鄧金祥，溫嵩杰，侯俊龍，田曉東，周恩亞，谷 峰

（成都深思科技有限公司，四川 成都 610095）

0 引言

隨著互聯(lián)網(wǎng)的蓬勃發(fā)展、聯(lián)網(wǎng)設(shè)備的日益增加，網(wǎng)絡(luò)連接設(shè)備，如路由器、交換機(jī)、防火墻等，在互聯(lián)網(wǎng)中的存量也達(dá)到了一定量級(jí)。近年來(lái)，多家路由器廠商的安全漏洞在黑客間廣為流傳，以路由器為主的網(wǎng)絡(luò)設(shè)備相關(guān)安全事件被頻繁曝出。網(wǎng)絡(luò)設(shè)備面臨的威脅風(fēng)險(xiǎn)正在成為僅次于英特爾中央處理器（Central Processing Unit，CPU）漏洞的新增長(zhǎng)領(lǐng)域[1]。網(wǎng)絡(luò)連接設(shè)備（以下簡(jiǎn)稱(chēng)網(wǎng)絡(luò)設(shè)備）在互聯(lián)網(wǎng)中占據(jù)著支撐地位，一旦被惡意攻擊，攻擊者可以對(duì)下游服務(wù)器和個(gè)人PC 實(shí)施精準(zhǔn)打擊，進(jìn)一步發(fā)起域名系統(tǒng)（Domain Name System，DNS）劫持、竊取信息、網(wǎng)絡(luò)釣魚(yú)等攻擊，直接威脅用戶數(shù)據(jù)存儲(chǔ)安全，使得相關(guān)網(wǎng)絡(luò)設(shè)備變成隨時(shí)可被引爆的“地雷”，造成嚴(yán)重后果。

1 安全現(xiàn)狀

1.1 國(guó)內(nèi)外安全形勢(shì)

在2013 年，斯諾登披露的“棱鏡計(jì)劃”就已經(jīng)表明：路由器等網(wǎng)絡(luò)設(shè)備是實(shí)施網(wǎng)絡(luò)監(jiān)聽(tīng)的重要攻擊目標(biāo)。2015 年9 月，國(guó)外安全公司FireEye發(fā)現(xiàn)針對(duì)路由器的植入式后門(mén)，涉及多種型號(hào)的Cisco 路由器。2018 年3 月，卡巴斯基揭露了一起潛伏6 年的，被稱(chēng)作“彈弓”的網(wǎng)絡(luò)間諜行動(dòng)，攻擊者通過(guò)入侵非洲和中東多國(guó)的路由器，感染了數(shù)千臺(tái)設(shè)備。2018 年5 月，Cisco 公司稱(chēng)俄羅斯黑客組織利用惡意軟件感染了全球至少50 萬(wàn)臺(tái)路由器，主要影響對(duì)象為小型和家庭常用的Linksys、MikroTik、Netgear、TP-Link、華碩、華為、中興和D-Link 等路由器。2020 年3 月，360 披露了兩個(gè)神秘黑客組織通過(guò)入侵居易科技的網(wǎng)絡(luò)設(shè)備，竊取郵件及文件并添加后門(mén)的行為。

由上述安全事件中可以看出，網(wǎng)絡(luò)設(shè)備安全事件正愈演愈烈，然而，公眾所知的網(wǎng)絡(luò)設(shè)備安全事件只是冰山一角。國(guó)家信息安全漏洞共享平臺(tái)在分析驗(yàn)證多家廠商的路由器產(chǎn)品后，發(fā)現(xiàn)它們都存在后門(mén)，黑客可由此直接控制路由器。在長(zhǎng)期對(duì)各類(lèi)高級(jí)可持續(xù)威脅攻擊（Advanced Persistent Threat attack，APT）案件的跟蹤中，筆者發(fā)現(xiàn)，以位于發(fā)達(dá)國(guó)家的APT 組織為主的黑客組織，其實(shí)很早就開(kāi)始大量利用網(wǎng)絡(luò)設(shè)備漏洞開(kāi)展竊密活動(dòng)了，但由于缺乏有效的網(wǎng)絡(luò)設(shè)備流量檢測(cè)產(chǎn)品，很多安全事件沒(méi)有被及時(shí)發(fā)現(xiàn)。此外，在之前中美貿(mào)易摩擦以及“五眼”聯(lián)盟對(duì)中國(guó)華為、中興等網(wǎng)絡(luò)設(shè)備廠商的限制事件中，也可以看出，網(wǎng)絡(luò)設(shè)備安全對(duì)國(guó)家網(wǎng)絡(luò)安全至關(guān)重要，因此受到了國(guó)內(nèi)外政府的高度重視?；诖耍?xí)近平總書(shū)記在2018 年4 月的講話中特別提到：要積極發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)，做到關(guān)口前移，防患于未然。

1.2 當(dāng)前檢測(cè)能力的脆弱性

傳統(tǒng)的網(wǎng)絡(luò)設(shè)備識(shí)別檢測(cè)方案主要是基于一些已知的漏洞或常規(guī)攻擊手段提取一些流量上的檢測(cè)規(guī)則，再進(jìn)行全流量匹配實(shí)現(xiàn)檢測(cè)。側(cè)重于直接發(fā)現(xiàn)攻擊或者入侵的過(guò)程。這種方式在實(shí)戰(zhàn)過(guò)程中雖然也具備一定的效果，但做法比較簡(jiǎn)單、粗暴，沒(méi)有形成體系，檢測(cè)規(guī)則基本上反映了系統(tǒng)的檢測(cè)能力，局限性非常明顯，具體體現(xiàn)在以下幾個(gè)方面：

（1）檢測(cè)規(guī)則難以做到全面覆蓋，檢測(cè)存在明顯的滯后性。網(wǎng)絡(luò)設(shè)備本身類(lèi)型很多，各類(lèi)設(shè)備的硬件形式、固件類(lèi)型、操作系統(tǒng)都存在很大的差異，要想實(shí)現(xiàn)對(duì)漏洞等相關(guān)威脅的有效覆蓋本身就比較困難，加之目前網(wǎng)絡(luò)安全行業(yè)中針對(duì)網(wǎng)絡(luò)設(shè)備安全的關(guān)注不夠，進(jìn)一步導(dǎo)致了檢測(cè)規(guī)則的搜集和更新比較滯后，因此很多威脅無(wú)法及時(shí)被發(fā)現(xiàn)和檢測(cè)。

