楊麗麗，劉 果，李長(zhǎng)連（中訊郵電咨詢?cè)O(shè)計(jì)院有限公司，北京 100048）

0 前言

隨著云計(jì)算、虛擬化等新技術(shù)的大力推廣，云網(wǎng)融合作為一個(gè)戰(zhàn)略性的、網(wǎng)絡(luò)型的基礎(chǔ)設(shè)施被大力推進(jìn)，基于云網(wǎng)融合的安全生態(tài)也隨之蓬勃發(fā)展。從IT基礎(chǔ)架構(gòu)走向云網(wǎng)融合的過程中，安全不再是簡(jiǎn)單的安全設(shè)備疊加的攻擊防護(hù)，而需要形成基于云網(wǎng)端一體化協(xié)同防護(hù)的安全方案。

當(dāng)前各大安全廠商與云網(wǎng)運(yùn)營(yíng)商都參與到安全生態(tài)的建設(shè)中，發(fā)揮各自的優(yōu)勢(shì)。行業(yè)內(nèi)的很多安全設(shè)備廠商也在轉(zhuǎn)型升級(jí)，提出基于云上的各種安全威脅防護(hù)方案。從實(shí)際應(yīng)用場(chǎng)景來看，一些云服務(wù)商會(huì)利用一定數(shù)量的安全設(shè)備搭建防護(hù)資源池，過濾一些攻擊流量，為云上企業(yè)提供安全加固，但是針對(duì)超大攻擊（上千Gbit∕s 甚至更多的反射攻擊），云服務(wù)商通過擴(kuò)大防護(hù)資源池已經(jīng)無法滿足安全需求，云上網(wǎng)絡(luò)帶寬已成為其防御瓶頸。對(duì)于企業(yè)客戶來說，一般會(huì)部署一些防護(hù)設(shè)備，比如IDS、IPS、防火墻、云WAF等，但由于運(yùn)維人員對(duì)安全專業(yè)知識(shí)的欠缺和對(duì)安全設(shè)備日志的分析能力不足，在應(yīng)對(duì)攻擊時(shí)的防御效果和時(shí)效性較差。對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)商來說，除了具備豐富的網(wǎng)絡(luò)數(shù)據(jù)資源和網(wǎng)絡(luò)策略配置條件外，隨著云計(jì)算的發(fā)展，也需要在云上部署一些安全防護(hù)資源應(yīng)對(duì)大網(wǎng)的安全威脅。

從以上應(yīng)用場(chǎng)景看，企業(yè)甚至云服務(wù)商都無法針對(duì)傳統(tǒng)應(yīng)用、資產(chǎn)或云化平臺(tái)等所有可能面臨的安全威脅部署全方位、全維度的安全防護(hù)能力。如果網(wǎng)絡(luò)運(yùn)營(yíng)商、云服務(wù)商和企業(yè)端的安全能力形成聯(lián)合調(diào)度和統(tǒng)一管控，就可以充分發(fā)揮網(wǎng)絡(luò)、云端安全服務(wù)和企業(yè)安全設(shè)備的優(yōu)勢(shì)，從而靈活地應(yīng)對(duì)未知的安全威脅。從該角度出發(fā)，作者提出基于安全態(tài)勢(shì)感知的智能決策與聯(lián)動(dòng)防護(hù)方案。

1 整體方案

本方案是以運(yùn)營(yíng)商的基礎(chǔ)網(wǎng)絡(luò)為支撐，實(shí)現(xiàn)運(yùn)營(yíng)商云安全服務(wù)、企業(yè)公有云和私有云安全資源池、企業(yè)安全設(shè)備的統(tǒng)一接入，通過安全態(tài)勢(shì)對(duì)異源數(shù)據(jù)的動(dòng)態(tài)分析實(shí)現(xiàn)攻擊預(yù)警，針對(duì)攻擊預(yù)警進(jìn)行智能決策形成防護(hù)建議，基于防護(hù)建議結(jié)合底層安全能力屬性下發(fā)安全防護(hù)策略，根據(jù)防護(hù)效果動(dòng)態(tài)調(diào)整策略，以便達(dá)到預(yù)期效果，從而滿足企業(yè)云環(huán)境和網(wǎng)絡(luò)環(huán)境的定制化安全防護(hù)需求。整體方案目標(biāo)如圖1所示。

