（廈門安勝網(wǎng)絡(luò)科技有限公司 福建 361000）

1 網(wǎng)絡(luò)安全發(fā)展概述

網(wǎng)絡(luò)安全源自網(wǎng)絡(luò)通信的保密安全，隨著通信網(wǎng)絡(luò)及其安全需求的發(fā)展而發(fā)展，其有著自身的發(fā)展軌跡。網(wǎng)絡(luò)安全的發(fā)展經(jīng)歷了幾個階段：

第一個階段：只有信息加密或信息保密，通過對信息的“移位”或“替代”等密碼算法來加密原始信息，保證信息數(shù)據(jù)的機(jī)密性。

第二個階段：已經(jīng)出現(xiàn)了計(jì)算機(jī)和網(wǎng)絡(luò)。伴隨著計(jì)算機(jī)及網(wǎng)絡(luò)應(yīng)用的發(fā)展，產(chǎn)生了早期的黑客，他們通過計(jì)算機(jī)語言編寫完成特定功能的程序代碼，并發(fā)布到網(wǎng)絡(luò)中。

第三個階段：這一時期的黑客逐漸形成了黑客產(chǎn)業(yè)鏈，通過入侵網(wǎng)絡(luò)或個人計(jì)算機(jī)系統(tǒng)破壞，牟取經(jīng)濟(jì)利益。

第四個階段：針對互聯(lián)網(wǎng)等多種網(wǎng)絡(luò)信息系統(tǒng)設(shè)計(jì)產(chǎn)生了入侵檢測、防火墻等多種網(wǎng)絡(luò)安全技術(shù)及產(chǎn)品，這些產(chǎn)品有效地減輕了網(wǎng)絡(luò)攻擊帶來的安全威脅，為網(wǎng)絡(luò)提供了更加安全可靠的保障。

2 網(wǎng)絡(luò)安全的實(shí)踐

2.1 基于人工智能技術(shù)實(shí)現(xiàn)威脅檢測

2.1.1 實(shí)現(xiàn)DGA域名檢測

DGA是一種利用隨機(jī)字符來生成C&C域名，從而逃避域名黑名單檢測的技術(shù)手段。攻擊者常常會使用域名將惡意程序連接至C&C服務(wù)器，從而達(dá)到操控受害者機(jī)器的目的。在DGA 檢測中，主要分為三個步驟：

（1）域名分析：一個完整的域名由兩個或者兩個以上部分組成，至少包含一個頂級域名和一個二級域名。我們對由隨機(jī)算法生成的DGA域名進(jìn)行進(jìn)行特征提取。

（2）域名詞袋處理：我們引入詞袋模型對域名進(jìn)行處理，構(gòu)建適合BiLSTM神經(jīng)網(wǎng)絡(luò)的輸入數(shù)據(jù)。

（3）雙向LSTM神經(jīng)網(wǎng)絡(luò)算法：BiLSTM 同時考慮了過去和未來的特征，使用兩個LSTM，一個正向輸入序列，一個反向輸入序列，再將兩者的輸出結(jié)合起來作為最終的結(jié)果。

通過深度學(xué)習(xí)對DGA的智能檢測，找到C&C服務(wù)器，進(jìn)而解決僵尸網(wǎng)絡(luò)威脅的發(fā)現(xiàn)場景，為溯源取證提供依據(jù)。

2.1.2 實(shí)現(xiàn)基因圖譜檢測技術(shù)

通過結(jié)合圖像文理分析技術(shù)與惡意代碼變種檢測技術(shù)，將可疑文件的二進(jìn)制代碼映射為無法壓縮的灰階圖片，與已有的惡意代碼基因庫圖片進(jìn)行相似度匹配，根據(jù)相似程度判斷是否為威脅變種。主要分為如下5個步驟：

（1）將惡意代碼映射為灰度圖像，并提取其灰度圖像特征。

（2）利用惡意代碼灰度圖像特征進(jìn)行聚類，并將聚類結(jié)果進(jìn)行惡意代碼家族標(biāo)注。

（3）建立CNN(卷積神經(jīng)元網(wǎng)絡(luò))模型，并設(shè)置網(wǎng)絡(luò)結(jié)構(gòu)參數(shù)和訓(xùn)練參數(shù)。

