摘要：近年来，具备国家和组织背景的APT攻击日益增多，傳统的相关网络安全技术难以满足日益严峻的网络安全形势，需要通过网络安全感知系统用于我们实际工作中的信息网络安全实时监控，满足网络攻击检测和分析的需求。本文详细论述了网络安全感知系统的相关技术以及在实践中的应用。

关键词：网络安全，安全感知

0引言

传统安全防御体系的设备和产品遍布网络2～7层的数据分析。其中，与APT攻击相关的7层设备主要是IDS、IPS、审计，而负责7层检测IDS、IPS采用经典的CIDF检测模型，该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。[1]反观APT攻击，其采用的攻击手法和技术都是未知漏洞（0day）、未知恶意代码等未知行为，在这种情况下，依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下，理论上就已无法检测APT攻击。网络安全感知系统及时发现潜藏在其网络中的安全威胁，对威胁的恶意行为实现早期的快速发现，对受害目标及攻击源头进行精准定位，对入侵途径及攻击者背景的研判与溯源，从源头上解决网络中的安全问题，尽可能地减少安全威胁对组织带来的损失。

1相关技术

（1）分析平台

分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的告警日志。其次分析平台不仅可对所有数据进行快速的处理并为检索提供支持，还能将存储的日志与威胁情报进行碰撞以及进行日志关联性分析产生告警并能在4K的屏幕上展示威胁态势，此外分析平台支持对告警进行深度分析，支持以告警字段进行狩猎分析及可视化展示，以攻击链的视角还原告警中的受害主机被攻击的整个过程。[2]分析平台承担对所有数据进行存储、预处理和检索的工作。由于传统关系型数据库在面对大量数据存储时经常出现性能不足导致查询相关数据缓慢，分析平台底层的数据检索模块采用了分布式计算和搜索引擎技术对所有数据进行处理，可通过多台设备建立集群以保证存储空间和计算能力的供应。结合全包存储系统，分析平台可以实现针对精确告警的全包取证分析和自定义数据包分析能力。

（2）流量传感器

传感器主要负责对网络流量的镜像流量进行采集并还原，还原后的流量日志会加密传输给分析平台，流量镜像中的PE和非PE文件还原后则加密传输给文件威胁鉴定器进行检测。传感器通过对网络流量进行解码还原出真实流量，提取网络层、传输层和应用层的头部信息，甚至是重要负载信息，这些信息将通过加密通道传送到分析平台进行统一处理。传感器中应用的自主知识产权的协议分析模块，可以在IPv4/IPv6网络环境下，支持HTTP（网页）、SMTP/POP3（邮件）等主流协议的高性能分析。

同时，传感器内置的威胁检测引擎，可检测多种网络协议中的攻击行为，提供网页漏洞利用、webshell上传、网络攻击、威胁情报多种维度的告警展示，可检测如网络应用、木马、广告、exploit等多种网络攻击行为，也可检测如sql注入、跨站、webshell、命令执行、文件包含等多种web攻击行为，内置的webshell沙箱和webshell机器学习模块可以精准检测php、asp、jsp等后门并记录相关信息[3]，拥有威胁情报实时匹配能力，能发现恶意软件、APT事件等威胁，产生的多种告警都会加密，并传输给分析平台进行统一分析管理。

（3）文件威胁鉴定器

文件威胁鉴定器主要负责对传感器、手动提交、FTP、SMB、URL等多数据来源通道的样本进行检测。整个检测过程中文件进行威胁情报匹配、沙箱检测、静态检测与动态检测等多种检测，及时发现有恶意行为的文件并告警，告警日志可传给分析平台供统一分析。通过文件威胁鉴定器对文件进行高级威胁检测，文件威胁鉴定器可以接收还原自传感器的大量PE和非PE文件，使用静态检测、动态检测、沙箱检测等一系列无签名检测方式发现传统安全设备无法发现的高级威胁，并将威胁相关情况以报告行为提供给安全管理人员。文件威胁鉴定器上的相关告警也可发送至分析平台实现告警的统一管理和后续的进一步分析。[1]

2功能作用

（1）响应处置

威胁处置能力在信息安全建设中具有重要作用，系统为完善威胁分析后续的处置闭环，引入了响应处置能力，以模块化形式在系统内置了一套自动化编排响应模型，通过标准的API/openc2接口与处置设备联动，连接畅通的情况下支持自动/手动方式的响应指令下发。主要实现的功能是根据告警信息对相应的设备构建完整的响应处置工作流进行联动与处置，实现安全设备间的协同防御。

根据不同使用场景，系统响应处置模块提供不同级别的处置手段，主要包括以下场景：

加白名单：针对判定为误报的告警数据，支持以添加白名单形式进行处理，后续产生的告警将不再通知给用户，降低误告警数量，提升事件处置的效率。

深度分析：基于SOAR的自动化处置编排能力，响应处置模块结合各类告警和日志进行攻防场景的深度分析，提炼高价值告警和威胁溯源分析拓线，并将分析结果回注系统生成新的告警。

