李寒箬，張振紅

（云南電網(wǎng)有限責(zé)任公司信盧中心，昆明 650217）

電力安全事關(guān)國(guó)家安全，影響國(guó)計(jì)民生。近幾年來(lái)，國(guó)際上針對(duì)電力行業(yè)關(guān)鍵信盧基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊日益頻繁，電力系統(tǒng)的信盧安全防護(hù)面臨著嚴(yán)峻挑戰(zhàn)，及時(shí)發(fā)現(xiàn)、處置重大安全風(fēng)險(xiǎn)和隱患是電力系統(tǒng)安全穩(wěn)定運(yùn)行的重要保障。隨著信盧技術(shù)的飛速發(fā)展和國(guó)家構(gòu)建以新能源為主體的新型電力系統(tǒng)戰(zhàn)略的提出，電力行業(yè)的信盧網(wǎng)絡(luò)規(guī)模逐步擴(kuò)大，其廣泛的覆蓋范圍、多元化的網(wǎng)絡(luò)結(jié)構(gòu)和復(fù)雜的網(wǎng)絡(luò)分區(qū)，使得電力系統(tǒng)各安全防護(hù)設(shè)備的告警數(shù)量日益增多，給企業(yè)的日常運(yùn)維帶來(lái)了巨大挑戰(zhàn)。目前，當(dāng)安全事件發(fā)生時(shí)，監(jiān)控人員往往難以從海量日志和告警數(shù)據(jù)中快速定位故障，而是需要根據(jù)優(yōu)先等級(jí)對(duì)各事件起因進(jìn)行順序排查，對(duì)于一些影響程度較大的安全事件，無(wú)法及時(shí)判斷其準(zhǔn)確性和嚴(yán)重性，就不能及時(shí)進(jìn)行后續(xù)處理，甚至可能導(dǎo)致事件范圍擴(kuò)大，造成嚴(yán)重的經(jīng)濟(jì)損失和社會(huì)危害。

1 電力系統(tǒng)網(wǎng)絡(luò)安全告警現(xiàn)狀

目前，很多電力企業(yè)已建設(shè)了大量信盧安全專(zhuān)業(yè)防護(hù)系統(tǒng)來(lái)保障電力系統(tǒng)的安全可靠運(yùn)行，包括防毒墻、入侵防御系統(tǒng)、入侵檢測(cè)系統(tǒng)、Web 應(yīng)用防火墻、上網(wǎng)行為管理、主機(jī)安全防護(hù)、網(wǎng)絡(luò)阻斷系統(tǒng)、動(dòng)態(tài)防護(hù)系統(tǒng)、防篡改和流量回溯等。但各廠家設(shè)備和系統(tǒng)因檢測(cè)原理和告警規(guī)則的不同，造成安全事件的大量上報(bào)，很多事件其實(shí)是同一類(lèi)事件或相關(guān)相近的事件，但因這些事件的告警信盧間缺乏聚合處理及威脅情報(bào)的關(guān)聯(lián)分析，導(dǎo)致關(guān)鍵的安全事件被大量無(wú)效報(bào)警淹沒(méi)，安全人員每天疲于應(yīng)對(duì)成千上萬(wàn)的告警無(wú)法做到逐條分析，大大降低了運(yùn)維工作效率，甚至面臨著漏掉高威脅事件的風(fēng)險(xiǎn)。

本文基于威脅情報(bào)數(shù)據(jù)的告警關(guān)聯(lián)分析技術(shù)提出一種威脅情報(bào)輔助研判系統(tǒng)，該系統(tǒng)通過(guò)將企業(yè)運(yùn)行的各類(lèi)安全防護(hù)系統(tǒng)事件日志統(tǒng)一關(guān)聯(lián)起來(lái)，并對(duì)日志告警進(jìn)行監(jiān)控分析和輔助研判，實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的準(zhǔn)確定位和威脅評(píng)估、預(yù)警，提高安全事件分析的準(zhǔn)確性和實(shí)時(shí)性，同時(shí)為企業(yè)安全團(tuán)隊(duì)快速響應(yīng)和處置威脅提供依據(jù)。

2 一種告警關(guān)聯(lián)分析系統(tǒng)的架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)

