李坤 郝艷

（公安部第一研究所 北京市 100048）

1 概述

隨著大數(shù)據(jù)、云計算、機器學(xué)習(xí)等技術(shù)的發(fā)展，數(shù)據(jù)深度挖掘和分析以及其所帶來的自動化和智能化決策應(yīng)用在信息化和網(wǎng)絡(luò)安全領(lǐng)域迅速擴張，其中信息化設(shè)備的數(shù)量和信息化設(shè)備的種類越來越豐富和復(fù)雜導(dǎo)致給網(wǎng)絡(luò)安全的防護和監(jiān)測工作帶來巨大挑戰(zhàn)。而且如果對海量主機、網(wǎng)絡(luò)、安全等基礎(chǔ)網(wǎng)絡(luò)安全數(shù)據(jù)集中收集和存儲將帶來巨大的網(wǎng)絡(luò)帶寬、數(shù)據(jù)存儲、分析計算的壓力，大大增加網(wǎng)絡(luò)安全在整個數(shù)據(jù)中心建設(shè)的成本。邊緣計算的技術(shù)發(fā)展有效的解決的這個問題?，F(xiàn)在大型企事業(yè)單位存在網(wǎng)絡(luò)內(nèi)網(wǎng)分區(qū)分域不足等問題，內(nèi)網(wǎng)未能構(gòu)建立體化、多層次的縱深防御體系，缺少對攻擊行為的監(jiān)測、發(fā)現(xiàn)和阻斷能力，在攻擊者進入內(nèi)網(wǎng)后可以輕易進行橫向滲透和縱向滲透。而且內(nèi)網(wǎng)存在設(shè)備類型越來越多，移動設(shè)備、IOT 等類型設(shè)備逐漸接入網(wǎng)絡(luò)，更需進行內(nèi)網(wǎng)隔離，開展基于微隔離的內(nèi)網(wǎng)主機的東西向隔離，成為網(wǎng)絡(luò)安全防護的必須，傳統(tǒng)主機微隔離的配置為人工配置，耗時耗力，且靈活性不足，不能快速根據(jù)業(yè)務(wù)的調(diào)整進行匹配升級。而且網(wǎng)絡(luò)規(guī)模巨大，主機微隔離策略分析需要的數(shù)據(jù)類型包含主機日志、網(wǎng)絡(luò)流量數(shù)據(jù)等海量數(shù)據(jù)，而且需要長時間的學(xué)習(xí)時間，基于大數(shù)據(jù)、云計算技術(shù)的集中式數(shù)據(jù)處理模型因其存儲特點與傳輸帶寬限制已經(jīng)無法滿足數(shù)據(jù)處理的實時性和高效性需求。

本文研究設(shè)計了一種利用邊緣計算進行大型內(nèi)網(wǎng)的智能微隔離的技術(shù)方法。通過對大數(shù)據(jù)智能分析、邊緣計算、機器學(xué)習(xí)技術(shù)等關(guān)鍵技術(shù)的研究，構(gòu)建大型內(nèi)網(wǎng)的快速、準確、實用的網(wǎng)絡(luò)訪問控制和東西向流量的攔截能力，通過有效的智能實現(xiàn)整個內(nèi)網(wǎng)的聯(lián)動防護能力。

本文提出了一種基于邊緣計算的智能微隔離的技術(shù)方案：

（1）研究智能微隔離的技術(shù)思路，以適應(yīng)內(nèi)網(wǎng)東西向流量訪問控制的使用。

（2）設(shè)計適應(yīng)邊緣計算架構(gòu)的流量、主機、后臺的內(nèi)網(wǎng)主機防護新模型。

通過實驗測試，該方案具有較高的效率和準確率，并可以有效優(yōu)化減少云中心不必要的計算資源和數(shù)據(jù)存儲，減少存儲資源使用。

2 關(guān)鍵技術(shù)

2.1 邊緣計算技術(shù)

