加密流量检测与态势预警平台研究
摘 要
网络流量检测是实现网络整体安全态势感知的主要手段,通过采集网络流量、脆弱性、安全事件和威胁情报等数据,利用大数据和机器学习技术,分析网络行为及用户行为等因素构成的整个网络当前状态和变化趋势,并预测网络安全状态发展趋势。随着密码技术的广泛应用,网络中存在着越来越多的加密流量,如 HTTPS、VPN 流量;由于加密技术的使用,破坏了明文数据的统计特点、数据格式等,用通用的流量检测方法很难有效检测加密流量,基于加密技术的随机性、网络上下文等,结合人工智能技术和机器学习方法,研究和设计了网络加密流量检测体系框架、方法和关键技术,对加密流量的检测具有较强的指导意义。
0 引 言
网络空间安全态势感知能有效捍卫国家网络空间安全,提高国家对网络空间的监管、治理能力和强度,保护网络空间的正常运行,为网络空间社会治理、网络经济有序繁荣、网络民生安全等提供有力支撑,促进和谐、安全、开放、合作的网络空间建设。
流量检测是全天候网络空间安全态势感知的基础,通过对网络流量数据的检测,借助大数据存储能力与多种分析手段来可视化呈现流量分布情况,自动发现网络访问关系,从而认知、理解、建立、完善、预测网络流量秩序, 满足对网络空间流量监控和异常感知的需求, 形成网络安全态势中的流量态势,如流量分布、异常攻击、TOP 地址、TOP 协议、安全总体态势等信息。
随着互联网的普及和电子商务、电子政务、社交应用的大力推广,社会整体安全意识的提高,基于数据安全和隐私保护的需求,大量采用了密码技术,加密流量呈现爆发式增长。如大量采用安全套接字层(SSL)、安全外壳协议(SSH)、虚拟专用网(VPN)、匿名通信(如Tor)等密码技术以满足网络安全需求。即时通信(IM)和流媒体也越来越多地使用加密和隧道技术应对DPI(deep packet inspection)技术的检测;加密协议良好的兼容性和可扩展性,使得加密技术应用变得越来越简单,如现有的 Web应用可以无缝地迁移到 HTTPS,且 SSL 协议除了能跟 HTTP 搭配,还能跟其他应用层协议搭配( 如 FTP、SMTP、POP),以提高这些应用层协议的安全性。
数据加密虽然能有效保护数据,但同样可以构成新的安全威胁和风险,加密的数据能逃避防火墙、入侵检测系统的安全监测,攻击者可以以此来隐藏自己的攻击行为(如勒索病毒)。传统的基于防火墙、入侵检测技术构建的安全体系已经不足以应对经过加密的各类流量的攻击,因此需要对加密流量进行有效识别和检测。
构建网络全数据流量检测的网络空间安全态势感知能力成为国家网络空间安全的重中之重,能有效全面监控、审计和管理网络行为,有效规避风险,有效提升我国的信息安全自主化和信息安全防护能力,对实现国家网络强国目标,构建可控、有序、健康发展的网络生态具有重要战略意义。而加密流量检测是目前网络空间安全态势感知的难点和关键。基于端口、数据流特性的加密流量检测等技术,各有优缺点,充分利用目前的加密流量检测方法,结合人工智能、机器学习、大数据分析等技术,突破加密流量检测体系框架、评估体系、检测方法和关键技术,指导加密流量的深度检测应用化。
1 加密流量研究
党和国家一直非常重视网络空间安全,大力推广商用密码技术在各领域、各行业的广泛应用,制定出台了相关法律法规和政策,如《网络安全法》《密码法》《商用密码管理条例》《网络安全等级保护条例》《关键信息基础设施安全保护条例》和《金融和重要领域密码应用与创新发展工作规划 2018—2022 年》等重要法律和要求。各行业和领域也纷纷出台了商用密码应用推进和实施计划、实施方案,在金融、能源、电子政务等领域大力推广商用密码技术的使用, 也取得了显著效果,形成了关键基础设施、基础网络和重要信息系统商用密码应用的国产化浪潮。
但是,由于密码技术、密码产品、密码系统、密码服务的多样化、专业化和应用系统的复杂性,难以对密码应用的正确性、合规性和有效性进行有效的监管和评估。
