摘要
網路流量檢測是實現網路整體安全態勢感知的主要手段,通過採集網路流量、脆弱性、安全事件和威脅情報等資料,利用大資料和機器學習技術,分析網路行為及使用者行為等因素構成的整個網路當前狀態和變化趨勢,並預測網路安全狀態發展趨勢。隨著密碼技術的廣泛應用,網路中存在著越來越多的加密流量,如 HTTPS、VPN 流量;由於加密技術的使用,破壞了明文資料的統計特點、資料格式等,用通用的流量檢測方法很難有效檢測加密流量,基於加密技術的隨機性、網路上下文等,結合人工智慧技術和機器學習方法,研究和設計了網路加密流量檢測體系框架、方法和關鍵技術,對加密流量的檢測具有較強的指導意義。
0引言
網路空間安全態勢感知能有效捍衛國家網路空間安全,提高國家對網路空間的監管、治理能力和強度,保護網路空間的正常執行,為網路空間社會治理、網路經濟有序繁榮、網路民生安全等提供有力支撐,促進和諧、安全、開放、合作的網路空間建設。
流量檢測是全天候網路空間安全態勢感知的基礎,通過對網路流量資料的檢測,藉助大資料儲存能力與多種分析手段來視覺化呈現流量分佈情況,自動發現網路訪問關係,從而認知、理解、建立、完善、預測網路流量秩序, 滿足對網路空間流量監控和異常感知的需求, 形成網路安全態勢中的流量態勢,如流量分佈、異常攻擊、TOP 地址、TOP 協議、安全總體態勢等資訊。
隨著網際網路的普及和電子商務、電子政務、社交應用的大力推廣,社會整體安全意識的提高,基於資料安全和隱私保護的需求,大量採用了密碼技術,加密流量呈現爆發式增長。如大量採用安全套接字層(SSL)、安全外殼協議(SSH)、虛擬專用網(VPN)、匿名通訊(如Tor)等密碼技術以滿足網路安全需求。即時通訊(IM)和流媒體也越來越多地使用加密和隧道技術應對DPI(deep packet inspection)技術的檢測;加密協議良好的相容性和可擴充套件性,使得加密技術應用變得越來越簡單,如現有的 Web應用可以無縫地遷移到 HTTPS,且 SSL 協議除了能跟 HTTP 搭配,還能跟其他應用層協議搭配( 如 FTP、SMTP、POP),以提高這些應用層協議的安全性。
資料加密雖然能有效保護資料,但同樣可以構成新的安全威脅和風險,加密的資料能逃避防火牆、入侵檢測系統的安全監測,攻擊者可以以此來隱藏自己的攻擊行為(如勒索病毒)。傳統的基於防火牆、入侵檢測技術構建的安全體系已經不足以應對經過加密的各類流量的攻擊,因此需要對加密流量進行有效識別和檢測。
構建網路全資料流量檢測的網路空間安全態勢感知能力成為國家網路空間安全的重中之重,能有效全面監控、審計和管理網路行為,有效規避風險,有效提升中國的資訊保安自主化和資訊保安防護能力,對實現國家網路強國目標,構建可控、有序、健康發展的網路生態具有重要戰略意義。而加密流量檢測是目前網路空間安全態勢感知的難點和關鍵。基於埠、資料流特性的加密流量檢測等技術,各有優缺點,充分利用目前的加密流量檢測方法,結合人工智慧、機器學習、大資料分析等技術,突破加密流量檢測體系框架、評估體系、檢測方法和關鍵技術,指導加密流量的深度檢測應用化。
1加密流量研究
黨和國家一直非常重視網路空間安全,大力推廣商用密碼技術在各領域、各行業的廣泛應用,制定出臺了相關法律法規和政策,如《網路安全法》《密碼法》《商用密碼管理條例》《網路安全等級保護條例》《關鍵資訊基礎設施安全保護條例》和《金融和重要領域密碼應用與創新發展工作規劃 2018—2022 年》等重要法律和要求。各行業和領域也紛紛出臺了商用密碼應用推進和實施計劃、實施方案,在金融、能源、電子政務等領域大力推廣商用密碼技術的使用, 也取得了顯著效果,形成了關鍵基礎設施、基礎網路和重要資訊系統商用密碼應用的中國產化浪潮。
但是,由於密碼技術、密碼產品、密碼系統、密碼服務的多樣化、專業化和應用系統的複雜性,難以對密碼應用的正確性、合規性和有效性進行有效的監管和評估。
