關(guān)鍵詞：淺層次規(guī)則；規(guī)則模型；網(wǎng)絡(luò)威脅；元數(shù)據(jù)

中圖分類號(hào)：TP393.08；TP311.13 文獻(xiàn)標(biāo)識(shí)碼：A

0 引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全問題日益成為全球關(guān)注的焦點(diǎn)。網(wǎng)絡(luò)威脅主要包括惡意軟件、釣魚攻擊、拒絕服務(wù)攻擊等，對(duì)個(gè)人隱私、企業(yè)運(yùn)營乃至國家安全構(gòu)成了嚴(yán)重威脅。為了有效應(yīng)對(duì)這些威脅，網(wǎng)絡(luò)威脅分析技術(shù)應(yīng)運(yùn)而生，成為網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵技術(shù)之一。

在傳統(tǒng)網(wǎng)絡(luò)安全防御中，網(wǎng)絡(luò)管理者花費(fèi)了大量的資源購買防火墻、入侵檢測系統(tǒng)和防病毒軟件等網(wǎng)絡(luò)安全工具，以保障網(wǎng)絡(luò)的安全。將網(wǎng)絡(luò)安全工具的告警日志、網(wǎng)絡(luò)設(shè)備的系統(tǒng)日志作為網(wǎng)絡(luò)安全數(shù)據(jù)，按照特定條件生成關(guān)聯(lián)規(guī)則，構(gòu)建網(wǎng)絡(luò)安全事件分析模型[1]。但由于這些工具或設(shè)備產(chǎn)生的告警數(shù)據(jù)本身存在一定的誤報(bào)情況，這降低了關(guān)聯(lián)分析模型二次挖掘結(jié)論的可信度。

網(wǎng)絡(luò)威脅的多樣性和復(fù)雜性要求采用更為精細(xì)和靈活的分析方法。淺層次規(guī)則模型作為一種基于經(jīng)驗(yàn)規(guī)則的分析方法，以其實(shí)現(xiàn)簡單、響應(yīng)快速的特點(diǎn)，在網(wǎng)絡(luò)威脅分析中發(fā)揮重要作用。然而，面對(duì)不斷演變的網(wǎng)絡(luò)攻擊手段，如何進(jìn)一步提高淺層次規(guī)則模型的檢測能力和準(zhǔn)確性，成為當(dāng)前研究的重要課題。

本文旨在探討基于淺層次規(guī)則模型的網(wǎng)絡(luò)威脅分析技術(shù)，通過構(gòu)建和優(yōu)化規(guī)則集，提高對(duì)未知和已知威脅的識(shí)別能力。此外，本文還探索了如何將淺層次規(guī)則模型與其他分析技術(shù)相結(jié)合，以實(shí)現(xiàn)更全面的網(wǎng)絡(luò)安全防護(hù)。該技術(shù)可以為網(wǎng)絡(luò)威脅分析提供一種有效的技術(shù)手段，增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力，為相關(guān)領(lǐng)域的研究和實(shí)踐提供參考和指導(dǎo)。

1 基于淺層次規(guī)則模型的網(wǎng)絡(luò)威脅分析技術(shù)

淺層次規(guī)則模型是一種基于經(jīng)驗(yàn)規(guī)則的分析方法，它在網(wǎng)絡(luò)威脅分析、入侵檢測和其他網(wǎng)絡(luò)安全領(lǐng)域中得到廣泛應(yīng)用。淺層次規(guī)則模型依賴于一系列預(yù)定義的規(guī)則，識(shí)別網(wǎng)絡(luò)流量或行為并進(jìn)行分類，由于規(guī)則簡單明確，該模型通常易于實(shí)現(xiàn)和部署。該模型可以快速評(píng)估網(wǎng)絡(luò)行為是否違反了既定規(guī)則，實(shí)現(xiàn)對(duì)潛在威脅的快速響應(yīng)，并且可以根據(jù)特定環(huán)境或需求制定規(guī)則，以適應(yīng)不同的安全策略，而規(guī)則的制定通常依賴于安全專家的經(jīng)驗(yàn)和知識(shí)。