邊緣計算，是主要依靠數(shù)據(jù)源一側(cè)開展計算、分析、處置，構(gòu)建網(wǎng)絡(luò)、計算、存儲、應(yīng)用核心能力為一體的系統(tǒng)平臺。并滿足實時業(yè)務(wù)、應(yīng)用智能、安全與隱私保護等方面的基本需求。有效減少海量數(shù)據(jù)集中采集、處理和存儲而帶來巨大的網(wǎng)絡(luò)帶寬、數(shù)據(jù)存儲、分析計算的資源投入，在提高性能的同時大大減少成本投入。

2.2 主機防火墻技術(shù)

主機微隔離實現(xiàn)主要是通過主機內(nèi)核防火墻模塊的修改和調(diào)用實現(xiàn)，以Linux 為例，通過調(diào)用Linux 的內(nèi)核的netfiter 框架實現(xiàn)，netfilter 的通用框架不依賴于具體的協(xié)議，而是為每種網(wǎng)絡(luò)協(xié)議定義一套鉤子函數(shù)。這些鉤子函數(shù)在數(shù)據(jù)包經(jīng)過協(xié)議棧的幾個關(guān)鍵點時被調(diào)用，對于每種網(wǎng)絡(luò)協(xié)議定義的鉤子函數(shù)，任何內(nèi)核模塊可以對每種協(xié)議的一個或多個鉤子函數(shù)進行注冊，實現(xiàn)掛接。這樣當某個數(shù)據(jù)包被傳遞給netfilter 框架時，內(nèi)核能檢測到是否有有關(guān)模塊對該協(xié)議和鉤子函數(shù)進行了注冊，如發(fā)現(xiàn)注冊信息則調(diào)用該模塊在注冊時使用的回調(diào)函數(shù)，然后對應(yīng)模塊去檢查、修改、丟棄該數(shù)據(jù)包及指示netfilter 將該數(shù)據(jù)包傳入用戶空間的隊列。鉤子函數(shù)提供了一種方便的機制，以便在數(shù)據(jù)包通過Linux 內(nèi)核的不同位置上截獲和操作處理數(shù)據(jù)包

3 技術(shù)研究

3.1 主機性能監(jiān)控

主機性能監(jiān)控，主要通過在業(yè)務(wù)主機上安裝客戶端進行CPU、內(nèi)存、硬盤、進程、網(wǎng)絡(luò)帶寬占用率等方面的監(jiān)控，客戶端持續(xù)監(jiān)測主機性能，形成主機監(jiān)控畫像，刻畫主機應(yīng)用性能損耗的平均值和最大值，以遍合理調(diào)用合適的業(yè)務(wù)節(jié)點進行基于邊緣計算的網(wǎng)絡(luò)安全數(shù)據(jù)的采集和分析，并避免對業(yè)務(wù)產(chǎn)生影響。

3.2 大數(shù)據(jù)分析

通過邊緣分析對海量數(shù)據(jù)進行采集、清洗和分析，形成各個設(shè)備的數(shù)據(jù)“寬表”，刻畫網(wǎng)絡(luò)設(shè)備正常的網(wǎng)絡(luò)行為態(tài)勢和軌跡。后臺管理系統(tǒng)可以根據(jù)各個主機刻畫出的主機流量和網(wǎng)絡(luò)行為畫像，構(gòu)建一套對所有主機流量的畫像，形成全網(wǎng)主機的流量行為動態(tài)地圖。為了提升數(shù)據(jù)分析的準確度和時效性，內(nèi)置了三種處理算法，分別為自動聚合決策、順序優(yōu)先匹配及加權(quán)優(yōu)先匹配。自動聚合算法無需手動配置干預(yù)，它會根據(jù)設(shè)備端接收的數(shù)據(jù)量、頻次及范圍等維度，精確歸納數(shù)據(jù)類型，消除噪音數(shù)據(jù)；順序優(yōu)先匹配算法則按照添加次序自然匹配，具備相對敏捷的處理時效；加權(quán)優(yōu)先匹配算法提供了更開放的操作范圍，可依據(jù)實際情況對可用情報源進行權(quán)值調(diào)整，具備足夠的靈活性。

