在经济全球化、社会信息化的当今世界,特别是在新一轮科技革命和产业变革推动下,人工智能、大数据、云计算、物联网等前沿科技加速应用于关系到国计民生的各个领域,国际性战略竞争逐步加剧,国家安全首当其冲。党和国家领导人指出,在维护国家网络空间安全方面解决关键技术和设备上要坚定不移的按照“国家主导、体系筹划、自主可控、跨越发展”的方针发展。
在地缘政治的国际形势下,特别是在贸易摩擦纷争频现的大背景下,金融行业也是必争的战场,利用前沿科技保护金融行业的网络安全刻不容缓。在国家立法层面,随着《网络安全法》《数据安全法》《个人信息保护法》和“网络安全等级保护2.0”系列标准的实施,对经营机构的安全能力和安全管理水平提出了新的要求,要具备统一的安全管理中心,对机构内外部的威胁均需要有检测能力,对信息系统漏洞和风险管理也提出了新的要求。在行业监管层面,《证券期货行业信息技术管理办法》要求行业经营机构加强信息系统的安全保障,要提高安全风险发现的实时性、信息系统可靠性和安全风险敏感度。在公司发展层面,公司未来的金融科技规划中,科学技术创新从营销、获客等前台系统向中后台转移,通过发展后台技术反哺前台业务。新科技的发展也为AIOps提供了技术支撑,大数据和人工智能技术发展也为新型网络安全运营管理带来可能性。
证券行业都面临同样的安全难题,资产数据与资源暴露面不清晰,网络攻防情报的不对等,风险概率与收益的矛盾,业务价值、客户体验与安全防护的折衷,以及市场形势的持续动态变化。证券行业亟需网络安全态势量化、可视和可控,包括遭受网络攻击的源头、目标、时间、手段,系统运行的安全状态,业务处理的正常与否等,让网络威胁量化可视、让系统与业务状态持续可控、让客户服务优质高效。
因此,长江证券自主研发实施了网络安全画像与智能威胁预警系统。基于人工智能、机器学习与大数据等新技术,研究网络安全画像实现可持续的网络安全智能运营,并应用在网络安全智能预警方面。
网络安全画像技术是智能预警的基础。通过收集多种内外部数据,构造网络空间的特征向量,构建服务、业务、系统和客户四个维度的网络安全画像标签体系,形成网络安全量化分析的指标评价模型,并构建网络威胁监测、IT资源持续管控与业务连续性管控等模型,实现可持续的网络安全运营。
系统采取如上图的技术架构,通过主被动内外部数据采集,收集包括系统日志、业务日志、漏扫结果、系统策略、监测信息、IT资产信息、网络流量数据和威胁情报等在内的多方面的数据,通过格式化、标准化和归一化操作,构造描述网络安全状态的向量空间。在此基础上,从业务、服务、系统和客户四个维度进行网络安全画像标签体系建设,使用机器学习、趋势分析、聚类算法、知识图谱等分析工具,完成业务安全、服务安全、系统安全和客户安全的安全场景建模,形成量化分析指标评价模型。然后,根据需要将构建的模型用于离线或实时数据分析和关联分析,实现安全威胁预警、安全监测、运维分析、故障诊断、IT资产空间测绘、系统优化等目的。
网络空间向量来源于格式化、标准化和归一化后的原始数据。根据采集方法的不同,构成网络空间向量的原始数据分为主动数据和被动数据。其中,主动数据是指根据网络画像的需要,通过Agent监控、业务埋点、漏洞扫描等方式主动从特征主体方收集到的数据,包括系统日志、业务日志、客户行为、操作逻辑路线、漏洞信息、威胁情报等;被动数据是指通过旁路监听等方式被动地获取特征主体的状态数据,主要包括网络流量数据等。通过网络空间距离量化与可视模型,在时序的基础上构建动态图形化趋势,有利于异常监控发现与故障诊断,并形成知识库。