密码技术虽然能有效保护数据安全和隐私,但同样可以构成新的安全威胁和风险,使得对网络攻击的检测、跟踪和分析更加困难,如勒索病毒、暗网、基于洋葱路由的双向匿名秘密通信、采用密码技术对僵尸网络进行多态化和变形混淆等,这些攻击方法能规避常规的网络监测,构成了对我国网络空间安全、国家安全和社会稳定、经济繁荣的现实威胁和破坏,传统的基于防火墙、入侵检测技术构建的安全体系难以应对基于密码技术的网络攻击。
因此迫切需要构建网络空间的密码应用态势感知与密码应用监管能力,形成密码应用的“可管理、可感知、可预警、可防护、可处置”的一体化监管与态势感知预警体系,对网络空间的密码应用进行全面有效监控、审计和管理;能有效规避密码应用风险,提升我国网络空间信息安全自主化和信息安全防护能力,对实现国家网络强国目标,构建可控、有序、健康发展的网络生态具有重要战略意义。
加密流量检测是密码应用态势感知和密码应用监管的核心技术,其主要功能如下:
(1)能及时发现非法加密流量的威胁风险,采用基于机器学习和专家系统,对加密流量大范围样本数据进行安全分析,发现未知威胁。通过多维度(漏洞、统计、规则)数据关联分析, 发现潜在的安全问题。通过加密流量态势感知平台,用户可以及时了解网络的加密流量状态、攻击来源以及哪些服务易受到攻击等情况,并能够及时采取防范措施。
(2)支撑安全决策和应急响应,利用云端检测,形成“云网端”协同的主动防御体系,通过“云网端”协同联动,基于知识库根据实时场景自适应决策响应,快速生成密码应用应急响应预案,实现密码应用安全事件的预警、响应和处置,完成对威胁攻击的控制闭环反馈。
(3)有利于建立安全全局预警机制,面向大规模网络的密码应用安全态势感知,通过提供全局的密码应用安全视图,使用户、主管部门能够快速准确地把握全网当前的密码应用安全状态,掌握全网密码应用安全态势趋势, 并能够对异常事件进行预警, 对于提高国家骨干网络的应急响应能力,缓解网络攻击造成的危害,发现潜在的恶意入侵,具有十分重要的意义。
(4)增强整体安全防护能力,通过高性能密码应用检测引擎,可以对多个环节的检测结果综合分析、准确识别、响应预警,完成对网络框架的全面安全防护、实现“精准防御、快速过滤、立体防护、智能联动”。为用户的密码应用安全合规检查和加固行为提供决策支撑。
目前加密流量的识别主要采用基于端口的识别、基于内容特征码的识别、基于流量特征的识别、基于内容统计特征的识别等方法。加密协议一般采用特定的默认端口,因此可借助端口号识别加密业务,但随着随机端口和私有协议的广泛应用,这种检测方法越来越难以适应。
加密协议一般需要先建立连接,完成版本协商、密钥交换等,这些连接报文具有固定的格式和内容,呈现出特定的流量特征,但是,网络中的加密应用千差万别、协议多样,很难基于已知的加密协议、应用等,对整个网络中的加密流量进行深度检测。同时,加密数据较高的随机性也可以被用于加密流量的检测,但只能识别是否加密,不能实现加密流量的深度检测。
因此,加密流量检测需要针对不同的密码应用领域、不同业务应用、不同的平台、不同的网络应用环境、政策需求等,突破传统单一加密流量分析和检测的局限性,通过对加密流量特征的深度挖掘,进行加密流量的多尺度行为建模,实现加密流量的快速、精确分析与预警;采用多维、多层、多粒度的加密流量分析融合技术,结合关联规则、聚类算法和逻辑推理等数据挖掘技术,实现对加密流量的全面动态、可靠检测,有效规避加密流量引发的安全威胁和风险, 提升密码应用的安全性、合规性和有效性。
2 加密流量检测模型
在研究加密流量识别模型、识别算法、框架的基础上,研制密码应用态势感知平台。综合研究多种加密流量识别算法,充分利用低开销和高识别率算法优势,实现识别结果动态反馈、约减数据输入,支持碎片化数据,实现低开销、高性能的加密流量识别,增强平台多识别引擎的扩展能力。配合态势感知组件,构造功能完备、性能优异、空间耗费小、区分度高的加密流量态势感知平台。需要重点解决三个方面的问题:
一是研究解决加密流量普适特征提取、匹配与演化问题,建立科学合理的加密流量检测模型,降低识别的实现代价,实现高准确率的识别区分,对加密流量识别算法进行研究、优化和提升。