2.1 告警關(guān)聯(lián)分析現(xiàn)有技術(shù)及發(fā)展趨勢(shì)

2.1.1 告警關(guān)聯(lián)分析技術(shù)現(xiàn)狀

告警關(guān)聯(lián)分析的主要目的是通過(guò)對(duì)告警數(shù)據(jù)進(jìn)行壓縮、過(guò)濾及分析等操作，找到數(shù)據(jù)之間潛在的關(guān)聯(lián)性，并通過(guò)這些關(guān)聯(lián)信盧從一組告警序列中推理出指示故障根源的告警。常見(jiàn)的告警關(guān)聯(lián)分析技術(shù)有基于統(tǒng)計(jì)分析的聚類(lèi)技術(shù)、基于因果分析的關(guān)聯(lián)技術(shù)和基于規(guī)則的關(guān)聯(lián)分析方法等。其中，基于規(guī)則的關(guān)聯(lián)分析是目前最常用的一種告警關(guān)聯(lián)分析方法，其按系統(tǒng)預(yù)先內(nèi)置或用戶(hù)自定義維護(hù)的關(guān)聯(lián)規(guī)則對(duì)平臺(tái)采集的范式化后的日志進(jìn)行規(guī)則模型匹配分析，并按規(guī)則設(shè)定進(jìn)行告警。

2.1.2 告警關(guān)聯(lián)分析技術(shù)發(fā)展趨勢(shì)

基于規(guī)則的告警關(guān)聯(lián)分析方法主要針對(duì)已知安全事件分析，這種依賴(lài)人工經(jīng)驗(yàn)建立的關(guān)聯(lián)關(guān)系存在規(guī)則覆蓋不全，創(chuàng)建新的關(guān)聯(lián)規(guī)則周期長(zhǎng)、成本高等特點(diǎn)，越來(lái)越難以應(yīng)對(duì)快速變化的安全威脅。隨著當(dāng)前網(wǎng)絡(luò)攻擊形勢(shì)不斷演變，安全告警關(guān)聯(lián)分析需要結(jié)合網(wǎng)絡(luò)環(huán)境的動(dòng)態(tài)變化、網(wǎng)絡(luò)流量、TTPs（戰(zhàn)術(shù)、技術(shù)和程序）、上下文信盧和攻擊鏈上的樣本等豐富情報(bào)信盧，通過(guò)實(shí)現(xiàn)日志告警和威脅情報(bào)數(shù)據(jù)的關(guān)聯(lián)分析，持續(xù)了解真實(shí)攻擊的本質(zhì)、意圖、技術(shù)和造成損害的能力，將傳統(tǒng)的“被動(dòng)防御”轉(zhuǎn)變?yōu)榉e極的“主動(dòng)防御”。

2.2 威脅情報(bào)輔助研判系統(tǒng)的架構(gòu)設(shè)計(jì)

基于威脅情報(bào)數(shù)據(jù)的告警關(guān)聯(lián)分析技術(shù)，本文提出了一種威脅情報(bào)輔助研判系統(tǒng)，其架構(gòu)設(shè)計(jì)如圖1 所示。威脅情報(bào)輔助研判系統(tǒng)將通過(guò)日志系統(tǒng)獲取的各類(lèi)安全設(shè)備告警和日志信盧，經(jīng)關(guān)聯(lián)分析和輔助研判后，分析出安全告警的可信程度，過(guò)濾掉告警中的噪音事件，從而增加本地安全告警的精準(zhǔn)度，讓企業(yè)安全人員可以迅速定位威脅來(lái)源和相關(guān)聯(lián)的資產(chǎn)和業(yè)務(wù)，并及時(shí)通過(guò)工單和處置流程進(jìn)行快速響應(yīng)。

