網絡安全中的實體異常行為分析技術
摘 要:
基于威脅情報的網絡安全監測預警體系在原有能力的基礎上,建立網絡空間威脅的“情報檔案庫”,一方面,利用情報全網共享機制達到“一點發現問題,全網風險屏蔽”的防御效果,利用情報庫的關聯分析機制增強網絡威脅的趨勢預測,解決由于局部區域的分析檢測能力不足導致的“看不見”“看不準”“研判不明”的問題;另一方面,監測預警體系數據經過分析提煉,補充“情報檔案庫”,針對不同區域、不同時間的數據關聯分析,持續地形成具有專業特色的 “新威脅情報”,形成自我生長的專業威脅情報生態環境,迭代反哺網絡安全監測預警體系,以應對復雜性、規模性、衍變性日趨嚴重的網絡空間威脅。
內容目錄:
1 系統架構
2 組織運用
2.1 網絡行為分析
2.2 行為追蹤溯源
2.3 物理行為協同
2.4 關聯分析
3 關鍵技術
3.1 網絡信息實體異常行為建模技術
3.2 網絡信息實體異常行為分析技術
4 結 語
當前,安全行業開展異常行為分析檢測相關研究,一方面利用黑白名單機制、自學習的端點靜態防御技術來防御安全威脅,另一方面通過威脅情報、機器學習、異常行為分析、攻擊指示器等方式,主動發現來自外部或內部的各類安全威脅 ,為提升終端應對已知和未知惡意代碼攻擊的能力,以及在發生安全威脅之后的應急響應能力,提供了快速、有效的手段和方法。
國內安全企業現已快速跟進終端異常行為分析的研究和產品布局,融入端點行為監測、威脅情報、大數據安全分析等一系列檢測方法,可實時檢測用戶端點的異常行為和漏洞,通過與威脅情報對比,能夠及時發現威脅,做出木馬隔離和漏洞修補的安全響應。
隨著信息系統的迅速發展,網絡規模日漸龐大,用戶需求不斷增加,導致業務應用系統日益復雜。而網絡安全事件的層出不窮,也使得信息系統面臨著越來越嚴峻的安全形勢,僅依靠安全防御檢測手段已無法滿足信息系統的安全需求。實體異常行為分析作為審計分析、威脅分析的重要補充,通過對網絡行為數據的深層融合、關聯分析等處理,實現從各實體上動態反映網絡安全狀況,從而為增強網絡安全性提供可靠的參照依據。
1
系統架構
網絡信息實體異常行為分析研究需要立足信息網絡現實狀況,以解決實際問題為研究目標,針對網絡實體異常行為檢測分析存在的缺陷與短板,整合相關數據挖掘分析、安全防護技術,提出網絡實體異常行為分析的技術方案與實現方法,提升網絡實體防護安全性,降低潛在安全風險。
從網絡安全防護系統中獲取用戶、設備等網絡實體的操作行為日志數據,采用基于大數據關聯分析、聚類分析等技術,結合行為樣本、分析規則等對網絡行為及其合理性展開分析,實現對用戶異常行為的預警,能夠對重點人員、資源等進行監控。結合用戶認證類系統日志,實現對用戶、終端、應用的網絡行為監控、異常行為分析和責任認定,保障網絡信息實體及網絡的可靠運行。
系統采用“數據存儲—數據分析—數據呈現”3 層架構,系統架構如圖 1 所示。
圖 1 系統架構
數據存儲層負責接收安全數據引接系統采集的安全數據,數據對象來源包括身份管理系統、統一認證系統、終端安全防護系統、防病毒系統、漏洞掃描系統、網絡流量采集系統等,數據內容涵蓋用戶行為數據、設備行為數據、軟件行為數據、網絡行為數據、服務行為數據等。同時提供信任數據分布式存儲功能,保證數據的不可抵賴和不可篡改。
數據分析層通過日志數據抽取,構建各類網絡信息實體分析引擎,開展實時分析和歷史數據分析,分析用戶違規行為,給出網絡安全事件,同時對網絡安全事件進行追蹤溯源和影響性分析。
數據呈現層提供安全保密事件展示、告警提醒、運行報表、數據分析結果展示、追蹤結果呈現、影響范圍展示、日志記錄查詢分析等功能,并提供用戶操作界面,提供信任審計分析與追責功能。
2
組織運用
組織運用主要包括網絡行為分析、行為追蹤溯源、物理行為協同和關聯分析 4 部分內容。
2.1 網絡行為分析
