CNITSEC信息网络安全
态势感知研究与实践
文/ 中国科技大学网络态势感知研究中心 蒋 凡 程绍银 合肥昊特信息科技公司 贾振宏 单衍景 白 毅
现有互联网存在的不可控、不可管、不能保证服务体验质量的状况,很难保证基本的存活性和可信任性,它的发展面临重大的挑战。目前国内外应对这个重大挑战的手段主要依赖于网络边缘产品和技术,如防火墙,IDS,相关研究仍集中在传统的权值数据、经典模型、实验仿真的模式和方法,并没有解决互联网结构缺乏整体安全框架的问题。基于多年持续研究和积极实践的积累,以拓展的逆向解析理论和求异方法为基础,我们提出信息网络安全体系结构研究的新思路:在存在已知和未知病毒、木马、蠕虫和拒绝访问攻击的前提下,通过深度感知信息网络通信中信息的关联性,动态识别应用/业务的信任属性,保障有边界信息网络的高存活性和应用/业务的高可用性。我们自主研发的信息网络应用/业务安全保障设备,已在规模和复杂的现实网络中得到实际应用和验证,有效地保障了信息网络的存活性和应用/业务的可控、可管和服务体验质量。36 /中国信息安全/2011.02
焦 点Focus发展与挑战洞或功能重叠,甚至顾此失彼。”在互联网的演进过程中,曾以3个方面来衡当今的互联网已成为一个复杂的巨系统,不量发展速度和规模:仅在于其宏观的网络物理拓扑结构,而且更在于标准(如各种通信协议和规范)、技术(如其微观的个性化参与和普及。动态和随机变化的有线、无线带宽及设备产品)、用户(如范围、用户行为与海量的传输数据交织,一个不得不正数量、类型)。视的事实是:用户的主观能动性以及由此产生的其中,标准和技术相互推动,而用户仅能结果是难以被量化模拟和被动地预测。接受和服从所提供的业务和服务(如时分语音电面对这个复杂巨系统,如何贯通宏观与微话,主从文件传输,网页文字浏览)。由于用户观?事实证明,建立对网络信息的态势感知是连被标准和技术所约束,所形成的相对封闭环境使接宏观与微观的一个有效通道。得用户通信的行为存在一定的统计规律。此外,相对封闭的环境使得网络信息安全的威胁和问题参考与借鉴集中在了计算机终端,由密码、漏洞补丁和访问态势感知的应用并不鲜见。例如,古人运授权,构成“看家护院”的防线。安全防范的进用经验和动物预测天气态势;近代早期利用历史一步措施是数据的备份,以防一旦设备感染病毒数据和计算机来分析预报天气形势,但都存在误后重装系统。报率高,范围小,时间短等缺憾。现代的天气预以文件共享(P2P)、VoIP(Skype)、报藉助于气象卫星和雷达,实时地将监测数据送Web2.0()为代表的个性化私有协议到计算机做分析处理。气象卫星和雷达所完成的应用开创了互联网“开放、自由、无界”的新天是一种类型的态势感知,感知的对象是天气的变地。用户在使用互联网的同时,成为了开发互联化现象。基于实时态势感知,天气预报可被即时网应用和推动互联网应用的主导力量,且其想象调整。和创新能力是互联网发展历程中从未有过的。不1999年,网络信息空间态势感知(Cyberspace 可否认,正是由于用户的主导使互联网有了活力Situational Awareness)的概念被提出,主要包含和动力。这一变化所产生的现实和深远影响从美了两层含义:a) 实时地根据网络安全设备的告警国《时代周刊》2006年度的“风云人物”评选结信息及其他信息,进行关联归并、数据融合等操果中可见一斑。作,实时反映网络实际的运行状况;b) 根据历史“网络已发生从公众机构或标准组织主宰到数据进行一定的离线分析,采用一定手段对潜在个人用户导向的重要转变。正在改变这个时代的可能的威胁进行预测。人是‘你们’,而不是‘我们’。” 在这个领域里的研究,包括模型方法、推理——《时代周刊》2006年度风云人物颁奖辞评估、统计预测、目标任务等热点。其中,比较“早期的互联网被默认为‘安全的网络’,有代表性的研究如数据融合、贝叶斯网络、态势传统互联网默认其用户群体主要是彼此相互信值计算、模糊层次分析法、德尔菲专家法、时间任、目标一致的团体,安全问题未得到设计者的序列分析等等。时至2005年,在这个领域里的研重视。