圖1 整體方案示意圖

其中企業(yè)通常會(huì)在公有云、私有云上部署一些擴(kuò)展性強(qiáng)、防護(hù)效果優(yōu)的云安全防護(hù)服務(wù)，比如云WAF、云掃描、云高防、云探針等，隨著對(duì)環(huán)境的適應(yīng)，這些服務(wù)可以為企業(yè)的安全需求提供一定的定制化功能。部分未上云的企業(yè)則會(huì)在企業(yè)網(wǎng)絡(luò)上部署一些針對(duì)性的安全設(shè)備，比如安全檢測(cè)和防御設(shè)備IDS、IPS、防火墻等，這些設(shè)備主要解決“最后一公里”的安全問題，此類設(shè)備的防護(hù)日志以及告警數(shù)據(jù)的精準(zhǔn)度較高，針對(duì)性也更強(qiáng)。運(yùn)營(yíng)商在骨干網(wǎng)邊緣節(jié)點(diǎn)部署大量的分布式云安全防護(hù)節(jié)點(diǎn)，網(wǎng)絡(luò)廣度比企業(yè)更廣泛，防護(hù)能力也更全面。運(yùn)營(yíng)商除了安全能力最重要的就是網(wǎng)絡(luò)流量數(shù)據(jù)，骨干網(wǎng)或城域網(wǎng)上能夠收集到流量的諸多屬性（as 號(hào)、流量路徑、攻擊ip、攻擊協(xié)議、流量大小、國(guó)別），而這些屬性為攻擊預(yù)測(cè)的準(zhǔn)確性提供更高的貢獻(xiàn)度。

方案的設(shè)計(jì)思路如圖2所示。

圖2 方案設(shè)計(jì)思路圖

a）安全態(tài)勢(shì)感知對(duì)骨干網(wǎng)流量數(shù)據(jù)和骨干網(wǎng)邊緣云端安全服務(wù)、企業(yè)公有云、私有云安全資源池和安全設(shè)備的日志等異源數(shù)據(jù)采用實(shí)時(shí)分布式節(jié)點(diǎn)數(shù)據(jù)采集，對(duì)實(shí)時(shí)流入的多維數(shù)據(jù)進(jìn)行流式數(shù)據(jù)處理，形成關(guān)鍵特征。根據(jù)流量特征進(jìn)行動(dòng)態(tài)提取和聚合，形成一系列不同安全級(jí)別的攻擊預(yù)警，隨著日志維度的增加，安全事件逐步顯性化，告警預(yù)測(cè)精準(zhǔn)度逐步提高。

b）對(duì)安全態(tài)勢(shì)感知產(chǎn)生的一系列的攻擊預(yù)警數(shù)據(jù)進(jìn)行智能決策，智能決策主要對(duì)安全威脅屬性、用戶風(fēng)險(xiǎn)偏好、安全設(shè)備和服務(wù)屬性等形成威脅的因素進(jìn)行多維度的預(yù)估判斷，結(jié)合當(dāng)前管控的安全能力形成可操作的防護(hù)建議。在此過程中需要不斷沉淀安全設(shè)備和云服務(wù)攻防對(duì)抗的實(shí)踐經(jīng)驗(yàn)，通過在真實(shí)的攻擊場(chǎng)景下優(yōu)化攻防技術(shù)以及發(fā)掘新的技術(shù)方向，豐富智能決策的防護(hù)建議。

c）根據(jù)防護(hù)建議提供的防護(hù)類型、攻擊屬性、預(yù)期效果等形成具體的防護(hù)策略，策略包括設(shè)備和服務(wù)的調(diào)度類型和調(diào)度范圍，相同設(shè)備可采用不同的策略。此環(huán)節(jié)通過與骨干網(wǎng)邊緣節(jié)點(diǎn)部署的云安全服務(wù)聯(lián)動(dòng)應(yīng)對(duì)通用特征攻擊和較大攻擊；與公有云和私有云的資源池安全能力聯(lián)動(dòng)應(yīng)對(duì)較小攻擊和精細(xì)化的安全過濾策略；與企業(yè)端點(diǎn)處的防護(hù)設(shè)備聯(lián)動(dòng)對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行精準(zhǔn)防護(hù)。

