淺談入侵防御系統(tǒng)中的事件分析
引言
隨著通信技術(shù)的發(fā)展,與此同時(shí),網(wǎng)絡(luò)的規(guī)模也在迅速增長,網(wǎng)絡(luò)攻擊也不可避免的有所增長。中本聰發(fā)明的比特幣拉開了網(wǎng)絡(luò)匿名交易的幕簾,因此催生了一大批的黑色產(chǎn)業(yè),伴隨而來的是這些黑產(chǎn)相關(guān)的網(wǎng)絡(luò)攻擊,例如挖礦攻擊、勒索病毒攻擊等。隨著人與網(wǎng)絡(luò)的關(guān)系越來越密切,網(wǎng)絡(luò)的安全問題將對我們每一個(gè)人產(chǎn)生更加深遠(yuǎn)的影響。
面對諸多的網(wǎng)絡(luò)攻擊,更加先進(jìn)的防御技術(shù)便是有效的防護(hù)措施。這些防御技術(shù)可以分為被動(dòng)防御和主動(dòng)防御。我們所熟知的防火墻便是最具有代表性的被動(dòng)防御措施。配置防火墻規(guī)則可以在很大程度上阻斷攻擊行為,但是它的缺點(diǎn)也同樣明顯,無法辨別這些行為是否為真的攻擊,無法為防御改進(jìn)提供新的知識。入侵檢測和防御技術(shù)可以補(bǔ)充防火墻這種被動(dòng)防御的不足,主動(dòng)識別攻擊行為,發(fā)生網(wǎng)絡(luò)攻擊事件后可以對攻擊行為進(jìn)行更加細(xì)致的分析,發(fā)現(xiàn)系統(tǒng)中存在的漏洞和弱點(diǎn),及時(shí)升級被動(dòng)防御系統(tǒng),提升系統(tǒng)的安全性。
入侵檢測[1]是對企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識別的過程[2]。入侵防御技術(shù)區(qū)別于入侵檢測技術(shù),它不僅能識別網(wǎng)絡(luò)威脅,還能對網(wǎng)絡(luò)威脅做進(jìn)一步的分析和相應(yīng)的響應(yīng),是對防火墻和防病毒技術(shù)的有力補(bǔ)充。對于入侵防御系統(tǒng)而言,檢測出威脅事件只是第一步,接下來需要對威脅事件進(jìn)行分析,掌握威脅事件,溯源定位威脅源頭,才能實(shí)施有效的響應(yīng)處置手段。
近些年,網(wǎng)絡(luò)攻擊行為逐漸呈現(xiàn)出大規(guī)模、協(xié)同、多階段等特點(diǎn),網(wǎng)絡(luò)攻擊不再是孤立事件。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT(National Internet Emergency Center)2017年度網(wǎng)絡(luò)安全工作報(bào)告,攻擊事件按類型進(jìn)行統(tǒng)計(jì)的結(jié)果,大部分攻擊(尤其是危害巨大的攻擊)幾乎都是多步攻擊。針對多步攻擊,傳統(tǒng)的被動(dòng)防御模式能夠起到的作用十分有限,而主動(dòng)防御技術(shù)則具有一定的防御能力。入侵防御系統(tǒng)通過分析安全設(shè)備產(chǎn)生的告警事件,挖掘這些事件背后所隱藏的網(wǎng)絡(luò)威脅事件,識別網(wǎng)絡(luò)中存在的多步攻擊行為,并且對其進(jìn)行精準(zhǔn)清除。入侵防御系統(tǒng)為了抵御更加復(fù)雜多步攻擊,需要在事件分析環(huán)節(jié)能夠準(zhǔn)確地關(guān)聯(lián)到事件發(fā)生的源頭,串聯(lián)起事件的上下文信息。由于多步攻擊中的每一步攻擊的成功都是下一步攻擊成功的某種先決條件,研究人員利用語言模型邏輯性來描述攻擊模型。本文將從網(wǎng)絡(luò)威脅事件分析中的事件要素提取和事件關(guān)聯(lián)分析兩方面展開討論。
利用深度學(xué)習(xí)進(jìn)行事件要素提取
