电网信息安全威胁情报自动化应用技术研究

◆肖 鹏苏永东张 睿宋 春

（1.云南电网有限责任公司信息中心 云南 650217；2.云南云电同方科技有限公司 云南 650217）

电网信息安全威胁情报自动化应用技术研究

◆肖 鹏1苏永东1张 睿2宋 春2

（1.云南电网有限责任公司信息中心 云南 650217；2.云南云电同方科技有限公司 云南 650217）

当前网络空间安全形势非常复杂，入侵手段不断攀升，高危漏洞层出不穷，为开放融合过程中的电网企业信息安全防护带来新的挑战。本文根据某电网企业的现状，开展了威胁情报自动化应用技术研究，形成了新漏洞快速检测、IDS/防火墙策略自动更新以及恶意软件检测规则快速应用等基于威胁情报的纵深动态防御体系，并针对平台后续深入应用给出了研究方向。

精准预警；威胁情报；自动化；电网企业；开放融合网络

0 引言

随着新型漏洞和攻击的不断增长，信息安全面临严峻挑战。匿名网络（The Onion Router，Tor）、网络跳板、僵尸网络（Botnet）、恶意URL地址等方式在网络攻击者大量使用，发现困难、追踪更难，这些都攻击手段的出现带来了新的挑战。传统方法往往只能获取局部攻击信息，无法构建出完整的攻击链条。随着电力体制改革、能源互联网技术的推进，电网企业原有封闭的内网将面临复杂的信息安全环境，希望有类似国际刑警组织能够获取到各地网络中的威胁信息，从而为网络攻击检测防护、联动处置、信息共享提供一个决策信息平台。近几年在网络安全领域逐步兴起的威胁情报（Threat Intelligence）分析为电网企业快速获取攻击热点并及时防护提供了支持。

对此，开展威胁情报自动化应用技术研究，能够进一步缩短响应防护时间，及时发现并阻断攻击，对于电网企业信息安全防护水平的提升具有重要意义

1 国内外研究现状

安全威胁情报（Security Threat Intelligence），它是网络安全机构为了共同应对高级持续性威胁（Advanced Persistent Threat，APT）攻击，而逐渐兴起的一项热门技术，它实际上是我们从安全服务厂商、防病毒厂商、和安全组织得到安全预警通告、漏洞通告、威胁通告等，并用于对网络攻击进行追根溯源。为了实现情报的自动化应用，国外已经提出了一些情报共享与描述规范。

（1）CybOX

Cyber Observable eXpression（CybOX）规范定义了一个表征计算机可观察对象与网络动态和实体的方法。可观察对象包括文件，HTTP会话，X509证书，系统配置项等。CybOX 规范提供了一套标准且支持扩展的语法，用来描述所有我们可以从计算系统和操作上观察到的内容。在某些情况下，可观察的对象可以作为判断威胁的指标，比如Windows的RegistryKey。这种可观察对象由于具有某个特定值，往往作为判断威胁存在与否的指标。IP地址也是一种可观察的对象，通常作为判断恶意企图的指标。

（2）STIX

Structured Threat Information eXpression（STIX）提供了基于标准XML的语法描述威胁情报的细节和威胁内容的方法。STIX支持使用CybOX格式去描述大部分STIX语法本身就能描述的内容，当然，STIX还支持其他格式。标准化将使安全研究人员交换威胁情报的效率和准确率大大提升，大大减少沟通中的误解，还能自动化处理某些威胁情报。实践证明，STIX规范可以描述威胁情报中多方面的特征，包括威胁因素，威胁活动，安全事故等。它极大程度利用DHS规范来指定各个STIX实体中包含的数据项的格式。

（3）TAXII

Trusted Automated eXchange of Indicator Information（TAXII）提供安全的传输和威胁情报信息的交换。很多文章让人误以为TAXII只能传输TAXII格式的数据，但实际上它支持多种格式传输数据。当前的通常做法是用TAXII来传输数据，用STIX来作情报描述，用CybOX的词汇。TAXII在标准化服务和信息交换的条款中定义了交换协议，可以支持多种共享模型，包括hub-and-spoke，peer-to-peer，subscription。

（4）MIL

轻量级交换托管事件（Managed Incident Lightweight Exchange，MILE）封装的标准涵盖了与DHS系列规范大致相同的的内容，特别是CybOX，STIX和TAXII。MILE标准为指标和事件定义了一个数据格式。该封装还包含了事件对象描述和交换格式（Incident Object Description and Exchange Format，IODEF）。IODEF合并了许多DHS系列规范的数据格式，并提供了一种交换那些可操作的统计性事件信息的格式，且支持自动处理。它还包含了结构化网络安全信息（IODEF for Structured Cybersecurity Information，IODEF-SCI）扩展和实时网络防御（Realtime Internetwork Defense， RID），支持自动共享情报和事件。

（5）安全威胁情报共享框架OpenIOC

OpenIOC本身是一个记录、定义以及共享安全情报的格式，它可以帮助你借助机器可读的形式实现不同类型威胁情报的快速共享。OpenIOC本身是开放、灵活的框架，因此你随时可以根据发现添加新的情报，完善你的IOC（Indicator of Compromise）。OpenIOC主要使用XML（Extensible Markup Language）来实现，XML语言提供了丰富、灵活的格式来将数据表示成可机读的形式。通常在使用OpenIOC时会定义自己的指示器属性表（Indicator Term Documens），里面列出了要使用的诸多属性，当然也可以根据自己的需要添加新的属性描述。