但是随着互联网的商用化和全球爆炸式发究被认为“尚未取得任何进展”,或事实上进入展,其用户群体在规模、目标、素质等方面各不了一个“死胡同”。相同,用户间的信任不复存在。互联网上病毒、在可见的权威总结和结论中,网络信息空间网络攻击频繁发生,隐私无法保证,互联网被默态势感知目前存在的难题被归结为:不同组织间认为‘不安全的网’。尽管学术界和工业界提出的分工协作;应对网络复杂性;多源、多点事件了一些解决方案(其中一些已经得到了应用),由的关联分析;降低额络负荷,提供系统容错于原有互联网体系结构缺乏整体安全框架,各种性等。但是,一个关键的客观根源却被忽略了,安全技术以‘补丁’方式添加,难免出现安全漏即感知对象的内涵——是谁在构造和改变需要被2011.02/中国信息安全/
37
CNITSEC感知的对象? 是“你们”而不是“我们”。一个典型的例子是:2003年私有Skype的出现,就注定软交换标准的VoIP将被终结。不论是技术和成本还是普及率,Skype都标新立异。如今,Skype 已“登堂入室”成为有线和无线VoIP的标准配置。与自然现象、物理变化或化学反应不同,态势感知理念和模型的一个必需构成是要建立人的“心智模型”。而在网络信息空间,由 “我们”试图主观地感知 “你们”,其结果形同“刻舟求剑”。因此,对网络信息空间态势感知的研究面临停滞不前。态势感知在网络信息空间与网络信息安全的领域中应该何从何去? 2009年5月和6月,美国白宫办公室和英国内阁办公室先后发布了对信息网络空间的调整后策略,其中,信息网络空间被明确地定义为由3个维度组成:通信基础设施(如有线、无线网络),通信应用业务(如标准和私有协议),通信行为CNITSEC态及变化属性,通过对行为或做法的“求异”过滤出已知和未知的应用/业务类型,基于相应的策略作出即时处置。简单地说,在某个特定的时间或行业或区域,“白名单”(合法、公认、常规等)可以是已知(或界定)的应用/业务;“黑名单”(非法、非公认、非常规等)可能是部分已知的或未知的应用/业务。如果互联网的应用和业务发展是缓慢的或相对静止的,“非白即黑”的判断或许适用。但是,不可逆转的互联网快速发展不仅“树欲静而风不止”,而且在时间上、行业中、区域里也不尽相同。显然,为了保障网络通信的安全、和谐、有序,“黑、白名单”必须持续被相应地更新定义。由此,“灰名单”应运而生。“灰名单”是指尚未确定其归属或新出现的应用/业务。互联网不可能是一个理想的“净化”环境,也不可能(无必要)试图努力“净化”互联网。因此,网络信息态势感知的实现原理(忽略技术细节)主要在于实时地“求异”:“黑、白名单”的跟踪及对异动处置;“灰名单”的建立及对异化维护;“灰名单”的对异变报警及信息共享(作进一步甄别处理)。“灰名单”的建立是实时的,基本原则是“不白不黑即灰”。“灰名单”中有的部分会自生自灭;有的部分会发生异化(如特征、活动频度、资源消耗),对异化维护包括不断地检视、分类和排序。异变一般是“灰名单”中溢出安全基线的部分,对溢出部分进行处理并甄别为是“黑”或是“白”。信息网络态势感知的“求异”能力并不能解决威胁网络信息安全的所有问题。如同美国的“爱因斯坦”计划并不是以创新的“爱因斯坦-3”替代已有的“爱因斯坦-1”和“爱因斯坦-2”,而是相互协同互补关系。在信息网络态势感知中,运筹“求异”直接和主要目的是通过实时态势感知(或对“黑、白、灰名单”的检测和识别)及即时策略处置(或对“黑、白、灰名单”的监管和对抗),保证网络通信体系的存活性和可用性。网络通信体系的存活性和可用性相互依赖。一方面,既然网络通信体系是一类信息资产,可活动(包括合法、非法)。从这个定义中不难看出,在国家战略高度的视角,信息网络空间由宏观的基础体系和设施与微观的应用业务以及行为活动所组成。这里有一个重要的认知改变:信息网络空间是一个运动的空间。2010年2月,“市场研究媒体”(Market Research Media)发表对美国2010-2015年的市场预测报告,宣称“深度包检测”(DPI)是目前唯一能够提供网络信息安全保障的技术,美国在5年间将72亿美元预算(年累计增长率36%)用于研发和部署“深度包检测”技术。