二是研究加密流量综合识别评估 / 评价方法、指标体系等,通过覆盖全面的加密流量检测, 获得加密流量中的关键信息、合规性等,在此基础上,进行综合评估与评价,实现加密流量的整体评估。
三是密码应用态势感知平台关键技术研究与突破,包括基于端口的识别技术、基于内容特征的识别技术和基于流量特征的识别技术、机器学习与人工智能在加密流量检测中的应用关键技术、加密流量识别引擎研制、判决准则与策略分发机制及技术研究等。加密流量检测框架如图 1 所示。
图 1 加密流量检测框架
加密流量检测框架采用模块化结构,具有很好的扩展性。该框架将多种加密流量识别方法有机整合,采用预处理技术,减小识别数据量,提高识别引擎的处理容量。实现加密业务的多层次深入识别,达到兼顾速度、准确率和全面性的目的。通过端口识别、内容识别、流量特征识别等技术和基于大数据、机器学习、人工智能等技术的分析技术,可以达到对具有固定端口和特定内容特征的加密流量精确识别、对其他加密流量包括未知加密流量准确识别的目标。通过动态可重构,便捷加入新的识别引擎,具有功能平滑升级、性能快捷扩展的能力。加密流量识别引擎如图2所示。
图2 加密流量识别引擎
加密流量机器学习框架如图 3 所示。
图 3 加密流量检测机器学习框架
3 加密流量检测关键技术
针对密码应用的多样性、复杂性、关联性及大规模等特征,研究提取表征密码应用态势的关键要素。在此基础上,研究密码应用特征的多层次(数据级、特征级和决策级)的数据融合技术。
研究密码应用的异常检测方法;研究从单个密码应用汇聚整体网络空间密码应用行为的异常检测方法,从而进一步刻画网络空间密码应用态势。研究基于机器学习、模糊推理、数据流挖掘等方法建立动态的密码应用态势预测模型,实现对网络空间大规模密码应用态势的预测;最终完成预警,为安全管理和安全应急提供决策支持。
加密流量检测能有效防止恶意使用密码、未用密码和未使用我国商用密码;恶意使用密码主要是防止类似勒索病毒的发生,采用基于行为特征的加密权限与资源的访问控制机制、阻断加密交互过程、告警与处置;未用密码主要是指在数据安全、隐私安全和业务安全中, 通过加密流量检测、语义分析、上下文关联分析、响应与处置等技术,及时发现未采用密码技术进行安全保障;未使用我国密码算法需要通过加密流量的深度检测、检测模型建立、商用算法特征指纹提取、快速识别算法、机器学习、响应与处置等技术,实现商用密码算法的深度识别。
需要突破的关键技术如下:
(1)自适应的加密流量检测模型:实时反馈的加密流量检测模型的建立,实现科学、合理、高效的特征集提取(数据包特征与数据流的特征)与快速匹配算法;保障加密流量检测模型的科学性(约束、关联、层次和结构)、加密流量检测模型的演化和扩展性(退化、涌现、变异、适应和稳定)、加密流量检测模型性能指标(可用性、全面性、复杂性、准确率、漏报率、误报率、实时性)。
(2)多加密流量检测引擎下的综合评估与评判准则。研究自适应加密流量检测下的综合评估体系,建立覆盖全面、完善合理、策略灵活的综合评价指标。
需要根据应用层加密、传输层加密、IP 层加密、接口层加密和本地数据加密等应用需求,研究加密流量识别算法,并优化。如ETI-ST 算法、ECLAT 算法、ISP-FT 算法等研究;基于内容统计特征的加密流量识别研究;基于应用特征字段匹配的加密流量识别研究;基于机器学习的加密流量识别技术研究,包括基于有监督学习的加密流量识别技术研究、无监督学习的加密流量识别技术研究、半监督学习的加密流量识别技术研究;大数据平台关键技术,包括大数据分析、大数据存储、关联性分析等关键技术。
4 加密流量态势感知预警平台框架
构建加密流量态势感知预警平台,能有效实现加密流量的检测与态势预警,加密流量态势感知主要指加密流量采集、加密流量预处理、加密数据分析、展示、预警等;通过部署探针, 结合威胁情报库、专家知识系统等,实现信息系统中的加密流量识别与态势感知。加密流量态势感知预警平台框架如图4所示。