而国内目前也已经建成了部分威胁情报中心，360威胁情报中心和微步在线威胁情报中心作为较为知名、较早商用的情报中心也为企业提高威胁情报。但360提供的威胁情报为360安全设备专用的机读格式，难以与企业现有防御设施集成；微步在线提供的威胁情报则仅局限于恶意IP、域名等方面，并且是通过API接口查询，并没有应用相关情报描述规范。

2 电网威胁情报自动化应用技术研究

2.1 应用总体框架

威胁情报系统的技术框架如图1所示，从图中可看出它包含了内部威胁和外部威胁两个方面的共享和利用。

图1 威胁情报自动化应用总体框架图

外部威胁情报主要来自互联网已公开的情报源，及各种订阅的安全信息，漏洞信息、合作交换情报信息、购买的商业公司的情报信息。公开的信息包含了安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、IP地址信誉等。在威胁情报系统中能够提供潜在的恶意IP地址库，包括恶意主机、垃圾邮件发送源头与其他威胁，还可以将事件与网络数据与系统漏洞关联。

2.2 应用平台功能及关键技术

2.2.1 威胁情报应用平台功能架构

为了应用获取到的威胁情报，威胁情报应用平台应具有分析、验证等功能，同时需要具备外部情报在内部的检测与应用的能力，如图2所示。

图2 威胁情报自动化应用平台功能图

2.2.2 自动化应用关键技术

（1）防火墙/IPS/IDS规则下发

威胁情报中往往带有恶意的IP情报，主要是恶意软件下载的地址、远控服务器地址、带有攻击性的Web地址、DDoS攻击源地址等，通过将这些情报使用STIX/OpenIOC描述后，即可根据所使用的防火墙/IDS/IPS类型，自动化的生成阻断规则，从而能够避免遭受相关攻击。

（2）DNS过滤规则下发

对于域名来说，可以在DNS服务器基础上应用开源的DNS过滤工具RPZone，并导出其规则文件RPZ，实现对恶意域名的过滤。

（3）钓鱼邮件过滤

在现有的邮件系统基础上，开发黑名单导入接口，将威胁情报中携带的钓鱼、恶意邮件地址、邮件主题生成列表后，利用黑名单导入接口应用到当前邮件系统。

（4）恶意软件防护

由于目前使用的恶意软件防护软件均未开放特征库编辑，仅能在网络上应用深度包检测技术或开源恶意代码检测工具，对威胁情报中提供的恶意软件名称、签名等进行比对分析。

（5）终端安全防护

企业当前应用的终端安全管理系统能够有效检测终端注册表、文件等配置，而威胁情报中对于恶意软件如何实现驻留的描述，可以通过向终端安全管理系统推送驻留特征实现，包括初次释放的文件、修改的注册表、修改的文件等行为，利用终端安全管理系统进行检测，并设置安全策略：“检测到异常后隔离该终端，禁止网络访问”，在不扩大感染的情况下由人工介入进行排查修复。

（6）恶意URL访问检测

针对威胁情报中提供的恶意URL，利用上网行为审计系统实现内网访问记录的告警，以便快速响应。

（7）安全漏洞精确关联与修复

威胁情报中往往带有该攻击或恶意软件使用的系统安全漏洞，一般为CVE漏洞编号。通过在内网建立CVE漏洞镜像库或实时访问官网漏洞信息，可以获取该漏洞的影响范围和修复方法。包括影响的系统类型、版本，修复该漏洞的版本等，将这些信息在内网资产库中进行比对，即可精确定位面临威胁的资产，针对性的组织修复。

而当前该企业正在建设自动化运维系统，还可以将自动化运维系统与威胁情报应用平台接口，自动化的完成漏洞修复版本的测试和正式应用。

（8）攻击迹象检测

除了上述响应行为外，平台通过将威胁情报中的各属性内容在信息安全审计系统中进行检测，发现正在进行的隐蔽攻击或已结束的攻击，开展取证、影响分析工作，做好攻击后处理。

3 结束语

目前，威胁情报的自动化应用仍在探索中，其主要难点在于可机读的威胁情报难以在封闭的基础安全设施中直接应用，需要定制开发相关接口。因此，在电网信息安全情报自动化应用技术方面我们主要采用定制开发接口的形式向基础安全设施提供最新的检测属性，在非关键场景下应用可直接集成的开源工具。

可以预见，随着软件定义安全技术的广泛应用，威胁情报的应用将变的更加方便与快捷。

[1]王晓甜，张玉清.安全漏洞自动收集系统的设计与实现[J].计算机工程，2006.

[2]葛先军，李志勇，何友.漏洞信息数据挖掘系统设计[J].计算机工程与设计，2009.

[3]顾韵华，张金喜，李佩.网络安全漏洞信息采集系统的研究[J].计算机工程与设计，2011.

[4]Common Vulnerabilities and Exposures(CVE) [EB/OL].http://eve.mitre.org/,2016.

[5]高寅生.安全漏洞库设计与实现.微电子学与计算机，2007.

[6]About NVD[EB/OL].http://nvd.nist.gov/about.cfm/,20-16.

[7]About Us.& More About US-CERT[EB/OL].http://w w-w.uscert.gov/aboutus.html,2016.

[8]Common vulnerability scoring system[EB/OL]. http:// -www.first.org/cvss/,2016.