密碼技術雖然能有效保護資料安全和隱私,但同樣可以構成新的安全威脅和風險,使得對網路攻擊的檢測、跟蹤和分析更加困難,如勒索病毒、暗網、基於洋蔥路由的雙向匿名祕密通訊、採用密碼技術對殭屍網路進行多型化和變形混淆等,這些攻擊方法能規避常規的網路監測,構成了對中國網路空間安全、國家安全和社會穩定、經濟繁榮的現實威脅和破壞,傳統的基於防火牆、入侵檢測技術構建的安全體系難以應對基於密碼技術的網路攻擊。
因此迫切需要構建網路空間的密碼應用態勢感知與密碼應用監管能力,形成密碼應用的“可管理、可感知、可預警、可防護、可處置”的一體化監管與態勢感知預警體系,對網路空間的密碼應用進行全面有效監控、審計和管理;能有效規避密碼應用風險,提升中國網路空間資訊保安自主化和資訊保安防護能力,對實現國家網路強國目標,構建可控、有序、健康發展的網路生態具有重要戰略意義。
加密流量檢測是密碼應用態勢感知和密碼應用監管的核心技術,其主要功能如下:
(1)能及時發現非法加密流量的威脅風險,採用基於機器學習和專家系統,對加密流量大範圍樣本資料進行安全分析,發現未知威脅。通過多維度(漏洞、統計、規則)資料關聯分析, 發現潛在的安全問題。通過加密流量態勢感知平臺,使用者可以及時了解網路的加密流量狀態、攻擊來源以及哪些服務易受到攻擊等情況,並能夠及時採取防範措施。
(2)支撐安全決策和應急響應,利用雲端檢測,形成“雲網端”協同的主動防禦體系,通過“雲網端”協同聯動,基於知識庫根據實時場景自適應決策響應,快速生成密碼應用應急響應預案,實現密碼應用安全事件的預警、響應和處置,完成對威脅攻擊的控制閉環反饋。
(3)有利於建立安全全域性預警機制,面向大規模網路的密碼應用安全態勢感知,通過提供全域性的密碼應用安全檢視,使使用者、主管部門能夠快速準確地把握全網當前的密碼應用安全狀態,掌握全網密碼應用安全態勢趨勢, 並能夠對異常事件進行預警, 對於提高國家骨幹網路的應急響應能力,緩解網路攻擊造成的危害,發現潛在的惡意入侵,具有十分重要的意義。
(4)增強整體安全防護能力,通過高效能密碼應用檢測引擎,可以對多個環節的檢測結果綜合分析、準確識別、響應預警,完成對網路框架的全面安全防護、實現“精準防禦、快速過濾、立體防護、智慧聯動”。為使用者的密碼應用安全合規檢查和加固行為提供決策支撐。
目前加密流量的識別主要採用基於埠的識別、基於內容特徵碼的識別、基於流量特徵的識別、基於內容統計特徵的識別等方法。加密協議一般採用特定的預設埠,因此可藉助埠號識別加密業務,但隨著隨機埠和私有協議的廣泛應用,這種檢測方法越來越難以適應。
加密協議一般需要先建立連線,完成版本協商、金鑰交換等,這些連線報文具有固定的格式和內容,呈現出特定的流量特徵,但是,網路中的加密應用千差萬別、協議多樣,很難基於已知的加密協議、應用等,對整個網路中的加密流量進行深度檢測。同時,加密資料較高的隨機性也可以被用於加密流量的檢測,但只能識別是否加密,不能實現加密流量的深度檢測。
因此,加密流量檢測需要針對不同的密碼應用領域、不同業務應用、不同的平臺、不同的網路應用環境、政策需求等,突破傳統單一加密流量分析和檢測的侷限性,通過對加密流量特徵的深度挖掘,進行加密流量的多尺度行為建模,實現加密流量的快速、精確分析與預警;採用多維、多層、多粒度的加密流量分析融合技術,結合關聯規則、聚類演算法和邏輯推理等資料探勘技術,實現對加密流量的全面動態、可靠檢測,有效規避加密流量引發的安全威脅和風險, 提升密碼應用的安全性、合規性和有效性。
2加密流量檢測模型
在研究加密流量識別模型、識別演算法、框架的基礎上,研製密碼應用態勢感知平臺。綜合研究多種加密流量識別演算法,充分利用低開銷和高識別率演算法優勢,實現識別結果動態反饋、約減資料輸入,支援碎片化資料,實現低開銷、高效能的加密流量識別,增強平臺多識別引擎的擴充套件能力。配合態勢感知元件,構造功能完備、效能優異、空間耗費小、區分度高的加密流量態勢感知平臺。需要重點解決三個方面的問題:
