现主动防御思想的网络安全模型，包括Protection（保护）、Detection（检测）、Response（响应）3 个部分。保护：采用一系列手段（认证、数据加密等）保障数据的保密性、完整性和可用性。检测：利用各类工具检查系统可能存在的脆弱性。响应：对涉及安全的事件、行为、过程及时作出响应，并进行处理，力求将安全事件的影响降到最低。

PDR 模型建立在基于时间安全的理论基础之上。理论的基本思想：信息安全所有活动，都要消耗时间，要实现系统安全，须满足条件：Pt>Dt+Rt。

注：Pt 防护时间；Dt 检测时间；Rt 响应时间。

2.2 基于PDR 模型的传统安全管理平台的不足

基于PDR 模型的传统安全管理平台（以下简称传统安全管理平台），强调检测的重要性，通过对物理环境、网络通信、区域边界和计算环境的评估来掌握系统风险，及时消除系统风险。但其也存在不足：

（1）PDR 模型侧重于技术防护，未将管理和人员因素考虑在内。实践中管理人员往往是网络安全防护的薄弱环节。

（2）PDR 模型未考虑重大安全事件后的系统恢复问题。（3）传统安全管理平台缺乏溯源举证能力。

3 新型安全管理平台的需求

为解决传统安全管理平台的不足，新型安全管理平台需求呼之欲出，要求实现以下功能：

（1）设计依托于成熟的理论模型。

（2）将管理和人员因素考虑在内。

（3）系统具备灾后恢复能力。

（4）具备攻击溯源举证能力。

4 基于PPDRR模型可攻击溯源的新型安全管理平台的设计

4.1 基于PPDRR模型可攻击溯源的新型安全管理平台的构架

基于PPDRR模型可攻击溯源的新型安全管理平台（以下简称新型安全管理平台）由PPDRR 模块和攻击溯源模块组成，见图1。PPDRR 模块是改进的PDR 安全管理平台。攻击溯源模块通过攻击检测和黑客指纹比对，为新型安全管理平台输出溯源举证能力。

图1 新型安全管理平台框图

4.2 PPDRR 模块

PPDRR 模块在PDR 模型基础上增加了策略（Policy）和恢复（Recovery）两部分，由策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）五部分组成。PPDRR 模块一方面以安全策略为核心，通过一致性检查、流量统计、异常分析、模式匹配等检测方法，使系统从静态防护转化为动态防护；当系统异常时，根据安全策略快速作出反应，从而达到保护系统安全的目的。PPDRR 模块另一方面将信息安全保护视为活动过程，在系统被入侵后，采取相应的措施将系统恢复到正常状态。综上，PPDRR模块解决了PDR 模型未考虑管理和系统恢复等问题。

4.3 攻击溯源模块

PPDRR 模块数据输出流入攻击溯源模块，通过大数据和AI 技术识别攻击、画像黑客，使其具备溯源举证能力，是新型安全管理平台的核心模块。

图2 攻击溯源模块功能框图

攻击溯源模块由攻击检测、黑客画像、过程还原、攻击溯源四个子模块构成。攻击检测子模块基于攻击者视角构建威胁发现模型，以事件为单位聚类分析，发现内外部威胁。黑客画像子模块关联大数据威胁情报，识别攻击工具和特征，比对指纹库，分析黑客背景和身份等。过程还原子模块，以黑客视角还原攻击细节，提供完整证据链。攻击溯源子模块，以攻击时间轴还原过程，溯源安全事件。