联动处置：通过接口与处置设备联动，支持自动/手动方式的响应指令下发，实现对威胁事件的处置动作。

（2）恶意代码检测

基于人工智能的杀毒引擎，依靠海量数据挖掘、引入机器智能学习算法，[3]能够有效准确识别未知恶意软件，能够根据已知的正常软件和恶意软件的大量样本，通过数据挖掘找出两类软件最具有区分度的特征，建立机器学习模型，使用机器学习算法，得到恶意软件的识别模型。通过获得的模型对未知程序进行分析判断，即可获得软件的恶意概率，从而在可控的误报率之下尽可能多的发现恶意程序。

（3）动态沙箱检测

动态沙箱引擎采用基于硬件模拟的虚拟化动态分析技术，对APT攻击的核心环节“恶意代码植入”进行检测，这种利用对恶意代码的行为进行动态分析的方法，可以避免因为无法提前获得未知恶意代码特征而漏检的问题，[1]亦即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测，因为未知恶意代码是APT攻击的核心步骤，因此对未知恶意代码样本的有效检测，可以有效解决APT攻击过程的检测问题。[1]

安全感知系统最大特点在于：将会提供了非常丰富的沙箱环境，这种规模化的沙箱环境可以有效保障每种待检测的文件样本都有其适合打开、运行的沙箱环境，同时采用了高级优化技术，可以有效降低样本文件在沙箱之中打开、运行过程中的内存资源消耗、CPU资源消耗，可以以最小的资源消耗、最快的速度得出准确的检测结果。

安全感知系统需要模拟沙箱环境包括：PDF沙箱、Word沙箱、浏览器沙箱、邮件沙箱、图片沙箱等。同时，借助于安全感知系统的多核平台，安全感知系统中的各种规模化沙箱可以绑定在处理器的物理核心上进行快速运行，这种进程与处理器绑定的方式可以有效降低进程在处理器的不同处理核心上切换所带来的资源开销，降低并发检测线程之间的资源竞争，有效提高资源利用率。

3实践意义

（1）解决对未知威胁检测和行为分析的问题

传统的APT防护技术专注于从自身流量和数据中通过沙箱或关联分析等手段发现威胁。由于攻击者的逃逸水平也在不断的进步发展，本地设备会经常性的出现误报和漏报现象，经常需要人工的二次分析进行筛选。同时因APT攻击的复杂性和背景的特殊性，仅依赖于单一的数据经常无法有效的发现APT攻击背景，难以做到真正的追踪溯源。[5]

安全感知系统创新性的从互联网数据进行发掘和分析，用威胁情报的形式对各种攻击中常出现的特点和背景信息进行记录和传输，所以从互联网进行挖掘攻击线索可极大提升未知威胁和APT攻击的检出效率。基于广阔的数据覆盖面，系统的威胁检测和行为分析有了足够的数据基础，可以做到更精準的攻击溯源，极大程度上解决了对未知威胁检测和行为分析的难题。

（2）解决网络流量数据实时采集、分析、存储及回溯的难题

传统的安全事件分析思路是遍历各个安全设备的告警日志，尝试找出其中的关联关系。但在实战过程中，尤其是攻击者采用某些手段进行证据销毁工作后，依靠传统的分析方式、传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测。而且，通常情况下存在以下难点，一方面是存储不方便，每天产生的全流量数据会占用过多的存储空间，另一方面是全流量数据包含了结构化数据、非结构化数据及多种格式的数据，无法直接进行格式化检索，安全人员也就无法从海量的数据中找到有价值的信息。

换个角度来看攻防实战，真相往往隐藏在网络的流量中，安全感知系统采用网络流量实时采集的思路，可以实现基于流量的威胁行为的实时采集与分析，有效解决了未知威胁的发现难题。配套的全包存储组件，能提供灵活的存储能力扩展，能对网络原始数据进行全流量完整保存，能对外秒级提取海量历史流量，还原网络事件发生时的全部网络通讯内容，实现数据包级的数据取证和责任判定，在解决海量数据全包存储的同时保证了威胁事件溯源的及时性与准确性。从综合的维度上解决了网络流量数据实时采集、分析、存储及回溯的难题。

（3）解决未知恶意文件检测的问题

目前传统的文件检测大多使用基于签名特征库匹配的机制，面对恶意代码的复杂性和多样性，传统的静态检测技术体现出了局限性，已无法完全检测新出现的恶意代码。

为解决此问题，安全感知系统通过静态检测和动态检测相结合的形式，通过动态执行对文件进行细粒度的行为检测，能够从行为层面进行细致分析，精准全面分析文件属性，解决用户对未知恶意文件检测的需求。

4结论

安全的对抗是动态的过程，业务在发展，网络在变化，技术在革新，人员在更替，网络安全绝不是一劳永逸的工作。在实战攻防对抗中，监测分析是防范攻击行为的主要方式，在第一时间发现攻击行为，可为应对提供及时支撑、为响应处置争取充足时间，安全感知系统必将发挥越来越重要的作用。

参考文献

[1]徐影.面向大型企业信息安全建设的虚拟化威胁感知技术.电信科学期刊.2016年

[2]钟煜明.网络安全分析中的大数据综合研究.现代信息科技期刊.2020年

[3]赵梦.基于大数据环境的网络安全态势感知.信息网络安全期刊.2016年

作者简介

林秀明，女，汉，1982年6月生，福建莆田人，硕士，高级工程师，研究方向：信息安全。