一是研究解決加密流量普適特徵提取、匹配與演化問題,建立科學合理的加密流量檢測模型,降低識別的實現代價,實現高準確率的識別區分,對加密流量識別演算法進行研究、優化和提升。
二是研究加密流量綜合識別評估 / 評價方法、指標體系等,通過覆蓋全面的加密流量檢測, 獲得加密流量中的關鍵資訊、合規性等,在此基礎上,進行綜合評估與評價,實現加密流量的整體評估。
三是密碼應用態勢感知平臺關鍵技術研究與突破,包括基於埠的識別技術、基於內容特徵的識別技術和基於流量特徵的識別技術、機器學習與人工智慧在加密流量檢測中的應用關鍵技術、加密流量識別引擎研製、判決準則與策略分發機制及技術研究等。加密流量檢測框架如圖 1 所示。
圖 1加密流量檢測框架
加密流量檢測框架採用模組化結構,具有很好的擴充套件性。該框架將多種加密流量識別方法有機整合,採用預處理技術,減小識別資料量,提高識別引擎的處理容量。實現加密業務的多層次深入識別,達到兼顧速度、準確率和全面性的目的。通過埠識別、內容識別、流量特徵識別等技術和基於大資料、機器學習、人工智慧等技術的分析技術,可以達到對具有固定埠和特定內容特徵的加密流量精確識別、對其他加密流量包括未知加密流量準確識別的目標。通過動態可重構,便捷加入新的識別引擎,具有功能平滑升級、效能快捷擴充套件的能力。加密流量識別引擎如圖2所示。
圖2加密流量識別引擎
加密流量機器學習框架如圖 3 所示。
圖 3加密流量檢測機器學習框架
3加密流量檢測關鍵技術
針對密碼應用的多樣性、複雜性、關聯性及大規模等特徵,研究提取表徵密碼應用態勢的關鍵要素。在此基礎上,研究密碼應用特徵的多層次(資料級、特徵級和決策級)的資料融合技術。
研究密碼應用的異常檢測方法;研究從單個密碼應用匯聚整體網路空間密碼應用行為的異常檢測方法,從而進一步刻畫網路空間密碼應用態勢。研究基於機器學習、模糊推理、資料流挖掘等方法建立動態的密碼應用態勢預測模型,實現對網路空間大規模密碼應用態勢的預測;最終完成預警,為安全管理和安全應急提供決策支援。
加密流量檢測能有效防止惡意使用密碼、未用密碼和未使用中國商用密碼;惡意使用密碼主要是防止類似勒索病毒的發生,採用基於行為特徵的加密許可權與資源的訪問控制機制、阻斷加密互動過程、告警與處置;未用密碼主要是指在資料安全、隱私安全和業務安全中, 通過加密流量檢測、語義分析、上下文關聯分析、響應與處置等技術,及時發現未採用密碼技術進行安全保障;未使用中國密碼演算法需要通過加密流量的深度檢測、檢測模型建立、商用演算法特徵指紋提取、快速識別演算法、機器學習、響應與處置等技術,實現商用密碼演算法的深度識別。
需要突破的關鍵技術如下:
(1)自適應的加密流量檢測模型:實時反饋的加密流量檢測模型的建立,實現科學、合理、高效的特徵集提取(資料包特徵與資料流的特徵)與快速匹配演算法;保障加密流量檢測模型的科學性(約束、關聯、層次和結構)、加密流量檢測模型的演化和擴充套件性(退化、湧現、變異、適應和穩定)、加密流量檢測模型效能指標(可用性、全面性、複雜性、準確率、漏報率、誤報率、實時性)。
(2)多加密流量檢測引擎下的綜合評估與評判準則。研究自適應加密流量檢測下的綜合評估體系,建立覆蓋全面、完善合理、策略靈活的綜合評價指標。
需要根據應用層加密、傳輸層加密、IP 層加密、介面層加密和本地資料加密等應用需求,研究加密流量識別演算法,並優化。如ETI-ST 演算法、ECLAT 演算法、ISP-FT 演算法等研究;基於內容統計特徵的加密流量識別研究;基於應用特徵欄位匹配的加密流量識別研究;基於機器學習的加密流量識別技術研究,包括基於有監督學習的加密流量識別技術研究、無監督學習的加密流量識別技術研究、半監督學習的加密流量識別技術研究;大資料平臺關鍵技術,包括大資料分析、大資料儲存、關聯性分析等關鍵技術。
4加密流量態勢感知預警平臺框架
構建加密流量態勢感知預警平臺,能有效實現加密流量的檢測與態勢預警,加密流量態勢感知主要指加密流量採集、加密流量預處理、加密資料分析、展示、預警等;通過部署探針, 結合威脅情報庫、專家知識系統等,實現資訊系統中的加密流量識別與態勢感知。加密流量態勢感知預警平臺框架如圖4所示。