3.3 主機行為畫像

通過主機客戶端對主機網(wǎng)絡(luò)行為進行畫像，主要監(jiān)測業(yè)務(wù)主機主要通信的主機和進程，通過調(diào)用系統(tǒng)網(wǎng)絡(luò)驅(qū)動組件，刻畫出主機的業(yè)務(wù)的網(wǎng)絡(luò)行為，和一個時間段內(nèi)的主機網(wǎng)絡(luò)行為，比如網(wǎng)絡(luò)通信的目的IP、網(wǎng)絡(luò)通信端口、流量大小、通信時間段、誰主動發(fā)起等。

3.4 私有協(xié)議加密通信

客戶端和管理平臺之間的管理流量和數(shù)據(jù)報送流量，都非常敏感，我們計劃采用封裝在UDP 下的私有協(xié)議加密流量進行傳輸通信，采用SM4 國密算法進行加密。

邊緣網(wǎng)絡(luò)高度動態(tài)靈活的環(huán)境使網(wǎng)絡(luò)更易受到攻擊。傳統(tǒng)的網(wǎng)絡(luò)攻擊對邊緣網(wǎng)絡(luò)的攻擊雖不會像對核心網(wǎng)絡(luò)的攻擊那樣造成大范圍的危害，但仍會造成整體環(huán)境的不穩(wěn)定性，進而影響正常的網(wǎng)絡(luò)服務(wù)。

3.5 分布式加密存儲

通過主機性能監(jiān)控發(fā)現(xiàn)部分主機的存儲進行判斷，針對利用率不高的主機進行分布式存儲，采用多副本備份防止節(jié)點數(shù)據(jù)丟失。由于邊緣計算的分布式部署特點，邊緣計算中的數(shù)據(jù)防泄漏成為防護的重點。特別是保障某個邊緣節(jié)點被攻破后，存儲的敏感信息不會泄露。

在節(jié)點上存儲的內(nèi)容采用SM 國密算法加密，本機加密秘鑰動態(tài)變化，且不在宿主機上存儲。

3.6 數(shù)據(jù)完整性保護

分布式數(shù)據(jù)的完整性和準確性是正確數(shù)據(jù)分析的關(guān)鍵，數(shù)據(jù)完整性保護技術(shù)在對數(shù)據(jù)進行外包、控制權(quán)移交、格式轉(zhuǎn)換等操作之前，最先進行的是對數(shù)據(jù)的完整性校驗；其次，數(shù)據(jù)在存儲或傳輸過程中，也可能會被惡意或偶然修改、刪除、偽造等；此外，邊緣計算的基礎(chǔ)設(shè)施多位于網(wǎng)絡(luò)邊緣，缺少可供數(shù)據(jù)備份、恢復(fù)的存儲資源，也缺乏有效的審計措施，攻擊者可能修改或刪除用戶在邊緣節(jié)點上的數(shù)據(jù)來銷毀某些證據(jù)。根據(jù)邊緣計算架構(gòu)的特點，采用數(shù)字簽名技術(shù)可以有效保證數(shù)據(jù)完整性。采用SM3 離散算法能夠驗證數(shù)據(jù)的可靠性與完整性。

3.7 網(wǎng)絡(luò)流量分析

針對部分主機沒有在內(nèi)網(wǎng)安裝客戶端，無法從該主機監(jiān)測網(wǎng)絡(luò)行為，則采用網(wǎng)絡(luò)流量分析設(shè)備對內(nèi)網(wǎng)流量行為進行采集，并通過網(wǎng)絡(luò)流量分析設(shè)備進行行為分析，壓縮數(shù)據(jù)大小，發(fā)送給后臺管理系統(tǒng)，可以發(fā)現(xiàn)哪些設(shè)備未安裝客戶端，也方便對未安裝客戶端的設(shè)備進行東西向流量的訪問控制。