（2）對(duì)未知威脅的檢測(cè)能力薄弱。由于檢測(cè)方式過(guò)分依賴規(guī)則，導(dǎo)致檢測(cè)系統(tǒng)的檢測(cè)能力都是針對(duì)相關(guān)規(guī)則的已知威脅的，對(duì)于新形式的未知威脅無(wú)能為力。

（3）網(wǎng)絡(luò)設(shè)備通信常被配置為白名單。在企業(yè)級(jí)網(wǎng)絡(luò)環(huán)境中，一般都會(huì)配備防火墻、入侵防御系統(tǒng)（Intrusion Prevention Systems，IPS）、入侵檢測(cè)系統(tǒng)（Intrusion detection system，IDS）等防護(hù)設(shè)備，但在實(shí)際使用中，為保證網(wǎng)絡(luò)通暢和維護(hù)方便，常將網(wǎng)絡(luò)設(shè)備IP 及常用端口設(shè)置為白名單，這就給攻擊者可乘之機(jī)，形成安全防護(hù)漏洞。

（4）全流量環(huán)境檢測(cè)網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)的效率低下。在絕大部分網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)中的流量都是非網(wǎng)絡(luò)設(shè)備產(chǎn)生的，檢測(cè)系統(tǒng)無(wú)法對(duì)流量進(jìn)行區(qū)分，只能統(tǒng)一進(jìn)行檢測(cè)。這樣的做法，導(dǎo)致大部分檢測(cè)都是無(wú)效的，浪費(fèi)了很多硬件資源，資源利用率低。此外，由于全流量檢測(cè)導(dǎo)致單臺(tái)檢測(cè)設(shè)備的流量接入能力有限，可以部署的網(wǎng)絡(luò)流量規(guī)模也就有限，從而進(jìn)一步降低了網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)的檢出率。

2 網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)分析

目前，網(wǎng)絡(luò)設(shè)備越來(lái)越受到APT 組織的關(guān)注，其原因與設(shè)備本身的以下特點(diǎn)密切相關(guān)。

（1）長(zhǎng)期在線且暴露面廣。網(wǎng)絡(luò)設(shè)備作為網(wǎng)絡(luò)基礎(chǔ)設(shè)施，不可避免地需要放置在網(wǎng)絡(luò)邊界，暴露在互聯(lián)網(wǎng)中。特別是為了方便被其他接入設(shè)備發(fā)現(xiàn)和管理，網(wǎng)絡(luò)設(shè)備往往比普通終端設(shè)備更直接地暴露在網(wǎng)絡(luò)中并提供服務(wù)。此外，為了保障網(wǎng)絡(luò)持續(xù)、穩(wěn)定、高效地運(yùn)轉(zhuǎn)，設(shè)備需要保持長(zhǎng)期在線工作。

（2）固件更新慢且升級(jí)復(fù)雜。網(wǎng)絡(luò)設(shè)備因?yàn)槠涔δ鼙容^簡(jiǎn)單，出現(xiàn)功能性問(wèn)題的概率較低，因此更新通常比較慢。最為嚴(yán)重的是，大部分網(wǎng)絡(luò)設(shè)備無(wú)法自動(dòng)更新固件，一旦出現(xiàn)漏洞則需要用戶主動(dòng)升級(jí)固件，或者由廠商提供固件升級(jí)服務(wù)。

（3）關(guān)注度低，風(fēng)險(xiǎn)不易發(fā)現(xiàn)。網(wǎng)絡(luò)設(shè)備一旦部署，只要網(wǎng)絡(luò)處于正常運(yùn)行狀態(tài)，用戶就很少再關(guān)注網(wǎng)絡(luò)設(shè)備的安全性，因此，即使網(wǎng)絡(luò)設(shè)備被曝出漏洞，也會(huì)因?yàn)檫z忘、不關(guān)心、不了解等因素，不能及時(shí)得到修復(fù)。

（4）防護(hù)措施少，不易檢測(cè)。網(wǎng)絡(luò)設(shè)備因?yàn)槠渥陨硇阅?、軟件?kù)等因素，一般不會(huì)配備安裝防病毒、防滲透等專(zhuān)業(yè)防護(hù)軟件，因此受到威脅后很難被發(fā)現(xiàn)和清除。

（5）受信任度高，易于穿透。網(wǎng)絡(luò)設(shè)備是設(shè)計(jì)用于連接設(shè)備與設(shè)備、網(wǎng)絡(luò)與網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)設(shè)備，是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)臉屑~，要實(shí)現(xiàn)正常通信，網(wǎng)絡(luò)設(shè)備需要完全被信任，因此所有的通信數(shù)據(jù)都會(huì)被放行通過(guò)這些設(shè)備。

基于以上特點(diǎn)，網(wǎng)絡(luò)設(shè)備一旦被控，將成為攻擊者可長(zhǎng)期操控的穩(wěn)定攻擊源，且不易被發(fā)現(xiàn)和檢測(cè)。同時(shí)，攻擊者可以較為容易地通過(guò)被控設(shè)備對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行內(nèi)網(wǎng)滲透、流量劫持等擴(kuò)散性攻擊，大范圍影響網(wǎng)絡(luò)安全，造成嚴(yán)重后果。

2.1 固件漏洞分析

2021 年，Cisco 公布了一個(gè)新的路由器命令注入漏洞，漏洞編號(hào)CVE-2021-1414。該漏洞允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者在受影響的設(shè)備上執(zhí)行任意代碼，繼而通過(guò)路由器進(jìn)行一系列的內(nèi)網(wǎng)滲透、信息竊取、網(wǎng)絡(luò)破壞等高危攻擊和竊密行為。

受漏洞影響的設(shè)備為Cisco 的RV340 系列路由器，該系列路由器可為小型企業(yè)提供防火墻和高速上網(wǎng)服務(wù)。在人力與經(jīng)費(fèi)有限的情況下，小型企業(yè)很難防范來(lái)自網(wǎng)絡(luò)設(shè)備的漏洞攻擊。因此，APT 組織將目標(biāo)放在這些與大型企業(yè)合作的中小企業(yè)上，以中小企業(yè)為跳板，只要攻陷任何一家，就有機(jī)會(huì)滲透與其合作的大型企業(yè)，如圖1 所示。

圖1 網(wǎng)絡(luò)設(shè)備攻擊

RV340 路由器使用的固件為.img 格式，由此可知，此系列的路由器是基于openwrt 開(kāi)發(fā)的。OpenWRTF 是一個(gè)高度模塊化、高度自動(dòng)化的嵌入式Linux 系統(tǒng)，擁有強(qiáng)大的網(wǎng)絡(luò)組件和擴(kuò)展能力，多被用于工控設(shè)備、電話、小型機(jī)器人、智能家居、路由器以及基于IP 的語(yǔ)音傳輸（Voice over Internet Protocol，VOIP）設(shè)備中。