圖 4加密流量態勢感知預警平臺框架
加密流量態勢感知預警平臺通過採集資訊系統中的密碼裝置和密碼系統的關鍵資料,如裝置資訊、日誌資訊、加密流量以及其他關鍵資訊;裝置資訊如產品型號能體現出該密碼產品的有效期、支援的密碼演算法、生產單位等關鍵資訊;日誌資訊能體現出對密碼裝置的關鍵操作和系統執行狀態;採集的加密流量通過大資料平臺、機器學習方法,進行資料清洗、資料轉換和資料歸併,通過加密流量識別引擎實現對加密流量的深度分析,結合埠資訊、報文上下文、密文的隨機性檢測等輔助手段,以及威脅情報庫和專家知識系統,實現對加密流量的深度檢測。
通過統一的資料服務方式,實現通報預警、視覺化呈現、資訊處置和應急處置。同時,平臺安全管理是加密流量態勢感知預警平臺安全的有力保障,保障平臺自身安全、訪問控制和安全審計等。
5結語
密碼應用監管與態勢感知能有效捍衛國家網路空間安全,提高國家對網路空間的監管、治理能力和強度,保護網路空間的正常執行,為網路空間社會治理、網路經濟有序繁榮、網路民生安全等提供有力支撐,促進和諧、安全、開放、合作的網路空間建設。遵循“以密碼應用為中心、以密碼監管與態勢感知預警能力為基本抓手”的原則,採取整體規劃與佈局,構建多層次、全方位的密碼應用監管與態勢感知預警能力,實現密碼應用的實時監管、實時感知與實時處置。主要包括如下幾點:
(1)完善密碼應用監管體系和制度,出臺相關密碼監管與態勢感知預警政策與要求,明確網際網路密碼應用的態勢感知與預警要求,強化在基礎網路、重要資訊系統中的密碼應用監管與態勢感知平臺建設,建立各國家密碼主管部門、密碼應用行業主管單位、使用者單位、監督和檢測機構的資訊通報、共享機制。
(2)完善相關標準,密碼應用監管與態勢感知預警,離不開密碼裝置、密碼系統的配合和支撐,目前的密碼產品應用標準、介面標準、服務標準、檢測標準等,都不能完全滿足密碼應用的監管與態勢預警需求,需要完善監管相關標準與介面。
(3)構建國家級分級、分層、聯動共享、及時響應的密碼威脅情報庫、專家委員會和密碼智庫等。形成對密碼應用監管與態勢感知預警的有力支撐。
(4)構建國家網際網路智慧化密碼應用態勢感知平臺。採用分層、分級部署方式(按國家、省、市方式部署),形成統一、協調聯動的國家網際網路密碼應用態勢感知能力,實現對網際網路密碼應用的細粒度感知與預警;針對網際網路密碼應用的多樣性、複雜性等特徵,在關鍵節點、關鍵應用上提取密碼應用態勢感知的關鍵資料(加密流量、源 / 目的地址、應用等);採用大資料、資料探勘、人工智慧等技術,對資料進行歸一化、關聯和融合等分析處理,結合威脅情報庫與專家系統,對整個網際網路的密碼應用態勢與密碼應用異常進行檢測與預警。實現從單個節點、應用的密碼異常檢測到整個網路空間的密碼應用態勢進行評估、告警和輔助決策。
(5)構建多層次、多領域、高度智慧化的關鍵基礎設施、基礎網路和重要資訊系統密碼應用監管與態勢感知預警一體化平臺。實現密碼裝置、密碼應用、密碼演算法的實時監管,實現密碼應用態勢的實時感知、應急處置,保障密碼應用的合規性、準確性和有效性。主要包括對密碼產品和密碼服務的有效性、合規性管理、密碼裝置的實時監管、密碼專家委員會和智庫管理。針對不同領域的密碼應用、不同的網路應用環境、政策需求等,建設密碼應用資訊採集和態勢感知預警平臺,實現密碼應用資訊採集報送、智慧分析、態勢感知、安全預警、應急處理一體化管理。建立多層次、多領域的密碼應用態勢感知預警平臺。
作者簡介 >>>
張文科(1973—),男,碩士,高階工程師,主要研究方向為保密通訊;
羅影(1981—), 男,碩士,工程師,中國密碼學會會員,主要研究方向為保密通訊;秦體紅(1982—),男,碩士,工程師,主要研究方向為資訊保安與保密通訊;
孫付(1982—), 男, 碩士, 工程師, 主要研究方向為資訊保安。