一种基于载荷的动态安全防护框架设计*

2021-08-06罗淑丹王邦礼

通信技术 2021年7期

伍荣，罗淑丹，王邦礼

（中国电子科技集团公司第三十研究所，四川成都 610041）

0 引言

随着计算机网络的深入应用，网络系统的安全性和可靠性成为网络用户关注的焦点[1]。当前，安全事件时有发生，促使网络安全成为各国信息安全领域研究的热点方向。与此同时，各国越来越重视网络信息安全，产业界推出了下一代防火墙、高级威胁检测产品、多功能融合产品等高对抗能力、更加智能的安全设备；学术界在基于联动机制的安全防护体系[2]、安全防护人工智能技术、安全大数据技术方面开展了大量研究；越来越多的高等院校开办了网络安全学院。在这样的背景下，本文提出了一种动态安全防护框架，通过安全功能载荷化，面对网络攻击“以变制变”，实现强对抗有效防护。

1 动态安全防护框架设计

动态安全防护总体架构采用动态防护模型、安全防护功能动态重组、安全防护服务集成和安全防护载荷（能力池）4层架构模式。其中：动态防护模型规定了安全防护动态调控流程，调控触发方式、调控内容、评估要素等，是动态安全防护的大脑；安全防护功能动态重组从安全防护功能定义和功能分析重组着手，实现安全防护功能分解、组织、编排重构以及运行加载等能力，再与威胁结合实现动态重组功能；安全防护服务集成解决安全软件类型多、使用复杂等问题，围绕安全防护服务软件集成、数据集成和信息传输集成展开，实现服务可扩充、加载、快照备份等能力；安全防护载荷实现对终端安全[3]防护能力、网络安全[4]防护能力、云安全[5]防护能力的载荷化封装，为构建安全防护载荷“能力池”提供支撑。总体架构如图1所示。

2 动态防护模型

动态安全防护在动态调整驱动引擎的作用下，基于安全数据中心采集的各类安全数据，通过智能分析处理过程生成安全防护功能调整策略，触发框架的防护调整逻辑，实现对安全容器（加载安全载荷的软件框架或硬件盒子）的安全防护功能、特征库和安全策略的动态调整，从而提升网络动态安全防护能力，如图2所示。

安全数据中心存储了从各安全、网络设备收集的大量数据，包括原始的日志、事件等数据，及经过分析处理后的安全事件等。智能化分析处理基于安全运行中心（Security Operation Center，SOC）、日志审计以及入侵检测等系统服务，在安全大数据中主动分析排查故障、挖掘发现终端和网络异常，在动态调整驱动引擎的推动下自动生成安全防护调整策略，用于辅助安全防护动态调整配置。调整成功后利用调整效果评估模型进行评估，将对评估有效的处置规则添加到防护预案库，进一步提升系统的智能调整能力。

3 安全防护功能动态重组

3.1 动态重组原理

安全防护功能动态重组将现有安全技术软件化、安全服务化以及功能原子化，通过对物理及虚拟的网络安全设备/系统的部署方式、实现功能进行解耦。控制层面由安全容器实现，顶层统一通过软件编程的方式形成安全防护功能资源池，为实现智能化、自动化的安全防护功能编排和重组提供支撑。安全防护功能重组原理如图3所示。

将控制层面和功能实现层面分离，控制层面利用安全容器实现加载、运行，功能层面实现具体的防护能力，其中原子安全防护功能是可独立运行、不可再分的安全防护功能。它的功能实现主要包括功能定义描述、对控制接口的系统调用、原子安全防护功能之间的信息交互、数据资源使用与管理维护、原子安全防护功能的管理配置、运行时与管控之间的事件交互以及自身运行状态的监控。

3.2 实施机制

面对安全威胁，动态选取合理的原子安全防控功能进行重组，其中实施有效调整是重组机制的核心内容。本文提出采用基于安全特征词加权的威胁特征与安全防控功能相似度分析技术手段。首先，采用分类算法，根据威胁特征，对解决方案库中的解决方案进行分类。其次，分别从解决方案分类中获取安全特征词的权重。再次，采用余弦相似度分析，加入安全特征词权重，将安全威胁特征与原子安全防护功能的描述、解决方案库中安全威胁特征进行相似度分析。最后，当安全威胁特征与原子安全防护功能的描述相似度大于某个阈值（如0.7）时，则该原子安全防护功能被选择；当安全威胁特征与解决方案库中安全威胁特征相似度大于某个阈值（0.9）时，则该解决方案中的所有原子安全防护功能被选择。