本文先使用binwalk 對(duì)固件文件進(jìn)行分析，得到文件系統(tǒng)中的全部?jī)?nèi)容，定位到目標(biāo)平臺(tái)為ARM 32 小端。然后，結(jié)合已知的公開(kāi)漏洞信息對(duì)固件的文件系統(tǒng)進(jìn)行定位分析，并使用交互式反匯編器專(zhuān)業(yè)版（Interactive Disassembler Professional，IDA）進(jìn)行逆向工程分析，最終定位至漏洞函數(shù)setpre_snmp，如圖2 所示。此函數(shù)在調(diào)用popen 執(zhí)行命令前未對(duì)usmUserPrivKey 中的值進(jìn)行過(guò)濾，從而導(dǎo)致了命令注入。目前Cisco 官方針對(duì)此漏洞已經(jīng)出具了修復(fù)方式，即需要將固件版本升級(jí)到一定版本以上。

圖2 固件代碼漏洞

根據(jù)對(duì)上述漏洞的分析可以看出，網(wǎng)絡(luò)設(shè)備漏洞是非常容易被利用并作為攻擊手段的。此外，由于大多數(shù)路由器不支持自動(dòng)升級(jí)，都需要人為進(jìn)行版本檢測(cè)再進(jìn)行在線升級(jí)，甚至有些情況下只能離線升級(jí)。

綜上，在網(wǎng)絡(luò)設(shè)備保有量不斷增加，但受關(guān)注度低的背景下，其面臨的風(fēng)險(xiǎn)正日益增加，尤其是舊版本的網(wǎng)絡(luò)設(shè)備，都存在已知的公開(kāi)的漏洞。

2.2 應(yīng)用服務(wù)漏洞分析

在現(xiàn)有的網(wǎng)絡(luò)設(shè)備中，防火墻設(shè)備本身就是網(wǎng)絡(luò)安全的屏障，可以大幅度提高網(wǎng)絡(luò)的安全性，處理過(guò)濾大部分未知流量，將風(fēng)險(xiǎn)因素降至最低，強(qiáng)化網(wǎng)絡(luò)安全防護(hù)能力。但是就是這樣一個(gè)專(zhuān)門(mén)用于網(wǎng)絡(luò)安全防護(hù)的設(shè)備，在面對(duì)現(xiàn)有的網(wǎng)絡(luò)空間環(huán)境時(shí)，也會(huì)出現(xiàn)力有不逮的情況。在網(wǎng)絡(luò)安全領(lǐng)域，防火墻漏洞也是屢見(jiàn)不鮮，矛與盾的沖突始終在不停地上演。

Fortigate 防火墻的cookie 棧溢出漏洞就是這一沖突之下的一角縮影。該漏洞編號(hào)為CVE-2016-6909，最早由Equation Group 組織使用來(lái)攻擊各大廠商的防火墻。該漏洞在特定版本的Fortigate 防火墻中存在。這些版本的防火墻中的Cookie 解析器存在緩沖區(qū)溢出問(wèn)題，遠(yuǎn)程攻擊者可以使用特意拼接的HTTP 請(qǐng)求執(zhí)行任意代碼，以跳過(guò)防火墻的防護(hù)，入侵內(nèi)部網(wǎng)絡(luò)，完成內(nèi)網(wǎng)橫向滲透、信息竊取、網(wǎng)絡(luò)破壞等攻擊動(dòng)作。

本文根據(jù)廠商提供的虛擬機(jī)鏡像版本FGT_VM-v400-build0482，對(duì)該漏洞進(jìn)行了深入的分析定位及復(fù)現(xiàn)，以提取其中的特征信息。通常情況下，防火墻設(shè)備不會(huì)提供shell，而是僅提供一個(gè)簡(jiǎn)易的命令行界面（Command Line Interface，CLI），在上面只能使用其內(nèi)置的功能，這些功能并沒(méi)有組成一個(gè)可用的操作系統(tǒng)，也無(wú)法通過(guò)CLI 直接拿到shell?；诖祟?lèi)設(shè)備特點(diǎn)，對(duì)虛擬機(jī)鏡像進(jìn)行掛載，找到內(nèi)核鏡像文件flatkc.smp 與flatkc.nosmp，配置文件extlinux.conf，從而定位到文件系統(tǒng)rootfs.gz，將其解壓，分析其init 進(jìn)程，便于后續(xù)漏洞定位。解壓的文件系統(tǒng)如圖3 所示。

圖3 文件系統(tǒng)

分析init 進(jìn)程的結(jié)果如下：

檢查/bin.tar.xz 是否存在，若是則創(chuàng)建子進(jìn)程執(zhí)行/sbin/xz -check=sha256 -d/bin.tar.xz；父進(jìn)程等待子進(jìn)程結(jié)束后刪除/bin.tar.xz；之后檢查/bin.tar是否存在，若是則創(chuàng)建子進(jìn)程執(zhí)行/sbin/ftar -xf/bin.tar；父進(jìn)程等待子進(jìn)程結(jié)束后刪除/bin.tar。

上一步成功后檢查/migadmin.tar.xz 是否存在，若是則創(chuàng)建子進(jìn)程執(zhí)行/sbin/xz -check=sha256 -d/migadmin.tar.xz；父進(jìn)程等待子進(jìn)程結(jié)束后刪除/migadmin.tar.xz；之后檢查/migadmin.tar 是否存在，若是則創(chuàng)建子進(jìn)程執(zhí)行/sbin/ftar -xf/migadmin.tar；父進(jìn)程等待子進(jìn)程結(jié)束后刪除/migadmin.tar。

刪除/sbin/xz。

刪除/sbin/ftar。

執(zhí)行/bin/init。

再對(duì)bin.tar.xz 進(jìn)行分析后，如圖4 所示，可以看出其中httpsd 等網(wǎng)絡(luò)服務(wù)都是/bin/init 的軟鏈接。/bin/init 應(yīng)當(dāng)為防火墻提供了基本的網(wǎng)絡(luò)服務(wù)，而chmod 等常用命令等都是/bin/sysctl 的軟鏈接，應(yīng)當(dāng)類(lèi)似busybox 的工具庫(kù)。