d）收集與防護(hù)效果相關(guān)的日志，如策略下發(fā)后產(chǎn)生的防護(hù)日志以及網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控的反饋，通過對(duì)日志的分析，完成對(duì)防護(hù)效果的回歸分析。

以上4個(gè)環(huán)節(jié)在應(yīng)對(duì)安全威脅時(shí)能夠形成有效閉環(huán)，通過對(duì)防護(hù)效果的分析，加強(qiáng)對(duì)態(tài)勢(shì)感知、智能決策和聯(lián)動(dòng)防護(hù)模型的改進(jìn)，防護(hù)效果將越來越好。

2 詳細(xì)設(shè)計(jì)

2.1 態(tài)勢(shì)感知

安全態(tài)勢(shì)感知的優(yōu)勢(shì)在于對(duì)網(wǎng)絡(luò)、云環(huán)境、端點(diǎn)等多維度要素的感知、理解和預(yù)測(cè)，相對(duì)于傳統(tǒng)的專注于某一維度的安全防護(hù)，安全態(tài)勢(shì)感知從總體上對(duì)安全要素進(jìn)行采集與理解，形成更高維度的對(duì)安全的認(rèn)識(shí)，從而形成準(zhǔn)確性、實(shí)時(shí)性高的攻擊預(yù)警數(shù)據(jù)，態(tài)勢(shì)感知數(shù)據(jù)收集途徑如圖3所示。

圖3 態(tài)勢(shì)感知數(shù)據(jù)收集途徑

2.1.1 目標(biāo)

安全態(tài)勢(shì)感知通過采集數(shù)百萬設(shè)備的日志以及骨干網(wǎng)的流量數(shù)據(jù)，為安全態(tài)勢(shì)感知提供豐富的數(shù)據(jù)維度支撐。但由于數(shù)據(jù)源收集的時(shí)效性、數(shù)據(jù)解析的清洗效率、數(shù)據(jù)源對(duì)事件判斷的貢獻(xiàn)度不同，態(tài)勢(shì)感知需要分布式的流式處理機(jī)制，以對(duì)數(shù)據(jù)源進(jìn)行就近采集、就近處理，適應(yīng)這種“無邊界”的數(shù)據(jù)集的持續(xù)輸入。態(tài)勢(shì)感知最后要達(dá)到以下3個(gè)方面的目標(biāo)。

a）形成基于多維度的網(wǎng)絡(luò)空間安全態(tài)勢(shì)，比如威脅情報(bào)、域名訪問、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)攻擊、網(wǎng)站安全等，為整體的安全研發(fā)重心提供方向。

b）形成基于單端點(diǎn)（單個(gè)IP、單個(gè)網(wǎng)站）的目標(biāo)安全態(tài)勢(shì)，向目標(biāo)群體展現(xiàn)端點(diǎn)受到威脅的情況。

c）形成端點(diǎn)的預(yù)警數(shù)據(jù)，包括預(yù)警攻擊類型、攻擊目標(biāo)、主要攻擊源、威脅風(fēng)險(xiǎn)值、預(yù)警級(jí)別、攻擊流量大小等屬性，可隨著數(shù)據(jù)的不斷積累優(yōu)勝劣汰數(shù)據(jù)維度。

