未来之路：重构网络安全能力

文/杜跃进

未来之路：重构网络安全能力

文/杜跃进

过去对狭义事件的发现和处置，导致我们即使是发现了“震网”的程序，也没有警觉其实它的真正目标是工业控制系统，直到它完成任务，我们才如梦初醒。过去对狭义事件的发现和处置，还使我们疲于处置成千上万看似不相关的事件，却无法发现，实际上它们是有关系的、他们可能是来自同一个攻击者、可能是一个威胁中的一部分。

和过去相比，我们的对手不同了。应对新的安全形势，需要跳出传统的思维惯性，建立新的思路。网络安全攻防对抗如同一个不断“进化”的过程，不同的传统方法也是根据安全威胁的变化而不断进化的。既然这些方法已经不适应新的形势，那么未来的进化方向是什么呢？“异常发现”是一个基本方向，“博大精深”是核心要求。

“大思路”和“大视野”的异常发现

APT给传统安全方法带来挑战的本质原因是针对特定目标的专门定制化的攻击过程，导致从各种角度都很难提前获得特定攻击的具体特点。于是，如果防御方对自己的了解足够，就能够感知到由于攻击导致的某种异常，之后就有可能进一步通过针对性的调查分析发现具体的攻击行为。一个通俗的比喻就是，我不知道我出了什么问题，但是能感觉到不对劲。这就如同医学领域中人类经常能够先确定甚至治疗某些疾病，但是很多年之后才找到导致这些疾病的病毒或原因一样。随着人类不断完善对自身的了解，也就能够不断提升对新的疾病的了解和治愈能力。

新一代信息技术包括融合、泛在、移动、宽带、智能等多个基本属性在内，这一切都意味着，如今我们面临的是一个高度复杂的、相互关联的系统，任何网络间的一点小问题都可能在空间中产生蝴蝶效应。

异常发现的思路实际上已经有很多实践了，传统网络安全方法中也有基于行为描述的安全，这种方法试图发现软件或用户在主机或网络中的“异常”行为（如流量变化），进而判定是否受到攻击。例如2003年1月，我们突然发现所有的网络中都出现UDP1434/1435流量的大幅增长，这是不符合常规的，于是通过启动分析进而判定是发生了大规模网络蠕虫攻击。还有一些技术，可以对特定用户的打字速度进行记录，如果发现某个人的打字速度突然变成平时的两倍，那可能就是账户被别人盗用。在金融领域，通过用户登录银行账户之后的行为轨迹，可以明显看出正常用户和非法用户的不同。这种比对是不依赖于对恶意代码、漏洞、非法登录等传统安全特征的识别的。但是显然这种模式的效果取决于对“正常”行为模式描述的准确性和完备性，而过去仅仅通过局部环境、简单维度以及基于采样数据积累的知识所建立的“正常”模型，显然是容易被计划周密的高级攻击行为所模仿从而失去效果的。“盲人摸象”其实说的也是类似的道理：用于分析的数据不够大，可能看到的是一块皮肤，而如果退后几步综合更大更多的数据看，才会发现实际上是一只大象。

因此，未来需要的是大视野下的异常发现，其所感知的“异常”不仅仅定义在主机行为或者网络流量行为上，而更加综合全面、范围更大。在金融领域，基于大量用户的正常金融交易关系数据进行分析，就能够发现很多金融犯罪活动甚至犯罪团伙，就是一个例子。“火焰”病毒可以绕过所有的安全机制，但是如果对所有获得签名的程序的大小有所积累，会发现忽然出现一个十分巨大的“合法程序”，也会触发异常。

大视野并不仅仅指的是简单地扩大分析数据的规模，还包括要强调整体性，要有大思路。 大视野的角度如何看风险分析？众所周知，如今的互联网以及其上的各种应用有很强的相互关联性。在传统通信行业，基础通信网络具有“全程全网”的特性。而新一代信息技术包括融合、泛在、移动、宽带、智能等多个基本属性在内，这一切都意味着，如今我们面临的是一个高度复杂的、相互关联的系统，任何网络间的一点小问题都可能在空间中产生蝴蝶效应。发生在2009年的暴风影音事件就是非常典型的案例：软件设计的问题、DDoS应对的问题、域名业务量估计和服务能力配备的问题全都交织在一起产生了这起网络安全事件。但是我们目前对通信网络以及互联网的很多重要应用的风险评估，依然是拆分成网络单元来开展的，因此至今无法对整体网络的风险做出科学的分析评估，类似“暴风影音”的事件随时还可能发生，只不过下一次的动机不见得和上次一样，可能攻击者是“大玩家”。

大视野的角度如何看移动互联网安全？移动互联网安全现在非常热闹，许多团队都在做智能终端和应用软件的安全检测。但是对应用软件的安全检测，只是移动互联网安全的一个环节，只有把移动应用商店的“源头”，恶意程序运行的网络“路径”，以及特定用户终端的“末端”相互结合起来，真正实现相互配合，才有可能更高效地遏制猖獗的移动互联网恶意攻击行为。

“多维度”的知识体系

异常发现不仅需要“大视野”，还需要“多维度”。多维度是指多层次、多来源的知识积累和异常分析，具体地说，就是对安全威胁的分析不能仅仅基于安全系统或者服务系统日志等数据，还需要建立和其他维度知识数据结合的机制。 例如APT攻击中经常使用社会工程学攻击，尤其是当前期搜集跟踪攻击对象的各种信息时，这些行为都很难用传统的方法检测到。那么是不是对社会工程学攻击的应对就彻底放弃了呢？