圖4 bin.tar.xz 分析

根據(jù)CVE 通告描述的Cookie，解析過(guò)程中發(fā)生緩沖區(qū)溢出的描述，構(gòu)造HTTP 請(qǐng)求來(lái)進(jìn)行漏洞復(fù)現(xiàn)；然后將Cookie 中的字段進(jìn)行拆分組合，最終確定AuthHash 字段是棧溢出漏洞，當(dāng)其字符數(shù)量達(dá)到0x60 時(shí)會(huì)觸發(fā)防火墻棧溢出，httpsd 服務(wù)崩潰。根據(jù)報(bào)錯(cuò)信息進(jìn)行回溯后，最終定位到sub_820CB5E()函數(shù)，如圖5 所示，它對(duì)Cookie 內(nèi)容的解析使用了不安全的%s 來(lái)讀取AuthHash 到棧上，從而導(dǎo)致棧溢出漏洞。

圖5 溢出點(diǎn)

在后續(xù)研究中，嘗試使用了gadget 來(lái)拼寫(xiě)攻擊載荷，組成HTTP 請(qǐng)求，執(zhí)行了一段關(guān)機(jī)代碼：

最終也成功終止了防火墻服務(wù)，關(guān)閉了防火墻設(shè)備，其他shellcode 則不再贅述。

綜上，防火墻設(shè)備是為了確保安全而引入的，但安全產(chǎn)品又會(huì)有新的安全問(wèn)題產(chǎn)生，成了一個(gè)無(wú)解的循環(huán)。尤其在當(dāng)前愈加嚴(yán)峻的網(wǎng)絡(luò)空間安全形勢(shì)下，針對(duì)網(wǎng)絡(luò)設(shè)備所可能受到的安全風(fēng)險(xiǎn)，需要研究提出高效、準(zhǔn)確的檢測(cè)技術(shù)及思路。

3 網(wǎng)絡(luò)設(shè)備檢測(cè)思路

從網(wǎng)絡(luò)設(shè)備安全這個(gè)角度，可以把網(wǎng)絡(luò)中的流量分為兩類(lèi)：一類(lèi)是網(wǎng)絡(luò)設(shè)備的自身流量，即網(wǎng)絡(luò)設(shè)備自己和外部建立通信時(shí)產(chǎn)生的流量，比如訪問(wèn)路由器web 管理界面的流量；另一類(lèi)是網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)的流量，就是網(wǎng)絡(luò)中的非網(wǎng)絡(luò)設(shè)備，比如手機(jī)、PC、服務(wù)器等這些設(shè)備產(chǎn)生的流量，這些流量只是會(huì)通過(guò)網(wǎng)絡(luò)設(shè)備進(jìn)行轉(zhuǎn)發(fā)，所以稱(chēng)之為轉(zhuǎn)發(fā)流量，與網(wǎng)絡(luò)設(shè)備自身產(chǎn)生的流量是不同的。本文的檢測(cè)重點(diǎn)為網(wǎng)絡(luò)設(shè)備的自身流量，如圖6 所示。

圖6 網(wǎng)絡(luò)設(shè)備流量

3.1 流量采集與處理

流量采集是高對(duì)抗網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測(cè)的基礎(chǔ)。只有捕獲到正確的數(shù)據(jù)包，后續(xù)的流量分離和威脅檢測(cè)溯源才有價(jià)值。下文將對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測(cè)使用的流量采集技術(shù)，以及主流的流量處理開(kāi)發(fā)平臺(tái)進(jìn)行研究分析。

3.1.1 高速流量采集技術(shù)

原始數(shù)據(jù)包在線采集主要是通過(guò)物理層和數(shù)據(jù)鏈路層的信號(hào)解析和解幀，實(shí)現(xiàn)對(duì)原始數(shù)據(jù)包報(bào)文的獲取。傳統(tǒng)的網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)需要產(chǎn)生中斷才能將數(shù)據(jù)包提交到用戶層進(jìn)行處理，并且還會(huì)對(duì)數(shù)據(jù)包進(jìn)行多次拷貝，因此性能低下。具體地，網(wǎng)絡(luò)數(shù)據(jù)包到來(lái)后，網(wǎng)卡設(shè)備先根據(jù)配置進(jìn)行直接存儲(chǔ)器訪問(wèn)（Direct Memory Access，DMA）操作；隨后網(wǎng)卡發(fā)送硬中斷，喚醒處理器；處理器被喚醒后，則將數(shù)據(jù)包填充到讀寫(xiě)緩沖區(qū)數(shù)據(jù)結(jié)構(gòu)；內(nèi)核處理完數(shù)據(jù)包后，則通知用戶層獲取數(shù)據(jù)包，用戶層收到消息以后，再將數(shù)據(jù)包拷貝到用戶層。在整個(gè)過(guò)程中，首先硬中斷和內(nèi)存拷貝非常消耗性能，每次硬中斷大約會(huì)消耗100 μs，加上終止上下文帶來(lái)的缺頁(yè)中斷，性能開(kāi)銷(xiāo)更大；其次，Linux 在內(nèi)核態(tài)和用戶態(tài)之間的來(lái)回切換也會(huì)消耗大量性能，導(dǎo)致性能進(jìn)一步降低。

通過(guò)研究，本文重新設(shè)計(jì)的高速流量采集技術(shù)能夠克服之前架構(gòu)的性能限制，具體方式如下：

（1）預(yù)分配和重用內(nèi)存資源：在開(kāi)始分組接收之前，預(yù)先分配好將要到達(dá)的數(shù)據(jù)包所需的內(nèi)存空間，用來(lái)存儲(chǔ)數(shù)據(jù)和元數(shù)據(jù)。

（2）并行直接通道傳遞數(shù)據(jù)包：為了解決序列化的訪問(wèn)流量，建立從網(wǎng)卡多隊(duì)列（Receive Side Scaling，RSS）到應(yīng)用之間的直接并行數(shù)據(jù)通道，通過(guò)特定的RSS 隊(duì)列、特定的CPU 核和應(yīng)用三者的綁定來(lái)實(shí)現(xiàn)性能的提升。

（3）內(nèi)存映射：將應(yīng)用程序的內(nèi)存區(qū)域映射到內(nèi)核態(tài)的內(nèi)存區(qū)域，應(yīng)用能夠在沒(méi)有中間副本的情況下讀寫(xiě)這片內(nèi)存區(qū)域。這種方式可以使應(yīng)用直接訪問(wèn)網(wǎng)卡的DMA 內(nèi)存區(qū)域，即零拷貝技術(shù)。

（4）數(shù)據(jù)包的批處理：為了避免對(duì)每個(gè)數(shù)據(jù)包重復(fù)操作的開(kāi)銷(xiāo)，對(duì)數(shù)據(jù)包進(jìn)行批量處理，即將數(shù)據(jù)包劃分為組，按組分配緩沖區(qū)一起復(fù)制到內(nèi)核/用戶內(nèi)存。