圖1 威脅情報(bào)輔助研判系統(tǒng)架構(gòu)圖

威脅情報(bào)輔助研判系統(tǒng)包括數(shù)據(jù)過(guò)濾模塊、關(guān)聯(lián)情報(bào)分析模塊、數(shù)據(jù)存儲(chǔ)模塊和數(shù)據(jù)可視化模塊。數(shù)據(jù)過(guò)濾模塊主要完成告警數(shù)據(jù)的過(guò)濾和聚合處理，關(guān)聯(lián)情報(bào)分析模塊引入威脅情報(bào)數(shù)據(jù)進(jìn)行告警數(shù)據(jù)聯(lián)合分析，數(shù)據(jù)存儲(chǔ)模塊對(duì)經(jīng)過(guò)濾和關(guān)聯(lián)情報(bào)分析后的威脅信盧進(jìn)行本地存儲(chǔ)，數(shù)據(jù)可視化模塊將加載的數(shù)據(jù)以數(shù)據(jù)表、餅圖、面積圖、折線圖、數(shù)字和柱狀圖等方式進(jìn)行展示。

威脅情報(bào)輔助研判系統(tǒng)集威脅情報(bào)查詢(xún)、威脅情報(bào)輔助研判功能于一體，實(shí)現(xiàn)了告警數(shù)據(jù)的過(guò)濾和關(guān)聯(lián)情報(bào)分析服務(wù)、威脅情報(bào)數(shù)據(jù)搜索查詢(xún)和存儲(chǔ)服務(wù)、數(shù)據(jù)往自動(dòng)化運(yùn)維平臺(tái)的數(shù)據(jù)傳輸接口、威脅情報(bào)文件的上傳下載、用戶(hù)交互界面及用戶(hù)管理等功能，系統(tǒng)在日志系統(tǒng)和自動(dòng)化運(yùn)維平臺(tái)中間提供了攻擊源威脅情報(bào)的分析和輔助研判，可大大提升企業(yè)對(duì)安全事件的監(jiān)測(cè)分析能力和威脅處置效率。

2.3 系統(tǒng)實(shí)現(xiàn)功能及特點(diǎn)

2.3.1 系統(tǒng)實(shí)現(xiàn)的功能

告警優(yōu)化：為了更加準(zhǔn)確高效地提取和過(guò)濾告警數(shù)據(jù)，本系統(tǒng)對(duì)日志告警信盧進(jìn)行過(guò)濾和聚合處理，首先通過(guò)過(guò)濾除掉與系統(tǒng)安全沒(méi)有關(guān)系的虛假告警和反復(fù)出現(xiàn)的冗余告警，然后對(duì)告警信盧中存在著的各種關(guān)系（有的告警來(lái)源于同一個(gè)攻擊，有的告警之間存在著因果關(guān)系等）的安全事件通過(guò)聚合相同或相近的告警對(duì)其數(shù)量進(jìn)行精簡(jiǎn)，提高網(wǎng)絡(luò)安全事件分析的準(zhǔn)確性和實(shí)時(shí)性。

輔助研判：威脅情報(bào)數(shù)據(jù)具備豐富的上下文信盧，本系統(tǒng)利用威脅情報(bào)數(shù)據(jù)對(duì)優(yōu)化后的告警信盧進(jìn)行關(guān)聯(lián)分析，根據(jù)已知線索對(duì)攻擊對(duì)手、攻擊手法、攻擊途徑、攻擊資源和攻擊位置后果等進(jìn)行深度研判和拓展分析，獲得惡意文件的HASH（哈希值）、主機(jī)特征、網(wǎng)絡(luò)特征、事件特征、組織和人員情報(bào)等維度的情報(bào)數(shù)據(jù)，快速定位和溯源攻擊者、判定攻擊目的及分析攻擊細(xì)節(jié)，通過(guò)線索的利用和聯(lián)動(dòng)分析，實(shí)現(xiàn)安全告警的輔助研判。

本地威脅情報(bào)庫(kù)：本系統(tǒng)通過(guò)全面采集多源威脅情報(bào)、多維度分析威脅信盧等構(gòu)建基于攻擊組織的關(guān)聯(lián)圖譜，搭建本地威脅情報(bào)庫(kù)。當(dāng)出現(xiàn)新的攻擊事件的時(shí)候，系統(tǒng)以待檢測(cè)的告警事件（攻擊組織）作為輸入，通過(guò)攻擊組織研判模型進(jìn)行一致性判定，并輸出研判結(jié)果。系統(tǒng)還提供專(zhuān)供內(nèi)部使用的Web 交互查詢(xún)界面，實(shí)現(xiàn)告警威脅歷史信盧的記錄和關(guān)聯(lián)搜索，輕松地將來(lái)自過(guò)去的攻擊者活動(dòng)的信盧與當(dāng)前的信盧進(jìn)行關(guān)聯(lián)，并從過(guò)去的攻擊中學(xué)習(xí)，主動(dòng)阻止攻擊者當(dāng)前和未來(lái)可能的攻擊。

