針對攻擊鏈的安全大數據多維融合分析架構和機制研究
摘 要:全面、準確地發現不同維度、不同類型安全威脅或風險之間的關聯和因果關系,準確認知攻擊鏈各類惡意行為和安全威脅或風險之間的映射關系,是智能安全分析領域的難點問題。因此,提出了針對攻擊鏈的安全大數據多維融合分析架構,規范了邏輯層次和總體框架,設計了單維融合分析、多維融合分析和迭代融合分析等運行機制,并說明了其對威脅圖譜構建和攻擊鏈復盤分析的支撐力。
0引言
近年來,利用安全大數據分析技術發現網絡攻擊鏈中的各類惡意行為及其關聯關系,逐步實現攻擊鏈的復盤分析,一直是網絡安全領域的難點問題。針對上述問題,本文提出如何構建一個層次清晰、機制完善的安全大數據融合分析架構,支持不同維度、不同類型安全數據的融合分析,通過各類安全大數據分析模型能夠發現安全威脅或風險之間的關聯和因果關系,進一步實現威脅圖譜構建和攻擊鏈復盤分析等能力。
1 相關工作
近年來,學術界和工業界提出了多種類型的網絡攻擊模型。業界一般采用攻擊鏈模型,也稱為殺傷鏈模型(Cyber-Kill-Chain)。它是一種基于網絡攻擊全生命周期的模型[1],將網絡攻擊劃分為目標偵察、武器化、交付和投遞、外部利用、安裝、命令和控制以及惡意活動7個階段[2]。
針對攻擊鏈的復盤分析,平國樓等人提出了網絡攻擊模型生命線的分析機制[3],劉文彥等人提出了針對網絡攻擊鏈的關聯分析機制[4]。但上述機制均沒有涉及安全大數據分析架構和運行機制方面的設計,未提出不同維度、不同類型安全數據的融合分析機制,也沒有提出安全大數據融合分析機制和攻擊鏈復盤分析機制的支撐關系。
2 總體模型設計
為了解決針對廣域化、復雜化、組合性網絡攻擊鏈的分析和復盤問題,本文提出了一種安全大數據多維融合分析模型。首先,從病毒木馬、系統漏洞、系統竊權、數據泄露、用戶違規行為、網絡攻擊行為以及網絡異常行為等維度進行獨立分析,發現各個維度存在的安全威脅或安全風險;其次,以此為基礎采用“終端+網絡”的雙線融合分析方法,其中終端融合分析以終端資產為主線,對上述多個維度的數據進行融合分析,全面發現多種安全威脅或安全風險在同一類型終端資產中的關聯關系;再次,網絡融合分析以網絡行為為主線,對上述多個維度的數據進行融合分析,全面發現多種安全威脅或安全風險在同一網絡行為中的關聯關系;最后,進一步分析終端資產和網絡行為中的安全威脅或安全風險之間的關聯關系,以此為基礎實現整個網絡攻擊鏈的智能化分析和復盤。安全大數據多維融合分析模型,如圖1所示。
圖1 安全大數據多維融合分析模型
對比攻擊鏈模型[5]、安全大數據融合分析模型和攻擊鏈之間的對應關系。網絡融合分析以網絡行為為主線,對網絡探測行為、網絡攻擊行為、網絡異常行為等進行融合分析,主要發現分析網絡攻擊鏈在目標偵察、武器化、交付和投遞、外部利用等步驟中的威脅特征或行為特征。終端融合分析以終端資產為主線,對包括木馬病毒、系統漏洞、系統竊權、終端數據泄露以及用戶違規行為等進行融合分析,用于發現網絡攻擊鏈在外部利用、安裝、命令和控制、惡意活動等步驟中的威脅特征或行為特征。對“終端+網絡”雙線分析結果進一步融合分析,以時間和因果關系發現各種安全威脅或風險之間的關聯關系,逐段迭代還原網絡攻擊鏈。多維融合分析模型和攻擊鏈之間的對應關系如圖2所示。
圖2 安全大數據多維融合分析模型和攻擊鏈之間的對應關系
3 總體框架設計
3.1 邏輯層次設計
為了支撐針對攻擊鏈的追蹤和復盤分析,本文有針對性地提出了安全大數據多維融合分析架構。該架構從邏輯層次上可劃分為安全數據源層、安全大數據引接層、安全大數據融合分析層、安全大數據服務層和安全大數據應用層5個層次。
3.1.1 安全數據源層和安全大數據引接層
不同維度的原始安全數據來自于不同的外部系統,如終端資產數據來自于資產測繪系統,系統漏洞數據來自于漏洞掃描系統、病毒木馬數據來自于防病毒系統。因此,需要為不同維度的原始安全數據構建獨立的引接傳輸通道,提供專用的數據抽取、數據引接、數據清洗和數據入庫機制,并提供專門的空間用于存儲通過數據標簽標識的貼源數據,實現數據資源的可回溯性。
3.1.2 安全大數據融合分析層
針對同一維度的安全數據實施分類治理。例如:終端資產數據可劃分為資產、單位、人員等類型;系統漏洞數據可劃分為網絡漏洞、應用漏洞等類型;病毒木馬數據可劃分為木馬蠕蟲、惡意代碼、可疑文件等類型。不同類型的安全數據通過數據去重、降噪和合并等數據治理處理,全面提升原始安全數據的可用性和準確性,并分別存儲不同的數據倉庫。以此為基礎,采用單維融合分析和多維融合分析兩種方式持續輸出相應的融合分析數據,同時為不同的融合分析數據構建相應的數據倉庫,實現數據資源的快速檢索和利用。
3.1.3 安全大數據服務層