為了滿足高性能數(shù)據(jù)接入要求，本文重寫(xiě)了網(wǎng)絡(luò)驅(qū)動(dòng)設(shè)備進(jìn)行數(shù)據(jù)采集，其處理流程如圖7 所示。

圖7 網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)處理流程

由圖7 可知，當(dāng)數(shù)據(jù)包到來(lái)時(shí)，該網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)不會(huì)產(chǎn)生中斷，而是直接將數(shù)據(jù)包保存在緩存區(qū)中。當(dāng)一塊緩存區(qū)寫(xiě)滿以后，則將緩存提交到應(yīng)用層，再重新申請(qǐng)一塊新的緩存區(qū)用于存取數(shù)據(jù)，用戶層接收到緩存的數(shù)據(jù)后，就立即處理緩存的數(shù)據(jù)。

通過(guò)高速流量采集技術(shù)，能夠快速完整地實(shí)現(xiàn)大流量場(chǎng)景下的轉(zhuǎn)發(fā)流量和網(wǎng)絡(luò)設(shè)備流量采集，為后續(xù)的網(wǎng)絡(luò)基礎(chǔ)設(shè)備流量識(shí)別、分離、分析與檢測(cè)做好數(shù)據(jù)準(zhǔn)備。

3.1.2 流量處理開(kāi)發(fā)平臺(tái)

目前流行的流量處理開(kāi)發(fā)主要使用Gopacket 和數(shù)據(jù)平面開(kāi)發(fā)工具集（Inter Data Plane Development Kit，DPDK），網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測(cè)技術(shù)使用的則是DPDK 平臺(tái)。

DPDK 是英特爾公司設(shè)計(jì)開(kāi)發(fā)的數(shù)據(jù)平面開(kāi)發(fā)工具集，廣泛應(yīng)用于傳統(tǒng)電信領(lǐng)域3 層以下的應(yīng)用。在此開(kāi)發(fā)平臺(tái)中，通過(guò)使用無(wú)鎖隊(duì)列、RingBuffer、AC_BM、Hyperscan 等眾多高性能匹配算法，實(shí)現(xiàn)了超大流量數(shù)據(jù)處理能力。

基于DPDK 的流量處理平臺(tái)為了滿足大流量環(huán)境，將網(wǎng)絡(luò)數(shù)據(jù)直接從網(wǎng)絡(luò)適配器傳輸?shù)接脩舫绦?，降低系統(tǒng)調(diào)用和數(shù)據(jù)復(fù)制的次數(shù)，減少CPU 在數(shù)據(jù)拷貝時(shí)候的負(fù)載，實(shí)現(xiàn)CPU 的零參與。此外，利用DPDK 的大頁(yè)內(nèi)存方式還可以提高內(nèi)存訪問(wèn)效率，降低頁(yè)表緩存（Translation Lookaside Buffer，TLB）沖突概率。為實(shí)現(xiàn)物理地址到虛擬地址的轉(zhuǎn)換，Linux 一般通過(guò)查找TLB 來(lái)進(jìn)行快速映射，如果在查找TLB 時(shí)沒(méi)有命中，就會(huì)觸發(fā)一次缺頁(yè)中斷，將訪問(wèn)內(nèi)存來(lái)重新刷新TLB 頁(yè)表。Linux 中，默認(rèn)頁(yè)大小為4 KB，當(dāng)用戶程序占用4 MB 的內(nèi)存時(shí)，就需要1 KB 的頁(yè)表項(xiàng)，如果使用2 MB 的頁(yè)面，那么只需要2 條頁(yè)表項(xiàng)，這樣有以下兩個(gè)好處：

（1）使用大頁(yè)內(nèi)存的內(nèi)存所需的頁(yè)表項(xiàng)比較少，對(duì)于需要大量?jī)?nèi)存的進(jìn)程來(lái)說(shuō)節(jié)省了很多開(kāi)銷(xiāo)，像Oracle 之類(lèi)的大型數(shù)據(jù)庫(kù)優(yōu)化都使用了大頁(yè)面配置；

（2）TLB 是CPU 中單獨(dú)的一塊高速Cache，一般只能容納100 條頁(yè)表項(xiàng)，采用大頁(yè)內(nèi)存可以大大降低TLB Miss 的開(kāi)銷(xiāo)，從而降低TLB 沖突概率。

DPDK 針對(duì)英特爾網(wǎng)卡實(shí)現(xiàn)了基于輪詢方式的輪詢模式（Poll Mode Drivers，PMD）驅(qū)動(dòng)，該驅(qū)動(dòng)由應(yīng)用程序接口（Application Program Interface，API）和用戶空間運(yùn)行的驅(qū)動(dòng)程序構(gòu)成。該驅(qū)動(dòng)使用無(wú)中斷方式直接操作網(wǎng)卡的接收和發(fā)送隊(duì)列，除了鏈路狀態(tài)通知仍必須采用中斷方式以外。目前PMD 驅(qū)動(dòng)支持英特爾大部分1 GB、10 GB 和40 GB 的網(wǎng)卡。

因此，可以利用DPDK 流量處理平臺(tái)，實(shí)現(xiàn)在大流量環(huán)境下的流量采集工作，采集網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)流量及網(wǎng)絡(luò)設(shè)備自身流量。本文基于DPDK 技術(shù)所奠定的流量數(shù)據(jù)基礎(chǔ)，進(jìn)一步深入研究網(wǎng)絡(luò)設(shè)備流量針對(duì)性識(shí)別與分離技術(shù)。

3.2 流量識(shí)別與分離

在現(xiàn)有的網(wǎng)絡(luò)流量環(huán)境中，流量中的絕大部分都是轉(zhuǎn)發(fā)流量，而不是網(wǎng)絡(luò)設(shè)備的自身流量。兩種流量在統(tǒng)一的檢測(cè)分析中，不僅效率不高，還存在較大的互相干擾。因此，要采用一定的技術(shù)手段進(jìn)行網(wǎng)絡(luò)設(shè)備流量的分離[2]，包括網(wǎng)絡(luò)設(shè)備的正常業(yè)務(wù)流量（比如網(wǎng)絡(luò)設(shè)備web 的流量、路由協(xié)議的流量），網(wǎng)絡(luò)設(shè)備直接參與通信的流量（比如網(wǎng)絡(luò)設(shè)備被控后的回傳流量）。