完整的“事件”所包括的不仅仅是“如何”（攻击者使用了什么方法、用了什么攻击程序或漏洞、什么时间等），更加重要的是还应该包括“谁”（攻击者、攻击来源）以及“为什么”（攻击目标、攻击目的）等。

2007年，针对工业控制系统安全的研究出现，并有人预言，五年之内工业控制系统可以通过互联网进行攻击。而2010年，“震网”被发现，那么几年前的这些信息能否提前就应该引起重视呢？2001年，所谓的“中美黑客大战”，起因是南海撞机事件，现实世界中的事件和网络空间中的攻击有没有可能建立关联呢？ 近些年，国际上流行一些说法，比如“基于智能/情报的安全”（intelligencebasedsecurity）或者“知识驱动的安全”（knowledgedrivensecurity），其实， 那么，什么是“知识”或者“情报”？不应该被仅仅理解为原来我们熟知的漏洞库、恶意代码库、事件库等等，而必须是更多维度的信息整合。这个特点，可以称之为“博”：和“大”不同，指的是更宽的范围和领域。

对“博”的理解，还有另外一个十分关键的角度：什么是事件。从2006年开始，我一直试图说明，完整的“事件”所包括的不仅仅是“如何”（攻击者使用了什么方法、用了什么攻击程序或漏洞、什么时间等），更加重要的是还应该包括“谁”（攻击者、攻击来源）以及“为什么”（攻击目标、攻击目的）等。如今看来，完整的“事件”概念，或许应该直接称之为“威胁”更为恰当。APT的“T”，也是威胁，对APT的应对，也应该从狭义的事件发现和处置，延伸到威胁预警、分析与应对。 过去对狭义事件的发现和处置，导致我们即使是发现了“震网”的程序，也没有警觉其实它的真正目标是工业控制系统，直到它完成任务，我们才如梦初醒。过去对狭义事件的发现和处置，还使我们疲于处置成千上万看似不相关的事件，却无法发现，实际上它们是有关系的、他们可能是来自同一个攻击者、可能是一个威胁中的一部分。而对威胁的感知、分析和应对，则需要不同的思路，其中的关键之一是需要“博”的分析。 知识体系建设和异常发现，都离不开“深度分析”，而且必须建立多个视角的相互关联的深度分析。

深度分析的核心至少包括恶意代码、安全事件与宏观数据三个方面。与传统的分析不同的是，恶意代码的深度分析不仅局限于提取其本机特征、网络特征、联络信息等（用于各种安全设备），还要包括所使用的算法、程序编写特点、程序编写时间、可能的编写者来源、与其他恶意程序之间的关系、哪些安全事件与之相关等；安全事件的深度分析不仅局限于确定攻击者所使用的攻击程序、攻击源地址和目的地址等，还要包括多跳回溯发现真正的控制者信息、攻击行为的动机分析等；宏观数据的深度分析不仅包括简单的关联和展示等，还包括恶意代码、漏洞、事件等的综合分析，包括多个不同事件的多角度关联等。 深度分析的核心目的是为了发现攻击动机，发现重大安全威胁。长期的深度分析形成的积累，则是知识体系中的一个组成部分。

“大玩家”比的是“精”能力

“精”指的是精细化的分析和细节能力。这是受到在国外技术会议上所见所闻的启发。我们看到，信息发达国家在网络安全方面做得越来越精细。例如事件描述、事件信息共享等，这些内容也许很多年前我们就有了，但是今天我们对其的用途和过去的差别不大，而先进国家却在不断完善，精益求精，他们不断地根据情况的变化完善和改进。

现在，“大玩家”入场，意味着国家间的安全对抗已经开始，意味着对抗双方比较的是各自最精最尖的能力。这和过去我们与计算机犯罪分子以及各种黑客团伙的对抗是截然不同的。

“精”的另外一层含义是，要从众多的安全事件中精挑细选，找出真正严重的威胁；要从庞大的多维的数据中进行持续的精深的分析，从中找出重大威胁的脉络来。 传统的网络安全方法和能力无法应对未来的网络安全威胁，尤其是国家级的威胁。未来的网络安全能力建设的一个关键是基于知识的异常发现。异常发现并能不解决最终的问题，但是它可以作为启动针对性调查分析的关键触发器。未来的网络安全能力建设，需要遵循“博大精深”的发展方向。

所谓“博”，指的是需要多维度的知识构建，需要“带外信息”的支持与整合；需要多维度的异常感知，不仅仅是一个简单的流量变化模型或简单的异常行为，而是需要综合到一起进行感知，这种感知能力越丰富，越精确，越有可能发现高级安全威胁；需要多维度的威胁分析，包括攻击者及其动机，聚焦攻击源、攻击路径、攻击目标的不同角度的信息整合与关联分析； 所谓“大”，指的是大视野的分析和应对思路，强调整体的配合，强调使用更大规模相互关联的数据和信息进行分析。实际上，“大视野”还包括技术以外的领域，包括，政策、法律等等。

所谓“精”，指的是新阶段的网络安全对抗强调细节，每一个环节都要精益求精，通过这种方法来提高效率。需要持续不断的研究、建设和积累，构建应对国家级网络安全威胁的最精锐的能力和人员队伍。

所谓“深”，指的是深度分析，要对恶意代码、安全事件和宏观数据展开相关联的深度分析，识别与梳理安全威胁，发现重大威胁极其动机，积累相关知识。

（本文摘选自《“博大精深”：总体安全观时代网络安全能力建设的未来之路》，有删节，原文刊载于人民网。作者为原网络安全应急技术国家工程实验室主任、网络安全专家杜跃进）