2.1.2 設(shè)計(jì)方法

態(tài)勢(shì)感知對(duì)數(shù)據(jù)的具體處理流程大致總結(jié)為以下5個(gè)步驟（見圖4）。

圖4 態(tài)勢(shì)感知數(shù)據(jù)處理流程

a）通過安全態(tài)勢(shì)對(duì)多源異構(gòu)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)、協(xié)議適配，搭建分布式的數(shù)據(jù)采集點(diǎn)，采用流處理機(jī)制對(duì)接入日志進(jìn)行范式化處理。

b）梳理不同安全設(shè)備、服務(wù)的日志格式及關(guān)鍵信息，對(duì)日志中安全威脅以及風(fēng)險(xiǎn)特征的相關(guān)因素進(jìn)行清洗，提取有價(jià)值的基礎(chǔ)信息。

c）通過對(duì)不同提取源的數(shù)據(jù)進(jìn)行聚合分析，分離出風(fēng)險(xiǎn)性較高的特征，同時(shí)根據(jù)特征的危險(xiǎn)系數(shù)、出現(xiàn)頻次、相關(guān)性等形成不同層級(jí)的特征庫，從不同的目標(biāo)IP 或者網(wǎng)站為聚合顆粒度與特征庫形成關(guān)聯(lián)關(guān)系。

d）對(duì)目標(biāo)IP或者網(wǎng)站的關(guān)聯(lián)特征進(jìn)行多維畫像，通過畫像的多值運(yùn)算或加權(quán)運(yùn)算，得到基于某個(gè)目標(biāo)IP或網(wǎng)站的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)警。

e）由于部分預(yù)警的結(jié)果可能會(huì)受到多源數(shù)據(jù)收集的時(shí)差、特征分析的快慢、特征之間關(guān)聯(lián)關(guān)系、防護(hù)動(dòng)作等多方面因素的影響，需要經(jīng)過多次運(yùn)算，形成精準(zhǔn)度高的預(yù)警數(shù)據(jù)。

2.2 智能決策

2.2.1 目標(biāo)

通過態(tài)勢(shì)感知評(píng)估出的預(yù)警數(shù)據(jù)，需要基于攻擊威脅程度、威脅類型等威脅屬性，目標(biāo)端點(diǎn)誤傷的接收程度、目標(biāo)端點(diǎn)策略偏好等用戶的屬性，系統(tǒng)內(nèi)可調(diào)度的防護(hù)設(shè)備、設(shè)備防護(hù)容量等設(shè)備屬性進(jìn)行以下2 個(gè)方面的決策：其一，進(jìn)行當(dāng)前攻擊預(yù)警的預(yù)判（忽略、暫緩、處置）；其二，進(jìn)行預(yù)警處置的防護(hù)方法決策，形成防護(hù)建議，具體的設(shè)計(jì)思路如圖5所示。

2.2.2 設(shè)計(jì)方法

a）識(shí)別預(yù)警數(shù)據(jù)及其屬性（預(yù)警攻擊類型、攻擊目標(biāo)、攻擊源、威脅風(fēng)險(xiǎn)值、預(yù)警級(jí)別、攻擊流量大小、最近一次預(yù)判結(jié)果），將單一目標(biāo)端點(diǎn)當(dāng)前預(yù)警屬性與最近一次預(yù)警進(jìn)行比對(duì)，通過比對(duì)模型形成當(dāng)前預(yù)警數(shù)據(jù)的預(yù)判結(jié)果。

b）根據(jù)預(yù)判結(jié)果決定是否進(jìn)入防護(hù)建議決策環(huán)節(jié)，預(yù)判為“處置”的預(yù)警數(shù)據(jù)進(jìn)入防護(hù)建議決策環(huán)節(jié)，預(yù)判為“暫緩”的預(yù)警數(shù)據(jù)參與下一次的預(yù)判分析，預(yù)判為“忽略”的預(yù)警數(shù)據(jù)則進(jìn)行預(yù)警丟棄。

c）防護(hù)手段決策主要基于預(yù)警屬性、用戶的屬性、設(shè)備屬性等多個(gè)維度進(jìn)行決策。除了一些客觀屬性（預(yù)警、設(shè)備）外，客戶的主觀屬性在某些特定環(huán)境下也是重點(diǎn)考慮的因素，比如客戶接受的業(yè)務(wù)損失程度。不同安全策略的處理效果存在較大差異，比如針對(duì)常見的DDoS 攻擊，可以采用流量清洗或者流量封堵手段應(yīng)對(duì)，應(yīng)對(duì)較大攻擊時(shí)流量封堵雖然高效，但是對(duì)業(yè)務(wù)的損傷較大，流量清洗雖然可能會(huì)出現(xiàn)清洗不徹底的情況，但對(duì)業(yè)務(wù)的損傷較小，所以用戶的一些主觀要求也是決策的主要因素。