收集到的网络空间向量具有稀疏、高维的特点。对于不同的特征主体,按不同场景的角度、类型、范围、分布都有很大的区别。为了更准确地描述特征主体的安全状态,项目从业务、服务、系统和客户四个维度进行网络安全画像,有针对性地、有重点地建立不同维度上的网络安全画像标签。然后,从网络空间向量中提取相应的信息给特征主体的画像标签赋值,通过网络安全特征建模对特征主体进行定性或定量分析。系统将时间窗口引入网络空间,将特征主体的画像标签从静态标签转变成动态标签。通过调整时间窗口的大小,可获得在不同时间尺度上的特征主体的安全状态;另一方面,通过移动时间窗口,可动态地描述特征主体安全状态的变化情况。
本系统创造性地将证券K线应用于安全指标趋势分析,在普通的IP入度统计值曲线上,增加每个时间窗口内的起始值、终止值、最大值、最小值,丰富曲线描述的内容,可以更准确地描述该标签的变化趋势。更进一步地,通过调整K线的“粒度”,可以画出“时K线”、“日K线”、“周K线”、“月K线”等,进而在变化的时间尺度上描述该标签的变化趋势。
系统使用机器学习算法辅助网络空间向量的分析分类过程。在系统中,使用监督式学习对已打标的数据进行学习训练,并使用训练模型对未打标的数据进行分析和归类;使用非监督式学习发现训练数据中的奇异点(通常会是异常点)。趋势分析的先验结果可作为监督式学习的打标数据输入。监督式学习算法获取打标数据进行训练,对未打标数据进行归类和识别,其结果在经过核实之后反馈给分析模型,促进监督式学习算法的不断改进。对于无法人工分析或者特征不明显的数据,可将其作为非监督式学习的输入,由机器学习算法完成分析识别。非监督式学习算法可以识别出输入数据中的奇异点,经人工核实如果确实是异常行为的,该结果同样作为分析模型的结果,并可在演进的过程中作为先验结果使用。
系统构建了全面集中的架构式网络安全运营平台,基于网络安全画像提升风险监测、预警、定位与处置能力,实现了长江证券信息系统的网络安全画像、安全监控与威胁预警建模。安全场景覆盖了邮件业务安全、统一认证帐号安全、IOC事件分析监测、服务器外联监测、安全违规行为监测、内网横向攻击预警、客户异常行为分析、企业服务总线业务性能及可用性监控等安全场景,有效提升了网络高级威胁发现、事件预警与应急响应水平,避免了潜在的经济损失和对公司信誉造成的损害;实现了侦查、渗透攻击、攻陷与恶意行为四个攻击阶段攻击链的威胁捕猎,通过日志聚合实现了攻击者画像和溯源。具体包括以下几个方面:
一是完成百余套信息系统的网络安全画像。采集和分析过往超过一年的网络流量、系统日志、业务行为等多维度数据,构建智能威胁监测模型,实时监测系统态势,快速发现系统异常状态并预警,精准定位故障点,有效减少故障处置时间与业务影响。目前,长江证券基于网络安全画像开展常态风险预警监测与分析处置,IOC类安全事件的MTTD与MTTR均降至分钟级,提高了网络安全运营效率,避免了各类网络安全事件导致的经济损失。
二是基于网络安全画像的威胁场景建模支撑了公司的网络安全可持续运营。实时监测邮件账号撞库、口令爆破、境外或异地登陆等网络攻击行为,实现了高频攻击的实时监测、异常账号的分钟级响应与攻击黑IP库的即时更新,及时阻断针对邮件的网络攻击。识别数以亿计的帐号爆破与撞库攻击,汇聚并阻断数万恶意访问的来源IP,及时预警、预防了近百起帐号口令失陷。及时发现并成功阻断了数十起服务器异常外联事件;发现并处置数起终端挖矿木马,有效攻击事件减少99%以上,形成了监测预警模型的常态安全运营工作机制。
三是精准定位黑客攻击手法并针对性防御。基于人工智能算法来开展恶意行为的建模和攻击手法的细分,针对各种类型的恶意行为特征定制相应的应对措施,发挥研发、运维与安全的协同联动,建立了标准化流程,结合安全编排与自动化,实现对威胁场景针对性防御的规范安全运营。
系统在实践过程中,不断创新,提高了长江证券的安全,主要包括以下几个方面:
(一)网络安全画像与多维关联分析
通过收集多种内外部数据,构造网络空间的特征向量,构建服务、业务、系统和客户四个维度的网络安全画像标签体系,形成网络安全量化分析的指标评价模型,并构建网络威胁监测、IT资源持续管控与业务连续性管控等模型,实现可持续的网络安全营运、智能运维和信息技术治理。