聯(lián)動(dòng)處置：本系統(tǒng)最后將帶有威脅情報(bào)數(shù)據(jù)的告警信盧發(fā)送到自動(dòng)化運(yùn)維系統(tǒng)與基礎(chǔ)安全設(shè)施聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)真實(shí)攻擊的聯(lián)動(dòng)處置。

溯源分析和主動(dòng)防御：本系統(tǒng)不僅可定位已發(fā)生的威脅，還可輸入高級(jí)威脅情報(bào)、熱點(diǎn)事件和熱點(diǎn)漏洞等信盧，從攻擊者視角情報(bào)，實(shí)現(xiàn)對(duì)威脅進(jìn)行舉證或溯源分析，幫助用戶(hù)實(shí)現(xiàn)主動(dòng)防御。

2.3.2 系統(tǒng)特點(diǎn)

威脅情報(bào)輔助研判系統(tǒng)是一套高級(jí)威脅情報(bào)分析研判工具，其收集不同來(lái)源的安全告警信盧對(duì)其進(jìn)行過(guò)濾和輔助研判，并輸出研判結(jié)果，同時(shí)能對(duì)脆弱性較大、威脅較多和存在異常的IP 給出安全處置建議。該系統(tǒng)一端對(duì)接日志系統(tǒng)，一端對(duì)接自動(dòng)化運(yùn)維系統(tǒng)，也可作為中間件實(shí)現(xiàn)靈活部署，根據(jù)企業(yè)的實(shí)際情況對(duì)接各類(lèi)安全事件源和聯(lián)動(dòng)處置設(shè)備，從而滿(mǎn)足企業(yè)不同平臺(tái)的安全需求。

2.4 系統(tǒng)部署及應(yīng)用

2.4.1 系統(tǒng)部署方式

威脅情報(bào)輔助研判系統(tǒng)基于現(xiàn)有的安全數(shù)據(jù)分析平臺(tái)，日志系統(tǒng)和安全運(yùn)維平臺(tái)即自動(dòng)化運(yùn)維系統(tǒng)進(jìn)行部署，系統(tǒng)使用HTTP 協(xié)議接收日志系統(tǒng)數(shù)據(jù)和發(fā)送數(shù)據(jù)到自動(dòng)化運(yùn)維系統(tǒng)，使用Spring Security+JWT 實(shí)現(xiàn)用戶(hù)認(rèn)證及授權(quán)，使用Maven 管理項(xiàng)目依賴(lài)。系統(tǒng)使用Spring Data JPA 訪問(wèn)MySQL 數(shù)據(jù)庫(kù)，使用Tomcat 作為Web 服務(wù)器，實(shí)現(xiàn)用戶(hù)交互。其安裝部署流程：開(kāi)始—選擇符合運(yùn)行環(huán)境的服務(wù)器—安裝系統(tǒng)運(yùn)行所需要的JDK—安裝系統(tǒng)運(yùn)行所需要的MySQL—進(jìn)入項(xiàng)目路徑下放置架包—啟動(dòng)架包—結(jié)束。

2.4.2 系統(tǒng)工作流程

威脅情報(bào)輔助研判系統(tǒng)的工作流程如圖2 所示。系統(tǒng)從日志系統(tǒng)提取告警數(shù)據(jù)，對(duì)海量告警信盧進(jìn)行過(guò)濾和分析，然后調(diào)用威脅情報(bào)系統(tǒng)的威脅情報(bào)數(shù)據(jù)對(duì)優(yōu)化后的告警信盧和IP 指紋、Web 指紋、IP 信盧、域名信盧、漏洞庫(kù)、樣本庫(kù)、IP 信譽(yù)、域名信譽(yù)、URL 信譽(yù)、文件信譽(yù)和C&C 信譽(yù)等信盧進(jìn)行多維度的關(guān)聯(lián)分析。系統(tǒng)把研判分析后的威脅情報(bào)和資產(chǎn)信盧存儲(chǔ)到本地，實(shí)現(xiàn)后續(xù)相同的IP 等直接從本地?cái)?shù)據(jù)庫(kù)獲取，最后把帶有威脅情報(bào)數(shù)據(jù)的告警信盧發(fā)送到自動(dòng)化運(yùn)維系統(tǒng)進(jìn)行聯(lián)動(dòng)處置。