入侵防御系統(tǒng)所接收到的數(shù)據(jù)往往都是多源異構(gòu)的,并且格式十分復(fù)雜,并不適合直接人類閱讀,不能直接用于事件的關(guān)聯(lián)分析,需要確定能夠涵蓋事件顯著特征的要素字段,并且對這些要素特征進(jìn)行提取。深度學(xué)習(xí)是近年來興起的一種基于表征學(xué)習(xí)思想的機(jī)器學(xué)習(xí)技術(shù),一般使用深層神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)。它通過由神經(jīng)元組成的多層神經(jīng)網(wǎng)絡(luò)逐步學(xué)習(xí)得到原始數(shù)據(jù)的高層特征表示并進(jìn)一步用于分析的任務(wù)。
深度學(xué)習(xí)采用的一般是端到端的方式,即不再需要人工對數(shù)據(jù)進(jìn)行特征處理等操作,而是由神經(jīng)網(wǎng)絡(luò)直接處理原始數(shù)據(jù)并自動(dòng)學(xué)習(xí)和輸出高層特征,不再依賴于特定領(lǐng)域的專家知識。這個(gè)優(yōu)勢使得深度學(xué)習(xí)在很多特征設(shè)計(jì)比較困難的領(lǐng)域得到了廣泛應(yīng)用,并取得了非常好的效果。[3]
圖1 深度學(xué)習(xí)提取事件要素
深度學(xué)習(xí)可以用于將網(wǎng)絡(luò)威脅事件的低維數(shù)據(jù)信息提取成高質(zhì)量的高維數(shù)據(jù)信息。結(jié)合事件關(guān)聯(lián)分析技術(shù)可以對網(wǎng)絡(luò)威脅事件進(jìn)行冗余合并以及因果關(guān)聯(lián),便于系統(tǒng)管理員及時(shí)有效地響應(yīng)處置網(wǎng)絡(luò)威脅事件。根據(jù)深度學(xué)習(xí)的端到端學(xué)習(xí)特點(diǎn),只需要將入侵防御系統(tǒng)中的網(wǎng)絡(luò)威脅事件輸入到模型中,如圖1所示,模型便可以將輸入的底層日志信息進(jìn)行加工處理為與攻擊高度相關(guān)的高層抽象信息。這些高維信息中包含了低維信息中的重要要素。如果使用非深度學(xué)習(xí)的方法,事件要素提取的工作需要經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)運(yùn)維人員來參與其中,并且還無法避免存在人為因素而導(dǎo)致的錯(cuò)誤。大量的事件來訓(xùn)練模型,最終可以實(shí)現(xiàn)快速、無需人為干預(yù)地提取出事件的關(guān)鍵要素信息。
基于深度學(xué)習(xí)的事件要素抽取主要是借鑒文本分類的思想,對事件要素進(jìn)行識別,再將其進(jìn)行抽取,將事件要素的識別轉(zhuǎn)化為分類問題。如圖2所示為事件要素的具體抽取流程,在特征獲取階段獲取原始告警事件的所有特征,將機(jī)器不易處理的文本類信息進(jìn)一步處理后得到模型訓(xùn)練可以識別的向量特征。經(jīng)過預(yù)處理后可以得到數(shù)值類型、枚舉類型、文本向量類型等可以用于模型訓(xùn)練的特征數(shù)據(jù)。對事件要素識別任務(wù)中,Chieu首次在事件要素的識別任務(wù)中引入最大熵模型[8],實(shí)現(xiàn)對人事管理事件的要素抽取。H. Lorens等通過CRF模型進(jìn)行語義標(biāo)注[9],并應(yīng)用于TimeML的事件抽取,提升了系統(tǒng)的性能。為了提高識別效果,有時(shí)將多種深度學(xué)習(xí)算法混合使用或?qū)⑸疃葘W(xué)習(xí)與模型匹配相結(jié)合[10,11]。D.Ahn結(jié)合 Megam和 TIMBL兩種深度學(xué)習(xí)方法分別實(shí)現(xiàn)了事件元素提取的任務(wù),實(shí)驗(yàn)結(jié)果表明,綜合方法優(yōu)于單一算法。由于深度學(xué)習(xí)與領(lǐng)域知識無關(guān),無需太多領(lǐng)域?qū)<业闹笇?dǎo),可移植性好。隨著相關(guān)技術(shù)的發(fā)展,深度學(xué)習(xí)在事件要素抽取領(lǐng)域逐漸發(fā)力。