兩種流量是無(wú)法簡(jiǎn)單地基于協(xié)議特征實(shí)現(xiàn)區(qū)分的，且網(wǎng)絡(luò)設(shè)備承擔(dān)著路由轉(zhuǎn)發(fā)的功能，會(huì)將其轉(zhuǎn)發(fā)的流量數(shù)據(jù)幀改變?yōu)樽约旱腎P 或MAC 地址，因此，從IP 和MAC 地址上也無(wú)法實(shí)現(xiàn)流量的區(qū)分。同時(shí)，從網(wǎng)絡(luò)安全分析角度來(lái)看，流量中小部分的未知的流量，反而是更需要關(guān)注的流量，高級(jí)威脅往往隱藏于未知流量中。

網(wǎng)絡(luò)設(shè)備流量在網(wǎng)絡(luò)中的流量占比很小，如果流量分離技術(shù)準(zhǔn)確率不高，則必然會(huì)出現(xiàn)大量非網(wǎng)絡(luò)設(shè)備流量被誤識(shí)別，從而出現(xiàn)準(zhǔn)確識(shí)別的網(wǎng)絡(luò)設(shè)備流量被湮沒(méi)的情況，最終可能導(dǎo)致分離結(jié)果不可靠，甚至不可用。由此，必須要保證以極高的準(zhǔn)確率實(shí)現(xiàn)不局限于協(xié)議特征的流量分離能力。

針對(duì)上述問(wèn)題，下文將對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測(cè)中使用的流量分離技術(shù)進(jìn)行研究。

3.2.1 通信指紋預(yù)測(cè)技術(shù)

經(jīng)過(guò)長(zhǎng)期的研究發(fā)現(xiàn)，網(wǎng)絡(luò)設(shè)備流量雖然在流量層面沒(méi)有直接有效的識(shí)別特征，但針對(duì)網(wǎng)絡(luò)設(shè)備的特殊應(yīng)用場(chǎng)景而言，仍然可以通過(guò)挖掘流量協(xié)議各層隱藏的信息并分析它們之間的聯(lián)系，來(lái)識(shí)別網(wǎng)絡(luò)設(shè)備流量，而其核心技術(shù)之一就是棧指紋辨識(shí)技術(shù)[3]。

任何一段信息，包括文字、語(yǔ)音、視頻、圖片等，如果對(duì)其進(jìn)行無(wú)損壓縮編碼，理論上編碼后的最短長(zhǎng)度就是它的指紋（信息熵），在編碼算法正確的情況下，任意兩段信息的指紋都很難重復(fù)，如同人類(lèi)的指紋一樣。基于不同設(shè)備廠家對(duì)互聯(lián)網(wǎng)通信協(xié)議（Request For Comments，RFC）相關(guān)文檔的不同理解，不同的網(wǎng)絡(luò)設(shè)備廠商在具體實(shí)現(xiàn)TCP/IP協(xié)議棧的時(shí)候就可能存在極其微小的差異[4]。此外，還由于以下外部因素增大了彼此的差異：

（1）RFC 規(guī)范中存在著一些可選的特性，不同廠家可選項(xiàng)不一致；

（2）某些私自對(duì)TCP/IP 協(xié)議棧實(shí)現(xiàn)的改進(jìn)；

（3）少數(shù)不遵從RFC 規(guī)范的行為。

通過(guò)探測(cè)并仔細(xì)分析這些網(wǎng)絡(luò)設(shè)備的協(xié)議棧指紋差異，對(duì)不同廠商的網(wǎng)絡(luò)設(shè)備信息進(jìn)行積累，提取其網(wǎng)絡(luò)設(shè)備的協(xié)議棧指紋。目前，已經(jīng)完成34類(lèi)主流路由/交換機(jī)品牌，以及30 類(lèi)主流防火墻設(shè)備的協(xié)議棧指紋積累。將積累的棧指紋數(shù)據(jù)作為訓(xùn)練集，結(jié)合機(jī)器學(xué)習(xí)樸素貝葉斯算法來(lái)初步完成對(duì)網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)設(shè)備流量分離及識(shí)別。

樸素貝葉斯是基于貝葉斯定理的算法，即在兩個(gè)條件關(guān)系之間，測(cè)量每個(gè)類(lèi)的概率，則每個(gè)類(lèi)的條件概率給出x的值。以樣本可能屬于某類(lèi)的概率來(lái)作為分類(lèi)依據(jù)。在確定了網(wǎng)絡(luò)設(shè)備的棧指紋后，計(jì)算某網(wǎng)絡(luò)流量來(lái)源于網(wǎng)絡(luò)設(shè)備A 的概率是X，來(lái)源于網(wǎng)絡(luò)設(shè)備B 的概率是Y，如果X＞Y，則判定該網(wǎng)絡(luò)流量來(lái)源于網(wǎng)絡(luò)設(shè)備A。

通信指紋預(yù)測(cè)技術(shù)采用兩種策略分離網(wǎng)絡(luò)基礎(chǔ)設(shè)備流量，一是正向捕獲，二是方向過(guò)濾。正向捕獲即以上述的棧指紋識(shí)別技術(shù)為核心，通過(guò)機(jī)器學(xué)習(xí)算法不斷加深棧指紋特征匹配的準(zhǔn)確度，從而完成網(wǎng)絡(luò)基礎(chǔ)設(shè)備流量分離。反向過(guò)濾是一種過(guò)濾流量中協(xié)議棧指紋與網(wǎng)絡(luò)設(shè)備協(xié)議棧指紋不相同的方法。根據(jù)非網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)設(shè)備指紋的差異，收集非網(wǎng)絡(luò)設(shè)備的指紋形成指紋特征庫(kù)，從而可以過(guò)濾流量中非網(wǎng)絡(luò)設(shè)備的流量。針對(duì)可能出現(xiàn)的指紋相同的情況，可進(jìn)一步采用協(xié)議特征過(guò)濾的方式降低捕獲流量的誤報(bào)率。該技術(shù)包含指紋特征過(guò)濾與協(xié)議特征過(guò)濾兩大要點(diǎn)，具體如下文所述。

（1）指紋特征過(guò)濾?；谘芯糠治霭l(fā)現(xiàn)，大部分網(wǎng)絡(luò)設(shè)備指紋與PC 或服務(wù)器等非網(wǎng)絡(luò)設(shè)備存在一定的差異，基于這些差異可提取非網(wǎng)絡(luò)設(shè)備的指紋形成非網(wǎng)絡(luò)設(shè)備指紋特征庫(kù)，用于過(guò)濾非網(wǎng)絡(luò)設(shè)備流量。