3.8 可視化展示

需自帶可視化統(tǒng)計分析模塊，通過網(wǎng)絡(luò)態(tài)勢地圖，可對網(wǎng)絡(luò)通信的更新狀態(tài)、策略分布情況及阻斷態(tài)勢進行直觀的全局展示；通過攔截信息和網(wǎng)絡(luò)流量統(tǒng)計信息，可快速定位當前網(wǎng)絡(luò)的主要風(fēng)險點，以便用戶準確掌握安全態(tài)勢。

4 總體設(shè)計

基于邊緣計算的智能主機微隔離系統(tǒng)設(shè)計構(gòu)建主要包含三個部分，一個是管理后臺、主機客戶端以及流量鏡像分析設(shè)備。

因為采用的是“邊緣計算”技術(shù)，后臺系統(tǒng)體量較小，主要承擔管理、策略分析下發(fā)、核心數(shù)據(jù)分析等功能，主機客戶端主要承擔數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)分析、策略執(zhí)行等方面的功能，流量分析設(shè)備主要承擔流量分析，網(wǎng)絡(luò)流量行為分析提取、網(wǎng)絡(luò)數(shù)據(jù)存儲等功能。

具體流程圖1所示。

圖1：邊緣計算的智能主機微隔離系統(tǒng)設(shè)計流程圖

4.1 管理后臺

（1）在管理后臺構(gòu)建多類數(shù)據(jù)分析引擎：

首先是聚類關(guān)聯(lián)分析引擎，聚類是針對數(shù)據(jù)的相似性和差異性將一組數(shù)據(jù)分為幾個類別。屬于同一類別的數(shù)據(jù)間的相似性很大，但不同類別之間數(shù)據(jù)的相似性很小，跨類的數(shù)據(jù)關(guān)聯(lián)性很低。關(guān)聯(lián)規(guī)則是隱藏在數(shù)據(jù)項之間的關(guān)聯(lián)或相互關(guān)系，即可以根據(jù)一個數(shù)據(jù)項的出現(xiàn)推導(dǎo)出其他數(shù)據(jù)項的出現(xiàn)。關(guān)聯(lián)規(guī)則的挖掘過程主要包括兩個階段：第一階段為從海量原始數(shù)據(jù)中找出各臺主機的網(wǎng)絡(luò)行為畫像；第二階段為從各個設(shè)備的畫像產(chǎn)生關(guān)聯(lián)規(guī)則，構(gòu)建關(guān)聯(lián)地圖。

其次是深度學(xué)習(xí)分析引擎，深度學(xué)習(xí)是機器學(xué)習(xí)中一種基于對數(shù)據(jù)進行表征學(xué)習(xí)的方法。表征學(xué)習(xí)的目標是尋求更好的表示方法并創(chuàng)建更好的模型來從大規(guī)模未標記數(shù)據(jù)中學(xué)習(xí)這些表示方法。深度學(xué)習(xí)的好處是用非監(jiān)督式或半監(jiān)督式的特征學(xué)習(xí)和分層特征提取高效算法來替代手工獲取特征通過數(shù)種深度學(xué)習(xí)框架，如深度神經(jīng)網(wǎng)絡(luò)、卷積神經(jīng)網(wǎng)絡(luò)和深度信念網(wǎng)絡(luò)和遞歸神經(jīng)網(wǎng)絡(luò)等進行數(shù)據(jù)和規(guī)則的自動去重、去雜歸納壓縮等。

最后是數(shù)理統(tǒng)計分析引擎，數(shù)理統(tǒng)計學(xué)是統(tǒng)計學(xué)的數(shù)學(xué)基礎(chǔ)，研究怎樣有效地收集、整理和分析帶有隨機性的數(shù)據(jù)，以對所考察的問題作出推斷或預(yù)測，直至為采取一定的決策和行動提供依據(jù)和建議。建立數(shù)學(xué)模型，收集整理數(shù)據(jù)，進行統(tǒng)計推斷、預(yù)測和決策。