（4）利用惡意代碼家族灰度圖像集合訓(xùn)練卷積神經(jīng)元網(wǎng)絡(luò)，并建立檢測模型。

（5）最后我們利用檢測模型對惡意代碼及其變種進(jìn)行家族檢測。

2.1.3 實(shí)現(xiàn)惡意外聯(lián)檢測

攻擊者為控制遠(yuǎn)程的受害主機(jī)，必定有一個和被控主機(jī)的連接過程，一般是通過在被控主機(jī)中植入后門等手段，由受控主機(jī)主動發(fā)出連接請求。該連接產(chǎn)生的流量就是惡意外聯(lián)流量。

可以基于機(jī)器學(xué)習(xí)實(shí)現(xiàn)http 惡意外聯(lián)流量的檢測，分為5個步驟：

（1）提取請求頭字段：將http 流量劃分為url、url參數(shù)，user-agent、host 等結(jié)構(gòu)化字段。

（2）泛化：同一家族的惡意流量結(jié)構(gòu)一致，但是有部分具體細(xì)節(jié)不同。通過泛化取消它們的差異性部分并將兩個url的結(jié)構(gòu)特征得以保留。

（3）相識度計(jì)算：評估每個字段的特異性，字段內(nèi)容特異性越高，則其惡意特征越明顯，相應(yīng)的就應(yīng)該賦予更高權(quán)重。

（4）層次聚類：利用層次聚類算法將請求頭劃分為若干類。每一類中的請求頭都具有相似的結(jié)構(gòu)，用于后續(xù)生成惡意流量模板。

（5）生成模版檢測：聚類后的每一類，都是結(jié)構(gòu)和內(nèi)容相似的惡意流量。對其中的每個參數(shù)都作為檢測模版中的值，以此生成模版用于實(shí)現(xiàn)威脅的檢測。

2.2 基于大數(shù)據(jù)技術(shù)實(shí)現(xiàn)追蹤溯源

利用人工智能技術(shù)快速檢測威脅識別異常，再結(jié)合大數(shù)據(jù)日常收集的人、地、事、物、組織等行為特征進(jìn)行關(guān)聯(lián)碰撞分析，可減少安全操作小組的工作量，從海量的日志里篩選出可疑威脅情報數(shù)據(jù)。如能有效地碰撞出異常，網(wǎng)絡(luò)和安全操作人員將會進(jìn)一步進(jìn)行人工研判，去獲取真實(shí)的態(tài)勢感知。

2.2.1 事前感知

通過掃描搜集企業(yè)、單位或個人的流量信息，從中篩選出經(jīng)常有使用相關(guān)的工具軟件做一些掃描、下載等疑似黑客行為的特征，建立相關(guān)的疑似黑客畫像庫。這樣當(dāng)企業(yè)、單位或個人的網(wǎng)站被攻擊時，如果黑客畫像庫的黑客有發(fā)現(xiàn)異常行為時，就可以觸發(fā)疑似發(fā)現(xiàn)攻擊者預(yù)警。還可提取已經(jīng)發(fā)生的歷史攻擊事件的特征，建立事件預(yù)測模型，對企業(yè)、單位或個人全量數(shù)據(jù)進(jìn)行預(yù)測，對預(yù)測結(jié)果判定為潛在可能成為事件的進(jìn)行預(yù)警，預(yù)警按照事件發(fā)生的可能性排序，通過人工鑒別預(yù)警結(jié)果。

2.2.2 事中響應(yīng)

（1）可以在企業(yè)、單位或個人的服務(wù)器上放置一些高誘惑性的文件，當(dāng)對方嘗試去查看或獲取資源時，觸發(fā)報警，并嘗試獲取黑客的真實(shí)IP等信息。