（2）協(xié)議特征過(guò)濾。考慮到存在非網(wǎng)絡(luò)設(shè)備指紋特征與網(wǎng)絡(luò)設(shè)備相同的情況，在指紋特征過(guò)濾后，可根據(jù)需要基于協(xié)議（HTTP 等）特征進(jìn)一步過(guò)濾非網(wǎng)絡(luò)設(shè)備流量。

網(wǎng)絡(luò)設(shè)備流量反向過(guò)濾主要流程如圖8 所示。反向流程先提取流量中的設(shè)備指紋，與非網(wǎng)絡(luò)設(shè)備指紋特征相匹配，如果匹配成功則過(guò)濾流量；匹配不成功，則進(jìn)一步提取協(xié)議特征，與非網(wǎng)絡(luò)設(shè)備協(xié)議特征庫(kù)相匹配，匹配成功則提取設(shè)備指紋加入非網(wǎng)絡(luò)設(shè)備指紋庫(kù)并過(guò)濾流量，否則保存流量。

圖8 網(wǎng)絡(luò)設(shè)備流量反向過(guò)濾

正向捕獲能夠保證捕獲特定網(wǎng)絡(luò)設(shè)備的流量，反向過(guò)濾能夠保證未知網(wǎng)絡(luò)設(shè)備流量不丟失。結(jié)合上述兩種策略，通信指紋預(yù)測(cè)技術(shù)既可以分離特定網(wǎng)絡(luò)設(shè)備的流量，又可以分離未知網(wǎng)絡(luò)設(shè)備的流量，從而能大幅度提高網(wǎng)絡(luò)設(shè)備流量分離的精確度。

3.2.2 設(shè)備時(shí)鐘分析技術(shù)

設(shè)備時(shí)鐘分析技術(shù)是基于采集流量信息中的時(shí)間戳信息[5]進(jìn)行分析，并計(jì)算對(duì)應(yīng)設(shè)備的時(shí)鐘頻率、相位差[6]等信息，從而實(shí)現(xiàn)硬件來(lái)源判斷的技術(shù)。該技術(shù)的原理為在RFC1323 協(xié)議中新增了兩個(gè)TCP選項(xiàng)，即窗口擴(kuò)大選項(xiàng)和時(shí)間戳（Timestamp）選項(xiàng)。其中，時(shí)間戳選項(xiàng)可以使TCP 對(duì)報(bào)文段進(jìn)行更加精確的往返時(shí)延（Round-Trip Time，RTT）測(cè)量[7]，即發(fā)送方在每個(gè)報(bào)文中放置一個(gè)時(shí)間戳數(shù)值，接收方在確認(rèn)中返回這個(gè)數(shù)值，從而允許發(fā)送方為每一個(gè)收到的ACK 計(jì)算RTT。時(shí)間戳是一個(gè)單調(diào)遞增的值，RFC1323推薦在1 ms～1 s之間將時(shí)間戳值加1。

一個(gè)特定的網(wǎng)絡(luò)設(shè)備可能具備多個(gè)獨(dú)立的時(shí)鐘脈沖，包括設(shè)備的系統(tǒng)時(shí)間和設(shè)備自身的TCP 堆棧時(shí)鐘脈沖（時(shí)間戳選項(xiàng)時(shí)鐘脈沖）。雖然專(zhuān)業(yè)管理下的設(shè)備系統(tǒng)時(shí)鐘脈沖可以通過(guò)網(wǎng)絡(luò)時(shí)間協(xié)議（Network Time Protocol，NTP）與真實(shí)時(shí)間同步，但是對(duì)于大多數(shù)網(wǎng)絡(luò)設(shè)備而言，NTP 協(xié)議的安裝并不能使主機(jī)的系統(tǒng)時(shí)鐘脈沖與真實(shí)時(shí)間保持同步，或者只是偶爾能保持同步。這樣，對(duì)于一個(gè)非專(zhuān)業(yè)管理設(shè)備，如果能夠通過(guò)分析流量信息中的時(shí)間戳信息來(lái)及時(shí)掌握設(shè)備系統(tǒng)時(shí)鐘脈沖值，那么就能推斷出系統(tǒng)時(shí)鐘脈沖相位差的信息。在實(shí)踐中，任何網(wǎng)絡(luò)基礎(chǔ)設(shè)備的系統(tǒng)時(shí)鐘脈沖都不是絕對(duì)穩(wěn)定的，實(shí)際的時(shí)鐘脈沖頻率總是存在或大或小的相位偏差?；谏鲜鲇布A(chǔ)，可以利用時(shí)間戳原理測(cè)量實(shí)際存在的網(wǎng)絡(luò)基礎(chǔ)設(shè)備相位差，從而實(shí)現(xiàn)硬件來(lái)源判斷。

綜上，通信指紋預(yù)測(cè)技術(shù)和設(shè)備時(shí)鐘分析技術(shù)結(jié)合，再通過(guò)分析各層協(xié)議中可能存在的網(wǎng)絡(luò)設(shè)備隱藏信息，對(duì)流量進(jìn)行佐證判斷，最終實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備流量的分離準(zhǔn)確率達(dá)到99%以上。

3.3 威脅分析與檢測(cè)

通過(guò)控制網(wǎng)絡(luò)基礎(chǔ)設(shè)備進(jìn)行擴(kuò)散攻擊是頂級(jí)APT 組織的常用攻擊手法。因此，在分離出網(wǎng)絡(luò)基礎(chǔ)設(shè)備流量后，如何對(duì)其流量進(jìn)行全方位的安全檢查與分析[8]，找出潛藏其中的風(fēng)險(xiǎn)也是一項(xiàng)富有挑戰(zhàn)性的工作。

一般的入侵行為被歸類(lèi)為冒充攻擊、穿透安全控制、泄露、拒絕服務(wù)和惡意使用等。網(wǎng)絡(luò)基礎(chǔ)設(shè)備作為備受青睞的攻擊跳板或攻擊隱藏手段，基于網(wǎng)絡(luò)設(shè)備的隱藏的攻擊方式仍然可以歸類(lèi)到上述攻擊手法中。