對(duì)于已知的攻擊模式和行為，通過收集大量的網(wǎng)絡(luò)攻擊事件的數(shù)據(jù)包，研究攻擊過程中網(wǎng)絡(luò)流量變化的趨勢和通聯(lián)關(guān)系，并且利用數(shù)據(jù)庫強(qiáng)大的關(guān)聯(lián)查詢能力設(shè)計(jì)結(jié)構(gòu)化查詢語言（structured querylanguage，SQL）語句的規(guī)則模型。淺層次規(guī)則模型可以有效檢測威脅，盡管其主要基于人工制定的規(guī)則，但它也可以與機(jī)器學(xué)習(xí)技術(shù)結(jié)合，以提高檢測的準(zhǔn)確性和適應(yīng)性。由于其簡單、快速的特點(diǎn)，淺層次規(guī)則模型可以適用于實(shí)時(shí)網(wǎng)絡(luò)威脅分析。

1.1 建模數(shù)據(jù)處理

以旁路方式實(shí)時(shí)采集網(wǎng)絡(luò)流量，利用數(shù)據(jù)平面開發(fā)套件（data plane development kit，DPDK）技術(shù)對(duì)網(wǎng)絡(luò)中傳輸?shù)母鞣N協(xié)議和數(shù)據(jù)包進(jìn)行解碼分析，生成元數(shù)據(jù)日志。數(shù)據(jù)清洗過濾是指數(shù)據(jù)的正篩輸出、反篩丟棄，以及利用任意規(guī)則的與或非邏輯組合過濾，甄選上層網(wǎng)絡(luò)安全威脅分析所需的元數(shù)據(jù)。網(wǎng)絡(luò)傳輸文件還原是指對(duì)超文本傳輸協(xié)議（hypertext transfer protocol，HTTP）、郵件、證書進(jìn)行還原，從而獲取傳輸?shù)奈募Ｍㄟ^數(shù)據(jù)去重、規(guī)約化處理、錯(cuò)誤數(shù)據(jù)丟棄等處理方式，對(duì)數(shù)據(jù)進(jìn)行預(yù)處理和清洗，并將數(shù)據(jù)存儲(chǔ)在高性能的列式數(shù)據(jù)庫管理系統(tǒng)ClickHouse 上。元數(shù)據(jù)是網(wǎng)絡(luò)威脅分析中最優(yōu)質(zhì)和最具性價(jià)比的數(shù)據(jù)，馬赟等[2] 利用正常情況下對(duì)網(wǎng)絡(luò)流量的理想曲線描述，并且使用統(tǒng)計(jì)學(xué)方法創(chuàng)建大規(guī)模網(wǎng)絡(luò)流量數(shù)學(xué)模型，基于網(wǎng)絡(luò)流量元數(shù)據(jù)實(shí)現(xiàn)異常流量檢測。

ClickHouse 是一個(gè)高性能的列式數(shù)據(jù)庫管理系統(tǒng)，由俄羅斯的Yandex 公司開發(fā)，被設(shè)計(jì)用于在線分析處理場景，其能夠快速處理大量的數(shù)據(jù)查詢，特別是在數(shù)據(jù)倉庫和大數(shù)據(jù)分析領(lǐng)域表現(xiàn)出色。國內(nèi)360 公司的360 態(tài)勢感知與安全運(yùn)營平臺(tái)也內(nèi)置了元數(shù)據(jù)專家分析組件，用戶直接在搜索框里輸入相關(guān)命令即可實(shí)現(xiàn)對(duì)海量日志的搜索、關(guān)聯(lián)、分析和可視化。

1.2 淺層次規(guī)則建模

通過搭建一些常見的攻擊模擬環(huán)境， 如WebShell（一種代碼執(zhí)行環(huán)境）利用、命令與控制（command and control，C&C）、木馬后門等環(huán)境，在采集攻擊模擬的網(wǎng)絡(luò)流量并提取元數(shù)據(jù)后，將解析后的元數(shù)據(jù)導(dǎo)入分析平臺(tái)進(jìn)行分析?；贒ocker（一個(gè)開源平臺(tái)）搭建了漏洞環(huán)境，其包含大部分通用漏洞，也在外網(wǎng)搭建了部分常見的黑客工具，如Empire、Cobalt Strike 等常規(guī)工具，整理、收集機(jī)器學(xué)習(xí)訓(xùn)練的攻擊流量，同時(shí)也可以通過網(wǎng)絡(luò)安全實(shí)戰(zhàn)、互聯(lián)網(wǎng)渠道等獲取真實(shí)網(wǎng)絡(luò)安全事件流量。