4 安全防护服务集成

4.1 服务集成框架

安全防护服务集成采用安全防护软件构件化、服务化思路，从服务集成、数据集成以及信息传输集成等多个层面为各类安全防护服务提供集成规范和集成接口，从而实现安全防护服务的无缝集成和即插即用。安全防护服务集成如图4所示。

4.2 安全服务类型

安全防护服务集成包含服务管理、服务集成、数据集成、信息传输集成、服务提供与集成界面管理和内置安全防护服务等6部分。

（1）服务管理提供服务加载/卸载、服务信息编辑、服务启用/停用、服务状态监控、用户权限管理和服务日志管理等安全防护服务管理功能。

（2）服务集成包含服务注册、服务封装和服务组合。通过服务注册录入安全防护服务资源中的原始服务。通过对原始服务的封装构建原子服务，并以原子服务为基础，实现对不同的服务进行组合。

（3）数据集成包含数据存储、数据访问等功能的集成。

（4）信息传输集成包含服务之间进行数据交换的平台及数据格式转换功能，其中数据交换平台提供订阅/发布、P2P、请求/响应等多种模式的数据交换机制。消息格式转换可修改当前消息格式和消息内容。

（5）服务提供与集成管理界面，一方面向各类安全容器（如终端安全容器、网络防控容器、云安全容器等）推送安全防护服务，另一方面为安全管理员提供服务集成和服务管理的操作界面。

（6）内置安全防护服务包含身份认证、授权访问、安全管理、漏洞补丁、攻击分析和日志审计等基础安全防护服务。

各类需集成的外部安全防护服务基于服务集成规范进行服务注册和服务封装，基于数据集成规范进行数据的存储和访问，基于信息传输集成规范实现与其他服务之间的消息传输。

5 安全防护功能载荷

安全防护功能载荷主要实现端安全防护功能载荷、网络安全防护功能载荷、云安全防护功能载荷和安全防护功能载荷自身安全防护等。

5.1 端安全防护功能分析

端安全防护功能可细分为多种类型，功能分类如表1所示。

表1 端安全防护功能分类

不同的安全防护功能在操作系统上工作的层次也不相同，有的主要工作在操作系统核心态，有的工作在操作系统用户态。载荷化封装信息主要包含运行操作系统、特殊文件存放以及运行顺序要求等。工作在Window操作系统的载荷还需要注册表键值、操作系统是否重启和驱动签名3项信息。工作在Linux操作系统的载荷还需要内核模块名称和操作系统是否重启2项信息。

5.2 网络安全防护功能分析

网路安全防护功能大致可划分为安全网关类、安全检测类和安全路由类3种。

安全网关类产品的核心是网络访问控制（包过滤），包括五元组访问控制和应用协议访问控制。根据应用场景的不同，以网络访问控制为基础演化出多种形态的产品，如网络防护墙、Web应用防火墙（Web Application Firewall，WAF）以及隔离网闸等。

安全检测类产品的核心是特征匹配和深度分析。深度分析可分为恶意代码分析、安全威胁分析和关键信息分析。这些通常需要进行多包组合还原，资源消耗较大，且分析时间较长，产品形态多见于在一块专用板卡上或者在硬件设备之外搭建一套管理中心（分析服务器）。因此，深度分析软件可纳入安全防护服务范畴，由安全防护服务集成机制实现。特征匹配主要采用正则表达式方式匹配网络数据包。部分产品还实现了应用协议解析、还原，对应用数据进行匹配，以实现更强的检测能力。

安全路由类产品以传统路由交换产品为基础发展，主要在接入认证方面发力，以构建可信网络为目标。该类产品常常与分析决策中心配套作为决策点，执行各类安全防护操作，如思科的可信产品。

网络安全防护功能在系统的内核态和用户态均有相应的软件，而内核态软件改变通常需要重新启动系统，同时要考虑多板卡的要素。因此，网络安全防护功能封装信息需要包括运行操作系统、特殊文件存放、运行顺序要求、运行板卡要求、内核模块名称以及操作系统是否重启等。