(二)时间窗口的变尺度
时间窗口将静态数据变成动态趋势。调整时间窗口,实现不同的尺度上实体对象的多态;移动时间窗口,实体对象状态形成动态变化趋势。时间窗口的尺度决定异常发现或蒙蔽的可能性。单尺度下,日线隐藏了瞬态的突变,极大掩盖了极小、微观无法描述的宏观且背离的宏观与微观趋势可能误导对事态发展的判断。变尺度下,每隔一分钟是规律,每天不定时访问一次也是规律。持续低频的缓慢拖库行为在月I/O量曲线里的凸显,让网络攻击无处遁形。变尺度为标签多态分析提供了基础。在进行网络安全画像时,对于特征值曲线的变化可使用定量的趋势分析得到定性的结果。根据证券行业特点,除考虑使用常见的同比/环比分析、均值曲线、统计(最大/最小)值曲线、方差、奇异点分析之外,还将区分交易日与非交易日、交易时段与非交易时段,变尺度下综合分析标签的特征值曲线。
(三)智能画像标签
智能标签决定画像模型的适应性。在固定标签的模型下,高并发的TCP短会话也许被误判为DDoS攻击,实则为开市期间的网上交易测速;单IP的超长TCP会话可能在暴力破解账号口令,却只有在TCP会话结束时才能被发现,然而攻击已经得逞。构建智能标签,一方面,建立变尺度下标签的多态,另一方面,丰富标签的维度,涵盖IP包、TCP会话、App系统与行为日志等主被动、内外部多维数据。如基于IP包的攻击检测可以快速发现TCP层的长会话攻击,从而及时阻断防止事态恶化。
(四)基于攻击链的网络威胁捕猎
深入研究经典攻击链模型,将其划分为侦查、渗透攻击、攻陷与恶意行为四个攻击阶段,构建了基于攻击链模型的网络威胁捕猎架构。通过分布式代理和高交互式蜜罐伪装真实的目标主机和网络环境,设置基于业务逻辑的应用级业务分流陷阱,诱骗攻击者进入蜜罐系统。收集并分析攻击者在蜜罐系统中的各种操作日志,通过日志聚合与攻击画像研究攻击链模型的每个攻击阶段,探测攻击者的攻击意图和手法,为追溯与分析安全威胁提供基础数据支持。
长江证券的网络安全画像与智能威胁预警上线运营及实践也给行业带来参考,主要包括以下几个方面:
(一)技术可行性
现有网络安全产品多为黑盒,开放程度和可定制化程度较低,无法根据具体的业务需求进行调整和定制化开发。安全产品与业务贴合度差,无法与现有业务进行整合集成,可持续运营能力弱。相比之下,长江证券的系统贴近业务需求,以解决安全、运维和治理的痛点为目标,充分考虑业务模式、人员组成和技术水平,采用开放、松耦合的技术架构,调动业务人员、运维人员、安全人员一起完成系统的规划建设、整合集成与持续运营。
(二)功能完整性
网络安全技术厂商采取的画像技术多基于单系统维度,专注于某细分领域的安全解决方案,如防病毒、漏洞检测、漏洞管理、代码审计、威胁监测与阻断、风险预警等,仅能从本细分领域给出风险点和问题点,分析场景固定,无法从全局把控安全风险和运维痛点。而网络安全不单关注系统安全、业务安全、人员安全,还应从业务可用性、业务持续性和客户服务体验方面提供支撑,提高问题处理的时效性。在长江证券的系统建设中,提出了从原始数据进行网络安全画像并应用于智能威胁预警、智能运维和信息技术治理的方法论,从业务、服务、系统和客户四个维度进行网络安全画像标签体系建设和场景建模,形成多维度量化分析指标评价模型和定制化分析场景。相比而言,该系统关注的数据更全面,从全局进行网络安全画像,逼近告警问题根源,易于对风险进行追踪溯源,降低问题定位及处理时间,彻底解决薄弱点。
(三)业务兼容性
一方面,基于证券行业的特点,系统依据证券行业企业规模、业务特点以及管理模式,建立与当前产品研发、业务运营和系统运维相适应的解决方案,实现网络安全画像量体裁衣。另一方面,系统融合使用了开源与商业产品,但在技术上实现了解耦,完全自主可控,开放和可定制化的特点也为行业推广奠定了基础。