首先，需要通過正態(tài)分布數(shù)學(xué)模型，描述自然界中許多隨機(jī)變量的分布情況。在網(wǎng)絡(luò)流量異常檢測中，正態(tài)分布可以確定一個(gè)正常的流量水平，并識(shí)別出與其相比較為異常的流量。

將內(nèi)網(wǎng)服務(wù)器間的源目標(biāo)IP 會(huì)話記錄作為統(tǒng)計(jì)對(duì)象，將交互數(shù)據(jù)量作為對(duì)象屬性，時(shí)間時(shí)序性分為時(shí)間分桶（小時(shí)、分鐘、天）和時(shí)段分類（日間、夜間）并且作為維度定位，分析數(shù)據(jù)主要通過傳輸控制協(xié)議（transmission control protocol，TCP）會(huì)話中的序列號(hào)與確認(rèn)號(hào)（synchronize and acknowledge，SYN-ACK）來同步和確認(rèn)元數(shù)據(jù)日志。

在實(shí)驗(yàn)過程中，24 h 內(nèi)，每小時(shí)統(tǒng)計(jì)一次服務(wù)器A 和服務(wù)器B（x）總體網(wǎng)絡(luò)流量，其中x 為總數(shù)據(jù)量，代表單位小時(shí)內(nèi)IP 會(huì)話產(chǎn)生的總數(shù)據(jù)量。根據(jù)服務(wù)器A 和服務(wù)器B（x）每個(gè)單位小時(shí)IP 會(huì)話產(chǎn)生的總數(shù)據(jù)量，求出正態(tài)分布的標(biāo)準(zhǔn)差σ。利用特定形式的誤差函數(shù)，求出正態(tài)分布的累積分布函數(shù)F（x）的數(shù)值，F(xiàn)（x）計(jì)算公式：

將模型在實(shí)際網(wǎng)絡(luò)流量中進(jìn)行驗(yàn)證，當(dāng)F（x） ＜0.99 時(shí)，表示流量正常；當(dāng)F（x）≥ 0.99 時(shí)，表示可能出現(xiàn)了因網(wǎng)絡(luò)威脅事件導(dǎo)致網(wǎng)絡(luò)流量陡增等情況。

其次，從網(wǎng)絡(luò)信息安全保護(hù)的角度出發(fā)，科學(xué)分析網(wǎng)絡(luò)流量元數(shù)據(jù)背景下網(wǎng)絡(luò)流量分流平臺(tái)的構(gòu)建過程與元數(shù)據(jù)的處理過程[3]。淺層次規(guī)則模型可以降低依賴于建立大量復(fù)雜規(guī)則的檢測方式產(chǎn)生的誤報(bào)率，因此其可以用于構(gòu)建如掃描、爆破、WebShell 利用、C&C、木馬心跳等分析檢測模型。同時(shí)， 還可以針對(duì)域名服務(wù)系統(tǒng)（domain namesystem，DNS）、HTTP 等應(yīng)用建立分析模型，如統(tǒng)計(jì)域名請(qǐng)求頻率、域名訪問時(shí)間。在此過程中，需要資深的安全分析工程師對(duì)淺層次規(guī)則模型進(jìn)行人工干預(yù)和修正，以提高模型的檢出率和準(zhǔn)確性，淺層次規(guī)則模型示例如表1 所示。

2 模型效果驗(yàn)證

基于互聯(lián)網(wǎng)公開獲取的攻擊樣例，這些樣例包含網(wǎng)絡(luò)攻擊事件的詳細(xì)過程描述、截圖、數(shù)據(jù)包等。本文對(duì)樣例的攻擊過程和分析過程進(jìn)行威脅建模和人工干預(yù)修正，形成檢測分析規(guī)則，元數(shù)據(jù)原始流量示意圖如圖1 所示。

步驟1：協(xié)議流量激增。通過聚合每日協(xié)議流量，對(duì)整體流量進(jìn)行斜率對(duì)比，發(fā)現(xiàn)激增情況。如當(dāng)日SSH 協(xié)議產(chǎn)生1 MB，次日SSH 協(xié)議產(chǎn)生11.7MB，斜率比值為11.7，存在激增可疑情況。