d）根據(jù)決策結(jié)果形成防護(hù)建議，防護(hù)建議包括防護(hù)類型、攻擊屬性、預(yù)期防護(hù)效果以及備選方案等屬性。

e）分別對(duì)預(yù)警預(yù)判和防護(hù)決策2 個(gè)環(huán)節(jié)進(jìn)行建模，考慮采用決策數(shù)算法對(duì)屬性進(jìn)行歸納學(xué)習(xí)。通過實(shí)踐數(shù)據(jù)的訓(xùn)練來調(diào)整模型中影響屬性對(duì)結(jié)果的貢獻(xiàn)度以及異常邊界的數(shù)據(jù)的處理。

2.3 聯(lián)動(dòng)防護(hù)

2.3.1 目標(biāo)

根據(jù)防護(hù)建議形成具體的防護(hù)策略。聯(lián)動(dòng)的前提是需要對(duì)安全設(shè)備、云安全服務(wù)、骨干網(wǎng)絡(luò)策略配置進(jìn)行統(tǒng)一管理，以及不同的能力歸屬方對(duì)目標(biāo)的認(rèn)同，形成點(diǎn)對(duì)點(diǎn)的安全能力調(diào)度劃分標(biāo)準(zhǔn)和規(guī)范，建立能力調(diào)度的連通性。隨著對(duì)接入端能力的不斷納管，聯(lián)動(dòng)防護(hù)的調(diào)整策略也更加靈活，防護(hù)范圍也更加全面。通過對(duì)防護(hù)指令下發(fā)后產(chǎn)生效果的分析，進(jìn)行一定范圍內(nèi)策略的動(dòng)態(tài)調(diào)整，以達(dá)到?jīng)Q策建議的預(yù)期效果，聯(lián)動(dòng)防護(hù)的整體目標(biāo)如圖6所示。

圖6 聯(lián)動(dòng)防護(hù)目標(biāo)

2.3.2 設(shè)計(jì)方法

a）建立兼容云網(wǎng)環(huán)境下不同廠家、不同安全設(shè)備的管理機(jī)制，同時(shí)納管接口協(xié)議、網(wǎng)絡(luò)位置、收集設(shè)備功能屬性、設(shè)備歸屬、防護(hù)邊界范圍、觸發(fā)條件等信息。通過插拔式的管理機(jī)制對(duì)安全能力進(jìn)行統(tǒng)一管理，提高設(shè)備納管效率。

b）考慮能力調(diào)度優(yōu)先級(jí)、容量、網(wǎng)絡(luò)帶寬、能力互補(bǔ)以及安全能力的其他基本防護(hù)特點(diǎn)進(jìn)行深度學(xué)習(xí)和大數(shù)據(jù)分析，形成安全策略的調(diào)度模型。對(duì)基礎(chǔ)安全能力形成單一、替代、組合、疊加等形式的動(dòng)態(tài)調(diào)度。安全策略有4 種形式：?jiǎn)我恍问绞峭ㄟ^防護(hù)建議中的多個(gè)因素，判斷是否單一設(shè)備或服務(wù)能夠滿足防護(hù)要求，用最小范圍的安全能力覆蓋盡可能大范圍的攻擊，單能力調(diào)度主要基于經(jīng)濟(jì)和防護(hù)效率方面考慮；替代形式是通過相同安全能力的不同策略切換，盡可能兼顧攻擊流量的識(shí)別效率與防護(hù)效果，達(dá)到相對(duì)較優(yōu)；組合形式是通過不同類型的設(shè)備和服務(wù)的組合調(diào)度，應(yīng)對(duì)不同攻擊手段同時(shí)發(fā)起的風(fēng)險(xiǎn)；疊加是通過不同層級(jí)、不同廠家的設(shè)備的調(diào)度，解決應(yīng)對(duì)攻擊時(shí)防護(hù)設(shè)備的分工以及利用率的問題。比如在監(jiān)測(cè)到攻擊中存在DDoS 大流量帶寬攻擊和CC 攻擊時(shí)，需要同時(shí)啟用DDoS清洗設(shè)備和高防設(shè)備。