圖2 系統(tǒng)工作流程圖

2.4.3 系統(tǒng)在某電力企業(yè)中的實(shí)際應(yīng)用

目前系統(tǒng)在某電力企業(yè)部署近4 個(gè)月，平臺(tái)自上線以來(lái)，共采集2 個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)的8 個(gè)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)，覆蓋了該企業(yè)全網(wǎng)主要業(yè)務(wù)流量數(shù)據(jù)。在威脅情報(bào)輔助研判系統(tǒng)部署之前，安全人員面對(duì)告警無(wú)法對(duì)其攻擊源IP 進(jìn)行有效判斷，系統(tǒng)部署后，安全人員可將告警數(shù)據(jù)和威脅情報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析并輔助研判，確定IP 是否是惡意行為并快速鎖定攻擊。本系統(tǒng)上線后，平均每月輔助分析外部攻擊約20 萬(wàn)條，初步溯源攻擊4 000余條，深入溯源100 余條，并形成10 份溯源報(bào)告。系統(tǒng)通過(guò)分析和輔助研判，每月實(shí)現(xiàn)惡意IP 自動(dòng)封堵數(shù)萬(wàn)條，大大提高了安全告警的分析研判效率和自動(dòng)封堵時(shí)效，也進(jìn)一步提升了該企業(yè)日常監(jiān)測(cè)分析效率及對(duì)網(wǎng)絡(luò)攻擊的防護(hù)能力。

以企業(yè)日志系統(tǒng)中的主機(jī)入侵告警為例，安全設(shè)備檢測(cè)到IP 為195.54.160.149 的攻擊者對(duì)地址為10.xxx.xx.xx 的目標(biāo)IP 發(fā)起命令執(zhí)行攻擊并觸發(fā)告警，該告警屬I(mǎi) 類(lèi)威脅等級(jí)，但相關(guān)告警中不包含威脅情報(bào)信盧，常規(guī)的，安全人員需對(duì)告警進(jìn)行人工分析和排查，通過(guò)手動(dòng)輸入查詢(xún)威脅情報(bào)數(shù)據(jù)判定威脅來(lái)源，然后進(jìn)行處置決策，安全人員針對(duì)每條告警的分析時(shí)間約需2～3 min。而通過(guò)威脅情報(bào)輔助研判系統(tǒng)自動(dòng)獲取該告警的攻擊源IP 是來(lái)自某國(guó)的垃圾郵件、掃描、惡意軟件、漏洞利用、log4j2_202112 和傀儡機(jī)等威脅情報(bào)信盧，并提出封堵建議，然后通過(guò)網(wǎng)絡(luò)攻擊阻斷系統(tǒng)聯(lián)動(dòng)，迅速實(shí)現(xiàn)對(duì)該攻擊的自動(dòng)封堵。此過(guò)程僅需幾秒鐘，大大節(jié)約了安全事件的分析研判時(shí)間，提高安全人員工作效率的同時(shí)提升了企業(yè)安全運(yùn)維的自動(dòng)化和智能化水平。

3 威脅情報(bào)輔助研判系統(tǒng)的其他應(yīng)用場(chǎng)景

3.1 結(jié)合安全編排和自動(dòng)化響應(yīng)平臺(tái)（SOAR）的應(yīng)用

面對(duì)當(dāng)前黑客先進(jìn)智能化的攻擊方式，很多企業(yè)運(yùn)用SOAR 平臺(tái)技術(shù)來(lái)解決安全事件數(shù)量不斷增多、傳統(tǒng)防護(hù)設(shè)施設(shè)備整合度低、安全運(yùn)營(yíng)人力不足且經(jīng)驗(yàn)難固化等問(wèn)題。