入侵檢測(cè)技術(shù)[9]的主要目的是盡快、盡可能可靠地檢測(cè)出網(wǎng)絡(luò)基礎(chǔ)設(shè)備中的攻擊行為。它的核心是分析網(wǎng)絡(luò)基礎(chǔ)設(shè)備的行為以檢測(cè)異常流量。入侵檢測(cè)主要通過(guò)統(tǒng)計(jì)方法和預(yù)測(cè)模式生成來(lái)進(jìn)行檢測(cè)。統(tǒng)計(jì)方法先通過(guò)文件訪問(wèn)、CPU、I/O 利用率、出錯(cuò)率、企圖登錄失敗的次數(shù)等構(gòu)成一個(gè)用戶原始輪廓；然后利用入侵檢測(cè)技術(shù)將當(dāng)前活動(dòng)產(chǎn)生的輪廓與原始輪廓進(jìn)行比較，如發(fā)現(xiàn)明顯偏離，即可認(rèn)為是一次入侵事件。預(yù)測(cè)模式生成則是試圖應(yīng)用一系列規(guī)則和算法得出的概率，并根據(jù)過(guò)去的行為序列來(lái)預(yù)測(cè)某個(gè)主體將來(lái)的行為，大方向偏離所預(yù)測(cè)的結(jié)果也被標(biāo)志為入侵行為。

3.3.1 k-means 惡意行為特征提取技術(shù)

由于機(jī)器學(xué)習(xí)具有較好的擬合性和泛化性，能夠保證在對(duì)已知惡意行為進(jìn)行精確識(shí)別的前提下，對(duì)未知惡意行為保持較好的識(shí)別能力，所以利用機(jī)器學(xué)習(xí)技術(shù)對(duì)惡意行為進(jìn)行智能判定。

利用入侵檢測(cè)技術(shù)，在網(wǎng)絡(luò)基礎(chǔ)設(shè)備行為流量中提取到惡意行為的基因（高維向量）后，對(duì)惡意行為代碼樣本庫(kù)中的惡意代碼根據(jù)其基因利用k-means 算法[10]進(jìn)行聚類(lèi)，其中，k值需要手工指定并且每一個(gè)類(lèi)別的標(biāo)簽需要人工標(biāo)注。

聚類(lèi)算法試圖將數(shù)據(jù)集中的樣本劃分為若干個(gè)通常是不相交的子集，每個(gè)子集被稱(chēng)為一個(gè)“簇”(cluster)。通過(guò)這樣的劃分，每個(gè)簇可能對(duì)應(yīng)一些潛在的概念或類(lèi)別。

k-Means 算法思想：對(duì)給定的樣本集，事先確定聚類(lèi)簇?cái)?shù)k，讓簇內(nèi)的樣本盡可能緊密分布在一起，使簇間的距離盡可能大。該算法試圖將集群數(shù)據(jù)分為n組獨(dú)立數(shù)據(jù)樣本，并使n組集群間的方差相等，數(shù)學(xué)描述為最小化慣性或集群內(nèi)的平方和。k-Means 作為無(wú)監(jiān)督的聚類(lèi)算法，實(shí)現(xiàn)較簡(jiǎn)單，聚類(lèi)效果好。算法流程如圖9 所示，具體的算法流程描述如下：

圖9 k-means 算法流程

3.3.2 層次聚類(lèi)惡意行為同源判定技術(shù)

利用k-Means 惡意行為特征提取技術(shù)在網(wǎng)絡(luò)基礎(chǔ)設(shè)備行為流量中提取到惡意行為的特征基因（高維向量）后，對(duì)不處于惡意行為代碼樣本庫(kù)中的惡意代碼，基于其基因利用層次聚類(lèi)算法進(jìn)行聚類(lèi)，主要用于非標(biāo)注惡意代碼家族的變種識(shí)別和相似性判定。在數(shù)量超過(guò)一定閾值后，也可以通過(guò)人工標(biāo)注的方式加入惡意行為代碼基因庫(kù)中。

層次聚類(lèi)算法[11]分為凝聚和分裂兩種。凝聚使用自底向上的策略，即最開(kāi)始每個(gè)對(duì)象是獨(dú)立的類(lèi)（N類(lèi)），經(jīng)過(guò)不斷合并成更大的類(lèi)，直到所有對(duì)象都合并到同一個(gè)類(lèi)中，或者算法達(dá)到某個(gè)終止條件即停止。合并過(guò)程是將兩個(gè)相近的類(lèi)合并成一個(gè)類(lèi)，所以整個(gè)算法過(guò)程最多進(jìn)行N次迭代，即可將所有對(duì)象合并到同一個(gè)類(lèi)下。分裂采用自頂向下的策略，即最開(kāi)始每個(gè)對(duì)象都在同一個(gè)類(lèi)中（1 類(lèi)），經(jīng)過(guò)不斷拆分成更小的類(lèi)，直到最小的類(lèi)都相對(duì)獨(dú)立或只有一個(gè)對(duì)象。

在網(wǎng)絡(luò)設(shè)備攻擊行為相似性判定過(guò)程中，采用層次聚類(lèi)算法的凝聚策略，將每個(gè)獨(dú)立的攻擊行為作為底層最原始的合并對(duì)象，并將基于k-means 算法提取的攻擊特征，如源IP、端口、證書(shū)、腳本、指紋、回連地址、時(shí)間等要素，作為合并條件；然后合并同源或相似攻擊；最終，結(jié)合威脅情報(bào)等信息進(jìn)行同源性判定。

入侵檢測(cè)技術(shù)結(jié)合兩種惡意行為特征提取和同源判定技術(shù)[12]，能夠完成自動(dòng)提取攻擊載荷、域名、IP、指紋等關(guān)鍵基因信息，以及API 調(diào)用流程、攻擊者畫(huà)像、惡意代碼積累、攻擊手法歸類(lèi)、APT 組織溯源等行為特征，助力威脅情報(bào)生產(chǎn)，完成針對(duì)網(wǎng)絡(luò)設(shè)備的惡意攻擊行為的檢測(cè)工作。

4 結(jié)語(yǔ)

本文梳理了國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)現(xiàn)狀及網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測(cè)技術(shù)的現(xiàn)狀，并聚焦主流技術(shù)觀察與核心技術(shù)突破，總結(jié)了網(wǎng)絡(luò)基礎(chǔ)設(shè)備威脅檢測(cè)技術(shù)。網(wǎng)絡(luò)基礎(chǔ)設(shè)備作為網(wǎng)絡(luò)世界在現(xiàn)實(shí)世界的重要支撐，其面臨的安全風(fēng)險(xiǎn)不容忽視，而每一位關(guān)注網(wǎng)絡(luò)安全的研究者都應(yīng)是其守護(hù)者。面對(duì)日益增長(zhǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)備安全風(fēng)險(xiǎn)，應(yīng)持續(xù)推動(dòng)相關(guān)安全技術(shù)的發(fā)展，守護(hù)網(wǎng)絡(luò)空間安全，守護(hù)國(guó)家安全。