创议与实践网络通信在基础建设期是由标准和规范主宰,多年来形成了固定的主观模式和方向,且不妨称为“顺向思维”,即经过有限的步骤(包括经验知识、实验推导)能够定义概念和实现方法。无疑,顺向思维在网络通信的发展中仍然是必要的也是有效的。但是,由于在信息网络安全中所要防御的对象往往是非常规的、非常识的、非公认的或非习惯的行为或做法,顺向思维就显得捉襟见肘或不可取了。我们的基本认识和理解是:信息网络态势感知相对而言是一种“逆向思维”,即客观地从信息网络中实时地检测并认识信息网络和环境的动38 /中国信息安全/2011.02
焦 点Focus用性体现在信息网络安全的重点或差异化保障。能够对网络流量进行广泛的识别、分析、统计,在国际电信联盟(ITU)近年发布的信息网络安有效识别数以千计的网络应用,并可实现对各种全标准中,“可用性”被作为3个总体目标之一。加密协议的有效检测;支持丰富的应用控制管理另一方面,一旦网络通信体系瘫痪 [注:回顾近策略,并完成诸如应用阻断、流量、带宽预年已多次发生的局部网络瘫痪事件],不仅丧失了留、优先级等级改写、镜像监测、行为审计及应可用性,而且所造成的影响和损失使任何以往的用安全服务等一系列及时处置的措施。工作和努力都将功亏一篑。事实上,保障信息网根据部署需求的不同,信息网络安全保障功络安全是对抗性博弈,要拥有对抗网络中滥用、能的侧重点也有所区别:恶意、敌对行为的威慑力,首先要保证网络的存部署在互联网出口位置——侧重于全面活性和可用性。一个硬道理是,“皮之不存,毛的安全接入和安全态势感知检测,保障网络存将焉附”。活性;运筹“求异”的具体应用和实践包括:网络部署在专网内部各主要节点位置——侧重取证、舆情分析、溯源对抗、内容分发、差异化于网络应用行为的识别、分析和网络资源的调度业务和精细化管理、应用/业务的负载均衡等。在管理,保障关键业务的可用性及业务质量。以面向应用、需求驱动下,新的应用正在被持续信息完整性保障开发着。高并发度会话连接(Session)信息检鉴于网络通信与道路交通的存在行为和管理测。系统基于特殊的session硬件特征匹配机制,及发展演变具有惊人的相似性,为了让读者更清兼具了抽样检测的效能和全包检测的精确性,晰地了解网络通信,现将二者进行简单、直观的同时摒弃了CPU搜索匹配性能低的弱点,可以比较:满足高达00万并发连接监控的需要;同时,表一 信息网络态势感知与交通管理的对比系统还提供了现阶段所需要的多种维度流信息检测功能。演进变化网络建设(带宽扩容)道路建设(环线、轨道)管理手段流量控制交管的红、绿灯应用层安全事件识别。系统内置的恶意代安全措施反病毒、防火墙/IDS路线封闭、隔离码识别特征库,能实现对众多网络异常状态和动实时感知深度流分析遥控摄像、巡逻态行为进行监控(如网络蠕虫、木马、应用层攻深度包检测停车逐一安全检查白、黑、灰名单分类记点、罚款、吊销执照击及其它恶意程序或软件等),形成对现有的防即时处置加速、拦截、取证拘留审查或判刑火墙、IPS/IDS等网络边缘安全设备的有效补充,主要目的由可知到可控:保障存活性和可用性提升信息网络安全维度和等级。应用业务识别。系统以深度包检测技术网络态势感知与控制系统为基础,可以有效识别上千种的网络应用。目我们自主研发信息网络态势感知与控制系前网络中各种应用均可以实现良好的识别,如统以对信息网络的深度感知为基础,实现了智HTTP、P2P、VoIP、流媒体、网络游戏以及即时能的业务感知和用户感知、深度的网络安全和消息等,除了可以识别明文的应用协议以外,还业务安全防御、精细的业务统计分析、多元化可以有效的分类各种加密的应用协议(如加密迅的业务接入控制、差异化的服务体验保障、多雷、加密BT、Skype等),网络应用流量识别率维度的内容计费支撑等功能,目前,已在省级始终保持在95%以上,误判率小于1%,领先于业网得到了运用。务同类设备。系统采用网络处理器(NPU)和多核网络网络存活性保障处理器的高性能处理架构设计,具备在单端口基于基线的安全事件监控。系统可以基于10M-10Gbps的线速处理和管控能力,以及电信用户(组)、应用(组)、带宽、并发连接数、级的稳定性和可靠性。协议比例、行为分布等多种条件组合设置阈值系统基于先进的应用层特征值检测技术(或安全基线),对于超过阈值的流量提供异常(DPI)和高效的连接状态管理技术(DFI),告警。区别于传统的网络安全设备,系统除提供2011.02/中国信息安全/