（2）針對常見的APT攻擊的流量特征建模，實(shí)現(xiàn)例如當(dāng)發(fā)現(xiàn)某個郵箱接收郵件后，短時間內(nèi)有下載可疑文件并發(fā)起可疑請求時，觸發(fā)報警。

（3）如果系統(tǒng)有接入防火墻的控制接口，當(dāng)觸發(fā)報警時，系統(tǒng)也可以選擇設(shè)置防火墻阻斷該黑客發(fā)起的攻擊，或者引導(dǎo)該攻擊流向系統(tǒng)搭建的蜜罐系統(tǒng)。

2.2.3 事后追蹤

（1）可疑文件分析：通過web 特定頁面的訪問異常行為，判斷可疑文件并上傳進(jìn)行分析，同時結(jié)合風(fēng)險IP庫等信息資源庫積累，綜合研判。

（2）IP行為關(guān)聯(lián)性分析：獲取區(qū)域內(nèi)的IP通聯(lián)日志，通過通聯(lián)記錄與異常行為的IP進(jìn)行碰撞分析，落地到具體的可疑對象。

（3）APT 控制后門特征分析：目前很多高級黑客經(jīng)常使用自制化工具進(jìn)行相關(guān)的攻擊行為，我們可以根據(jù)工具的相關(guān)特征來判斷某些異常行為。如發(fā)包頻率的特殊性等。

3 網(wǎng)絡(luò)安全追蹤溯源新技術(shù)

3.1 網(wǎng)絡(luò)中的傳播源定位技術(shù)

現(xiàn)實(shí)生活中，定位污染源或病毒源是非常具有吸引力但同時也極具挑戰(zhàn)性的任務(wù)。而網(wǎng)絡(luò)追蹤溯源的研究則是通過在網(wǎng)絡(luò)的部分節(jié)點(diǎn)搜集感染數(shù)據(jù)，來推導(dǎo)傳播的源頭。在這一方面，人們已經(jīng)取得的一些研究成果。通過假設(shè)網(wǎng)絡(luò)中所有節(jié)點(diǎn)的狀態(tài)已知，實(shí)現(xiàn)對復(fù)雜網(wǎng)絡(luò)的可控。

通過對企業(yè)、單位或個人網(wǎng)絡(luò)中的一小部分節(jié)點(diǎn)進(jìn)行觀察和監(jiān)測，實(shí)現(xiàn)對網(wǎng)絡(luò)傳播源的定位。有研究成果顯示，只需要監(jiān)視企業(yè)、單位或個人網(wǎng)絡(luò)的10%至20%的節(jié)點(diǎn)，即能以高概率確定傳播源頭位置。

3.2 基于攻擊者知識庫的溯源技術(shù)

通過收集全球黑客信息，分析其行為模式等，構(gòu)建全球黑客信息庫。并根據(jù)信息庫提供的特征、指紋等信息與特定攻擊事件進(jìn)行匹配。若匹配成功，則能夠確定該攻擊事件由哪個攻擊者、哪個團(tuán)伙實(shí)施，從而實(shí)現(xiàn)網(wǎng)絡(luò)攻擊溯源。

基于攻擊者知識庫溯源技術(shù)的難點(diǎn)是構(gòu)建完善的攻擊者及其行為信息庫，完成特征描述與預(yù)測的方法，利用惡意軟件開發(fā)者往往會在其方案中重復(fù)使用某代碼塊的特點(diǎn)，通過研究不同惡意軟件的舊代碼，來確定不同惡意軟件的起源和種類，因此對目標(biāo)進(jìn)行追蹤溯源。

4 結(jié)束語

針對網(wǎng)絡(luò)空間攻擊行為的追蹤定位，也涌現(xiàn)出了新的思路和技術(shù)路線，可以極大豐富網(wǎng)絡(luò)空間安全及威脅防范技術(shù)手段。網(wǎng)絡(luò)威脅檢測及追蹤溯源必將得到進(jìn)一步的發(fā)展，邁向?qū)嵱没爱a(chǎn)品化的大道，為網(wǎng)絡(luò)空間安全的發(fā)展提供有力的保障。