在系統中,各類業務進行的工作越來越復雜,為了保護系統的安全,方便監控系統運行狀況,查看日志并進行分析已經成為一個重要手段。管理員可以查看在某時間段內所發生的事件,也可以通過對各種日志進行分析輔助安全保密管理工作。由于日志具有數據量大、可讀性弱的特點,如果僅憑借管理員查看日志記錄的手段,其中所蘊含的有用信息也難以發現。將數據挖掘技術應用于日志分析是一個關鍵技術,能夠關聯多種類型的日志事件,綜合分析,依據事先設定的規則進行匹配,達到及時提醒和告警的效果,減輕管理人員的分析負擔。事件分析與告警如圖 2 所示。
圖 2 事件分析與告警
日志事件分析負責對篩選后的待審計信息結合審計規則、違規行為知識庫進行分析,從中發現異常和違規行為,為采取相應安全措施提供依據。
該流程可應用于重保任務和重點監控方向的信任行為的實時監控,通過設置重保區域、對象、智能分析引擎來完成。管理員事先設置關注人員、關注設備、關注行為和告警閾值,在事件發生時首先判斷事件行為特征是否與違規行為知識庫中的行為特征相吻合,如果行為特征吻合,則生成告警,提示管理員進行處置;如果行為特征不吻合,則通過判斷事件閾值是否滿足告警觸發條件,滿足則生成告警,同時提取違規事件行為特征,并添加到違規行為知識庫中。
2.2 行為追蹤溯源
對于用戶非法行為,還可以還原行為過程,從而提供該行為的“證據”。例如,網絡行為分析與責任認定系統將某個 IP 地址判定為非法事件發起源,可以追溯該 IP 曾經參與的事件詳情,如連接的目標 IP,攻擊源 IP 和目標 IP 的地址位置信息、攻擊峰值、攻擊總流量和持續時間等攻擊詳情。這些“證據”可以充分證明責任認定的準確性,為本地安全設備快速攔截非法連接,起到了極為重要的作用。
行為追蹤溯源采用終端獲取的用戶使用日志、網絡流量信息、終端行為信息作為行為溯源的依據。行為追蹤溯源組織運用流程如圖 3所示。
圖 3 行為追蹤溯源組織運用流程
首先,每個終端收集一定時間段的用戶使用日志、網絡流量信息、終端行為操作日志。其次,從收集到的信息中,提取出用戶使用日志的時間及日志種類、網絡流量信息數據包中的源地址端口和目標地址端口、終端行為信息的終端操作日志。對提取的特征分別進行時間關聯分析,地址、端口關聯分析,行為關聯分析。最后,根據關聯分析描繪出行為發生路徑,追蹤事件的發生源頭和發生過程。
2.3 物理行為協同
網絡行為分析與責任認定系統,與物理行為軌跡系統開展證據支撐、重點盯防、網絡審計 3 方面的協同工作。物理協同行為流程如圖 4所示。
圖 4 物理協同行為流程
(1)證據支撐。當網絡行為分析與責任認定系統形成責任認定證據時,僅依靠網絡空間日志證據,說服力不夠強,此時,系統通過向物理行為軌跡系統下發時間和位置信息,獲取視頻監控圖片,補充責任對象的物理行為軌跡,為事件提供不可抵賴的佐證。(2)重點盯防。當網絡行為分析與責任認定系統需要重點盯防某個區域時,須向人員物理軌跡信任分析軟件下發目標區域重點盯防任務,保障目標區域的進出及使用,識別進出使用的人員,生成非法人員進出及使用告警記錄,提醒管理員及時干預處置。(3)網絡審計。網絡行為分析與責任認定系統實時接收人員物理軌跡信任分析軟件識別的人員及其進出、經過、使用的日志記錄,留待管理員備查,以支撐系統分析用戶行為和開展責任認定。
2.4 關聯分析
通過信任數據安全采集設備獲取系統日志、安全日志、應用日志等大量日志信息,這些日志信息包含了所有網絡行為中的安全事件及其內在聯系,通過對日志數據的關聯分析可以挖掘出日志中包含的安全事件,為事件的責任認定提供事實依據。
通過定義各種類型的關聯分析規則,實現對各種日志數據的關聯分析,進而發現可能存在的安全事件,進一步提高對網絡行為的分析能力和責任認定能力。關聯分析規則定義如表 1所示。
表 1 關聯分析規則定義
3
關鍵技術
網絡信息實體異常行為基于通用分析引擎支撐,根據應用場景預先建立各種行為分析模型,提供了多種專題行為分析功能,并可根據實際需求對分析模型進行調優和新增。這類模型主要通過采集所有用戶的網絡行為原始數據,將其格式化為用戶行為描述格式,利用安全大數據分析平臺,形成適合進行數據挖掘的訓練數據集,然后采用關聯規則挖掘算法對行為模式之間的關聯特征進行分析,提取出用戶行為模式信息,根據業務需求建立不同專題的用戶行為模式庫。對于特定的用戶群可以實時采集他們的網絡行為數據,格式化處理后作為測試數據集與用戶專題行為模式庫中的正常行為模式進行比對,如發現異常行為則可對特定用戶的操作進行管理 [3]。建模流程如圖 5 所示。