39
CNITSEC模式匹配的安全基线事件检测以外,还可以提供基于应用协议和行为状态的细粒度安全基线的事件检测。基于特征的安全事件监控。系统内置了的可动态更新的恶意代码识别特征库,实现对网络黑、白、灰名单实时进行监控的机制,形成对现有的防火墙、IPS/IDS等网络边缘安全设备的有效补充,提升网络安全的可扩展性。基于双向的安全事件的监控。监控信息网络的安全接入不仅是外部对内部的访问,而且同时监控内部对外部的交互,实时检测和定位从内部发起的攻击。避免或缓解由于源端服务瘫痪/网络资源耗尽,而导致网络中断或可用性能衰减。网络可控性保障提升信息网络可视度。系统在面向应用感CNITSEC效结合以实现信息网络的净化安全和绝对可信。信息网络安全的体系结构必须能确保通信的可用性、完整性和保密性、具备可扩展的安全设计,合理平衡安全与共享的矛盾。从服务体验质量与网络可管性角度来看,服务体验质量的提供从根本上依赖于对网络资源的管理和控制,互联网服务体验质量研究的困境源于当前互联网在体系结构上低级的可管可控性。一方面,边缘论和面向非连接的设计思想保障了高效互通,但管理手段薄弱,难以满足解决服务体验质量保障的需要;另一方面,作为一个庞大的非线性复杂系统,互联网“细腰模型”被打破,各种协议的决策逻辑交织在一起,使得网络行为不可预测。具备可管理和服务体验质量有保障的体系结构必须允许为不同网络配置针对其性能、可靠性和策略的高层需求和目标;在网络中维护一定的状态信息,在关键部分施加必要的控制,做到在不同层次上实施监管,而将决策逻辑与分布式应用相分离。国际上对下一代互联网体系的研究已经引入信任机制和控制机制,对网络控制模型中的网络要素相关性、协议可信性验证以及网络管理逻辑视图建立等具体理论问题还在探讨之中。国内的清华大学、东南大学、北京交通大学和北京邮电大学等在新一代互联网体系、高可用网络体系结构、可信可控网络、一体化可信网络、可测可控可管的IP网络领域进行了不少前瞻性的研究。本文提出的网络态势感知方法,用“黑、白、灰”信任机制,对有边界的信息网络的资源流、信任流、控制流即应用/业务逻辑流提供了合适的描述规范,融合了可信性与可控性,在保证网络的存活性/可用性、服务体验质量和应用/业务的可用性的同时,保证了信息网络端到端通信的透明度,提高了对信息网络管理的能力和简化了信息网络安全保障配置,为信息网络安全研究提供了新的思路;创造性地拓展了深度包检测技术的运用,研制了高速的硬件系统和快速有效的算法,为信息网络安全实践提供了高效的网络集约控制手段。对于完整性和保密性的要求,并不是本文提出方法所能解决的,仍然需要其他安全手段的配合。知的基础上,对所监控的链路实施总体业务态势的分析。如监控该链路的出入双向交互行为、并发会话连接数量、在线IP地址数量、带宽的占用和使用量、应用协议的排序排名、用户属性排序排名等。差异化业务管控与资源精细化分配。针对不同业务的类型或不同业务的需求,可以按预置策略实施整形、占用带宽、并发连接数、降低优先级、分时段传送等处置措施。关键业务的可用性和优先级保障。针对关键用户、关键业务,可以实施动态资源保证、提升优先级等级、业务应用加速等处置策略。网络信息可审查性保障按不同的信息网络安全保障需求,系统提供非采样数据的一致性和完整性依据(定制化网络取证)与手段(定向存储引流,基于用户、应用、行为、时间段等条件组合的分类定向过滤引流),并可将网络属性与社会属性捆绑。通过真正将大问题分解成若干小问题,再逐个求解。系统的定向引流功能,可以降低信息网络的建设成本,有效提高安全防御的处理效率。结语从安全性角度来看,当前互联网不存在信息网络安全的单一解决方案。虽然存在许多安全防护机制,但并没有解决方案能够将这些机制有40 /中国信息安全/2011.02