c）根據(jù)決策建議與策略調(diào)度模型匹配，形成具體的安全設(shè)備調(diào)度策略，如設(shè)備啟用范圍、策略、先后順序，進(jìn)行防護(hù)指令下發(fā)，根據(jù)安全的防護(hù)日志反饋以及新的防護(hù)建議動(dòng)態(tài)調(diào)整防護(hù)策略。系統(tǒng)根據(jù)預(yù)期效果指標(biāo)判定是否能夠進(jìn)行動(dòng)態(tài)策略調(diào)整，設(shè)備的區(qū)域或者防御技術(shù)盲點(diǎn)，可能導(dǎo)致動(dòng)態(tài)調(diào)整失效，此問題需要通過不斷優(yōu)化以及補(bǔ)充盲點(diǎn)來解決。

2.4 效果分析與改進(jìn)

通過聯(lián)動(dòng)防護(hù)形成安全防護(hù)問題庫，問題庫收集的內(nèi)容主要包括系統(tǒng)動(dòng)態(tài)防護(hù)后效果不佳的預(yù)警任務(wù)、來自運(yùn)營(yíng)和運(yùn)維人員實(shí)際監(jiān)控過程中遇到的需要人工干預(yù)應(yīng)對(duì)的緊急事件以及系統(tǒng)無法進(jìn)行自動(dòng)響應(yīng)的攻擊。系統(tǒng)的改進(jìn)主要基于問題庫的事件，從態(tài)勢(shì)感知的預(yù)警數(shù)據(jù)、智能決策的防護(hù)建議、聯(lián)動(dòng)防護(hù)策略的下發(fā)與實(shí)施3 個(gè)環(huán)節(jié)查找原因，可通過基于模型以及算法的改進(jìn)、安全設(shè)備的覆蓋、熱點(diǎn)地區(qū)的防護(hù)設(shè)備補(bǔ)充、安全防護(hù)技術(shù)的提升等方式進(jìn)行系統(tǒng)改進(jìn)。

通過智能決策預(yù)警以及防護(hù)建議形成全要素知識(shí)庫，為安全態(tài)勢(shì)應(yīng)對(duì)攻擊時(shí)采取的防護(hù)手段的效率、及時(shí)性奠定基礎(chǔ)，同時(shí)也為安全運(yùn)營(yíng)、運(yùn)維人員監(jiān)控全網(wǎng)的安全態(tài)勢(shì)提供幫助。

3 總結(jié)

本文從安全生態(tài)建設(shè)的角度闡述了云網(wǎng)端的安全生態(tài)鏈條的發(fā)展現(xiàn)狀，以及生態(tài)圈中云網(wǎng)運(yùn)營(yíng)服務(wù)商、安全廠家、企業(yè)各自利害關(guān)系。提出基于云網(wǎng)端的一體化安全防護(hù)體系的建設(shè)思路，重點(diǎn)介紹了基于安全態(tài)勢(shì)感知的智能決策與聯(lián)動(dòng)防護(hù)的具體目標(biāo)和實(shí)現(xiàn)方法。

隨著云網(wǎng)安全邊界的模糊化、企業(yè)IT 資產(chǎn)的輕量化，企業(yè)對(duì)安全的需求越來越輕量化、定制化。安全的邊界發(fā)生了顯著的變化，從封閉、可預(yù)知慢慢地變?yōu)殚_放、沒有邊界。通過態(tài)勢(shì)感知形成智能決策以及聯(lián)動(dòng)防護(hù)促進(jìn)生態(tài)發(fā)展，生態(tài)圈伙伴可以通過資源共享、資源整合實(shí)現(xiàn)資源集約、互利共贏的遠(yuǎn)大目標(biāo)。