圖 5 建模流程
3.1 網絡信息實體異常行為建模技術
用戶異常行為建模主要從行為主體、行為數據、異常行為模式等方面進行考慮。行為主體的原始字段主要是網際互聯協議(Internet Protocol,IP)、賬號、資源定位符(Uniform Resource Locator,URL),在業務層面可以泛化為資產、用戶、攻擊者、設備、服務器、客戶端等主體。行為數據主要考慮 IP、地理位置、時間、協議、業務操作、流量方向、流量大小等屬性,在業務層面可以泛化為特定區域訪問、特定時段訪問、登錄(成功 / 失敗)、文件傳輸、數據外發、遠程控制、加密通信等,可以通過統計生成訪問頻度、訪問時長、訪問對象數量等行為。行為異常模式主要有黑名單、基線偏離、離群行為等。例如受限區域訪問、受限時間訪問、受限賬號訪問、個體基線偏離、群組基線偏離、個體—群體基線偏離等異常模式。其原理如圖 6 所示。異常行為分析適用的典型場景如下文所述。
圖 6 異常行為分析原理
(1)賬號安全防護:賬號異地登錄、賬號的慢速暴力破解、賬號在異常時段登錄等。(2)敏感數據泄露和防護場景:利用盜取的賬號做內部數據的竊取,訪問不常訪問的數據和文件目錄,文件服務數據篡改,站點數據的拖庫行為等。(3)風險資產:通過對資產的長時間周期的持續畫像,結合資產相關聯的各種異常告警,對資產做出風險評價。(4)內部威脅和異常:傳統的邊界防護設備針對已經攻擊到內網的行為是無能為力的,利用行為分析能夠有效發現突破防線的攻擊行為,比如橫向移動、內部漫游。(5)基于告警的威脅狩獵:利用告警數據,以用戶、資產、數據為核心,以事物發展的時間線為線索進行威脅狩獵。(6)用戶自定義場景:用戶行為畫像需要契合客戶的具體業務,因此會帶來較多的定制化分析場景。
3.2 網絡信息實體異常行為分析技術
異常行為分析主要包括基線檢測、規則檢測和機器學習檢測等行為分析技術。
(1)基線檢測。基線檢測的核心是明確基線檢測的場景,如圖 7 所示。場景的實現主要考慮數據特征提取、基線模型選擇和對比模式選擇。特征提取支持提取訪問次數、通信時長、流量大小、訪問頻次、訪問序列、訪問范圍等特征。基線模型支持閾值偏離型基線、訪問序列異常基線和訪問范圍異常基線等。對比模式支持個體對比和群組對比。
圖 7 基線檢測場景
(2)規則檢測。支持基于 Flink 實時分析引擎的異常行為分析。主要以檢測規則的方式做異常行為檢測,即將一些安全檢測經驗轉化為對應的規則,例如黑白名單、閾值統計、模式匹配、關聯分析等規則,可以快速、高效地實現異常行為的檢測。
(3)機器學習檢測。相比規則檢測,機器學習檢測是一種更加智能的方式,能檢測出更多的未知威脅。例如,先使用無監督的算法,對被檢測數據進行聚類,并對形成的可疑分組進行分析調查,在得到新的檢測模型后,使用有監督的算法進行異常行為的自動檢測。常見的可疑分組是一些離群、小眾的分組或者異常點。
建立用戶行為基線,刻畫用戶正常行為基線。將用戶多維度行為拆分為一個個的維度分析,比如用戶行為可以細分為以下維度:每天幾點開機;每天使用哪些機器;每天訪問哪些應用、每小時訪問量;每小時打開文件數。對每個維度都進行模式計算,偏離一般模式即為異常。用戶行為如圖 8 所示。
圖 8 用戶行為
異常行為的判定過程如下:以部門、個人、資產、資產群等為單位,建立多維度行為基線;關聯用戶與資產的行為;用機器學習算法和預定義規則找出嚴重偏離基線的異常行為;不單純把行為分成非白即黑,而是經過概率計算輸出灰度(異常分值)。
4
結 語
在企業內部網絡中,綜合各類異常行為分析方法,能夠幫助安全運維人員從海量的運維日志中聚焦異常網絡實體,開展有針對性的安全性排查,能夠大大減輕安全人員的審計分析工作,幫助企業更好地維護網絡安全。
引用格式:劉煒 , 王邦禮 , 周萌 . 網絡安全中的實體異常行為分析技術 [J]. 信息安全與通信保密 ,2022(5):100-107.