威脅情報(bào)輔助研判系統(tǒng)與該平臺(tái)結(jié)合可針對(duì)原始安全數(shù)據(jù)和安全事件進(jìn)行攻擊源、攻擊目的等的分析，還可根據(jù)威脅情報(bào)庫(kù)威脅指示器（Indicators of Compromise，IOC）信盧不斷積累安全事件相關(guān)的痕跡物證和攻擊者的戰(zhàn)技過(guò)程指標(biāo)信盧，從而持續(xù)化地對(duì)一系列安全事件進(jìn)行追蹤和編排自動(dòng)化處置。

3.2 結(jié)合安全管理平臺(tái)應(yīng)用

很多企業(yè)通過(guò)部署安全管理平臺(tái)來(lái)統(tǒng)一收集和分析企業(yè)網(wǎng)絡(luò)中各類(lèi)資產(chǎn)及其安全防護(hù)系統(tǒng)運(yùn)行過(guò)程中不斷產(chǎn)生的各類(lèi)安全數(shù)據(jù)和安全日志，以此實(shí)現(xiàn)對(duì)全網(wǎng)信盧系統(tǒng)整體安全風(fēng)險(xiǎn)的監(jiān)控。

威脅情報(bào)輔助研判系統(tǒng)結(jié)合該平臺(tái)的應(yīng)用可對(duì)收集的各安全事件進(jìn)行關(guān)聯(lián)情報(bào)分析并輔助研判，從平臺(tái)海量安全數(shù)據(jù)中發(fā)現(xiàn)有效的真實(shí)攻擊意圖、步驟、危害、風(fēng)險(xiǎn)等信盧，大大提升平臺(tái)的安全事件分析效率和對(duì)威脅行為的檢測(cè)、響應(yīng)速度和能力。

3.3 結(jié)合資產(chǎn)管理平臺(tái)應(yīng)用

IT 資產(chǎn)包含IP 地址、地理位置、所用組件、開(kāi)放服務(wù)、底層系統(tǒng)、所屬行業(yè)和脆弱性等各種信盧，如何準(zhǔn)確繪制企業(yè)網(wǎng)絡(luò)空間資產(chǎn)底圖，進(jìn)而獲得詳細(xì)的資產(chǎn)情報(bào)，對(duì)高效管理企業(yè)IT 資產(chǎn)顯得越來(lái)越重要。

威脅情報(bào)輔助研判系統(tǒng)與資產(chǎn)管理平臺(tái)結(jié)合應(yīng)用可通過(guò)與情報(bào)聯(lián)動(dòng)，將事件中的IP 地址、外聯(lián)URL 與情報(bào)碰撞，判斷來(lái)源IP、外聯(lián)目標(biāo)是否在威脅情報(bào)庫(kù)中或是否是惡意URL，從而發(fā)現(xiàn)資產(chǎn)風(fēng)險(xiǎn)，并做進(jìn)一步的研判處置，豐富資產(chǎn)信盧的同時(shí)提升網(wǎng)絡(luò)資產(chǎn)的治理能力。

4 結(jié)束語(yǔ)

威脅情報(bào)輔助研判系統(tǒng)對(duì)電力系統(tǒng)傳統(tǒng)安全運(yùn)維中海量告警淹沒(méi)真實(shí)攻擊的場(chǎng)景進(jìn)行了優(yōu)化與改進(jìn)，其通過(guò)引入威脅情報(bào)對(duì)告警數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析和輔助研判，對(duì)傳統(tǒng)告警進(jìn)行篩選、過(guò)濾，提高準(zhǔn)確率，并提供攻擊者攻擊手段、特征等背景信盧，幫助安全人員快速有效地識(shí)別真實(shí)攻擊。本系統(tǒng)的應(yīng)用大大提高了安全人員處理安全問(wèn)題的效率和速度，還可對(duì)未知安全威脅、異?；顒?dòng)行為進(jìn)行高效、準(zhǔn)確的檢測(cè)，整體上降低威脅攻擊的影響及損失，提升電力企業(yè)的安全防御能力。