安全大數據服務層負責銜接融合分析層的各個融合數據倉庫,基于統一的數據格式和服務接口構建標準化的安全數據產品,并形成統一的數據服務目錄全網發布。
3.1.4 安全大數據應用層
按需獲取各類安全數據產品,實現安全數據和安全應用的銜接,驅動安全業務應用的實施。安全大數據多維融合分析架構如圖3所示
圖3 安全大數據融合分析架構
3.2 融合分析流程
各類安全數據通過數據清洗和入庫后,采用單維融合分析、多維融合分析以及迭代融合分析3類機制逐步完成針對攻擊鏈的分析和復盤。
3.2.1 單維融合分析
單維融合分析負責對某一維度中的各類貼源安全數據進行融合分析,用于形成某一維度全面、準確的數據信息。例如:終端資產需要對資產、單位等進行融合分析;系統漏洞需要對網絡漏洞、應用漏洞等進行融合分析,形成終端資產、系統漏洞、病毒木馬、網絡行為等維度,從而全面、準確地分析數據。
3.2.2 多維融合分析
多維融合分析負責以某一主線融合多個維度安全數據進行分析,用于構建某一方面的威脅圖譜。本文以終端資產、網絡行為為主線,分別融合系統漏洞、病毒木馬等進行分析,構建終端資產內部和網絡行為關系兩類威脅圖譜。
3.2.3 迭代融合分析
迭代融合分析負責對多個威脅圖譜進行關聯分析,通過某一威脅關聯因子反向驅動單維/多維的融合分析,同時基于融合分析結果進一步發現不同威脅之間的關聯性。本文重點分析終端資產和網絡行為兩類威脅圖譜關聯性,一旦發現終端資產、網絡行為在系統漏洞、病毒木馬之間存在相關性,則以此為關聯因子再次驅動單維融合分析和多維融合分析的分析機制,或者借助歷史安全分析數據,以驗證威脅圖譜之間的關聯性,以此逐段實現攻擊鏈行為的逐段分析和復盤。
3.3 標準化設計
在安全大數據融合分析層實現融合分析數據格式和接口的標準化,確保各類數據倉庫中數據語法語義的一致性,以支撐后續的二次融合分析能力。
在安全大數據服務層實現安全數據服務格式和接口的標準化,并形成統一的數據服務目錄面向全網發布。各個安全業務系統能夠基于權限按需獲取相應的安全數據服務,并實現安全業務和安全數據之間的標準化對接。
4 運行機制設計
4.1 單維融合分析機制設計
針對終端資產、系統漏洞、木馬病毒以及網絡行為等某一維度治理后的安全數據資源,將不同類型的安全數據進行融合分析,重點解決以下方面問題。一是通過多類數據的對比、歸并和糾錯等機制,全面提升分析數據的準確性。二是增加安全數據相關的屬性信息和關聯信息,形成新的安全數據,以支持后續的進一步融合。
終端資產融合分析數據為:
系統漏洞融合分析數據為:
病毒木馬融合分析數據為:
網絡行為融合分析數據為:
4.2 多維融合分析機制設計
分別以終端資產和網絡行為為主線,融合多個維度安全數據資源進行分析。其中,以終端資產為主線,融合系統漏洞、病毒木馬等維度的安全數據,發現上述威脅在同一終端資產上的關聯關系,形成以終端資產為主線的威脅譜圖。
以網絡行為為主線,融合系統漏洞、病毒木馬等維度的安全數據,發現上述威脅在同一網絡行為上的關聯關系,形成以網絡行為為主線的威脅譜圖。
4.3 迭代融合分析機制設計
之后,對終端資產威脅圖譜、網絡行為威脅譜圖進行融合分析,以時間和因果為序對威脅圖譜進行篩選和整合,形成攻擊鏈威脅圖譜。
終端資產、網絡行為的威脅圖譜融合是一個多次迭代的過程,一旦發現不同威脅圖譜中的安全威脅或風險的相關性較弱或者存在問題,可再次運行式(5)和式(6)的分析過程,之后重新對威脅圖譜進行迭代融合分析。
5 實例分析
本文在某試驗網絡中選擇2 000個終端/服務器進行測試,通過網絡掃描系統發現各類系統漏洞數據,通過防病毒系統發現終端/服務器上的病毒木馬數據,通過網絡全息流量探針分析形成各類網絡行為,通過資產探針和資產整編系統形成終端資產數據,各個系統獨立部署、自成體系運行,并通過獨立的數據引接和傳輸通道融合到安全大數據平臺中。安全大數據平臺依據本文提出的融合分析架構進行構建,并已研制相應的安全大數據分析模型。
對一個月的數據進行融合分析,并結合安全專家的進一步分析和確認,已發現3個以上的網絡攻擊鏈,包括一個基于“永恒之藍”的網絡攻擊鏈。
6 結 語
本文從安全數據源、安全大數據引接、安全大數據融合分析、安全大數據服務以及安全大數據應用等5個層次規范了針對攻擊鏈的安全大數據多維融合分析架構,以此為基礎設計了單維融合分析、多維融合分析、迭代融合分析3類聯合的運行機制,形成基于多條主線的威脅圖譜,并通過威脅圖譜之間的因果關系分析對網絡攻擊鏈進行逐級復盤和還原。
但是,由于針對攻擊鏈的安全大數據分析模型尚處于發展階段,基于威脅圖譜的攻擊鏈分析模型和算法很少,導致本文提出的基于威脅圖譜之間因果關系分析的攻擊鏈復盤和還原機制很多步驟尚需要安全專家的人工判斷。如何在安全大數據多維融合分析架構上更好地實現威脅圖譜的關聯分析,是該架構后續研究的重點。