步驟2：定位可疑IP 地址。通過協(xié)議進(jìn)行IP地址流量的聚合，再利用SSH 協(xié)議定位可疑IP 地址，修改模型中的起止時(shí)間，以境外會(huì)話時(shí)間大于6 h、境內(nèi)會(huì)話時(shí)間大于8 h 的網(wǎng)絡(luò)流量作為分析對(duì)象，進(jìn)一步判斷疑似長會(huì)話連接導(dǎo)致的流量激增。模型的部分關(guān)鍵代碼如下：

group by client_ip，client_country_id，server_ip，server_country_id，server_port

having total_payload_bytes <= 5*1024*1024*1024 and client_payload_bytes/total_payload_

bytes>0.5

and （client_country_id not in [0，48] or server_country_id not in [0，48]） and maxDurTime >= 6*360

將通過互聯(lián)網(wǎng)公開獲取到的攻擊數(shù)據(jù)包進(jìn)行效果驗(yàn)證比對(duì)，數(shù)據(jù)包包含分布式拒絕服務(wù)攻擊、數(shù)據(jù)庫爆破、郵件服務(wù)器竊取、內(nèi)網(wǎng)主機(jī)控制和Struts 2漏洞利用攻擊等5 種攻擊類型，利用數(shù)據(jù)包分析工具提取網(wǎng)絡(luò)元數(shù)據(jù)，通過淺層次規(guī)則模型進(jìn)行網(wǎng)絡(luò)威脅分析。同時(shí)利用開源的網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort 和Suricata 進(jìn)行威脅檢測分析，基于回放數(shù)據(jù)包，網(wǎng)絡(luò)入侵檢測系統(tǒng)可以對(duì)威脅進(jìn)行快速檢測，記錄檢測分析結(jié)果。模型效果驗(yàn)證對(duì)比如表2所示，相較于入侵檢測系統(tǒng)Snort 和Suricata，本模型在網(wǎng)絡(luò)攻擊和威脅行為的檢測上具有明顯優(yōu)勢。

3 結(jié)論與展望

本文成功構(gòu)建并驗(yàn)證了一種基于淺層次規(guī)則模型的網(wǎng)絡(luò)威脅分析技術(shù)。通過深入分析網(wǎng)絡(luò)流量元數(shù)據(jù)，開發(fā)了一種能夠有效識(shí)別和響應(yīng)網(wǎng)絡(luò)威脅的模型。該模型利用半監(jiān)督學(xué)習(xí)算法對(duì)正常流量模式進(jìn)行建模，并通過實(shí)際網(wǎng)絡(luò)環(huán)境測試，證明其在檢測未知網(wǎng)絡(luò)威脅方面的高效性。研究表明，本文開發(fā)的模型以網(wǎng)絡(luò)流量元數(shù)據(jù)為數(shù)據(jù)基礎(chǔ)，分析內(nèi)網(wǎng)或互聯(lián)網(wǎng)邊界網(wǎng)絡(luò)流量的網(wǎng)絡(luò)攻擊和竊取威脅事件時(shí)，相較于網(wǎng)絡(luò)入侵檢測系統(tǒng)Snort 和Suricata，本模型表現(xiàn)出高檢出率、低誤報(bào)率和較強(qiáng)適應(yīng)性等特點(diǎn)。

淺層次規(guī)則模型仍有進(jìn)一步改進(jìn)和擴(kuò)展的空間。一是淺層次規(guī)則模型依賴于經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全分析師編寫規(guī)則模型、調(diào)優(yōu)模型，限制了模型對(duì)于網(wǎng)絡(luò)威脅事件檢測類型的覆蓋度；二是淺層次規(guī)則模型由于需要對(duì)海量數(shù)據(jù)進(jìn)行回溯分析，性能消耗較大。因此，提高模型的自動(dòng)化水平，實(shí)現(xiàn)實(shí)時(shí)威脅檢測和響應(yīng)，是未來研究的方向。本文為網(wǎng)絡(luò)安全領(lǐng)域提供了新的視角和解決方案，但網(wǎng)絡(luò)安全是一個(gè)不斷發(fā)展的領(lǐng)域，需要持續(xù)的技術(shù)創(chuàng)新和方法優(yōu)化。