事件關(guān)聯(lián)分析
在海量的網(wǎng)絡(luò)威脅事件中,關(guān)聯(lián)分析旨在發(fā)現(xiàn)事件之間有意義的隱式聯(lián)系、挖掘攻擊意圖、重建攻擊場景。經(jīng)調(diào)研,關(guān)聯(lián)分析方法大量地被應(yīng)用到入侵檢測系統(tǒng)的結(jié)果分析中,其中關(guān)聯(lián)規(guī)則和頻繁模式挖掘是網(wǎng)絡(luò)威脅事件關(guān)聯(lián)分析中常用的方法。
網(wǎng)絡(luò)威脅事件之間的關(guān)系可以抽象為兩類:冗余關(guān)系和因果關(guān)系。如圖3所示為事件的分析流程,根據(jù)事件的屬性對冗余關(guān)系的關(guān)聯(lián)分析合并相似事件,再對事件進(jìn)行因果關(guān)聯(lián)分析,獲得事件完整的發(fā)展過程,從而了解到網(wǎng)絡(luò)威脅事件的全貌,發(fā)現(xiàn)網(wǎng)絡(luò)中的多步攻擊行為,消除威脅事件對系統(tǒng)的影響。
圖3 事件分析流程
冗余關(guān)系關(guān)聯(lián)分析基于事件攻擊特征中相關(guān)屬性之間的相似度,相似度基于概率統(tǒng)計(jì)。警報(bào)聚合是事件關(guān)聯(lián)分析重要的一個(gè)應(yīng)用場景。警報(bào)聚合的目的是將具有某些相似度的警報(bào)聚合成為一組,將其作為整體進(jìn)行處理,從而減少系統(tǒng)運(yùn)維人員的處理數(shù)據(jù)量。H.Debar [4] 提出了一個(gè)抽象聚合方法框架,通過計(jì)算兩個(gè)警報(bào)之間不同屬性的相似度進(jìn)行聚合警報(bào)。Maggif [5]等人針對時(shí)間屬性,提出了利用模糊集理論進(jìn)行聚合的方法,即通過建立一個(gè)數(shù)學(xué)模型來描述時(shí)間上的距離,兩個(gè)警報(bào)之間的不同時(shí)間差距可以按照此數(shù)學(xué)模型轉(zhuǎn)換成聚合概率,通過比較此概率與閾值來確定是否對兩個(gè)警報(bào)進(jìn)行聚合。
因果關(guān)系關(guān)聯(lián)分析是基于攻擊行為的前因后果進(jìn)行攻擊推理。攻擊者突破進(jìn)入系統(tǒng)之前,會有一系列的攻擊,而每一步的攻擊的成功都是下一步攻擊的某種先決條件。S.Cheung [6]等人提出了一種語言模型用于描述攻擊模型。這種模型描述語言中包含兩個(gè)概念,即先決條件和后置條件,當(dāng)某個(gè)警報(bào)的后置條件與另一個(gè)警報(bào)的先決條件相匹配時(shí)則對兩個(gè)警報(bào)進(jìn)行關(guān)聯(lián),如此便能理清警報(bào)之間的邏輯關(guān)系。Cuppens和Miege[7]也提出一種攻擊模型描述語言 LAMDA,其中也提到了先決條件和后置條件的概念。通過前因后果的關(guān)聯(lián)分析可以在網(wǎng)絡(luò)威脅事件發(fā)生的時(shí)候發(fā)現(xiàn)引發(fā)當(dāng)前事件的原因,不再將網(wǎng)絡(luò)威脅事件孤立的看待,將事件的前因后果合并為一個(gè)有機(jī)的整體。通過對這個(gè)整體進(jìn)行處置,不僅“治標(biāo)”還能“治本”。
結(jié)束語
深度學(xué)習(xí)將不易使用的網(wǎng)絡(luò)威脅事件低維數(shù)據(jù)信息提取成高質(zhì)量的高維數(shù)據(jù)信息。結(jié)合事件關(guān)聯(lián)分析技術(shù)可以對網(wǎng)絡(luò)威脅事件進(jìn)行冗余合并以及因果關(guān)聯(lián),便于系統(tǒng)管理員及時(shí)有效地響應(yīng)處置網(wǎng)絡(luò)威脅事件。雖然網(wǎng)絡(luò)的規(guī)模與其中存在的網(wǎng)絡(luò)攻擊在變得越來越復(fù)雜和多樣化,但是隨著深度學(xué)習(xí)的發(fā)展,也將會改善攻守雙方的地位。網(wǎng)絡(luò)威脅事件的分析工作經(jīng)過新興人工智能技術(shù)的加持將由人員密集型轉(zhuǎn)向技術(shù)密集型,在減少人力參與的同時(shí)又提升工作效率。相信隨著更多新技術(shù)的出現(xiàn),入侵防御技術(shù)也將會面臨更多的機(jī)遇與挑戰(zhàn)。