（2）在策略執(zhí)行中，為保障準確性采用自動處置與人工研判相結(jié)合的方式以適應(yīng)不同安全防護級別的配置需求。

4.2 主機客戶端

主機客戶端主要包含資源監(jiān)控、數(shù)據(jù)分析統(tǒng)計、策略執(zhí)行三個功能。其中資源監(jiān)控主要監(jiān)控內(nèi)容至少包含服務(wù)器系統(tǒng)CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)IO 等基礎(chǔ)計算系統(tǒng)資源。并發(fā)連接數(shù)、PV 值、每秒請求數(shù)及每秒出入網(wǎng)流量等主機網(wǎng)絡(luò)資源，以便進行計算資源的調(diào)度和監(jiān)控。數(shù)據(jù)分析統(tǒng)計是對所有本機的網(wǎng)絡(luò)連接進行統(tǒng)計和學(xué)習(xí)，對本機的網(wǎng)絡(luò)行為進行基于規(guī)則的聚合。策略執(zhí)行是進行主機防火墻的規(guī)則的調(diào)配，進行訪問控制策略的實施。

4.3 網(wǎng)絡(luò)流量監(jiān)測

流量采集通過在核心交換機、核心路由器旁路部署流探針流方式實現(xiàn)，基于采集到的網(wǎng)絡(luò)流量進行初步的網(wǎng)絡(luò)流量行為識別實現(xiàn)網(wǎng)絡(luò)流量安全監(jiān)測。流探針作為主機客戶端的數(shù)據(jù)補充，將流量中的訪問關(guān)系清洗、匯總后按照規(guī)范的格式傳送到管理后臺系統(tǒng)進行集中的分類存儲、分析處理和可視化呈現(xiàn)。

5 實驗驗證

為驗證系統(tǒng)的技術(shù)可行性和效果，基于vmware vsphere 構(gòu)建虛擬化網(wǎng)絡(luò)和計算環(huán)境，具體網(wǎng)絡(luò)架構(gòu)如圖2所示。主機客戶端通過下發(fā)鉤子腳本采集網(wǎng)絡(luò)通信的IP、端口和協(xié)議，采集網(wǎng)絡(luò)信息。通過系統(tǒng)組件命令查看CPU、內(nèi)存、硬盤等信息。掌握主機情況。通過腳本進行協(xié)議撰寫提取主機情況，通過調(diào)用netfilter 框架的鉤子函數(shù)進行訪問控制策略下發(fā)。實現(xiàn)整個流程。，生成的web 服務(wù)器、數(shù)據(jù)庫服務(wù)器、辦公終端的訪問關(guān)系符合正常的業(yè)務(wù)訪問關(guān)系，實驗驗證了本技術(shù)方案的可行性。

圖2：邊緣計算的智能主機微隔離系統(tǒng)實驗環(huán)境架構(gòu)圖

6 總結(jié)與展望

主機作為網(wǎng)絡(luò)安全攻防對抗的主戰(zhàn)場，必須進行加強型防護。在主機安全和云安全領(lǐng)域加強基于邊緣計算的智能主機微隔離技術(shù)研究，在信息化高速發(fā)展，大量云數(shù)據(jù)中心網(wǎng)絡(luò)安全、數(shù)據(jù)安全重要性日趨增加的今天，必定是一個發(fā)展趨勢，但本文在數(shù)據(jù)分析引擎、整體研究架構(gòu)、行為匹配模型的研究還處于初級階段，需要人工介入較多。下一步將在機器學(xué)習(xí)方面優(yōu)化和完善，突出智能化能力構(gòu)建，形成大型內(nèi)網(wǎng)東西向流量防護的有效技術(shù)方案。