图 4 加密流量态势感知预警平台框架
加密流量态势感知预警平台通过采集信息系统中的密码设备和密码系统的关键数据,如设备信息、日志信息、加密流量以及其他关键信息;设备信息如产品型号能体现出该密码产品的有效期、支持的密码算法、生产单位等关键信息;日志信息能体现出对密码设备的关键操作和系统运行状态;采集的加密流量通过大数据平台、机器学习方法,进行数据清洗、数据转换和数据归并,通过加密流量识别引擎实现对加密流量的深度分析,结合端口信息、报文上下文、密文的随机性检测等辅助手段,以及威胁情报库和专家知识系统,实现对加密流量的深度检测。
通过统一的数据服务方式,实现通报预警、可视化呈现、信息处置和应急处置。同时,平台安全管理是加密流量态势感知预警平台安全的有力保障,保障平台自身安全、访问控制和安全审计等。
5 结 语
密码应用监管与态势感知能有效捍卫国家网络空间安全,提高国家对网络空间的监管、治理能力和强度,保护网络空间的正常运行,为网络空间社会治理、网络经济有序繁荣、网络民生安全等提供有力支撑,促进和谐、安全、开放、合作的网络空间建设。遵循“以密码应用为中心、以密码监管与态势感知预警能力为基本抓手”的原则,采取整体规划与布局,构建多层次、全方位的密码应用监管与态势感知预警能力,实现密码应用的实时监管、实时感知与实时处置。主要包括如下几点:
(1)完善密码应用监管体系和制度,出台相关密码监管与态势感知预警政策与要求,明确互联网密码应用的态势感知与预警要求,强化在基础网络、重要信息系统中的密码应用监管与态势感知平台建设,建立各国家密码主管部门、密码应用行业主管单位、用户单位、监督和检测机构的信息通报、共享机制。
(2)完善相关标准,密码应用监管与态势感知预警,离不开密码设备、密码系统的配合和支撑,目前的密码产品应用标准、接口标准、服务标准、检测标准等,都不能完全满足密码应用的监管与态势预警需求,需要完善监管相关标准与接口。
(3)构建国家级分级、分层、联动共享、及时响应的密码威胁情报库、专家委员会和密码智库等。形成对密码应用监管与态势感知预警的有力支撑。
(4)构建国家互联网智能化密码应用态势感知平台。采用分层、分级部署方式(按国家、省、市方式部署),形成统一、协调联动的国家互联网密码应用态势感知能力,实现对互联网密码应用的细粒度感知与预警;针对互联网密码应用的多样性、复杂性等特征,在关键节点、关键应用上提取密码应用态势感知的关键数据(加密流量、源 / 目的地址、应用等);采用大数据、数据挖掘、人工智能等技术,对数据进行归一化、关联和融合等分析处理,结合威胁情报库与专家系统,对整个互联网的密码应用态势与密码应用异常进行检测与预警。实现从单个节点、应用的密码异常检测到整个网络空间的密码应用态势进行评估、告警和辅助决策。
(5)构建多层次、多领域、高度智能化的关键基础设施、基础网络和重要信息系统密码应用监管与态势感知预警一体化平台。实现密码设备、密码应用、密码算法的实时监管,实现密码应用态势的实时感知、应急处置,保障密码应用的合规性、准确性和有效性。主要包括对密码产品和密码服务的有效性、合规性管理、密码设备的实时监管、密码专家委员会和智库管理。针对不同领域的密码应用、不同的网络应用环境、政策需求等,建设密码应用信息采集和态势感知预警平台,实现密码应用信息采集报送、智能分析、态势感知、安全预警、应急处理一体化管理。建立多层次、多领域的密码应用态势感知预警平台。
作者简介 》>
王 瑛(1971—),女,硕士,高级工程师,主要研究方向为信息安全与通信保密技术;
张文科(1973—),男,硕士,高级工程师,主要研究方向为保密通信;
罗 影(1981—), 男,硕士,工程师,中国密码学会会员,主要研究方向为保密通信;秦体红(1982—),男,硕士,工程师,主要研究方向为信息安全与保密通信;
孙 付(1982—), 男, 硕士, 工程师, 主要研究方向为信息安全。
选自《信息安全与通信保密》2020年第二期(为便于排版,已省去原文参考文献)
评论