參考文獻(xiàn)
1. Denning D E. An intrusion-detection model[J]. IEEE Transactions on software engineering, 1987 (2): 222-232.
2. 唐正軍. 入侵檢測技術(shù)導(dǎo)論[M]. 機(jī)械工業(yè)出版社, 2004.
3. 仲思超, 朱磊, 蔡冰. 基于深度學(xué)習(xí)的 Web 安全事件分析系統(tǒng)及其實(shí)現(xiàn)[J]. 江蘇通信, 2019 (2): 13.
4. Debar H, Dacier M, Wespi A. Towards a taxonomy of intrusion-detection systems[J]. Computer networks, 1999, 31(8): 805-822.
5. Ussath M, Jaeger D, Cheng F, et al. Advanced persistent threats: Behind the scenes[C]//2016 Annual Conference on Information Science and Systems (CISS). IEEE, 2016: 181-186.
6. Smith R, Japkowicz N, Dondo M, et al. Using unsupervised learning for network alert correlation[C]//Conference of the Canadian Society for Computational Studies of Intelligence. Springer, Berlin, Heidelberg, 2008: 308-319.
7. Cuppens F, Ortalo R. Lambda: A language to model a database for detection of attacks[C]//International Workshop on Recent Advances in Intrusion Detection. Springer, Berlin, Heidelberg, 2000: 197-216.
8. Chieu H L, Ng H T. A maximum entropy approach to information extraction from semi-structured and free text[J]. Aaai/iaai, 2002, 2002: 786-791.
9. Llorens H, Saquete E, Navarro B. TimeML events recognition and classification: learning CRF models with semantic roles[C]//Proceedings of the 23rd International Conference on Computational Linguistics (Coling 2010). 2010: 725-733.
10. Ahn D. The stages of event extraction[C]//Proceedings of the Workshop on Annotating and Reasoning about Time and Events. 2006: 1-8.
11. 丁效, 宋凡, 秦兵, 等. 音樂領(lǐng)域典型事件抽取方法研究[J]. 中文信息學(xué)報(bào), 2011, 25(2): 15-21.
